信安技术期中整理
《网络信息安全技术》复习提纲
《网络信息安全技术》复习提纲一、名词解释密码体制ECB/CBC/CFB/OFB 数字签名HASH函数MD5 SHA1 AES MAC码安全域安全策略授权鉴别认证PKCS CC 对称密码公钥密码密钥管理数字证书CRL PKI PMI CPS CA/RA OCSP PKIX 交叉认证时间戳HTTPS IPSEC PGP病毒入侵检测重放攻击防火墙...二、填空题1. 目前,典型的网络结构通常是由一个主干网和若干段子网组成,主干网与子网之间通常选用路由器进行连接。
2. 以太网的介质访问控制方式是:_载波监听多路访问/冲突检测(CSMA/CD) ______。
3. 计算机网络安全受到的威胁主要有:__黑客的攻击_____、__计算机病毒_____和_拒绝服务访问攻击_____。
4. 设置信息包筛的最常用的位置是路由器,信息包筛可以审查网络通信并决定是否允许该信息通过。
5. 选择性访问控制不同于强制性访问控制。
强制性访问控制是从__ B1____级的安全级别开始出现。
6. 对一个用户的认证,其认证方式可分为三类:_用生物识别技术进行鉴别_____、_用所知道的事进行鉴别_______和_使用用户拥有的物品进行鉴别_____。
7. 对数据库构成的威胁主要有:篡改、损坏和__窃取。
8. 检测计算机病毒中,检测的原理主要是基于四种方法:比较法、搜索法、计算机病毒特征字的识别法和分析法。
9. 基于密钥的加密算法通常有两类,即对称算法和公用密钥算法。
10. 因特网的许多事故的起源是因为使用了薄弱的、静态的口令。
因特网上的口令可以通过许多方法破译,其中最常用的两种方法是把加密的口令解密和通过监视信道窃取口令。
11. 存储子系统是网络系统中最易发生故障的部分,实现存储系统冗余的最为流行的几种方法是磁盘镜像、磁盘双联和RAID。
12. 依靠伪装发动攻击的技术有两种,一种是源地址伪装,另一种是途中人的攻击。
13. 证书有两种常用的方法:CA的分级系统和_信任网____。
计算机信息安全技术复习
计算机信息安全技术复习计算机信息安全技术是指通过技术手段保护计算机及其相关设备、网络系统、数据信息以及用户个人隐私免受非法侵入、恶意攻击和恶意软件的侵害。
在当今数字化时代,信息安全问题日益突出,人们对信息安全技术的需求也越来越迫切。
本文将回顾计算机信息安全技术的关键概念和常见方法,以及在实际应用中的一些注意事项。
一、计算机信息安全的基本概念1.1 信息安全性信息安全性是指信息系统在确保机密性、完整性和可用性的基础上,防止未经授权的访问、使用、披露、破坏、修改、干扰和拒绝使用。
1.2 基本属性计算机信息安全的基本属性包括保密性、完整性、可用性、不可抵赖性和可控制性。
1.3 威胁与攻击常见的计算机信息安全威胁包括网络攻击、恶意软件、社会工程学攻击等。
攻击者可能利用漏洞、缺陷或恶意软件对信息系统进行攻击,窃取、篡改或销毁数据。
二、计算机信息安全技术的常见方法2.1 访问控制技术访问控制技术用于限制用户或系统在计算机网络中的访问权限,包括身份验证、授权和审计。
2.2 加密技术加密技术通过对数据进行加密和解密,以确保数据在传输和存储过程中的机密性和安全性。
常见的加密算法有对称加密和非对称加密。
2.3 安全协议安全协议用于确保在计算机网络中进行通信时的机密性、完整性和认证。
常见的安全协议有SSL/TLS协议、IPSec协议等。
2.4 安全防护技术安全防护技术包括防火墙、入侵检测与防御系统(IDS/IPS)、反病毒软件等,用于阻止未经授权访问、恶意攻击和恶意软件的侵害。
三、计算机信息安全技术的注意事项3.1 定期更新和升级定期更新和升级计算机操作系统、应用程序和安全软件,以及及时应用厂商提供的安全补丁,以避免已知漏洞的利用和攻击。
3.2 强密码的使用采用强密码并定期更改,避免使用容易被猜测或破解的密码,同时注意不要将密码泄露给他人。
3.3 多重身份验证采用多重身份验证机制,如使用手机验证码、指纹识别等,以增加账户的安全性。
