一、名詞解釋
入侵檢測的概念:通過對網路資訊流提取和分析發現非正常訪問模式的技術。
物理安全:保障資訊網路物理裝置不受物理損壞,或是損壞時及時修復或替換。
經典資訊保安和現代資訊保安:經典資訊保安階段主要是通過對文字的資訊進行加密變換來保護資訊;現代資訊保安階段則充分應用了計算機、通訊等現代的科學技術手段;(現代密碼理論、計算機安全、網路安全、資訊保障)。
密碼學:研究如何實現秘密通訊的科學。包括兩個分支:密碼編碼學(對資訊進行編碼實現資訊保密性的科學);密碼分析學(研究、分析、破譯密碼的科學)
加密:對需要保密的訊息進行編碼的過程稱為加密,編碼的規則稱為加密演算法,需要加密的資訊稱為明文,明文加密後的形式稱為密文。
解密:將密文恢復出明文的過程稱為解密,解密的規則稱為解密的演算法。加密演算法和解密演算法通常在一對金鑰控制下進行,分別稱為加密金鑰和解密金鑰。
密碼分析:是研究金鑰未知的情況下恢復明文的科學。通常假設攻擊者知道正在使用的密碼體制,稱為kerckhoff原則。
混淆和擴散:在擴散中,要求明文的統計結構擴散消失到密文的統計特性中,所有的分組密碼都包含明文分組到密文分組的代換,而且具體代換依賴於金鑰。混淆則是試圖使得密文的統計特性與金鑰的取值之間的關係盡量複雜。
兩者的目的都是為了挫敗推測出金鑰的嘗試,從而抗擊統計分析。
加密與解密:由於des演算法是在feistel網路結構的輸入和輸出階段分別新增初始置換ip和初始逆置換ip(逆)而構成的,所以它的解密使用與加密同樣的演算法,只是子金鑰的使用次序相反。
訊息認證碼:(mac)是在金鑰的控制下將任意長的訊息對映到乙個簡短的定長資料分組,並將它附加在訊息後。(只能提供認證而不能提供保密,也不能提供數字簽名)
雜湊函式:(又稱:雜湊函式)是對不定長的輸入產生定長輸出的一種特殊函式。 h=h(m)其中:m是變長的訊息,h=h(m)是定長的雜湊值。
數字簽名:是以電子簽名形式儲存訊息的方法,所簽名的訊息能夠在通訊網路中傳輸。
公鑰基礎設施:pki(public key infrastructure)是一種標準的金鑰管理平台,它為網路應用透明地提供加密和數字簽名等密碼服務所必需的金鑰和證書管理。
訪問控制:是在保障授權使用者能獲取所需資源的同時拒絕非授權使用者的安全機制。
攻擊:狹義:攻擊僅僅發生在入侵行為完成且入侵者已經在其目標網路中。
廣義:使網路受到入侵和破壞的所有行為都應被稱為「攻擊」。本書:
認為當入侵者試圖在目標機上「工作」的那個時刻起,攻擊就已經發生
二、填空與論述題
7.資訊保安的目標:(1)機密性:
保證資訊不被非授權訪問;即是非授權使用者及時得到資訊也無法知曉資訊內容,因而不能使用。(2)完整性:維護資訊的一致性;即資訊在生成、傳輸、儲存和使用過程中不應發生人為或者是非人為的非授權篡改。
(3)抗否認性:能保障使用者無法在事後否認曾經對資訊進行的生成、簽發、接收等行為,是針對通訊各方資訊的真實同一性的安全要求。(4)可用性:
保障資訊資源隨時可以提供服務的特性,即授權使用者根據需要可以隨時訪問所需資訊。
8.資訊保安研究內容:(1)基礎理論研究(密碼理論、安全理論包括:
身份認證(認證的特徵:知識、推理、生物等特徵;認證的可信協議和模型)和授權和訪問控制(授權:強調使用者具有什麼樣的訪問許可權,系統預先設定的並不關心使用者是否發起訪問請求;訪問控制:
對使用者訪問行為進行控制,將訪問行為控制在授權範圍內)。(2)應用技術研究。(3)安全管理研究。
9.密碼分析:是研究金鑰未知的情況下恢復明文的科學。
通常假設攻擊者知道正在使用的密碼體制,稱為kerckhoff原則。密碼分析分為以下幾種型別:(1)只有密文的攻擊。
攻擊者有一些密文,他們是使用同一加密演算法和同一金鑰加密的。(2)已知明文的攻擊。攻擊者不僅得到一些明文,而且能夠得到這些密文對應的明文。
(3)選擇明文的攻擊。攻擊者不僅得到一些密文和對應明文,而且能選擇用於加密的明文。(4)選擇密文的攻擊。
