01郑州市2015网络安全员培训考试资料技术第一章

第一章基础安全与物理安全技术一、信息安全技术概述（一）体系结构依据信息系统的自然组织方式，信息安全技术体系结构划分如下：1.物理安全技术用来达到物理安全目标所采用的具体措施、过程和方法等，它对于各种信息网络应该是普遍适用的。物理安全技术按照需要保护的对象可以分为：环境安全技术和设备安全技术。2.系统安全技术系统安全是相对于各种软件系统而言的，最基本、最重要的、也可以说是最大的软件系统就是操作系统。我们将对于系统的保护称为系统安全，那么实现系统安全的各种方法、措施和过程就被称为系统安全技术。3.网络安全技术网络安全技术是指保护信息网络依存的网络环境的安全保障技术，通过这些技术的部署和实施，确保经过网络传输和交换的数据不会被增加、修改、丢失和泄露等。最常用的网络安全技术包括防火墙、入侵检测、漏洞扫描、抗拒绝服务攻击等。4.应用安全技术任何信息网络存在的目的都是为某些对象提供服务，我们常常把它们称为应用，如电子邮件、FTP、HTTP等。应用安全技术，是指以保护特定应用为目的的安全技术，如反垃圾邮件技术、网页防篡改技术、内容过滤技术等。5.基础安全技术有些技术并不能简单地归入上述的任何一个层次，而是所有这些层次都会用到的、依赖的技术，如：加密技术和PKI技术。（二）安全服务1.认证：认证提供了关于某个实体（如人、机器、程序、进程等）身份的保证，为通信中的对等实体和数据来源提供证明。当某个实体声称具有一个特定的身份时，认证服务提供某种方法来证明这一声明是正确的。认证是最重要的安全服务，其他安全服务在某种程度上需要依赖于它。2.访问控制：访问控制的作用是防止任何实体以任何形式对任何资源（如计算机、网络、数据库等）进行非授权的访问。非授权的访问包括未经授权的使用、泄漏、修改、破坏以及发布等。访问控制的另一个作用是保护敏感信息不经过有风险的环境传送。3.数据机密性：数据机密性就是保护信息不泄漏或者不暴露给那些未经授权的实体。在信息网络中，我们还常常区分两种类型的机密性服务：数据的机密性服务和业务流机密性服务。前者使攻击者从获得的数据中无法获得有用的敏感信息；后者使攻击者通过观察网络中的业务流也无法获得有用的敏感信息。4.数据完整性：数据完整性，是指保证数据在传输过程中没有被修改、插入或者删除。数据完整性服务就是通过技术手段保证数据的完整性可验证、可发现。5.非否认：非否认服务的目的是在一定程度上杜绝通信各方之间存在着相互欺骗行为，通过提供证据来防止这样的行为：发送者的确发送过某一数据，接收者也的确接到过某一数据，但是事后发送者否认自己发送过该数据。（三）安全机制1.加密：加密能够实现数据机密性服务，同时也能提供对业务流的保密，并且还能作为其他机制的补充；2.数字签名：可以实现对数据的签名和签名验证功能，由此提供非否认性服务；3.访问控制：依据实体所拥有的权限实现对资源访问的控制，对非授权的访问提供报警或者审计跟踪功能，由此提供访问控制服务；4.数据完整性：面向数据单元，在数据发送端制作以数据单元为参数的附加码，在数据接收单元通过验证数据单元和附加码的相关性确认数据是否完整，提供数据完整性服务；5.认证交换：利用密码技术，由发送方提供由接收方来实现认证，由此可以实现认证服务；6.业务流填充：通过业务流分析可以获得通信信息的相关信息，业务流填充机制使得业务流的外部特征统一化，使得攻击者无法通过观察业务流获得敏感信息，由此可以实现业务流机密性服务；7.路由控制：针对数据的安全性要求提供相应的路由选择，由此可以实现部分机密性服务；8.公证：利用第三方机构，实现对数据的完整性、时间、目的地、发起者等内容的公证，通常需要借助数字签名和加密等机制。二、密码技术密码学是一门研究加密与破译的科学，它是信息安全的基础学科之一。密码学的核心是密码加密技术，原理是利用一定的加密算法，将明文转换成无意义的密文，阻止非法用户理解原始数据，从而确保数据加密性。