信息安全技术(知识点)
信息安全技术(知识点)信息安全技术是现代社会中的一项重要技术,在信息化时代中,保护个人、企业和国家的信息安全越来越重要。
本文将介绍一些关于信息安全技术的知识点,帮助读者了解和应用这些技术以保护自己的信息安全。
一、加密技术加密技术是信息安全的重要组成部分,它能够将敏感信息转化为不可读的密文,只有掌握相应密钥的人才能解密获取明文信息。
常见的加密技术有对称加密和非对称加密。
1. 对称加密对称加密使用同一个密钥来进行加密和解密操作。
发送方使用密钥将明文信息加密,并将密文发送给接收方,接收方再使用相同的密钥进行解密。
常见的对称加密算法有DES、AES等。
2. 非对称加密非对称加密使用一对密钥,即公钥和私钥。
发送方使用接收方的公钥对信息进行加密,接收方收到密文后再使用自己的私钥进行解密。
非对称加密技术可以更好地保证信息传输的安全性,常见的非对称加密算法有RSA、DSA等。
二、防火墙技术防火墙是网络安全的重要防线,在网络中起到监控和管理流量的作用,防止未经授权的访问和攻击。
防火墙技术主要包括包过滤式防火墙和应用层网关。
1. 包过滤式防火墙包过滤式防火墙根据预先设定的规则对网络数据包进行过滤和验证。
它可以根据源地址、目标地址、端口号等信息进行判断,只允许符合规则的数据包通过,阻止不符合规则的数据包进入网络。
这种防火墙技术适用于对网络数据包的基本检查。
2. 应用层网关应用层网关在网络层次结构中位于网络边界处,可以检测和过滤应用层数据。
它能够深入应用层协议进行检查,对网络请求进行验证,提供更高级的安全功能。
应用层网关可以防止恶意代码、入侵攻击等威胁。
三、入侵检测系统入侵检测系统是一种用于检测和防止网络攻击的技术。
它通过分析网络流量和系统日志等信息,识别潜在的入侵行为,并采取相应的措施来保护网络安全。
常见的入侵检测系统有基于签名的入侵检测和基于行为的入侵检测。
1. 基于签名的入侵检测基于签名的入侵检测通过事先定义的特征库来识别已知的入侵行为。
信息安全技术考试题与答案
信息安全技术考试题与答案一、单选题(共59题,每题1分,共59分)1.管理数字证书的权威机构CA是()。
A、加密方B、解密方C、双方D、可信任的第三方正确答案:D2.在移位密码中,密钥k=6,明文字母为U,对应的密文字母为()。
A、AB、BC、CD、D正确答案:A3.DES算法的迭代次数是()。
A、16B、3C、5D、7正确答案:A4.Telnet指的是()。
A、电子邮件B、文件传输C、远程登录D、万维网正确答案:C5.()包括两个分支:密码编码学和密码分析学。
A、信息隐藏B、硬件C、数字签名D、密码学正确答案:D6.节点加密对()采取保护措施A、互联设备B、整个链路C、计算机D、整个网络正确答案:B7.()是指用于加密或解密的参数,用K表示。
A、明文B、密钥C、密文D、密码正确答案:B8.节点加密方式是网络中进行数据加密的一种重要方式,其加密、解密在何处进行A、中间结点、目的结点B、源结点、中间结点、目的结点C、中间结点、中间结点D、源结点、目的结点正确答案:B9.()是针对可用性的攻击。
A、假冒B、拒绝服务C、重放D、窃听正确答案:B10.计算机安全就是确保计算机( )的物理位置远离外部威胁,同时确保计算机软件正常可靠的运行。
A、软件B、路由器C、硬件D、传输介质正确答案:C11.OSI参考模型的网络层对应于TCP/IP参考模型的A、互联层B、主机-网络层C、传输层D、应用层正确答案:A12.()是指用某种方法伪装消息以隐藏它的内容的过程A、密钥B、明文C、加密D、密文正确答案:C13.保证数据的保密性就是A、保证因特网上传送的数据信息不被第三方监视和窃取B、保证电子商务交易各方的真实身份C、保证因特网上传送的数据信息不被篡改D、保证发送方不能抵赖曾经发送过某数据信息正确答案:A14.信息安全五要素中完整性的验证可通过()实现。
