网络安全技术期末复习总结

公钥基础设施：

1 为什么引入PKI：

PKI是一种比较完整的网络安全解决方案，能够全面保证信息的完整性，真实性，机密性和不可否认性。

2 什么是PKI：

PKI是一种运用弓公钥密码的概念与技术，是一种实施并提供安全服务的具有普适性的网络安全基础设施。

3 信任类型（服务）：

(1)身份认证

(2)机密性

(3)完整性

(4)不可抵赖性

(5)支持密钥管理

4 PKI组成（系统结构）

5 认证中心CA：

CA是PKI 体系的核心，是PKI的主要组成实体，由可信第三方充当，负责管理密钥和数字证书的整个生命周期。

6 CA的核心功能：

（1）证书审批：接收并验证最终用户数字证书的申请，确定是否接收

（2）证书颁发：向申请者颁发、拒绝颁发数字证书。

（3）证书更新：接收、处理最终用户的数字证书更新请求。

（4）证书查询：接收用户对数字证书的查询；提供目录服务，可以查询相关信息。

（5）证书撤销：产生和发布证书吊销列表，验证证书状态；

（6）证书归档：数字证书归档及历史数据归档。

（7）各级CA管理

7 注册中心RA：

RA是PKI信任体系的重要组成部分，是用户和CA之间的一个接口，是认证机构信任范围的一种延伸。RA接受用户的注册申请，获取并认证用户的身份，主要完成收集用户信息和确认用户身份的功能。

8 数字证书：

数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即在Internet上解决“我是谁”的问题。

9 证书的操作流程图P62

10 证书管理（构建PKI的核心工作）：

1. 用户申请

2. 证书生成

3. 证书发布

4. 证书验证

5. 证书撤销

6. 证书更新

7. 证书归档

8. 证书存储

9 .证书使用

11 证书的申请方式：

证书的申请有离线申请方式和在线申请方式两种

12 密钥管理：

密钥管理也是PKI（主要指CA）中的一个核心问题，主要是指密钥对的安全管理，包括密钥产生、密钥备份、密钥恢复和密钥更新等。

13 信任模型：

1）实际网络环境中不可能只有一个CA，

2）多个认证机构之间的信任关系必须保证:原有的PKI用户不必依赖和信任专一的CA，否则将无法进行扩展、管理和包含。

3）信任模型建立的目的是确保一个认证机构签发的证书能够被另一个认证机构的用户所信任。

14 常见的信任模型：

1）严格层次结构模型

2）分布式信任结构模型

3）基于Web模型的信任模型

4）以用户为中心的信任模型

15 层次结构信任模型：图P66

16 层次结构模型的建立规则：

1）根CA具有一个自签名的证书。

2）根CA依次为其下级CA颁发证书。每个CA都拥有零个或多个子节点。上层的CA 既可以认证其他CA，也可以直接为终端实体颁发证书，但在实际应用中，为了便于管理，用于认证下级CA，不为用户认证终端实体。

3）终端实体就是PKI的用户，处于层次模型的叶子节点，其证书由其父节点CA颁发。对于终端实体而言，它需要信任根CA，中间的CA可以不必关心(透明的) 。

4）层次模型中，除根CA之外的每个节点CA上，至少需要保存两种数字证书。

向上证书：父节点CA发给它的证书；

向下证书: 由它颁发给其他CA或者终端实体的证书。

17 层次结构例题：ppt

18 优缺点：

管理开销小

减轻根CA的工作量

层次结构与组织的内部结构比较吻合

最终实体到信任锚的路径固定，可得在最终实体证书中传送路径

可扩展性好

世界范围内不可能只有单个根CA。

商业和贸易等信任关系不必要采用层次型结构。

根CA私钥的泄露的后果非常严重，恢复也十分困难。

18 分布式信任模型：

分布式信任结构把信任分散在两个或多个CA上，每个CA所在的子系统构成系统的子集，并且是一个严格的层次结构。

19 交叉认证技术：

所谓交叉认证就是通过在独立的CA间建立起信任关系，使得它们各自的终端用户建立起信任关系。交叉认证可以是双向的，也可以是单向的。

网络攻击技术

1 攻击流程：

2 主要攻击方法：

1）获取口令

2）www欺骗技术

3）电子邮件攻击

4）网络嗅探

5）寻找系统漏洞

6）DoS攻击

7）缓冲区溢出攻击

3 常用端口：

TCP：

序号端口号协议

1 20 FTP数据连接

2 21 FTP控制连接

3 23 TELNET协议

4 2

5 SMTP协议

5 80 WWW协议

UDP：

DNS服务：53

SNMP：161

QQ：8000和4000

4 TCP建立连接和释放：

建立连接：三次握手

释放链接：四次挥手

5 常用扫描技术：

1、TCP Connect 扫描（全连接扫描）：

1）实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。

返回-1，则表示端口关闭。

2）优点：稳定可靠，不需要特殊的权限

3）缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽

2、TCP SYN 扫描（半连接扫描）：

1）实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描

2）优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录

3）缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用

3、TCP FIN扫描（秘密扫描）：

打开的端口:数据包则被简单的丢掉，并不返回任何信息

关闭的端口: 数据包会被丢掉，并且回返回一RST数据包

4、分段扫描

原理：并不直接发送TCP探测数据包，是将数据包分成两个较小的IP段，这样就将一个TCP头分成好几个数据包，从而包过滤器就很难探测到

优点：隐蔽性好，可穿越防火墙

缺点：可能被丢弃，某些程序在处理这些小数据包时可能会出现异常

5、UDP ICMP端口不能到达扫描