網(wǎng)絡(luò)安全復(fù)習(xí)

1、信息與網(wǎng)絡(luò)安全簡介：信息安全的威脅：天然或人為，蓄意或無意，主動或被動，實體或邏輯。信息安全的基本要求：保密性，完整性，驗證性，可用性，不可否認性，訪問控制，審核安全的信息系統(tǒng)架構(gòu)：外圍層分析層法律層外部層中心層內(nèi)部層用戶身份驗證：用戶身份驗證的方式：證件驗證，生物特性驗證，密碼驗證。生物特性驗證的相關(guān)指標：1. 錯誤接收率2. 錯誤拒絕率3. 活體驗證功能4. 驗證時間密碼的安全威脅：1. 字典攻擊法 2.猜測攻擊法 3.窮舉攻擊法 4.重放攻擊法 5.電子欺騙法各種密碼技術(shù)：1. 直接存儲法直接存儲法是將用戶名及密碼對照表直接存儲到文件中。簡單容易實現(xiàn)，但用戶密碼不易保護。2. 單向函數(shù)法

2、用單向函數(shù)將用戶密碼加密，然后存儲到用戶名及密碼對照表中。單向函數(shù)雖然可避免系統(tǒng)管理員獲得用戶密碼，但此密碼表還要加以保護，以便不被黑客插入新的數(shù)據(jù)。3. 密碼加密法將密碼以參數(shù)k做加密處理，而k是隱藏在系統(tǒng)內(nèi)部的，只有制造商才知道的密鑰。密碼加密法雖可以避免密碼對照表被竊取而導(dǎo)致用戶的密碼曝光，但假如很湊巧地兩位用戶所選密碼一樣，則雖沒有系統(tǒng)密鑰k,也可以得到正確的密碼。4. 密碼加鹽法為了避免用戶隨機選擇密碼，而被黑客以字典攻擊法破解，可在密碼上加上鹽，使密碼不是有意義的單詞。5. 時戳法為了解決重放攻擊，將本地時間與用戶名加密碼一起發(fā)向?qū)Χ?，在合理的時間差內(nèi)且用戶名與密碼正確的情況下才能

3、通過認證。認證方與被認證方的時間必須同步。6. 隨機法為了解決重放攻擊，認證方會要求認證的被認證方發(fā)送一串字符串，而被認證方將這一串字符串與用戶名與密碼一起發(fā)送給認證方，只有在字符串配置，用戶名與密碼正確的情況下才會通過認證。用戶設(shè)備的認證：直接驗證法，回調(diào)法，憑證法。操作系統(tǒng)安全：計算機操作系統(tǒng)面臨的安全威脅：1.非法用戶的入侵及訪問2.合法用戶蓄意的破壞及泄密3.惡意的軟件4.服務(wù)器程序攻擊計算機病毒類型：1.啟動磁區(qū)型病毒2.可執(zhí)行文件病毒3.宏病毒4.計算機蠕蟲5.特洛伊木馬6.邏輯炸彈7.暗門8.薩拉米香腸操作系統(tǒng)的安全模式：1. 任意性安全模式任意性安全模式就是用戶對自己所擁有的文

4、件及其他周邊設(shè)備資源，可自行決定是否提供或授權(quán)其他人來訪問。這種方式容易導(dǎo)致權(quán)限授權(quán)泛濫而難以控制。2. 強制性安全模式由系統(tǒng)統(tǒng)一決定被訪問的策略，首先系統(tǒng)管理員對系統(tǒng)中所有資源依其安全特性分成不同的機密等級，再將用戶分為不同的等級并授予不同的訪問權(quán)限?！敖雇献x，禁止往下寫”3. 以角色為基礎(chǔ)的安全模式每一個人可能被同時授予多個角色，每一個角色依據(jù)其工作的權(quán)責也可能由多個人來擔任，并且授予每一個角色用來完成其任務(wù)的權(quán)限。密碼系統(tǒng)：古代密碼系統(tǒng)：簡單替代法，編碼法，同音異字替代法，多字母替代法，多圖替代法，旋轉(zhuǎn)機。DES （Data Encryption Standard)數(shù)據(jù)加密標準，是一

5、種基于塊的密碼系統(tǒng)，DES一般采用秘密密鑰長度僅需要56位，但會插入校驗位將密鑰擴展到64位，現(xiàn)在也有3DES，秘密密鑰長度到168位。AES(Advanced Encryption Standard)新一代加密標準，RIJNDAEL密碼系統(tǒng)公開密鑰密碼系統(tǒng)公開密鑰密碼系統(tǒng)的基本概念是每個人均有兩把密鑰，一把公開給所有的人都知道，稱為公開密鑰（加密密鑰），另一把是私密密鑰（解密密鑰）。公開密鑰密碼系統(tǒng)除了可以用來加密以確保信息的機密性外，還可以用作數(shù)字簽名。數(shù)字簽名的主要功能有：驗證性：可驗證文件來源的合法性，而非經(jīng)他人偽造。完整性：可確保文件內(nèi)容不會被修改。不可否認性：簽名者事后無法否認簽署

