《2022年2022年河南理工大学网络信息安全复习总结 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年河南理工大学网络信息安全复习总结 .pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全复习大纲第一章 网络信息安全综述1 信息安全的概念为了防止未经授权就对知识、实事、数据或能力进行使用、滥用、修改、破坏、拒绝使用或使信息被非法系统辨识、控制而采取的措施。网络信息安全:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。2 信息安全的目标有的认为是机密性完整性 抗否认性可用性通常强调所谓 CIA 三元组的目标,即保密性、完整性和可用性。3 信息安全的研究内容信息安全基础研究内容主要包括密码学研究和网络信息安全基础理论研究信息安全应用研究内容主要包括安全技术研究和平台安全研究信息安全管理研究内容主要
2、包括安全策略研究安全标准研究安全测评研究4 安全隐患类型a)硬件的安全隐患;b)操作系统安全隐患;c)网络协议的安全隐患;d)数据库系统安全隐患;e)计算机病毒;f)管理疏漏,内部作案。5 安全体系结构(三维立体框架)(理解分层功能安全手段作用)第二章 分组密码体制1 密码学的概念密:码学是研究如何实现秘密通信的科学,包括密码编码学和密码分析学。2 密码学的发展1)古典密码:包括代换加密、置换加密。2)对称密钥密码:包括DES 和 AES。3)公开密钥密码:包括RSA、背包密码、McEliece 密码、Rabin、椭圆曲线、EIGamal D_H 等。3 密码学模型 对称加密非对称加密分组密码
3、流密码(对称密码11 页图 2-1 非对称密码12页图 2-2 分组密码 16 页图 2-4 流密码 36 页图 2-21 图 2-22)名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 11 页 -4 计算机网络加密技术(链路加密、节点加密和端到端加密)1 链路加密不但要加密报文,还要加密报头。要传输到下一个节点必须解密再加密,直到到达目的节点。2)节点加密在传输中的节点设置一个加、解密保护装置完成密钥转换。除保护装置外不出现明文。3)端到端加密在发送、接收端才加、解密,中间节点不解密。5 古典加密方法(凯撒和维吉尼亚算法)恺撒密码就是单表代换密码置换限制为移位,所以这类密码又称
4、为移位密码密钥移位固定多表代换密码就是用一系列的不同置换代换明文中的字母。也就是在不同字母位置使用不同的替换规则维吉尼亚(Vigenere)密码密钥移位周期固定6 原理(主要采用的两种机制:混淆和扩散香农)扩散就是让明文中的每一位影响密文中的许多位,或者说让密文中的每一位受明文中的许多位的影响混淆就是将密文与密钥之间的统计关系变得尽可能复杂。7 分组密码的两种结构的特点及原理(先对明文消息分组,再逐组加密,称为分组密码分组密码将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。)Feistel 网络结构,每轮处理一半数据,加解密相似例如:DES SP网络结构SP结构是
5、 Feistel 结构的推广,结构更加清晰,S(混淆层)是子密钥控制下的代换,P(扩散层)是置换,每轮处理完整数据,加解密不相似,是一种重要的结构例如:AES 8 DES 的基本原理及应用密文分组:64 bit 明文分组:64 bit 密钥:64 bit,其中 8bit 为校验位,实际56 bit 轮数:16 轮(圈)加密函数:直接异或,8 个 6-4 S 盒。9 流密码相关概念对称密码体制中对明文按字符逐位加密,称为流密码或序列密码第三章 单向散列函数1 单向散列函数概念散列函数(又称 hash函数,杂凑函数)是将任意长度的输入消息M 映射成一个固定长度散列值h 的特殊函数特性及用途哈希函数
6、除了可用于数字签名方案之外,还可用于其它方面,诸如消息的完整性检测(一般哈希函数)、消息的起源认证检测(密码哈希函数)等。2 常用散列算法(MD5、SHA-1)的基本模型P40 页 43 页3 消息认证码MAC 的概念及用途。消息认证码(MAC),是与密钥相关的的单向散列函数,也称为消息鉴别码或是消息校验和。MAC 可为拥有共享密钥的通信双方验证消息的完整性,也可被单个用户用来验证文件是否被改动。消息认证码消息Hash 函数消息摘要公开信道认证码消息Hash 函数消息摘要相等认证有效认证无效密钥 K接收方发送方否是密钥 K名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 11 页
