考试范围整理信息安全

信息安全概述复习大纲第一章信息网络安全基本概念1.信息安全五性：a)保密性：（加密算法）当数据离开一个特定系统，例如网络中的服务器，就会暴露在不可信的环境中。保密性服务就是通过加密算法对数据进行加密确保其处于不可信环境中也不会泄露。b)完整性：（Hash算法）完整性服务用于保护数据免受非授权的修改，因为数据在传输过程中会处于很多不可信的环境，其中存在一些攻击者试图对数据进行恶意修改。c)可用性：（拒绝服务攻击）可用性服务用于保证合法用户对信息和资源的使用不会被不正当地拒绝。d)可控性：（认证因素）对网络中的资源进行标识，通过身份标识达到对用户进行认证的目的。一般系统会通过使用“用户所知”或“用户所有”来对用户进行标识，从而验证用户是否是其声称的身份。e)不可否认性：（数字签名技术）不可否认服务用于追溯信息或服务的源头。2.客户端和服务器进行通信时的三次握手过程客户端和服务器进行通信之前，要通过三次握手过程建立TCP连接。客户端服务器SYNSYN/ACKACK第二章密码技术1.密码系统的组成（图2.1）明文：要被发送的原文消息密码算法：由加密和解密的数学算法组成密文：明文经过加密算法加密之后得到的结果密钥：在加密和解密过程中使用的一系列比特串2.密码的作用：（实现信息的保密性，完整性，不可否认性和可控性）保密性：消息的发送者使用密钥对消息进行加密完整性：密码可以保证被接收方收到的消息在传输过程中未经任何变动以保护其完整性。不可否认性：以向用户提供不可否认性可控性：利用密码技术向其他的用户或系统来证明自己的身份3.对称加密算法DES,AES对称密码算法运算量小，加密速度快，加密效率高，但加密前双方必须共享密钥这一性质也造成对称密码算法存在一定的问题。用户使用对称加密算法时，需要共享密钥，使得用户所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。用户在通信之前，需要建立连接来产生和获取密钥。这对拥有庞大用户数量的网络的通信空间提出了很高的要求。密钥不能被及时更换以保证信息的保密性。消息的接收者不能检查消息在接收之前是否经过更改，数据的完整性得不到保证。无法保证接收到的消息来自于声明的发送者，因此，发送者能够对发送行为进行否认，不可否认性得不到保证。特征：发送方和接收方使用相同的秘钥4.非对称加密算法RSA的基本原理字符串明文字符串明文Byte[]字节流明文密文Byte[]Byte[]字节流明文密文Byte[]加密操作解密操作通过Encoding指定不同的代码页，把字符串转成不同代码页对应的编码，表现为byte[]形式使用加密时Encoding使用的代码页，把byte[]形式的明文转换为适当字符串明文公钥公钥私钥加密解密cer证书pfx证书123451.DES的加密的基本原理和特点DES算法特点：a)分组比较短b)密钥太短c)密码生命周期短d)运算速度较慢2.对称加密存在的问题a)密钥管理成为用户的负担b)对拥有庞大用户数量的网络的通信空间提出了很高的要求c)密钥不能被及时更换以保证信息的保密性d)数据的完整性得不到保证e)无法保证接收到的消息来自于声明的发送者3.如何利用RSA（公钥和私钥）进行秘密通讯n的二进制表示时所占用的位数，就是所谓的密钥长度。e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1）*(q-1）互质；再选择e2，要求（e2*e1）mod((p-1）*(q-1））=1。（n，e1）,(n，e2）就是密钥对。其中(n，e1）为公钥，(n，e2）为私钥。RSA加解密的算法完全相同，设A为明文，B为密文，则：A=B^e1modn；B=A^e2modn；e1和e2可以互换使用，即：A=B^e2modn；B=A^e1modn;4.描述中间人攻击，简述要怎么预防中间人攻击：中间人攻击是一种常见的攻击方式，攻击者从通信信道中截获数据包并对其进行修改，然后再插回信道中，从而将自己伪装成合法的通信用户。a)检查本机的HOSTS文件，以免被攻击者加了恶意站点进去；b)确认自己使用的DNS服务器是ISP提供的c)依靠ARP和MAC做基础，使用交换式网络代替共享式网络，这可以降低被窃听的机率，使用静态ARP、捆绑MAC+IP等方法来限制欺骗，以及采用认证方式的连接等。d)对于“代理中间人攻击”而言，以上方法就难以见效了，因为代理服务器本来就是一个“中间人”角色，攻击者不需要进行任何欺骗就能让受害者自己连接上来，而且代理也不涉及MAC等因素，所以一般的防范措施都不起作用。5.数字签名和数字证书的原理数字签名：数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。原始消息消息摘要数字签名原始消息数字签名原始消息数字签名原始消息消息摘要消息摘要'Hash函数计算发送方私钥加密传输Hash函数计算发送方公钥解密=?发送方接收方数字证书：数字证书以加密解密为核心，它采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把私有密钥（即私钥，仅用户本人所知），然后用它进行解密和签名；同时，用户设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送方准备发送一份保密文件时，先使用接收方的公钥对数据文件进行加密，而接收方则使用自己的私钥对接收到的加密文件进行解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。浏览器管理员证书最终用户浏览器用户证书管理员路由器防火墙CA服务器CA认证系统Internet数字证书的分类：电子邮件证书：证明邮件发件人的真实性，不证明数字证书所有者姓名（由证书上面CN一项所标识）的真实性，只证明邮件地址的真实性服务器证书（SSL证书）：证明服务器的身份和进行通信加密客户端个人证书：身份验证和数字签名第三章认证技术1.