A、消息认证B、解密C、加密D、身份识别正确答案:A15.保证数据的合法性就是A、保证因特网上传送的数据信息不被篡改B、保证因特网上传送的数据信息不被第三方监视和窃取C、保证电子商务交易各方的真实身份D、保证发送方不能抵赖曾经发送过某数据信息正确答案:C16.在移位密码中,密钥k=9,明文字母为R,对应的密文字母为()。
初中信息技术网络安全知识点归纳
初中信息技术网络安全知识点归纳网络安全是一门关乎我们生活中诸多方面的重要学科。
随着互联网的迅猛发展,我们每天都会使用手机、电脑等电子设备上网,与亲朋好友交流,获取信息。
然而,网络的快速发展也带来了一系列的风险和安全问题。
在这篇文章中,我们将对初中信息技术网络安全的知识点进行归纳和总结,帮助读者更好地了解网络安全相关的内容。
首先,我们来谈谈网络安全的基本概念和目标。
网络安全是指保护网络不受未经授权的访问、使用、披露、破坏、修改或者干扰的一系列技术和措施。
网络安全的目标是确保网络的机密性(只有授权用户可以访问相关信息)、完整性(保护网络中的数据免受篡改)和可用性(保证网络服务的正常运行)。
其次,我们需要了解一些常见的网络攻击方式。
黑客是指具有计算机技术能力的人,他们可以通过各种手段入侵他人的计算机系统并获取不当利益。
常见的网络攻击方式包括:1.病毒和恶意软件:病毒是一种能够自我复制的计算机程序,它可以通过感染其他程序或文件来传播。
恶意软件包括病毒、木马、广告软件等,它们会对计算机系统的正常运行产生严重影响。
2.网络钓鱼:网络钓鱼是一种通过伪装成合法实体以获取个人敏感信息的方式。
攻击者通常会发送伪造的电子邮件或创建假网站,诱使用户输入个人信息,从而导致信息泄露。
3.拒绝服务攻击(DDoS):拒绝服务攻击是通过发送大量请求来超载目标系统,使其无法正常工作。
这种攻击方式会使网站无法访问,造成经济损失。
4.密码破解:攻击者使用各种方法来尝试破解用户的密码,例如使用常见密码列表、暴力破解等。
一旦密码被破解,攻击者就可以获取用户的个人信息或者进一步入侵系统。
除了了解网络攻击方式,我们还需要知道保护自己的网络安全的方法和策略。
以下是几个常见的网络安全技巧:1.使用强密码:强密码是指由多个字符组成(包括字母、数字和特殊符号),并且长度较长。
使用不同的密码来保护不同的账户是很重要的,这样即使一个密码被破解,其他账户的安全性也不会受到威胁。
信安技术(有答案)
《信息安全技术》大作业2================================一.填空题1. 信息安全受到的威胁有人为因素的威胁和非人为因素威胁,非人为因素的威胁包括自然灾害、系统故障、技术缺陷。
2.信息安全保障体系框架由管理体系、组织机构体系和技术体系组成。
3. 导致网络不安全的根本原因是系统漏洞、协议的开放性和人为因素。
4. OSI安全体系结构中,五大类安全服务是指认证安全、访问控制安全、数据保密性安全、数据完整性安全和抗否认性服务安全。
5. 密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门分支。
6. 对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制,否则,称为非对称密码体制。
前者也称为单钥,后者也称为双钥。
7. 分组密码的应用模式分为电子密码本模式、密文连接模式、密文反馈模式、输出反馈模式。
8. 加密方式有节点加密、链路加密、端到端加密。
9. DES分组长度是64位,密钥长度是64位,实际密钥长度是56位。
10. 信息隐藏技术的4个主要分支是隐写术、版权标识、隐通道技术和匿名通信技术。
11. 数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品(如图像、声音、视频信号等)中添加某些数字信息,以起到版权保护等作用。
12. 通用的数字水印算法一般包含水印生成算法、水印嵌入和提取/检测3个方面。
13. 根据是否存在噪音,隐通道可分为噪音隐通道和无噪音隐通道。
