考试范围整理信息安全Word格式.docx
《考试范围整理信息安全Word格式.docx》由会员分享,可在线阅读,更多相关《考试范围整理信息安全Word格式.docx(20页珍藏版)》请在冰豆网上搜索。
1.密码系统的组成(图2.1)
明文:
要被发送的原文消息
密码算法:
由加密和解密的数学算法组成
密文:
明文经过加密算法加密之后得到的结果
密钥:
在加密和解密过程中使用的一系列比特串
2.密码的作用:
(实现信息的保密性,完整性,不可否认性和可控性)
保密性:
消息的发送者使用密钥对消息进行加密
完整性:
密码可以保证被接收方收到的消息在传输过程中未经任何变动以保护其完整性。
不可否认性:
以向用户提供不可否认性
可控性:
利用密码技术向其他的用户或系统来证明自己的身份
3.对称加密算法DES,AES
对称密码算法运算量小,加密速度快,加密效率高,但加密前双方必须共享密钥这一性质也造成对称密码算法存在一定的问题。
用户使用对称加密算法时,需要共享密钥,使得用户所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。
用户在通信之前,需要建立连接来产生和获取密钥。
这对拥有庞大用户数量的网络的通信空间提出了很高的要求。
密钥不能被及时更换以保证信息的保密性。
消息的接收者不能检查消息在接收之前是否经过更改,数据的完整性得不到保证。
无法保证接收到的消息来自于声明的发送者,因此,发送者能够对发送行为进行否认,不可否认性得不到保证。
特征:
发送方和接收方使用相同的秘钥
4.非对称加密算法RSA的基本原理
1.DES的加密的基本原理和特点
DES算法特点:
a)分组比较短
b)密钥太短
c)密码生命周期短
d)运算速度较慢
2.对称加密存在的问题
a)密钥管理成为用户的负担
b)对拥有庞大用户数量的网络的通信空间提出了很高的要求
c)密钥不能被及时更换以保证信息的保密性
d)数据的完整性得不到保证
e)无法保证接收到的消息来自于声明的发送者
3.如何利用RSA(公钥和私钥)进行秘密通讯
n的二进制表示时所占用的位数,就是所谓的密钥长度。
e1和e2是一对相关的值,e1可以任意取,但要求e1与(p-1)*(q-1)互质;
再选择e2,要求(e2*e1)mod((p-1)*(q-1))=1。
(n,e1),(n,e2)就是密钥对。
其中(n,e1)为公钥,(n,e2)为私钥。
RSA加解密的算法完全相同,设A为明文,B为密文,则:
A=B^e1modn;
B=A^e2modn;
e1和e2可以互换使用,即:
A=B^e2modn;
B=A^e1modn;
4.描述中间人攻击,简述要怎么预防
中间人攻击:
中间人攻击是一种常见的攻击方式,攻击者从通信信道中截获数据包并对其进行修改,然后再插回信道中,从而将自己伪装成合法的通信用户。
a)检查本机的HOSTS文件,以免被攻击者加了恶意站点进去;
b)确认自己使用的DNS服务器是ISP提供的
c)依靠ARP和MAC做基础,使用交换式网络代替共享式网络,这可以降低被窃听的机率,使用静态ARP、捆绑MAC+IP等方法来限制欺骗,以及采用认证方式的连接等。
d)对于“代理中间人攻击”而言,以上方法就难以见效了,因为代理服务器本来就是一个“中间人”角色,攻击者不需要进行任何欺骗就能让受害者自己连接上来,而且代理也不涉及MAC等因素,所以一般的防范措施都不起作用。
5.数字签名和数字证书的原理
数字签名:
数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。
数字证书:
数字证书以加密解密为核心,它采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把私有密钥(即私钥,仅用户本人所知),然后用它进行解密和签名;
同时,用户设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当发送方准备发送一份保密文件时,先使用接收方的公钥对数据文件进行加密,而接收方则使用自己的私钥对接收到的加密文件进行解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
数字证书的分类:
电子邮件证书:
证明邮件发件人的真实性,不证明数字证书所有者姓名(由证书上面CN一项所标识)的真实性,只证明邮件地址的真实性
服务器证书(SSL证书):
证明服务器的身份和进行通信加密
客户端个人证书:
身份验证和数字签名
第三章认证技术
1.认证的基本概念
认证是验证某个人或系统身份的过程,就是向认证机构提供信息确认某个人或系统是否是它声称的那个人或系统。
2.认证建立的因子(whatyouknow,whatyouhave,yourself)
包含的项目。
用户所知道的:
(静态密码,password,pin)
缺点:
易破解(字典攻击,暴力攻击)。
易丢失。
用户所拥有的:
(动态口令,短信验证,USBkey,IC卡)
优点:
自带芯片,内存,基于密码算法不易破解。
易丢失,太多了。
用户本身特有的:
(生物认证)
不易遗忘或丢失,防伪性能好,不易伪造或被盗,“随身携带”,随时随地可以使用。