认证的基本概念认证是验证某个人或系统身份的过程，就是向认证机构提供信息确认某个人或系统是否是它声称的那个人或系统。2.认证建立的因子（whatyouknow,whatyouhave,yourself）包含的项目。用户所知道的：(静态密码，password，pin)缺点：易破解（字典攻击，暴力攻击）。易丢失。用户所拥有的：（动态口令，短信验证，USBkey，IC卡）优点：自带芯片，内存，基于密码算法不易破解。缺点：易丢失，太多了。用户本身特有的:（生物认证）优点：不易遗忘或丢失，防伪性能好，不易伪造或被盗，“随身携带”，随时随地可以使用。3.一次性口令认证S/key基于MD4和MD5加密算法产生，采用客户端-服务器模式客户端负责用hash函数产生每次登陆使用的口令，服务器端负责一次性口令的验证，并支持用户密钥的安全交换。在认证的预处理过程中，服务器将种子以明文形式发送给客户端，客户端将种子和密钥拼接在一起得到S。然后，客户端对S进行hash运算得到一系列一次性口令。S/Key保护认证系统不受外来的被动攻击，但是无法阻止窃听者对私有数据的访问，无法防范拦截并修改数据包的攻击，无法防范内部攻击。Token这种方法要求在产生口令的时候使用认证令牌。根据令牌产生的不同，又分为两种方式：挑战应答式和时间同步式。1.生物认证的基本过程2.完整的认证过程：一个认证系统由五部分组成：请求认证的用户或工作组，用户或工作组提供的用于认证的特征信息，认证机构，认证机制以及接受或拒绝访问系统资源的访问控制机制。用户/工作组输入组件核实器访问控制单元申请使用资源接受或拒绝访问请求用户特征信息数据库计算认证信息3.SSL协议step1:握手协议该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。step2:记录协议记录协议向SSL连接提供两个服务（1）保密性：使用握手协议定义的秘密密钥实现（2）完整性：握手协议定义了MAC，用于保证消息完整性step3:警报协议客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共2个字节，第1个字节表示错误类型，如果是警报，则值为1，如果是致命错误，则值为2；第2个字节制定实际错误类型总结SSL中，使用握手协议协商加密和MAC算法以及保密密钥，使用握手协议对交换的数据进行加密和签名，使用警报协议定义数据传输过程中，出现问题如何去解决。第四章安全协议识记：1.安全协议在协议框架里工作的位置如下应用层安全——S/MIME，Web安全，SET，Kerberos传输层安全——SSL，TLS网络层安全——IPSec，VPNs链路层安全——PPP，RADIUS理解：1.上述安全协议的主要功能S/MIME（Secure/MultipurposeInternetMailExtensions）是多用途网络邮件扩充协议（MIME）的扩充，其中加入了数字签名并对邮件内容进行了加密。S/MIME在MIME的基础上增加了安全服务——加密和数字证书。加密提供了三种加密算法（Diffie-Hallman，RSA，三层DES）进行会话密钥的加密，创建数字证书的时候，S/MIME会使用160位的SHA-1或MD5等Hash函数来生成消息摘要，并使用DSS或RSA对消息摘要进行加密而形成数字证书。S/MIME提供两种安全服务：邮件加密和数字签名。邮件加密：捕获邮件正文检索收件人公钥生成一次性会话密钥用会话密钥加密邮件正文用收件人公钥加密会话密钥将会话密钥附加到加密邮件发送邮件接收邮件检索加密邮件正文和会话密钥将解密邮件返回给收件人检索收件人私钥用收件人私钥解密会话密钥用解密的会话密钥解密邮件正文==================================================数字签名捕获邮件正文计算邮件的哈希值检索发件人私钥用发件人私钥加密哈希值检索发件人公钥用发件人的公钥解密加密的哈希值比较解密的哈希值和计算的哈希值接收邮件检索加密的哈希值验证签名邮件检索邮件正文计算邮件的哈希值附加加密的哈希值发送邮件Web安全：HTTPSWeb浏览器普遍将HTTP和SSL相结合，从而实现安全通信，SSL是用于解决系统之间数字证书传输问题为Web服务提供保密性，完整性和可靠性的安全服务◆不同之处SSL是一个面向连接的协议（用于为两个实体之间提供认证、数据的保密性和完整性服务），而HTTP-S是一个面向无连接的协议HTTP-S为HTTP客户机和服务器提供多种安全机制，适用于各类潜在的用户SSL工作在会话层和传输层，而HTTPS工作在应用层SET：SET协议（SecureElectronicTransaction，安全电子交易协议），是为了实现更加完善的即时电子支付，在每一次交易中，SET提供了四种服务：可靠性，保密性，信息完整性和可控性。可靠性指在交易过程中确保每一方身份的正确性，包括客户，商人，银行等等。采用公钥密码体制和X.509数字证书标准。保密性指使用DES加密所有的交易过程，防止入侵者得到交易过程中的任何数据。完整性在加密信息里加入消息摘要，防止任何形式的更改。可控性允许交易买方在不知道附件内容的情况下也能够验证附件的正确性，这对保护内容保密性起到了重要作用。SET协议的主要目标防止交易信息、账户信息等被非法用户窃取使用了一种双签名技术保证电子商务参与者信息的相互隔离解决多方认证问题。保证网上交易的实时性提供一个开放式的标准，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能提供的服务保证客户交易信息的保密性和完整性确保商家和客户交易行为的不可否认性确保商家和客户的合法性持卡客户支付网关在线商家银行CA认证中心发卡机构协商确认订单确认确认审核请求审核批准