6、過此文件。訪問控制矩陣和訪問列表法PlayFair密碼系統(tǒng)加密算法RSA公開密鑰密碼機制：RSA的加密系統(tǒng)可以分為3個部分，即用戶密鑰的產(chǎn)生，加密算法及解密算法。1. 用戶密鑰的產(chǎn)生。 a.首先找出兩個大質(zhì)數(shù)，p和q. b.計算N=p*q,及 (N)=(p-1)(q-1) c.找出一個與(N)互質(zhì)的數(shù)e,此(e,N)為該用戶的公開密鑰。 d.計算出該用戶的私密密鑰d,使e*dmod(N)=1.2. 加密算法。C=Me mod N3. 解密算法。M=Cd mod NELGamal公開密鑰密碼系統(tǒng)ELGamal是一種基于解離散對數(shù)困難度的公開密碼系統(tǒng)，它與RSA密碼系統(tǒng)最大的差異是RSA密碼系統(tǒng)中

7、相同明文會產(chǎn)生相同的官方，但ELGamal密碼系統(tǒng)中相同明文會產(chǎn)生不同密文。單向哈希函數(shù)單向哈希函數(shù)的功能：1.將文件信息打散和重組，使其不能再還原為原始文件信息。2.將任意長度的文件信息壓縮成固定長度的信息摘要。MD5：MD5可以將一個任意長度的文件信息壓縮成長度固定為128位的信息摘要。SHA：SHA可以將一個任意長度的文件信息數(shù)據(jù)壓縮成只有160位的信息摘要。文件信息來源驗證：1. 對稱式密碼系統(tǒng)的信息驗證機制。2. 公開密鑰密碼系統(tǒng)的信息驗證機制。3. 密鑰依賴單向哈希函數(shù)的信息驗證機制，又叫文件信息驗證碼（Message Authentication Code，MAC)：驗證文件信息

8、的來源，即保證了驗證性和完整性，但不保證不可否認性。密鑰管理和認證中心：密鑰管理和認證中心公開密鑰管理的核心：用戶如何證明自己與公開密鑰間的關(guān)聯(lián)。認證中心所提供的功能：1. 產(chǎn)生及更新數(shù)字憑證，CA將每個用戶的身份及公開密鑰簽署成一個數(shù)字憑證。2. 分發(fā)及管理數(shù)字憑證。3. 數(shù)字憑證的注銷與恢復(fù)。4. 存儲數(shù)字憑證。5. 公布及傳送數(shù)字憑證注銷列表（Certificate Revocation List，CRL。）6. 數(shù)字憑證的查詢及分送憑證管理的數(shù)據(jù)。數(shù)字憑證主要內(nèi)容包含了持有者的個人身份信息及其公開密鑰，然后用發(fā)行CA的私鑰對這些信息簽名。（數(shù)字憑證=憑證的簽名+憑證的內(nèi)容）數(shù)字憑證的作

9、用：加解密及簽名的使用，網(wǎng)絡(luò)用戶的身份驗證。認證中心的操作流程：認證中心的組成：CA（Certificate Authority）認證中心，DS（Directory Service)目錄服務(wù)，RA（Registry Agent)注冊代理。DS是存放數(shù)字憑證的地方，RA幫助CA審查申請者身份，以降低CA負擔，并可以代理用戶向CA申請登記注冊。數(shù)字憑證的申請：1. 用戶先傳送自己的公開密鑰到RA，RA驗證用戶身份，并代用戶向CA申請憑證。2. RA傳送公開密鑰到CA。3. CA對此公開密鑰及用戶信息做簽名，產(chǎn)生一個數(shù)字憑證。4. CA傳送憑證到RA。5. 用戶從RA獲得其憑證。6. CA傳送此憑證

10、到DS。7. 用戶可以向DS確認其憑證。數(shù)字憑證的產(chǎn)生和使用：1. 請求憑證：申請人提供相關(guān)文件，來證明其身份，并連同產(chǎn)生的公開密鑰一起發(fā)送給認證中心。2. 產(chǎn)生數(shù)字憑證：認證中心驗證申請者身份及所產(chǎn)生的公開密鑰無誤后，便利用其私密密鑰對申請者的個人身份數(shù)據(jù)及其公開密鑰一起做簽名（先將內(nèi)容經(jīng)哈希函數(shù)運算后得到一個信息摘要，后將信息摘要進行數(shù)字簽名）。3. 傳回數(shù)字憑證：認證中心將產(chǎn)生的數(shù)字憑證交給該申請者。4. 驗證及存儲數(shù)字憑證：申請者收到數(shù)字憑證后，先利用認證中心的公開密鑰來驗證此憑證是否正確，并保留其憑證。5. 提供數(shù)字憑證以表明身份：當雙方要進行通信時，可提供數(shù)字憑證給對方，以證明自己