3.一次性口令认证
S/key
基于MD4和MD5加密算法产生,采用客户端-服务器模式
客户端负责用hash函数产生每次登陆使用的口令,服务器端负责一次性口令的验证,并支持用户密钥的安全交换。
在认证的预处理过程中,服务器将种子以明文形式发送给客户端,客户端将种子和密钥拼接在一起得到S。
然后,客户端对S进行hash运算得到一系列一次性口令。
S/Key保护认证系统不受外来的被动攻击,但是无法阻止窃听者对私有数据的访问,无法防范拦截并修改数据包的攻击,无法防范内部攻击。
Token
这种方法要求在产生口令的时候使用认证令牌。
根据令牌产生的不同,又分为两种方式:
挑战应答式和时间同步式。
1.生物认证的基本过程
2.完整的认证过程:
一个认证系统由五部分组成:
请求认证的用户或工作组,用户或工作组提供的用于认证的特征信息,认证机构,认证机制以及接受或拒绝访问系统资源的访问控制机制。
3.SSL协议
step1:
握手协议
该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。
step2:
记录协议
记录协议向SSL连接提供两个服务
(1)保密性:
使用握手协议定义的秘密密钥实现
(2)完整性:
握手协议定义了MAC,用于保证消息完整性
step3:
警报协议
客户机和服务器发现错误时,向对方发送一个警报消息。
如果是致命错误,则算法立即关闭SSL连接,双方还会先删除相关的会话号,秘密和密钥。
每个警报消息共2个字节,第1个字节表示错误类型,如果是警报,则值为1,如果是致命错误,则值为2;
第2个字节制定实际错误类型
总结
SSL中,使用握手协议协商加密和MAC算法以及保密密钥
,使用握手协议对交换的数据进行加密和签名,使用警报协议定义数据传输过程中,出现问题如何去解决。
第四章安全协议
识记:
1.安全协议在协议框架里工作的位置如下
应用层安全——S/MIME,Web安全,SET,Kerberos
传输层安全——SSL,TLS
网络层安全——IPSec,VPNs
链路层安全——PPP,RADIUS
理解:
1.上述安全协议的主要功能
S/MIME(Secure/MultipurposeInternetMailExtensions)是多用途网络邮件扩充协议(MIME)的扩充,其中加入了数字签名并对邮件内容进行了加密。
S/MIME在MIME的基础上增加了安全服务——加密和数字证书。
加密提供了三种加密算法(Diffie-Hallman,RSA,三层DES)进行会话密钥的加密,创建数字证书的时候,S/MIME会使用160位的SHA-1或MD5等Hash函数来生成消息摘要,并使用DSS或RSA对消息摘要进行加密而形成数字证书。
S/MIME提供两种安全服务:
邮件加密和数字签名。
邮件加密:
==================================================
数字签名
Web安全:
HTTPS
Web浏览器普遍将HTTP和SSL相结合,从而实现安全通信,SSL是用于解决系统之间数字证书传输问题
为Web服务提供保密性,完整性和可靠性的安全服务
◆不同之处
SSL是一个面向连接的协议(用于为两个实体之间提供认证、数据的保密性和完整性服务),而HTTP-S是一个面向无连接的协议
HTTP-S为HTTP客户机和服务器提供多种安全机制,适用于各类潜在的用户
SSL工作在会话层和传输层,而HTTPS工作在应用层
SET:
SET协议(SecureElectronicTransaction,安全电子交易协议),是为了实现更加完善的即时电子支付,在每一次交易中,SET提供了四种服务:
可靠性,保密性,信息完整性和可控性。
可靠性
指在交易过程中确保每一方身份的正确性,包括客户,商人,银行等等。
采用公钥密码体制和X.509数字证书标准。
保密性
指使用DES加密所有的交易过程,防止入侵者得到交易过程中的任何数据。
完整性
在加密信息里加入消息摘要,防止任何形式的更改。
可控性
允许交易买方在不知道附件内容的情况下也能够验证附件的正确性,这对保护内容保密性起到了重要作用。
SET协议的主要目标
防止交易信息、账户信息等被非法用户窃取
使用了一种双签名技术保证电子商务参与者信息的相互隔离
解决多方认证问题。
保证网上交易的实时性
提供一个开放式的标准,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能
提供的服务
保证客户交易信息的保密性和完整性
确保商家和客户交易行为的不可否认性
确保商家和客户的合法性
Kerberos是由麻省理工学院开发研制的一种计算机网络授权协议,用来在非安全网络中对个人通信以安全的手段进行身份认证。
软件设计上采用PKI技术和客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证,可用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
SSL(SecureSocketsLayer安全套接层)及传输层安全(TransportLayer