攻擊者可以選擇不同的密文來解密,並得到解密後的明文。攻擊者的目標是確定使用的金鑰或者待破譯密文所對應的明文。以上四種方式是按照強度遞增排列的,只有密文的攻擊是最容易防護的攻擊。
常見的是已知明文和選擇明文的攻擊。一般來說,密碼系統應該經得起已知明文的攻擊。(破譯乙個密碼系統的費用超過了被加密資料本身的價值,或者破譯所需的時間超過了被加密資料所需保密的時間,或者由乙個密碼系統加密的資料少於破譯該演算法所需的資料量,就可以認為這個系統是安全的)
10.設計密碼的準則:(1)破譯該密碼的成本超過被加密資訊的價值。(2)破譯該密碼的時間超過被加密資訊的生命週期。
11.對稱密碼:根據對明文加密方式的不同而分為:
分組密碼和流密碼。前者按一定長度(如:64位元組、節等)對明文進行分組,然後以組為單位進行加密、解密;後者則不進行分組,而是按位進行加密、解密。
(1)分組密碼系統對不同的組採用同樣的金鑰來進行加密、解密。(2)流密碼的基本思想是利用金鑰產生乙個金鑰流,金鑰流是由金鑰流發生器產生。(3)分組密碼與流密碼的區別就在於記憶性。
12.分組密碼體制的要求:(1)分組長度應足夠大,使得不同明文分組的個數2的n次冪足夠大,以防止明文被窮舉法攻擊。
(2)金鑰空間應足夠大,盡可能消除弱金鑰,從而使所有金鑰同等概率,以防窮舉金鑰攻擊。(3)由金鑰確定的演算法應足夠複雜,充分實現明文與密文的擴散和混淆,沒有簡單關係可循,要能抵抗各種已知的攻擊,如差分攻擊和線性攻擊等;另外,還要求有較高的非線性階數。(4)軟體實現的要求:
盡量使用適合程式設計的子塊和簡單的運算。(5)硬體實現的要求:加密和解密應具有相似性,即加密和解密過程的不同應僅僅在於金鑰的使用方式上,以便使用同樣的器件來實現加密和解密,以節省費用和體積。
盡量採用標準的元件結構。
13.混淆和擴散:在擴散中,要求明文的統計結構擴散消失到密文的統計特性中,所有的分組密碼都包含明文分組到密文分組的代換,而且具體代換依賴於金鑰。
混淆則是試圖使得密文的統計特性與金鑰的取值之間的關係盡量複雜。兩者的目的都是為了挫敗推測出金鑰的嘗試,從而抗擊統計分析。
14.加密與解密:由於des演算法是在feistel網路結構的輸入和輸出階段分別新增初始置換ip和初始逆置換ip(逆)而構成的,所以它的解密使用與加密同樣的演算法,只是子金鑰的使用次序相反。
15.公鑰密碼體制:產生背景:
對稱密碼體制的乙個缺點是:在進行保密通訊時,傳送者與接收者需要使用乙個安全的通道來建立會話金鑰。成本很高,並且依賴於信使或金鑰分配中心的可靠性,在某些情況下,甚至無法及時獲得建立會話金鑰所需的合理安全通道。
16.產生認證符的三種方法:資訊加密;訊息認證碼(mac);雜湊函式。
17.對稱金鑰體做法及製優缺點:設想傳送者a使用只有他與接受者b知道的金鑰加密資訊並傳送給接受者。
因為a是除了b以外唯一擁有金鑰的一方,而攻擊者不知道如何通過改變密文來生產明文中所期望的變化,所以,b能夠知道解密得到的明文是否被改變。這樣,對稱加密就提供了訊息認證功能。現在考慮如下情況:
給定解密函式d和金鑰k,接受者接受輸入x並產生輸出y=d(x),如果x是合法資訊m的密文,則y是資訊m的明文,否則,y將是毫無意義的二進位制位元序列。接收方需要某些自動化措施,以確定y是否是合法的明文。若m是任意位元的組合,則接受者沒有自動化方法來檢驗。
需要從所有可能的位元模式集的乙個子集中來考慮合法的資訊,任何可疑的密文不能產生合法的明文。如考慮在10的6次冪種組合中只有一種是合法的,則從中隨機選擇乙個位元組合作為密文能夠產生的合法的明文的概率是10的-6次冪。
18.公鑰加密體制加密認證:使用公開金鑰加密明文只能提供保密而不能提供認證。
任何人都可以得到公鑰,為了提供認證,傳送者用私鑰對資訊的明文進行加密,任意接受者都可以用對應的公鑰解密。採用這樣的結構既可以提供認證,也可以提供數字簽名。從效果上看傳送者已經用私鑰對資訊的明文進行了簽名。