14. 物理安全主要包括设备安全、环境安全和媒体安全。
15. 机房面积的大小与需要安装的设备有关,有两种估算方法。
一种是按机房内设备总面积M计算。
其计算公式为机房面积=(5~7)M。
第二种方法是根据机房内设备的总数进行机房面积的估算。
假设设备的总和数为K,则估算公式为机房面积=(4.5~5.5)K(m^2)。
16. 利用生物特征认证技术来实现物理设备的访问控制技术主要有指纹识别技术、手印识别技术、声音识别技术、笔迹识别技术、视网膜识别技术。
网络信息安全技术复习参考[发布]
《网络信息安全技术》复习参考一、网络中单机系统安全加固1.掌握windows server操作系统的使用2.掌握windows server系统的安全管理(组策略、注册表、账户管理、访问权限)3.理解计算机病毒的概念及危害、工作机制4.掌握常见的病毒防治工具(含专杀工具)的安装、配置、应用二、防范网络入侵攻击1.了解防火墙的概念、功能、作用及其局限性2.了解Sniffer的功能和作用3.掌握网络扫描的流程及实现方法4.掌握黑客实施网络攻击的一般步骤5.了解拒绝服务攻击的概念、表现形式6.理解入侵检测系统的概念及分类三、信息加密技术1.了解密码的分类、加密技术的发展情况2.理解数字证书的概念、作用、特点、类型及作用3.理解数字签名的概念、要求、原理、作用和类型4.SSL协议及组成5.理解硬盘数据的存储原理6.掌握硬盘接口分类及技术标准7.掌握RAID0、RAID1、RAID5技术特点四、设计安全的网络结构1.了解安全技术评估标准2.了解网络安全的定义3.了解网络安全的关键技术4.理解网络安全的特征5.了解计算机网络安全审计的概念6.理解主动攻击与被动攻击的概念及特点选择题1.安全结构的三个层次指的是 ( C )。
①物理安全②信息安全③安全控制④安全服务(A)①②③(B)②③④(C)①③④(D)②③④2.计算机网络安全的四个基本特征是 ( C )。
(A)保密性、可靠性、可控性、可用性(B)保密性、稳定性、可控性、可用性(C)保密性、完整性、可控性、可用性(D)保密性、完整性、隐蔽性、可用性3.关于防火防火墙技术原理,下列说法中正确的是( A )。
(A)包过滤型防火墙工作在网络层和传输层(B)应用代理型防火墙工作在会话层和表示层(C)状态检测型防火墙工作在网络层和传输层(D)复合型的防火墙工作在应用层4.为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是( B )。
(A)IDS (B)防火墙(C)杀毒软件(D)路由器5.防火墙对于一个内部网络来说非常重要,它的功能包括( C )。
信息安全技术复习资料
第一章概述1.信息安全问题存在的原因(技术):系统的开放性系统本身缺陷(技术;失误/意识)威胁和攻击(病毒黑客网络战)根本原因:信息的价值、利益关系的存在,从根本上导致人们对信息的争夺和控制。
2. 信息安全(ISO)定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
3. 属性、机制、服务及其关系:安全本身是对信息系统一种属性的要求,信息系统通过安全服务来实现安全性,安全机制是提出满足服务的方法和措施。
基本安全服务(5):认证服务、保密性服务、完整性服务、访问控制服务、不可否认服务。
基本安全机制(8):加密、数字签名、访问控制、数据完整性、认证交换、业务流填充、路由控制、公证4.PDR技术(基于时间)基本原理:安全相关活动(攻击、防护、检测、响应)都要消耗时间。
用时间来衡量一个体系的安全性和安全能力。
P:系统为保护安全目标设置各种保护的时间或在该保护方式下,t入侵者攻击目标所花的时间;D:入侵者开始入侵到系统能检测到入侵行为的时间;tR:响应时间t保护技术:身份认证、访问控制、信息存储与传输安全、防病毒、防火墙、VPN等。