密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科，是保护信息安全的主要技术手段之一。用户在计算机网络信道上相互通信，其主要危险是被非法窃听。例如采用搭线窃听，对线路上传输的信息进行截获，采用电磁窃听，对用无线电传输的信息进行截获等。因此，对网络传输的报文进行数据加密，是一种很有效的反窃听手段。密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性，还能够实现通信用户间的身份认证和不可否认性。(1)信息机密性：只有有权限的用户才可以对信息进行加密和解密。(2)信息完整性：信息在存储或传输过程中保持不被修改数据是否被修改过。(3)身份认证：鉴别通信双方的身份。(4)不可否认性：保证用户不能否认发送或接收过一个特定的信息或做过某个操作。（二）基本概念(1)明文：信息的原始形式（Plaintext,记为P）。(2)密文：明文经过加密后的形式(Ciphenext，记为C)。(3)加密：由明文变成密文的过程称为加密(Enciphering，记为E)，加密通常是由加密算法来实现。(4)解密:由密文还原成明文的过程称为解密(Deciphering，记为D)，解密通常是由解密算法来实现。(5)加密算法：实现加密所遵循的规则。(6)解密算法：实现解密所遵循的规则。(7)密钥：为了有效地控制加密和解密算法的实现，在其处理过程中要有通信双方单程的专门信息参与加密和解密操作，这种信息称为密钥(记为K)。1.对称密匙加密对称密匙加密，又称私钥加密，信息的发送方和接收方用同一个密匙去加密和解密数据，相同的密钥叫做公共密钥。对称加密算法主要有DES(数学加密标准)，IDEA(国际数据加密算法)，Rijndael，AES，RC4算法等。DES是ISO核准的一种加密算法，一般密钥56位。针对DES密钥短的问题，在DES基础上采用了三重DES的方法，用两个56位的密钥。IDEA是在DES基础上发展起来的，类似三重DES，IDEA的密钥长度为128位。对称加密算法算法简单，最大优势是加密速度快，但要求通信双方在首次通信时必须通过安全的渠道协商一个共同的专用密匙。最大的问题是密匙的分发和管理非常复杂、代价高昂。另外一个缺点就是不能实现数字签名。2.非对称密匙加密非对称密匙加密又称公钥加密，需要使用一对密匙分别完成加密和解密操作，一个公开发布，是公开密匙，另外一个由用户自己秘密保存，是私用密匙。信息发送者用公开密匙加密，信息接收者则用私用密匙去解密。典型的非对称式加密算法有RSA、DSA、Diffie一Hellman、ECC(椭圆曲线加密算法)等。其中RSA密钥长度为512位。非对称加密算法由于加密钥匙是公开的，密匙的分配和管理很简单，但是加密和解密速度比对称密匙加密慢得多。通常用来加密关键性、核心的机密数据。3.单项哈希函数哈希算法，也称为单向散列函数、杂凑函数、HASH算法。它通过一个单向数学函数，将任意长度的一块数据转换为一个定长的、不可逆转的数据。这段数据通常叫做信息摘要，其实现过程通常称为压缩。算法并不保密，是公开的，其秘密就是它的“单向性”。典型的哈希算法有MD5、SHA、HMAC等。例如：任何信息经过MD5压缩之后都生成128位的信息摘要，经过SHA压缩之后都生成160位信息摘要。数字签名技术数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被别人伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名。公钥密码体制实现数字签名的基本原理很简单，假设A要发送一个电子文件给B，经过三个步骤：（1）A用其私钥加密文件，这便是签名过程；（2）A将加密的文件和未加密的文件都发送到B；（3）B用A的公钥解开A传送来的文件，将解密得到的文件与明文文件进行比较，如果二者相同就可以认为文件的确来自A，否则认为文件并非来自A，这就是签名验证过程。