注意:只用私鑰加密不能提供保密性。因為任何人只要擁有對應的公開金鑰,就能夠對該密文進行解密。
19.使用獨立訊息認證碼的原因:(1)一些應用要求將相同的訊息對許多終端進行廣播,而僅使用乙個終端負責訊息的認證,這種方法既經濟又實用。
負責認證的終端有相應的金鑰,並執行認證操作。如果認證不正確,其他中斷將收到它發來的警告。(2)接收方有繁重的任務,無法負擔大量的解密任務,因此僅進行有選擇的認證,對訊息進行隨機檢查。
(3)有一些應用,只關心資訊的完整性而不需要保密性。(4)認證與保密的分離能夠提供結構上的靈活性。(5)有些應用場合期望在超過接收時間後繼續延長保護期限,同時允許處理訊息的內容。
如果使用了加密,解密後保護就失效了,這樣,訊息只能在傳輸過程中得到完整性的保護,但在目標系統中卻辦不到。
20.雜湊碼:雜湊碼的不同使用方式可以提供不同要求的訊息認證。
(1)使用對稱密碼體制對附加了雜湊碼的訊息進行加密。(2)使用對稱密碼體制僅對附加的雜湊碼進行加密。(3)使用公鑰密碼體制,但傳送方的私有金鑰僅對雜湊碼進行加密。
(4)傳送者經訊息m與通訊各方共享的乙個秘密值s串接,然後計算出雜湊碼,並將雜湊碼值附加在訊息m後傳送出去。
21.數字簽名:產生背景:
訊息認證能保護通訊雙方不受第三方的攻擊,但卻無法防止通訊雙方中的一方對另一方的欺騙,除了認證之外還需要其他機制來防止通訊雙方的抵賴行為,最常見的解決方案就是數字簽名。(1)數字簽名與手寫簽名的區別: 1、簽名,手寫簽名十倍籤檔案的物理組成部分,而數字簽名不是因而需要經簽名鏈結到被籤訊息上。
2、驗證,手寫簽名與真實簽名進行比較,數字簽名利用已公開的驗證演算法來驗證。3、數字簽名訊息的複製品與其本身是一樣的,手寫簽名紙質檔案的複製品與原品是不一樣德。(2)作用:
可根據產生的背景來回答作用。(a偽造乙個訊息並使用與b共享的金鑰產生該訊息的認證碼,然後聲稱該訊息來自於b;同樣,b也可以對自己傳送給a的訊息予以否認。)
22.數字簽名滿足的條件:(1)簽名者不能否認自己的簽名;(2)接收者能夠驗證簽名,而其他任何人都不能偽造簽名;(3)當關於簽名的真偽發生爭執時,存在乙個仲裁機構或第三方能夠解決爭執。
23.加密分類:根據加密物理位置不同:
端—端加密和鏈路加密。(1)端—端加密:僅在一對使用者的通訊線路兩端進行加密。
(2)鏈路加密:每個易受攻擊的鏈路兩端都使用加密裝置進行加密。
24.密碼演算法:密碼演算法通常是公開的,因此其安全性就取決於對金鑰的保護。
金鑰生成演算法的強度、金鑰的長度、金鑰的保密和安全管理是保證系統安全的重要因素。金鑰管理的任務就是管理金鑰的產生到銷毀的全過程,包括:系統初始化、金鑰的產生、儲存、備份、恢復、裝入、分配、保護、更新、控制、丟失、吊銷和銷毀等。
網路安全網路安全
1.ipconfig 的用法 ipconfig all 顯示本機tcp ip配置的詳細資訊 ipconfig release dhcp客戶端手工釋放ip位址 ipconfig renew dhcp客戶端手工向伺服器重新整理請求 ipconfig flushdns 清除本地dns快取內容 ipconf...
《網路安全技術》課程介紹
本課程是計算機網路技術專業和資訊保安專業的專業核心課,主要講述計算機網路安全的相關內容。課程特點採用理論與實踐相結合的方式對網路安全相關知識做了深入淺出的介紹。下面從以下幾方面介紹本門課程 1 教學目標 通過本課程的學習,要求學生從理論上了解網路安全的現狀,熟悉常用加密演算法 數字簽名技術 保密通訊...
翻譯 網路安全技術分析
文摘 資訊網路安全基本內容的不斷變化證明了國家資訊保安的發展對中國的重要性,必須根據中國特色建立網路安全系統。本文論述了網路安全防火牆的技術分類以及它的主要技術特點。關鍵詞 防火牆技術的網路安全特點 1.概述 二十一世紀,全世界的計算機都將通過網際網路連線在一起,資訊保安的含義也發生了根本性的變化。...