信息安全技术期末复习重点
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全服务:加强数据处理系统和信息传输的安全性的一种服务。其目的在于利用一种或多种安全机制阻止安全攻击
安全机制:用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。
安全攻击:任何危及系统信息安全的活动。
威胁:侵犯安全的可能性,在破坏安全或引起危害的环境,可能性行为或时间的情况下,会出现这种威胁。也就是说,威胁是利用脆弱性潜在危险。
攻击:对系统安全的攻击,它来源于一种具有智能的威胁。也就是说,有意违反安全服务和侵犯系统安全策略的(特别是在方法或技巧的)智能行为。
认证:保证通信的实体是它所声称的实体。
存取控制:阻止对资源的非授权使用。
数据保密性:保护数据免于非授权泄露。
连接保密性:保护一次连接中所有的用户数据
无连接保密性:保护单个数据块里的所有用户数据
选择域保密性:对一次连接或单个数据块里选定的数据部分提供保密性
流量保密性:保护那些可以通过观察流量而获得的信息
数据完整性:保证收到的数据确实是授权实体所发出的数据
具有恢复功能的连接完整性:提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放,且试图恢复之。
无恢复的连接性完整性:提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放,但不尝试恢复。
选择域连接完整性:提供一次连接中传输的单个数据块用户数据中选定部分的数据完整性,并判断选定域是否被修改
不可否认性:防止整个或部分通信过程中,任一通信实体进行否认的行为
源不可否认:证明消息是有特定方发出的
宿不可否认性:证明消息被特定方收到
加密:运用数学算法将数据转换成不可知的形式。数据的变换和复原依赖于算法和零个或多个加密密钥
数字签名:附加于数据元之后的数据,是对数据元的密码变换,以使得可证明数据源和完整性,并防止伪造
认证交换:通过信息交换来保证实体身份的各种机制
流量填充:在数据流空隙中插入若干位以阻止流量分析
路由控制:能够为某些数据选择特殊的物理上安全的路线并允许路由变化。
公证:利用可信的第三方来保证数据交换的某些性质
可信功能:据某些标准被认为是正确的
安全标签:资源的标志,指明该资源的安全属性
事件检测:检测与安全相关的事件
安全审计跟踪:收集的及潜在用于安全审计的数据,它是对系统记录和行为的独立回顾和检查
安全恢复:处理来自安全机制的请求,如事件处理、管理功能和采取恢复行为
被动攻击:它的特性是对传输进行窃听和检测,包括:信息内容泄露和流量分析
主动攻击:它包括对数据流进行篡改或伪造数据流,可分为:伪装、重放、消息篡改和拒绝服务
Kerberos原理:
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后AS 的响应包含这些用客户端密钥加密的证书。证书的构成为:1) 服务器“ticket” ;2) 一个临时加密密钥(又称为会话密钥“session key”)。客户机将ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
公钥证书:它是标志网络用户身份信息的一系列数据,它用来在网络通信中识别通信各方的身份。它是由权威的第三方机构即CA中心签发。它采用公钥体制,用户掌握私钥,公开公钥。一个简单的公钥签名包括:证书序号,主体公钥值,认证机构名,主体身份信息,认证机构签名。
公钥证书包括:
⏹版本号。其默认值为第1版。如果证书中需有发放者惟一标识符或主体惟一标识符,
则版本号一定是2;如果有一个或多个扩充域,则版本号为3。
⏹证书序列号。由CA发放,值唯一。
⏹签名算法标识符。签名算法及参数
⏹发放者名称。CA的名称
⏹有效期。起始时间和终止时间。
⏹主体名称。
⏹主体的公钥信息。
⏹发放者惟一标识符。
⏹主体惟一标识符。
⏹扩充域。
公钥证书作用及特性
保密性
通过使用收件人的公钥证书对电子邮件加密,只有收件人才能阅读加密的邮件。
完整性
利用发件人公钥证书在传送前对电子邮件进行公钥签名,不仅可以确定发件人身份,而且可以判断发送的信息在传递过程中是否被篡改过。
身份认证
利用发件人公钥证书在传送前对电子邮件进行公钥签名可以确定发件人身份,从而识破冒充的他人。
不可否认性
发件人的公钥证书只有发件人唯一拥有,发件人进行签名后,就不能否认发送过某个文件。第三章
PGP的处理流程
PGP加密系统是采用公开密钥加密与传统密钥加密相结合的一种加密技术。它使用一对数学上相关的钥匙,其中一个(公钥)用来加密信息,另一个(私钥)用来解密信息。
PGP采用的传统加密技术部分所使用的密钥称为“会话密钥”(sek)。每次使用时,PGP 都随机产生一个128位的IDEA会话密钥,用来加密报文。公开密钥加密技术中的公钥和私钥则用来加密会话密钥,并通过它间接地保护报文内容。
PGP中的每个公钥和私钥都伴随着一个密钥证书。它一般包含以下内容:
密钥内容(用长达百位的大数字表示的密钥)
密钥类型(表示该密钥为公钥还是私钥)
密钥长度(密钥的长度,以二进制位表示)
密钥编号(用以唯一标识该密钥)
创建时间
用户标识(密钥创建人的信息,如姓名、电子邮件等)
密钥指纹(为128位的数字,是密钥内容的提要表示密钥唯一的特征)
中介人签名(中介人的数字签名,声明该密钥及其所有者的真实性,
包括中介人的密钥编号和标识信息)
PGP把公钥和私钥存放在密钥环(KEYR)文件中。PGP提供有效的算法查找用户需要的密钥。
PGP在多处需要用到口令,它主要起到保护私钥的作用。由于私钥太长且无规律,所以难以记忆。PGP把它用口令加密后存入密钥环,这样用户可以用易记的口令间接使用私钥。
PGP的每个私钥都由一个相应的口令加密。PGP主要在3处需要用户输入口令:需要解开收到的加密信息时,PGP需要用户输入口令,取出私钥解密信息
当用户需要为文件或信息签字时,用户输入口令,取出私钥加密
对磁盘上的文件进行传统加密时,需要用户输入口令