11、的身份及其公平密鑰。6. 驗證數(shù)字憑證：利用認證中心的公開密鑰來驗證所接收到的憑證，以確認對方的身份及公開密鑰是否正確。認證中心確認申請者的身份及其所選擇的密鑰正確性后，便將數(shù)據(jù)經(jīng)哈希運算后得到信息摘要，然后再對所得的信息摘要用其私密密鑰做簽名。數(shù)字憑證的驗證：1. 先將憑證內(nèi)容經(jīng)哈希函數(shù)運算后得到一個信息摘要，2. 再將此憑證的數(shù)字簽名，利用認證中心的公開密鑰做運算后，可得到另一個信息摘要。3. 最后比較兩個信息摘要是否相同。若相同，則可以確認憑證中心的公開密鑰確實為此人所有，且憑證的內(nèi)容正確無誤，之后便可利用此公開密鑰來進行加密或簽名。數(shù)字憑證的注銷1. 用戶傳送注銷的信息到RA。2. R

12、A會傳送此注銷信息給CA。3. CA將此注銷憑證新增至憑證注銷列表中，并將此列表發(fā)送到DS。4. 用戶可以到DS查詢憑證注銷列表，以確認是否注銷成功。多媒體的安全：圖像壓縮的三種方式：1. 存儲一個圖像時只記錄其MSB，將其LSB全部設(shè)為0。2. 先通過離散余弦變換將數(shù)字圖像數(shù)據(jù)變換至頻率域，然后再將變換后的系數(shù)進行壓縮。3. 先通過小波變換將數(shù)字圖像數(shù)據(jù)變換至頻率域，然后再將變換后的系數(shù)進行壓縮。信息隱藏：讓一份機密數(shù)字經(jīng)過加密后，變成另一段有意義的信息而不是亂碼，就可以騙過敵人達到傳遞機密數(shù)據(jù)的目的。信息隱藏的方法：1. LSB藏入法2. 離散余弦變換藏入法3. 小波變換藏入法數(shù)字水?。簲?shù)

13、字水印技術(shù)可以視為媒體的數(shù)字簽名，它是將代表創(chuàng)作者的標記加入所創(chuàng)作的作品中。數(shù)字水印分為可視水印與不可視水印。圖像的完整性驗證：1. 水印驗證法2. 數(shù)字簽名法3. 藏入數(shù)字簽名法視覺密碼學(xué)：一種圖像機密的分享機制，其特色是解密時完全不需要任何計算，只要將事先設(shè)計好的偽裝圖像疊合在一起，機密信息就會顯現(xiàn)出來。網(wǎng)絡(luò)通信協(xié)議安全：3個著名的安全電子郵件系統(tǒng)：PGP（Pretty Good Privacy),PEM(Privacy Enhanced Mail)及S/MIME(Secure Multipurpose Internet Mail Extensions)PGP的功能：數(shù)字簽名，信息加密，數(shù)

14、據(jù)壓縮，電子郵件的兼容性，分段。PGP的數(shù)字簽名過程：1. 用戶A建立一封E-mail信件信息M2. 使用一個哈希函數(shù)將信息M轉(zhuǎn)換成一個固定長度的信息摘要。3. 用戶A利用自己的私密密鑰，將剛才產(chǎn)生的信息摘要加密。（簽名）4. 將產(chǎn)生的簽名與信息M連接起來，再壓縮處理并傳遞給用戶B。5. 用戶B收到后，先解壓縮，得到簽名與信息M。6. 利用用戶A的公開密鑰來解簽名，得到信息摘要。7. 用戶B將收到的信息M通過哈希函數(shù)算出信息摘要，再與解簽名得到的值比較，以驗證信息M是否由用戶A傳送過來的。SSL（Secure Socket Layer）：主要功能是建立起瀏覽器與Web服務(wù)器之間數(shù)據(jù)傳遞的安全通