7、-第四章公钥密码体制1 公钥密码体制的基本思想和原理(陷门单向函数和数学复杂性理论)每个用户都有一对预先选定的密钥:一个是公钥,以k1 表示,用于加密另一个是私钥,以k2 表示,用于解密公钥 k1 是公开的,任何人都可以得到,私钥是其拥有者自己保存。陷门单向函数:如果已知K,由 c 计算m 是不容易的,但如果知道陷门秘密d(K),由 c 就能容易的得到m。所以单向函数不能用作加密,可以用陷门单向函数来解释公钥密码系统。公钥密码用于保密性和数字签名的方法2 理解公钥密码用于保密性和数字签名的方法(详见课件)3 RSA 方法的原理及简单应用1RSA 加密算法的过程2 取两个随机大素数p 和 q(保
8、密)3 计算公开的模数n=p*q(公开)4(n)=(p-1)*(q-1)(保密),丢弃 p 和 q,不要让任何人知道。5 随机选取整数e,满足gcd(e,(n)=1(公开 e 加密密钥)6 计算 d 满足 de1(mod(n)(保密 d 解密密钥)7 加密:将明文x(按模为r 自乘 e 次幂以完成加密操作,从而产生密文y(X、Y 值在 0 到n-1 范围内)。Y=xe mod n 8 解密:将密文y 按模为 n 自乘 d 次幂。X=Yd mod n 4 了解其他公钥密码体制;背包体制1978 年提出5 年后被Shamir 破解ElGamal 体制1985年基于有限域上计算离散对数难解性,已用于
9、 DSS(数字签名标准)例:3x mod 17=5,解得:x=6 3x mod 13=7,无解椭圆曲线体制(ECC)1985 年基于离散对数优点:安全性高;密钥短;灵活性好。5 掌握数字签名的概念、特性及签名过程,结合实例理解应用。了解数字签名分类。数字签名是信息发送者使用公开密钥算法技术,产生别人无法伪造的一段数字串。特性:签名是可信的:任何人都可以方便地验证签名的有效性。加密变换C=Ek(m)明文 m发送者 A信息传送信道密文 c解密变换m=Dk(c)明文 m接收者 B公开密钥 k加密解密加密器解密器私有密钥 k名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 11 页 -签名
10、是不可伪造的:除了合法的签名者之外,任何其他人伪造其签名是困难的。这种困难性指实现时计算上是不可行的。签名是不可复制的:对一个消息的签名不能通过复制变为另一个消息的签名。如果一个消息的签名是从别处复制的,则任何人都可以发现消息与签名之间的不一致性,从而可以拒绝签名的消息。通过增加时间戳实现。(签名的过程)签名的分类:群签名(群数字签名)盲签名(盲数字签名)双重签名签名与加密签名提供真实性(authentication)先签名,后加密加密提供保密性(confidentiality)先加密,后签名:“签名+加密”提供“真实性+保密性”第五章密钥管理技术1 掌握 PKI 的概念及组成PKI(Publ
11、ic Key Infrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI 是经过多年研究形成的一套完整的Internet 安全解决方案。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI 平台提供的服务进行安全通信PKI 系统由五个部分组成:认证中心 CA,注册机构RA、证书库CR、证书申请者、证书信任方。前三部分是PKI 的核心,证书申请者和证书信任方则是利用PKI 进行网上交易的参与者。2 数字证书的概念一段包括用户身份信息、用户公钥信息以
12、及身份验证机构数字签名的数据一个经证书认证中心(CA)签名的包括公钥拥有者信息及公钥信息的文件消息Hash函消息摘要发 方A 相收 方B 加密算法私钥 A 签名消息加密的消息摘要签名消息Hash函消息摘要解密算法公钥 A 签名有效y 签名无效n 名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 11 页 -3 CA 的功能CA 系统的主要功能是对证书进行管理,包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。权威、可信、第三方机构,为认证需求提供数字证书相关服务。4 密钥生命周期的含义密钥产生证书签发密钥使用证书检验密钥过期密钥更新密钥产生结合实验理解证书的使用及用途。第六章