检测:漏洞扫描、入侵检测、安全审计响应:漏洞修补、报警、中止服务等5.信息保障技术框架(IATF)——从空间角度技术层面分为四部分:本地计算环境:本地用户计算环境包括服务器、客户以及其上所安装的应用程序;飞地边界(本地计算环境的外缘):被包围的领土因为许多机构都与其控制范围之外的网络相连,所以需要一个保护层来保障进入该范围的信息不影响机构操作或资源并且离开该范围的信息是经过授权的;网络和基础设施:支撑性基础设施:信息技术环境也包括支撑性基础设施。
负责提供密钥与证书管理服务;能够对入侵和其它违规事件快速进行检测与响应,并能够支持操作环境的入侵检测、报告、分析、评估和响应等。
6.对于安全的理解:安全是一个动态实践的过程,原本安全的系统随着时间和环境的变化会不安全;安全具有整体性,既不是单一产品,也不是所有安全产品的堆叠。
《信息安全技术》复习资料
《信息安全技术》复习资料一、单项选择题1、信息安全是信息网络的硬件、软件及系统中的 因而受到破坏、更改或泄露。
A. 用户 B .管理制度C.数据2、为了预防计算机病毒,应采取的正确措施是(A.每天都对计算机硬盘和软件进行格式化C.不同任何人交流D 3、 DDoS 攻击破坏了( A )。
A. 可用性 B .保密性4、 以下哪个不是数据恢复软件(A. FinalDataBC. EasyRecovery C.完整性 D .真实性D )。
.RecoverMyFiles D. OfficePasswordRemove5、Windows server 2003系统的安全日志如何设置6、数据备份常用的方式主要有:完全备份、增量备份和 (C )。
7、数字签名技术是公开密钥算法的一个典型的应用,在发送端,它是采用(B )对要发送的的信息进行数字签名。
止:(B )。
A. 木马B .暴力攻击C . IP 欺骗D .缓存溢出攻击11、在以下认证方式中,最常用的认证方式是:(A )。
A.基于账户名/口令认证;A .事件查看器B C.本地安全策略D.服务管理器 .网络适配器里(C )受到保护,不因偶然或恶意的原D .设备B )。
B .不用盗版软件和来历不明的软盘 •不玩任何计算机游戏A. 逻辑备份 B .按需备份 C.差分备份 D .物理备份A.发送者的公钥B.发送者的私钥C .接收者的公钥 8数字签名技术,在接收端,采用(A )进行签名验证。
A.发送者的公钥B .发送者的私钥C .接收者的公钥D .接收者的私钥D .接收者的私钥9、( B )不是防火墙的功能。
A.过滤进出网络的数据B .保护存储数据安全C.封堵某些禁止的访问行为 D .记录通过防火墙的信息内容和活动 10、Windows NT 和 Windows 2003系统能设置为在几次无效登录后锁定帐号,这可以防B. 基于摘要算法认证;C. 基于PKI认证;D. 基于数据库认证12、主要用于加密机制的协议是:(D )。
《信息安全技术》习题与答案(最新最全)
连云港专业技术继续教育—网络信息安全总题库及答案信息安全技术试题及答案信息安全网络基础:一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。
√2. 计算机场地可以选择在公共区域人流量比较大的地方。
×3. 计算机场地可以选择在化工厂生产车间附近。
×4. 计算机场地在正常情况下温度保持在 18~28 摄氏度。
√5. 机房供电线路和动力、照明用电可以用同一线路。
×6. 只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。
×7. 由于传输的内容不同,电力线可以与网络线同槽铺设。
×8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√9. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记 ,以防更换和方便查找赃物。
√10. 机房内的环境对粉尘含量没有要求。
×11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。