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。三、PKI技术（一）PKI的定义PKI是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基础设施。美国的部分学者也把提供全面安全服务的基础设施，包括软件、硬件、人和策略的集合称作PKI。但我们的理解更偏重于公开密钥技术，公开密钥技术即利用非对称算法的技术。将PKI在网络信息空间的地位与电力基础设施在工业生活中的地位进行类比非常确切。电力系统通过延伸到用户的标准插座为用户提供能源；PKI通过延伸到用户本地的接口为各种应用提供安全的服务。作为基础设施，PKI与使用PKI的应用系统是分离的，这也正是社会发展的分工所导致的，是一种先进的特征；从另一个侧面看，离开应用系统，PKI本身没有任何用处。（二）PKI的组成简单地讲，PKI是一个为实体发证的系统，它的核心是将实体的身份信息和公钥信息绑定在一起，并且利用认证机构，简称CA的签名来保证这种绑定关系不被破坏，形成一种数据结构，即数字证书。可以说PKI中最活跃的元素就是数字证书，所有安全的操作主要通过它来实现。PKI的部件包括签发这些证书的CA、登记和批准证书签署的注册机构，简称RA，以及存储和发布这些证书的数据库。PKI中还包括证书策略、证书路径等元素以及证书的使用者。所有这些都是PKI的基本组件，许多这样的基本组件有机地结合在一起就构成了PKI。PKI的组成1.终端实体（Entity）一个终端实体可以是一个终端用户、一个设备或一个进程等。因而终端实体是一个通用的术语，可以用来指代终端用户、设备或者那些身份能够由公钥证书中的主体域鉴别的实体。终端实体通常是PKI相关服务的使用者或者支持者。终端实体可以分为：（1）PKI证书的使用者；（2）终端用户或者系统，它们是PKI证书的主体。实体必须与证书绑定。例如，服务器、终端用户这些实体在成为PKI体系中的一员之前必须向PKI系统注册。2.认证机构（CA）证书和证书撤销列表的签发者，是PKI系统安全的核心。CA的主要功能是接收实体的证书请求，在确认实体的身份之后，为实体签发数字证书，该证书将实体的身份信息和公钥信息绑定在一起，绑定是通过CA的数字签名实现的。3.注册机构（RA）RA在PKI系统中是一个可选的组件，主要是完成CA的一些管理功能。在实际的PKI系统中大都具有RA这一组件，RA提供了与终端实体直接交互的物理和人员接口。4.证书撤销列表发布者（简称CRLIssuer）证书撤销列表发布者在PKI系统中也是一个可选的组件，它接受CA的授权发布CRL。5.证书资料库（CertificateRepository）证书资料库是一个通用的术语，用来指代存储证书和CRL的任何方法。它是存储证书和CRL的一个系统或者分布式的系统，提供一种向终端实体发布证书和CRL的方法。6.数字证书与密钥对数字证书就是一个公开密钥和身份信息绑在一起、用CA的私钥签名后得到的数据结构，数字证书根据其用途可以分为加密证书和签名证书。加密证书用来加密数据；签名证书用来证明身份。相应的，每个实体可能拥有两对公私密钥对：加密密钥对和签名密钥对。7.密钥管理中心（KeyManagementCenter，简称KMC）PKI系统的一个重要功能就是管理密钥对，一般而言，这些功能是CA功能的一部分，但是随着对密钥管理的重视，常常将这部分与密钥紧密相关的功能由单独的组件来完成，逐渐形成了KMC的概念。（三）数字证书数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，它提供了一种在Internet上验证用户身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。数字证书由一个权威机构——CA机构，又称为证书授权中心，可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息