13、信息隐藏技术1掌握信息隐藏的概念及应用信息隐藏是利用载体信息的冗余性,将秘密信息隐藏在普通信息之中,通过发布普通信息将秘密信息发布出去。掩盖信息存在的事实应用:数据保密防止信息被截获数据的不可抵赖性电子商务、数字水印技术数据的完整性防篡改数字作品的版权保护是数字水印技术的一种重要应用防伪票据的防伪,数字票据可打印、可扫描2数字水印的概念数字水印是永久镶嵌在其他数据(宿主数据)中具有可鉴别性的数字信号或模式,并且不影响宿主数据的可用性3数字水印不等同于信息隐藏,概念有区别数字水印注重水印,用于版权保护,可公开信息隐藏注重隐藏,不可见/不可察觉,要保密第七章认证技术与访问控制1掌握报文认证的主要内
14、容报文认证,是指两个通信者之间建立通信联系后,每个通信者对收到的信息进行验证,以保证所收到的信息是真实的过程。报文源的认证;报文内容的认证;报文时间性的认证2掌握身份认证的概念及身份认证技术(生物特征和零知识证明)、身份认证是指用户的真实身份与其所声称的身份是否相符的过程。包括:识别、验证生物特征指纹、虹膜和视网膜、DNA 零知识证明交互式、非交互式交互式零知识证明是由规定轮数组成的一个“挑战-应答”协议。非交互式证明者P 公布一些不包括他本人任何信息的秘密消息,却能够让任何人相信这个秘密消名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 11 页 -息3掌握 PPP 协议使用的认
15、证机制及AAA 认证的含义;PPP提供的身份认证方法,包括:密码认证协议(PAP);挑战握手认证协议(CHAP);扩展认证协议(EAP)AAA 指的是认证(Authentication)、授权(Authorization)和审计(Accounting),简称 AAA。认证指用户在使用网络系统中的资源时对用户身份的确认。授权是网络系统授权用户以特定的方式使用其资源。审计是网络系统收集、记录用户对网络资源的使用。4掌握访问控制概念、三要素,理解不同类型的访问控制模型的特点(DAC、MAC、RBAC)。访问控制(Access Control)是对信息系统资源的访问范围以及方式进行限制的策略。简单地说
16、,就是防止合法用户的非法操作。三要素 主体客体访问控制策略MAC 是一种多级访问控制策略,数据所有者无权决定文件的访问权限,权限由操作系统决定,可能覆盖所有者MAC 对访问主体和受控对象标识两个安全标记:一个是具有偏序关系的安全等级标记;另一个是非等级分类标记自主访问控制(DAC)配置的粒度小配置的工作量大,效率低强制访问控制(MAC)配置的粒度大缺乏灵活性RBAC(基于角色访问控制)模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。访问控制是由各个用户在部门中所担任的角色来确定。第八章入侵检测技术1掌握入侵检测的概念、了解入侵常用的手段和方法入侵
17、检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵的方法和手段端口扫描与漏洞攻击密码攻击网络监听拒绝服务攻击缓冲区溢出攻击欺骗攻击2入侵检测的实现方式(基于主机的HIDS 和基于网络的NIDS)的特点、掌握入侵检测方法和步骤入侵检测分类;名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 11 页 -主机 IDS:运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行
18、上报和处理。主要用于保护运行关键应用的服务器。通过监视与分析主机的审计记录和日志文件来检测入侵。主机 IDS 优势(1)精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况。(3)能够检测到NIDS 无法检测的攻击。(4)适用加密的和交换的环境。(5)不需要额外的硬件设备。网络 IDS 是网络上的一个监听设备(或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。网络 IDS 优势(1)实时分析网络数据,检测网络系统的非法行为;(2