√12. 纸介质资料废弃应用碎纸机粉碎或焚毁。
√容灾与数据备份一、判断题1. 灾难恢复和容灾具有不同的含义。
×2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。
√3. 对目前大量的数据备份来说,磁带是应用得最广的介质。
√4. 增量备份是备份从上次完全备份后更新的全部数据文件。
×5. 容灾等级通用的国际标准 SHARE 78 将容灾分成了六级。
×6. 容灾就是数据备份。
×7. 数据越重要,容灾等级越高。
√8. 容灾项目的实施过程是周而复始的。
√9. 如果系统在一段时间内没有出现问题,就可以不用再进行容灾了。
×二、单选题1. 代表了当灾难发生后,数据的恢复程度的指标是A.RPOB.RTOC.NROD.SDO2. 代表了当灾难发生后,数据的恢复时间的指标是A.RPOB.RTOC.NROD.SD03. 容灾的目的和实质是A. 数据备份B.心理安慰C. 保持信息系统的业务持续性D.系统的有益补充4. 容灾项目实施过程的分析阶段,需要进行A. 灾难分析B. 业务环境分析C. 当前业务状况分析D. 以上均正确5. 目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是一一一。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全服务:加强数据处理系统和信息传输的安全性的一种服务。
其目的在于利用一种或多种安全机制阻止安全攻击。
安全机制:用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。
安全攻击: 任何危及系统信息安全的活动。
威胁:侵犯安全的可能性,在破坏安全或引起危害的环境、可能性、行为或事件的情况下出现,即威胁是利用脆弱性的潜在危险。
攻击:对系统安全的攻击,他来源于一种智能的威胁,即有意违反安全服务和侵犯系统安全策略的智能行为。
Kerberos要解决的问题: 解决一个非授权用户能够获得其无权访问的服务或数据的问题,Kerberos提供一个中心认证服务器,提供用户到服务器和服务器到用户的认证服务。
Kerberos系统应满足的要求:1安全:网络窃听者不能获得必要信息以假冒其它用户,并且入侵者无法找到它的弱点连接。
2可靠:Kerberos应高度可靠,并且应借助于一个分布式服务器体系结构,使得一个系统能够备份另一个系统。
3透明。
理想情况下,用户除了要求输入口令以外应感觉不到认证的发生。
4可伸缩。
系统应能够支持大数量的客户和服务器。
Kerberos Version4:引入一个信任的第三方认证服务,采用一个基于Needham & Schroeder 协议;采用DES,精心设计协议,提供认证服务。
Kerberos Version 5:功能性:1可信第三方(所需的共享密钥分配和管理变得十分简单,AS担负认证工作,减轻应用服务器的负担,安全相关数据的集中管理和保护,从而使攻击者的入侵很难成功)2Ticket (AS的认证结果和会话密钥安全地传送给应用服务器,在生存期内可重用,减少认证开销,提高方便性)3Ticket发放服务(降低用户口令的使用频度,更好地保护口令;减轻AS的负担,提高认证系统的效率)4时间戳(防止对Ticket和Authenticator的重放攻击)5以共享秘密(密钥)为认证依据局限性:1重放攻击2时间依赖性3猜测口令攻击4域间鉴别(多跳域间鉴别涉及很多因素,实现过程复杂不明确;在"信任瀑布"问题)5改登录程序(证系统本身的程序完整性很难保证)6钥存储问题(令及会话密钥无法安全存放于典型的计算机系统中)MZ协议模型:是Kerberos协议模型的改进模型:1消除认证协议对安全时间服务的依赖性2更好地防止重放攻击3提高口令猜测的复杂度4简化域间认证5使用混合加密算法6使用nonce公钥证书:公钥证书就是标志网络用户身份信息的一系列数据,它用来在网络通信中识别通信各方的身份。
