《网络与信息安全复习要点》由会员分享,可在线阅读,更多相关《网络与信息安全复习要点(4页珍藏版)》请在装配图网上搜索。
1、网络信息安全复习资料下图为分布式入侵检测系统结构示意图,此示意图中各构件的作用如下。数据采集构件:收集检测使用的数据,可驻留在网络中的主机上或安装在网络中的 监测点。数据采集构件需要通信传输构件的协作, 将收集的信息传送到入侵检测分析 构件去处理。通信传输构件:传递检测的结果、 处理原始的数据和控制命令,一般需要和其它 构件协作完成通信功能。入侵检测分析构件:依据检测的数据,采用检测算法, 对数据进行误用分析和异 常分析,产生检测结果、报警和应急信号。应急处理构件:按入侵检测的结果和主机、网络的实际情况,作出决策判断,对入 侵行为进行响应。管理构件:管理其它构件的配置,产生入侵总体报告,提供用
2、户和其它构件的管理 接口,图形化工具或者可视化的界面, 供用户查询、 配置入侵检测系统情况等。网络安全是在分布网络环境中对信息载体、信息的处理与传输、信息的存储与访问 提供安全保护。假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。 这种算法的密钥就是5,那么它属于对称加密技术。2000年10月2日,NIST正式宣布将Rijndael候选算法作为高级数据加密标准,该算 法是由两位比利时密码学者提出的。密码学中的杂凑函数(Hash函数)按照是否使用密钥分为两大类:带密钥的杂凑函 数和不带密钥的杂凑函数,whirlpool是带密钥的杂凑函数。完整的数字签名过程(包括从发送方
3、发送消息到接收方安全的接收到消息)包括签 名和验证过程。古典密码体制中,倒序密码属于置换密码。 完整的密码体制中不包括数字签名要素。A方有一对密钥(K, K ,丿,B方有一对密钥(K , K ,丿,A方向B方发送数字签名M,对信息M加密为:M= K(K(M)。B方收到密文的解密方案是KB公开 A秘密A公开(K (M,。秘用密 于实现身份鉴别的安全机制是加密机制和数字签名机制。 数据完整性机制防止数据在途中被攻击者篡改或破坏。 秘密传输不属于公钥的分配方法。密码学在信息安全中的应用是多样的,但生成种种网络协议不属于密码学的具体应 用。根据所依据的数学难题,公钥密码体制可以分为大整数因子分解问题、
4、离散对数问 题与椭圆曲线离散对数问题。防火墙用于将Internet和内部网络隔离是网络安全和信息安全的软件和硬件设 施。PKI支持的服务不包括访问控制服务。VPN的加密手段为VPN内的各台主机对各自的信息进行相应的加密。 Bell-LaPadula模型的出发点是维护系统的保密性,而Biba模型与Bell-LaPadula 模型完全对立,它修正了 Bell-LaPadula模型所忽略的信息的完整性问题。它们存在共 同的缺点:直接绑定主体与客体,授权工作困难。密码学的目的是研究数据保密。 信息与计算机网络中,绝对的安全是不存在的ISO 7498-2确定了五大类安全服务,即鉴别、访问控制、数据保密性
5、、数据完整性 和不可否认。同时,ISO 7498-2也确定了八类安全机制,即加密机制、数据签名机制、 访问控制机制、数据完整性机制、认证交换、业务填充机制、路由控制机制和公证机制。信息安全中所面临的威胁攻击是多种多样的,一般将这些攻击分为两大类主动攻击 和被动攻击。其中被动攻击又分为消息内容的泄露和进行业务流分析。密码技术的分类有很多种,根据加密和解密所使用的密钥是否相同,可以将加密算 法分为:对称密码体制和非对称密码体制,其中对称密码体制又可分为两类,按字符逐 位加密的序列密码和按固定数据块大小加密的分组密码。防火墙系统的体系结构分为双宿主机体系结构、屏蔽主机体系结构、屏蔽子网体系 结构。古
6、典密码包括 代替密码和置换密码两种,对称密码体制和非对称密码体制都属于 现代密码体制。传统的密码系统主要存在两个缺点:一是密钥管理与分配问题 ;二是认 证问题。在实际应用中,对称密码算法与非对称密码算法总是结合起来的,对称密码 算法用于加密,而非对称算法用于保护对称算法的密钥。根据使用密码体制的不同可将数字签名分为基于对称密码体制的数字签名和基于 公钥密码体制的数字签名,根据其实现目的的不同,一般又可将其分为直接数字签名和 可仲裁数字签名 。IDS的物理实现不同,按检测的监控位置划分,入侵检测系统可分为基于主机的入 侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。DES是美国国家标准局