19、)网络 IDS 系统单独架设,不占用其它计算机系统的任何资源;(3)网络 IDS 系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;(4)既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;(5)通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担3、两种实现方式的比较:1)如果攻击不经过网络则NIDS 无法检测到,只能通过HIDS 来检测;2)基于 NIDS 通过检查所有的包头来进行检测,而HIDS 并不查看包头。HIDS 往往不能识别基于IP 的拒绝服务攻击和碎片攻击;3)NIDS 可以研究数据包的
20、内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS 迅速识别;而HIDS 无法看到负载,因此也无法识别嵌入式的数据包攻击。常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。由此也划分了 入侵检测的三个基本步骤:信息收集数据分析响应入侵检测的分类按系统分析的数据源分类基于主机、基于网络、混合式按体系结构分类集中式、层次式、分布式按分析方法分类异常、误用(漏报率?误报率?)按响应方式分类主动的、被动的信息源信息采集数据预处理检测模型安全策略响应处理名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 11 页 -3掌握公共入侵检测框架CIDF 的组
21、成及工作原理;了解入侵检测系统的应用实例。事件产生器(Eventgenerators),用 E 盒表示;事件分析器(Eventanalyzers),用 A 盒表示;响应单元(Responseunits),用 R 盒表示;事件数据库(Eventdatabases),用 D 盒表示。(原理和实例可参考课件和课本)蜜网陷阱系统Honeynet 第九章防火墙技术1掌握防火墙的概念、分类、功能防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统,是架设在用户内部网络和外部公共网络之间的屏障,提供两个网络之间的单点防御,对其中的一个网络提供安全保护。网络防火墙:在可信和不可信网络间设置的保护装置,用
22、于保护内部资源免遭非法入侵。防火墙的分类从软、硬件形式上可以把防火墙分为如下3 类:软件防火墙硬件防火墙芯片级防火墙按照防火墙在网络协议栈进行过滤的层次不同,可以把防火墙分为如下3 类:包过滤防火墙,工作在网络层电路级网关防火墙,工作在会话层应用层网关防火墙,代理服务器型按照防火墙在网络中的应用部署位置,可以将防火墙分为如下3 类:边界防火墙个人防火墙混合防火墙防火墙的功能:(1)Internet 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络。(2)在防火墙上可以很方便地监视网络的安全性,并产生报警。(3)防火墙可以作为部署网络地址转换的逻辑地址。(4)防火墙是审计和记
23、录Internet 使用量的一个最佳地方。(5)防火墙也可以成为向客户发布信息的地点。掌握防火墙的设计原则及应用,通过实验更进一步理解规则制定的方式方法;1)防火墙的安全策略 拒绝没有特别允许的任何事情(No 规则)名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 11 页 -假定防火墙应该阻塞所有的信息,只允许符合开放规则的信息进出。允许没有特别拒绝的任何事情(Yes 规则)假定防火墙只禁止符合屏蔽规则的信息,而转发所有其他的信息。2掌握防火墙的主要实现技术(包过滤和代理服务器);包过滤型防火墙1.工作原理包过滤器一般安装在路由器上,工作在网络层(IP)。基于单个包实施网络控制,
24、根据所收到的数据包的源地址、目的地址等参数与访问控制表比较来实施信息过滤。一般容许内网主机直接访问外网,而外网主机对内网的访问则要受到限制。代理服务器型防火墙1.工作原理在防火墙主机上运行代理服务进程,通过该进程代理用户完成TCP/IP 功能。针对不同的应用均有相应的代理服务。外网和内网连接必须通过代理服务器中转。代理服务可以实施用户论证、详细日志等功能和对具体协议及应用的过滤。3了解防火墙的部署及应用。(应用)1DMZ 网络 2.虚拟专用网3.分布式防火墙(部署详见课件)第十章漏洞扫描技术1理解网络扫描策略、安全漏洞类型(配置漏洞、设计漏洞和实现漏洞)、扫描技术实现原理及分类扫描分成两种策略