15、道。SSL提供的安全服務(wù)：機密性（DES），完整性（MD5或SHA-1)，驗證性（RSA,配合x.509)SSL協(xié)議主要分為SSL記錄協(xié)議(SSL Record Protocol)和SSL握手協(xié)議(SSL Handshake Protocol)。SSL記錄協(xié)議提供數(shù)據(jù)保密性及完整性兩種服務(wù)，SSL握手協(xié)議則提供用戶與服務(wù)器間的身份驗證機制。SSL運作過程：1. SSL記錄協(xié)議 (1)分段：將數(shù)據(jù)分解成許多區(qū)段。 (2)壓縮：可選擇是否對區(qū)塊進行壓縮。 (3)附加信息驗證碼：為確保數(shù)據(jù)完整性，在每個區(qū)段后面附加一個信息驗證碼。 (4)加密：利用對稱式的加密方法，來壓縮區(qū)塊及信息驗證碼一起加密。

16、(5)附加SSL記錄報頭：將加密過的區(qū)塊前面附加SSL記錄報頭。2. SSL握手協(xié)議 (1)建立安全機制 (2)服務(wù)器端確認及密鑰交換 (3)客戶端確認與密鑰交換（4）完成IPSecIPsecc提供以下3種安全服務(wù)：確認性，機密性，密鑰管理。網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全威脅分類：1.截斷：破壞系統(tǒng)使之不能正常及有效使用。2.竊?。何唇?jīng)授權(quán)的團體或個人竊聽不該知道的機密數(shù)據(jù)。3.篡改：不法之徒未經(jīng)許可篡改數(shù)據(jù)。4.偽造：不法之徒在網(wǎng)絡(luò)上傳送假情報。防火墻的種類：1.包過濾防火墻：利用過濾封包的方式來判定該封包是否得以進入內(nèi)部網(wǎng)絡(luò)。判定的準則是依據(jù)管理者所制訂的安全策略，逐一檢查網(wǎng)絡(luò)封包報關(guān)內(nèi)的數(shù)據(jù)是否符合

17、管理者所制訂的安全策略。2.狀態(tài)檢測防火墻：它不僅檢查封包的報關(guān)內(nèi)容，而且會檢查封包傳送的前后關(guān)聯(lián)性。3.應(yīng)用層網(wǎng)關(guān)：應(yīng)用層網(wǎng)關(guān)防火墻針對每一種不同的應(yīng)用層網(wǎng)絡(luò)協(xié)議利用代理程序來模擬網(wǎng)絡(luò)連接的來源和目的端。4.網(wǎng)絡(luò)地址轉(zhuǎn)換：網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻主要功能是將內(nèi)部網(wǎng)絡(luò)服務(wù)器的主要位置隱藏起來，以避免成為黑客下手攻擊的目標。防火墻的架構(gòu)：1. 單接口防御主機架構(gòu)2. 雙接口防御主機架構(gòu)3. 屏蔽式子網(wǎng)絡(luò)架構(gòu)入侵檢測系統(tǒng)：根據(jù)用戶的行為來判斷其目前所做的行為是否異常，若符合異常行為或是入侵模式時，系統(tǒng)會發(fā)出警告信息通告系統(tǒng)管理員，或采取進一步的應(yīng)對措施。常見的入侵檢測系統(tǒng)：1.異常行為入侵檢測：是一種負

18、面行為模式的偵測技術(shù)，偵測異常行為的方式是以用戶過去行為模式的統(tǒng)計數(shù)據(jù)為依據(jù)，若與正常的行為模式相差過大，則視為異常行為并加以回應(yīng)。2.錯誤行為入侵檢測：是一種正面行為模式的偵測技術(shù)，它將已知的任何一種攻擊行為加以記錄，系統(tǒng)再以網(wǎng)絡(luò)上的行為活動與之比較，以判定是否屬于類似的攻擊行為。入侵檢測系統(tǒng)的架構(gòu)：1. 主機端的入侵檢測系統(tǒng)：內(nèi)部網(wǎng)絡(luò)的每一臺主機都架設(shè)套入侵檢測系統(tǒng)。2. 網(wǎng)絡(luò)端的入侵檢測系統(tǒng)：入侵檢測系統(tǒng)架構(gòu)在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的通道上。數(shù)據(jù)庫安全：數(shù)據(jù)庫與文件的差異：1. 數(shù)據(jù)庫是由數(shù)據(jù)庫管理系統(tǒng)操作，維護及管理，而文件則是由操作系統(tǒng)管理。2. 數(shù)據(jù)庫安全比操作系統(tǒng)安全在處理對象上更具有彈性且細微。3. 數(shù)據(jù)庫比文件更經(jīng)常被訪問及更新。4. 數(shù)據(jù)庫的訪問經(jīng)常須同時關(guān)聯(lián)到多個關(guān)聯(lián)表，而文件的訪問則同一時間僅處理一個文件。數(shù)據(jù)庫管理系統(tǒng)的安全威脅：1. 數(shù)據(jù)庫內(nèi)機密數(shù)據(jù)被非法竊取。2. 數(shù)據(jù)庫內(nèi)數(shù)據(jù)被非法者篡改及偽造。3. 數(shù)據(jù)