由权威的第三方机构即CA中心签发。
公钥证书采用公钥体制,用户掌握私钥,公开公钥。
公钥证书作用及特性:1保密性(通过使用收件人的公钥证书对电子邮件加密,只有收件人才能阅读加密的邮件。
)2完整性(利用发件人公钥证书在传送前对电子邮件进行公钥签名,不仅可以确定发件人身份,而且可以判断发送的信息在传递过程中是否被篡改过。
)3身份认证(利用发件人公钥证书在传送前对电子邮件进行公钥签名可以确定发件人身份,从而识破冒充的他人。
)4不可否认性(发件人的公钥证书只有发件人唯一拥有,发件人进行签名后,就不能否认发送过某个文件。
)证书结构:第一版:版本号,证书序号,签名算法标识符(算法,参数),发放者名称,有效期(起始日期、终止日期),主体名称,主体的公钥信息(算法、参数、公开密钥)。
第二版:第一班内容+发放者唯一标识符,主题唯一标识符。
第三版:第二版内容+扩充域。
除以上,还有签字(算法、参数、签字)其他证书:SPKI证书、PGP证书、属性证书、X.509V4证书认证机构的组成有:注册服务器、证书申请受理和审核机构。
认证机构服务器功能:证书发放、证书更新、证书撤销、证书验证。
具体报告:接收并验证终端用户公钥证书的申请;确定是否接受终端用户公钥证书的申请,即证书的审批;向申请者颁发公钥证书/拒绝证书的发放;接收、处理终端用户的公钥证书更新请求及证书的更新;接收终端用户公钥证书的查询、撤销;产生和发布证书废止列表(CRL);公钥证书的归档;密钥归档;历史数据归档。
认证信任:层级信任模型、网状信任模型、混合信任模型、多根信任模型、桥接信任模型(不确定)注册机构RA:注册、注销以及批准或拒绝对用户证书属性的变更要求;对证书申请人进行合法性确认;批准生成密钥对或证书的请求,以及恢复备份密钥的请求;接受和批准撤销或暂停证书的请求(需要相应认证机构的支持);向有权拥有身份标记的人当面分发标记或恢复旧标记。
证书的注册:1注册机构对用户进行合法性验证,及获得更多用户信息。
2证书申请人通过在线方式提供一部分信息,并以离线方式提供如身份证明这样的证据。
证书发行过程:1证书申请人将申请证书所需要的证书内容信息提供给认证机构。
2认证机构确认申请人所提交信息的正确性,这些信息将包含在证书中(根据其公认的义务和相关政策及标准)。
3由持有认证机构私钥的签证设备给证书加上数字签名。
4将证书的副本传送给用户。
5将证书的副本传送给证书数据库以便公布。
6认证机构将证书生成过程中的相关细节以及其它在证书发放过程中的原始活动记录在审计日志中。
公钥证书颁发过程:1用户产生自己的密钥对,并将公开密钥及部分个人信息传送给认证机构。
2认证机构在核实身份后,确信该请求是该用户所发后,认证机构将发给这个用户一个公钥证书。
附于数字签名的证书分发:1签名者将自己证书的一个副本附在数字签名中。
任何想检验数字签名的人都可以拥有该证书的副本。
2但如果各个不同的检验者到签名者具有不同的认证路径,那么对签名者而言,判断需要那些证书才能进行检验就比较困难。
基于目录服务的证书分发:我们常常面临着需要访问大量的公钥证书(即所谓的证书集)。
证书库是存储、查询证书集的一个比较好的解决办法。
证书库是证书的集中存放地,用户可以从证书库获得其他用户的证书和公钥。
证书撤销有两种方案:证书撤销列表和在线查询机制。
证书撤销列表CRL:CRL是一个包含所有被撤销证书(未过有效期)的序列号,并由认证机构CA签名的数据结构。
CRL是一个被撤销证书的时间列表,该列表经过认证机构的数字签名,证书用户可以获取证书撤销列表。
结构为:发放者名称、CRL发放的日期,证书序列号、撤销的时间、发放者的数字签名在线查询机制:基于在线证书状态协议OSPT的在线证书撤销信息获取方式,OSPT请求由协议版本号、服务请求类型以及证书标识符组成。
OSPT响应包括证书标识符和证书状态(即"正常"、"撤销"和"未知"),若证书状态是"撤销",则还包括撤销的具体时间和撤销原因。
