《信息安全复习.docx》由会员分享,可在线阅读,更多相关《信息安全复习.docx(4页珍藏版)》请在优知文库上搜索。
1、信息平安复习1、信息平安的四项要求(P2):机密性,真实性,完整性,抗抵赖性 机密性由加密(对称密钥算法、非对称密钥算法)保证 真实性、抗抵赖性由数字签名保证 完整性由单向散列函数保证2、凯撒密码(P16):是一种简洁易行的单字母替换密码3、对称密钥密码算法的两种类型(P18):分组密码、流密码(序列密码4、密码分析的四种方式(P18):唯密文攻击、已知明文攻击、选择明文攻击、自适应选择明文攻击5、DES算法 DES算法属于分组密码(P19) 分组长度64位,密钥长度56位(P20P21) F函数是DES加密的核心(P24) 要会计算S盒替换的题目,参见上课例题(第三章PPT第43页):如果S
2、盒榆入为:123456ABCDEF000100,1011.0101010110.101010.111100,110111.101111(0,2),(3,1),(1,8),(0,11),(2,5),(2,14),(3,11),(3,7)13,8,2,5,13,11,15,13D825DBFD6、三重DES算法的四种模型(P25P26) DES-EEE2、DES-EDE2、DES-EEE3、DES-EDE3 E表示加密算法,D表示解密算法 2表示第一次和第三次密钥相同,3表示三次密钥均不同7、序列密码的一种重要加密方案:一次一密乱码本(P30)8、A5算法是一种序列密码(流密码),是欧洲GSM标准
3、规定的加密算法(P30)原则:多数为主(P3l)9、防范字典攻击的重要方法:Salt(添加符)(P42)10、Diffie.Helhnan算法原理:在有限域上计算离散对象特别困难(P48)防范中间人攻击:数字签名(P49)IKPGp软件的加密算法(P56) 采纳了RSA算法和AES对称加密算法相混合的方法 采纳AES加密信息内容,对称密钥采纳RSA加密12、信息隐蔽技术与传统密码技术的区分(P80):密码仅仅隐蔽了信息的内容,而信息隐蔽不但隐蔽了信息的内容而且隐蔽了信息的存在。13、PKI(公钥基础设施,P103) 定义:采用公钥密码技术供应一套平安基础平台的技术和法律规范 目的:给用户供应平
4、安服务 PKl供应的服务是发布并管理证书,然后用户使用证书以达到在网络上平安通信的目的14、CA(证书权威)是PKl的核心(P104)15、CA的基本功能(P105):证书发放,证书更新和证书撤销。16、CA的基本流程(第7章PPT第20页)(1)新用户申请证书,向RA(注册中心)提交证书申请恳求(2) RA系统审核用户身份(3) RA将审核通过的注册恳求发送给CA(4) CA为用户签发证书下载凭证,CA同时将证书发布出去(5) RA将证书下载并发放给用户17、我们国家对商用CA产品的法律规定(Pllo) 商用密码管理条例规定我们国家的CA只能使用我们国家企业研发的CA产品 任何单位或者个人不
5、得销售境外的密码产品,不得使用自行研制的或者境外生产的密码产品18、X.509证书的描述方式:ASNJ文法(P113)19、证书撤销列表CRL与在线证书状态合同OCSP的区分(P116) CRL不是实时更新的,并且CRL较大,下载和处理需要占用CA和用户的大量资源 OCSP能实时猎取某个证书的状态 现在使用的是OCSP合同20、信任模型(P120P122):层次模型、对等模型、网状模型、混合模型 对等模型中建立两个信任域的联系的方法:交叉认证(P21)21、口令传送的三种处理方式(P126) 口令的明文传送:担心全 采用单项散列函数处理口令:会受到重放攻击 采用单项散列函数和随机数处理口令:抗
6、重放攻击22、令牌的工作方式(P127)令牌没有物理接口,无法与计算机连接,必需手动把随机数键入键盘,令牌对键入的随机数用私钥进行数字签名,并把签名值的Base64编码输出到令牌的显示屏上,用户再键入计算机。23、基于角色的访问掌握思想(P128):授权给用户的访问权限通常由用户在一个组织中担当的角色来确定24、力量表与访问矩阵的区分(P131):力量表无空集消失25、强制访问掌握中下写上读保证了完整性(P132) 带敏感标签的文件的强制访问掌握要理解(P132图8-9)26、PMI(授权管理基础设施)和PKl的区分(P155) PKI证明用户是谁,而PMl证明这个用户有什么权限,能干什么 授
7、权管理基础设施PMI需要公钥基础设施PKl为其供应身份认证27、LinlIX的主要名目(P176)/bin保存引导系统所需的全部可执行程序以及常用的命令应把/bin名目设置在PATH变量的最前面/boot用于存放系统启动时所需的一些数据和文件dev用于存放设施文件,与硬件设施亲密相关/etc存放配置文件是黑客攻击首选的攻击目标$H0ME是各个用户的主名目varlog存放大部分的日志文件28、常用的DoS和LiIUIX命令DOS命令(第9章PPT第214页):nbtstatpingnetstattracer1netviewnetusenetstartnetstopnetusernelIocalg