7、公布的第一个数据加密标准,DES使用一个56位的密钥以及 附加的8位奇偶校验位。1976年,美国两位密码学者Diffe和Hellman在该年度的美国计算机会议上提交了一 篇论文,提出了公钥密码体制的新思想,它为解决传统密码中的诸多难题提出了一种新 思路。DES算法密钥是64位,其中密钥有效位是56位。RSA算法的安全是基于分解两个大素 数的积的困难。密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁。密 钥生成形式有两种:一种是由中心集中生成,另一种是由个人分散生成。认证技术包括站点认证、报文认证和身份认证,而身份认证的方法主要有口令、磁 卡和智能卡、生理特征识别、零知识证明
8、。Elgama l算法的安全性是基于离散对数问题,它的最大特点就是在加密过程中引入 了一个随机数,使得加密结果具有不确定性,并且它的密文长度是明文长度的两倍。该 算法的变体常用来进行数据签名。密码系统的安全性取决于用户对于密钥的保护,实际应用中的密钥种类有很多,从 密钥管理的角度可以分初始密钥、会话密钥、密钥加密密钥和主密钥。NAT的实现方式有三种,分别是静态转换、动态转换、端口多路复用。数字签名是笔迹签名的模拟,是一种包括防止源点或终点否认的认证技术。网络信息安全的含义 网络信息安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的 保密性、完整性及可使用性受到保护。计算机网络安全
9、包括两个方面,即物理安全和逻 辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安安 全包括信息的完整性、保密性和可用性。信息安全的常见威胁与对应技术 信息安全的常见威胁有非授权访问、信息泄露、破坏数据完整性,拒绝服务攻击, 恶意代码。信息安全的实现可以通过物理安全技术,系统安全技术,网络安全技术,应用安全 技术,数据加密技术,认证授权技术,访问控制技术,审计跟踪技术,防病毒技术,灾 难恢复和备份技术。防火墙应满足的基本条件 作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。(2) 只有符合安
10、全策略的数据流才能通过防火墙。(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被 侵入的。密码分析与攻击类型,DES算法中S盒作用 密码分析是指研究在不知道密钥的情况下来恢复明文的科学。攻击类型有只有密文 的攻击,已知明文的攻击,选择明文的攻击,适应性选择明文攻击,选择密文的攻击, 选择密钥的攻击,橡皮管密码攻击。DES算法中S盒是DES算法的核心。其功能是把6bit 数据变为4bi t数据。DES算法的特点与基本原理DES加密算法特点:分组比较短、密钥太短、密码生命周期短、运算速度较慢。DES工作的基本原理是,其入口参数有三个:key、data、mode
11、。key为加密解密使 用的密钥,data为加密解密的数据,mode为其工作模式。当模式为加密模式时,明文按 照64位进行分组,形成明文组,key用于对数据加密,当模式为解密模式时,key用于对 数据解密。实际运用中,密钥只用到了64位中的56位,这样才具有高的安全性。黑客攻击的一般流程及其技术和方法见下图拒绝服夯攻击踩点Whois. DNS .GiKJgle 收处冃利用踩恵结果僅行H标系统在哪些辿道便川哪陀服药以婭便用的足什么操作系统等发起攻击权N艮捉丁卜1窃取地,监踪迹1r创建肩I改变、诱丿川、删除从奴制用户试I创成Adinin/root或迥1级用户根拥扌描,便用勾特定操作系统/服矢和关的技术收渠用户账户、共臥/源及export零仍煜
网络与信息安全复习要点