前向安全证书撤销方案:前向安全数字签名方案是一种特殊的数字签名方案,其基本思想是将签名密钥的有效期分为三个时段,若签名密钥在j时段泄漏,密钥获得者可以伪造j时段之后的数字签名,但不能伪造j时段之前的数字签名,这样就保证了j时段之前的数字签名仍然是有效的。
把前向数字签名思想应用在证书撤销机制中,一旦CA的签名密钥在j时段泄漏,攻击者只能伪造j时段以后的证书撤销信息,但不能伪造j时段以前的撤销信息。
PGP:提供可用于电子邮件和文件存储应用的保密与鉴别服务。
PGP特性:选择最可用的加密算法作为系统的构造模块;将这些算法集成到一个通用的应用程序中,该程序独立于操作系统和处理器,并且基于一个使用方便的小命令集;程序文档在Internet上公开;商业公司提供全兼容、低成本的商业版本PGP功能:数字签名(DSS/SHA或RSA/SHA);消息加密(CAST-128或IDEA或3DES + Diffie-Hellman或RSA);数据压缩(ZIP)邮件兼容(Radix 64);数据分段(PGP自动分段,并在接收时自动恢复,签名只需一次,在第一段中)。
身份认证功能实现:发送者产生消息M,用SHA-1对M生成一个160位的散列码H,H用发送者的私钥加密并与M连接;接收者用发送者的公钥解密并恢复散列码H,对消息M生成一个新的散列码与H比较,如果一致则消息M被认证。
加密功能的实现:采用CAST-128(或IDEA或3DES CFB方式)加密算法。
一次性密钥,单向分发,公钥算法保护发送者生成消息M,并为该消息生成一个128位的随机数作为会话密钥。
使用会话密钥和相应的算法对M进行加密会话密钥用RSA及接收者的公钥加密,并与消息M结合,接收者用自己的私钥解密恢复会话密钥,用会话密钥解密恢复消息M。
加密、认证功能的同时实现:两种服务都需要时发送者先用自己的私钥签名,然后用会话密钥加密,再用接收者的公钥加密会话密钥数据压缩功能:发生在签名后加密前,对邮件传输或存储都有节省空间的好处网络层:IP/IPSec;传输层:SSL/TLS;应用层:Kerberos,S/MIME,PGP,SETVPN:是企业的私有网络在公共网络如Internet网上的扩展,通过私有的隧道来建立一条保密的连接。
VPN安全地把远端用户、分公司和合作伙伴通过Internet连接成一个扩展的网络。
VPN的特点:1虚拟:网络的物理体系结构应该对任何的VPN连接是透明的。
为了达到对于上层应用的透明,使用了隧道协议技术。
为了克服没有拥有物理网络,在VPN中要和网络服务商签定协议来保证VPN的可用性和性能。
2私有:指VPN中的数据流的私密性。
未保证所有的数据流所需要的安全性需要的安全需求包括数据加密、数据源确认、安全的生成密钥和及时的更新加密和认证所需要的密钥、对于重放攻击的地址伪装攻击的防护。
3VPN是网络:即使没有物理的存在,VPN应该被看作或感觉到是企业网络的扩展。
VPN的优点:1.虽然基于Web的程序可以到达这些功能,VPN能提供更综合和安全的解决方案。
2.VPN安全地把远端用户、分公司和合作伙伴通过Internet连接成一个扩展的网络。
3.ISP 提供便宜的接入方式(通过专线或电话线),使企业可以节省用在昂贵的专线,长途呼叫和免费电话的费用。
4.当IPSEC在防火墙或路由器上实施后,它可以对所有的数据流提供强有力的安全保护。
在公司内的数据流就不用花费时间在安全相关的处理上。
5.如果外来的数据流都强制性的要通过防火墙而且使用IP协议,那么IPSec协议就可以强制性的使用。
6.IPSec 位于传输层以下(TCP,UDP),所以对于上层的应用程序是透明的。
当IPSec在防火墙或者路由器上实现时,对于用户程序或服务器程序都不需要进行任何的修改。
即使IPSec在端系统上实施,上层的的软件,包括应用程序都没有影响。
可能发生的安全事件:1.窃听2.篡改报文内容3.进行拒绝服务攻击4.修改报文目的地址拨入段的安全隐患:1.拨入段直接把用户的数据发送给ISP。