8、roupnetlimenetshareat、shutdown、route%attribecho、calkfindstr、tasklisttaskkill重点关注:netstat-anIfindstrV端口号查看某端口是否打开Linux命令(第9章PpT第65、7072页):chattrfingerhistorylastnetstatwho、cpdevnullvarlogwtmpuseraddgroupsps-auxkilla11-9、kill-9walkidtop、freefdisk-Rdf-Ihfsck重点关注:ChmOd的权限位(u/g/o/a+/-r/w/x)和八进制表示方法重点关注:t
9、cpdump的几个参数(第11章PPT第19页)i网卡设施名称只抓取指定网卡上的数据包-sV包大小限制每个抓到包的大小,。为不限制,默认值是68-C包数目只抓取指定数量的数据包-w文件名,扩展名.ca保存为文件,可以用WireShark进行分析29、SUll)的作用(第9章PPT第78页):让原来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。30、TTL(生存时间,P198):数据包可以经过的最多路由器数目31、IP合同的平安问题(P199P200) 死亡之ping:分片重组的IP数据包长度超过最大尺寸,是一种DOS攻击 泪滴攻击:分片存在严峻重直 源路由哄骗:选项字段设置源
10、路由导致程序推断错IP包地址 IP地址哄骗:假IP地址的IP数据包32、TCP合同的三次握手(P202图11-5)(1) SYN=IACK=Oseq=x(2) SYN=IACK=Iseq=yack=x+l(3) SYN=OACK=Iseq=x+lack=y+133、TCP合同的平安问题(P202P203) SYN洪水攻击:发送SYN恳求,不应答SYN+ACK包,是一种DoS攻击 序列号猜想 1.AND攻击:源IP和目标IP、源端口和目标端口相同 TCP会话劫持(解决方法:带有认证机制的IPSec合同)34、拒绝服务攻击DOS和分布式拒绝服务攻击DDOS(P208)-DoS攻击的原理:使用过多的
11、恳求来耗尽服务器的资源,或者发送恶意数据使系统崩溃,从而使合法用户无法得到服务器的响应 DDoS攻击体系的三个部分:攻击目标、傀儡掌握机、傀儡机35、VPN(虚拟专用网络)的两种应用方式(P210):计算机接入内部网、连接多个内部网36、IPSeC合同的三个组成部分(P211) 认证报头合同AH、封装平安有效载荷合同ESP、因特网密钥交换合同IKE AH和ESP的区分:AH不供应数据保密性功能,ESP供应37、IPSeC合同中抗重放攻击的参数:序列号(P213)38、IPSeC的两种操作模式(P213):传输模式、隧道模式39、SSn)是每个BBS(基本服务集)在掩盖范围内的惟一标识(P225
12、)WAPl是我们国家的无线局域网平安标准(P225)40、双重签名(P235) 实现原理:将两个摘要连接后数字签名,并将一条消息的原文、另一条消息的摘要和数字签名传送出去 目的:保证消费者的银行交易信息对商家隐蔽,而对银行隐蔽订单的详细细节。41、SSL(平安套接字层,P236) SSL/TLS的版本:SSL2.0、SSL3.0、TLS1.0、TLS1.2 SSL与SET(平安电子交易)的区分:SSL是一个双方合同,仅供应通信双方的平安保证;而SET合同则供应通信多方的平安保证 SSL比SET简洁的多,更加简洁实现。SSL与HTTP结合就是HTTPS,支付宝就是典型的SET SSL的作用:主要
13、用于爱护HTTP合同的数据,即爱护扫瞄器与WWW服务器之间的通信42、SSL的组成部分(P237):SSL纪录合同、SSL握手合同、SSL转变密码法律规范合同、SSL告警合同43、防火墙的两种实现(P249):软件防火墙、硬件防火墙44、包过滤防火墙的优缺点(P259)优点:(1)包过滤是“免费的”,假如已经有了路由器,它很有可能支持包过滤。UNIX系统的iptables命令也可以充当包过滤防火墙的角色。(2)理论上只需要在局域网连接到因特网或外部网的地方设置一个过滤器,这里是网络的一个扼流点。(3)使用包过滤防火墙,不需要特地培训用户或使用特地的客户端和服务器程序。 缺点:(1)使路由器难以配置,特殊是使用大量规章进行简单配置的时候。(2)当包过滤防火墙消失故障,或者配置不正确的时候,对网络产生的危害比应用代理防火墙产生的危害大得多。(3)包过滤防火墙只对少量数据,如IP包的头部信息进行过滤。(4)许多具有包过滤功能的防火墙缺少健壮的日志功能,因此当系统被掺入或者被攻击的时候,很难得能到大量有用信息。