25、:被动式策略和主动式策略主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏,而主动式扫描对系统进行模拟攻击,可能会对系统造成破坏。1)配置漏洞配置漏洞是由于软件的默认配置或者不恰当的配置导致的安全漏洞。(2)设计漏洞设计漏洞主要指软件、硬件和固件设计方面的安全漏洞。(3)实现漏洞实现漏洞主要由软件、硬件和固件的实现错误引起的安全漏洞。如缓冲区溢出漏洞。两类漏洞扫描技术主机漏洞扫描网络扫描2结合常用漏扫工具进一步认
26、识漏扫的作用。常见扫描工具1、nmap2、Internet Scanner3、nessus(详见课件及实验)第十一章网络安全协议1 掌握网络安全协议的概念及常用的高层安全协议;安全协议(Security protocol,又称密码协议,Cryptographic protocol)。安全协议是建立在密名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 11 页 -码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标2 掌握 IPSec 的组成及协议的两种工作模式(传输模式和隧道模式);IPSec协议 网络层IPSec 保护涉及的主要组件安全协议安全关联数
27、据库(Security associations database,SAD)密钥管理安全机制安全策略数据库(Security policy database,SPD)传输模式IPSec 主要对上层协议提供保护,通常用于两个主机之间端到端的通信。隧道模式IPSec 提供对所有IP 包的保护,主要用于安全网关之间,可以在公共Internet 上构成 VPN。使用隧道模式,在防火墙之后的网络上的一组主机可以不实现IPSec 而参加安全通信。局域网边界的防火墙或安全路由器上的IPSec软件会建立隧道模式SA,主机产生的未保护的包通过隧道连到外部网络。3 了解 SSL 的体系结构及应用SSL 的应用实例
28、-为 IIS 配置 SSL 加密以 Windows Server 2003(简称 Windows 2003)系统为例,介绍如何在IIS6 服务器中应用SSL安全加密机制功能。生成证书请求文件申请 IIS 网站证书安装证书服务颁发 IIS 网站证书(SSL 体系结构)导入 IIS 网站证书配置 IIS 服务器4 理解应用层安全协议SET、PGP、S/MIME的基本原理及用途。SET(Secure Electronic Transaction,安全电子交易)是一种安全交易协议,S/MIME、PGP是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务SET
29、主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET 中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。物理层链路层网络层传输层会话层表示层应用层OSI 协议层加密/安全技术安全协议信道加密PPTP/L2TPIPSecSSL/TLS信源加密SOCKS应用相关应用程序网关/保密网关静态包过滤动态包过滤握手协议修改密文协议报警协议SSL记录协议TCPIP名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 11 页 -PGP(Pretty Good Privacy)对电子邮
30、件提供安全服务的协议,通过加密、签名和认证来保护邮件内容的保密性、完整性和抗抵赖性,源代码是免费的。S/MIME(Secure Multipurpose Internet Mail Extensions,多用途网际邮件扩充协议)。S/MIME已被用于Microsoft 和 Netscape 最新版本的网络浏览器,并赢得了其它制造信息产品的厂家的支持第十二章其他网络安全技术1理解 windows 操作系统安全策略(结合课件和实验),了解数据库安全的主要安全机制;数据库的主要安全机制用户标识与鉴别存取控制数据库加密推理控制2掌握计算机病毒的概念、特点、工作原理(引导型和文件型)。计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序里)当达到某种条件时即被激活的、具有对计算机资源进行破坏作用的一组程序或指令集合。主要特征如下:可执行性传染性和破坏性潜伏性隐蔽性针对性可触发性名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 11 页 -