信息安全与密码

信息安全与密码

衡量网络安全的指标要紧有保密性、完整性、可用性、可控性与可审查性。

网络安全的目标是确保网络系统的信息安全。

换种讲法，网络安全的目的是使用访咨询操纵机制使非授权用户“进不来”；使用授权机制使不该拿走的信息“拿不走”；使用加密机制使得信息即使不慎被拿走了，未授权实体或进程也“看不明白”；使用数据完整鉴不机制使未授权者对数据“改不了”；使用审记、监控、防抵赖机制使得攻击者、破坏者、抵赖者“逃不脱”。

增强信息系统安全的策略和技术：进行安全总体设计；INTERNET 和INTRANET 安全并重；治理和技术并重；结合一切信息安全技术；建立安全的网络协议；建立备份和复原机制；制定有关的国际标准。

从1976年至今, 1976年Diffie 和Hellman发表了“密码学的新方向”一文, 导致了密码学领域的一场革命。

流密码的差不多概念,流密码也称序列密码。。流密码强度完全依靠于密钥流的随机性和不可推测性，因此流密码的核心咨询题是密钥流生成器的设计。

流密码分类：按照密钥流产生算法是否与明密文有关，能够将流密码进一步分为同步流密码和自同步流密码两种。RC4是一个密钥长度可变、面向字节操作的流密码，是一种基于非线性数据表变换的密码。

分组密码：针对安全性的一样设计原则:Shannon提出的混淆原则和扩散原则.

数据加密标准DES的设计准则：（1）算法具有较高的安全性；（2）算法易于明白得；（3）算法的安全性依靠于密钥而不是算法；（4）算法必须能够验证；（5）算法必须适应各种应用，对所有用户有效；（6）算法可经济地用硬件实现；（7）算法必须能够出口。

DES是一个分组密码。DES使用长度为56比特的密钥加密长度为64比特的明文，

获得长度为64比特的密文。三重DES密钥的有效长度为168

雪崩效应：加密系统中明文或者密钥中的一个位的改变能够引起密文尽可能多

位的改变。

IDEA 的明文和密文分组差不多上64比特，隐秘密钥的长度是128比特，同一算法既可用于加密又可用于解密，该算法所依据的设计思想是“混合使用来自不同代数群中的运算”。

现代对称分组密码的特点：可变密钥长度；混合操作；数据循环移位、左右半部交换；依靠密钥的S 盒设计；可变的明文/密文长度。

网络加密的差不多方式分为链路加密和端对端加密。

公钥密码系统原理：公钥密码应用模型：(1)、公钥加密私钥解密；（2）、私钥加密公钥解密；（3）、上述两种方法相结合即为数字签名

RSA 是一种分组密码算法，

EIGamal 算法：基于离散对数的又一种可用于加密和认证的公钥密码算法。

数据加密----对称密码方法；对称密钥分发----公钥密码方法

协议是一系列步骤，它包括两方或多方，设计它的目的是要完成一项任务。

数字签名是一个比特串或者比特串的ACSII 表示，它把我们所考虑的电子数据“绑定”到一个密码私钥上。

数字签名的分类：直截了当数字签名；有仲裁的数字签名。

消息认证的目的：保证消息的完整性和真实性。

消息认证的方式：（1）明文和密文都发给对方（对称密钥）；（2）发送者用他的私钥加密，接收者用发送者的公钥解密；（接收者不能做到对消息的鉴不，注意与公钥密码通信的区不）（3）发送者用自己的私钥加密，再用接收者的公钥加密，接收者用自己的私钥解密，再用发送者的公钥解密。（既做到加密又实现了认证，但加解密复杂，通信流量大）。

散列函数（Hash Functions)是将任意长的输入消息数据串映射成一个较短的定长输出数据串的一种函数。

RSA 体制的安全性依靠于21p p n 分解的困难性。ElGamal 签名体制

安全性基于求离散对数的困难性。

IPSec(IP Security)不是一个单独协议，而是一套Internet安全协议的总称。它使用身份认证、数据完整性检查和数据加密等方法确保网络信息传输的安全性。

IPSec要紧包括AH、ESP和IKE。

IPSec不仅确定了有关的安全协议，同时提供了访咨询操纵、数据源验证、数据加密等安全服务。

TCP/IP协议的体系结构：数据链路层；网络层；传输层；应用层。

IPv4字段讲明：(1)版本(2)首部长度(3)服务类型(4)总长度(5)标识符(6)标志(7)分段偏移量

IPv6组成字段：（1）版本；（2）通信量类型；（3）流标；（4）有效载荷长度；（5）下一个首部；（6）跳数限制；（7）源地址；（8）目的地址。

IPv6有3种类型的地址：单播、任意播、组播

密钥交换协议（Oakley）是在Diffie-Hellman密钥交换算法基础上优化而来的一种协议；

SSL（Security Socket Layer）协议：SSL提供三方面的服务：1）用户和服务器的合法性认证；2）加密被传送的数据3）爱护数据的完整性。

每个握手协议的消息报文由类型、长度、内容三个字段组成。

运算机病毒是指编制者在运算机程序中插入的破坏运算机功能或者毁坏数据,阻碍运算机使用，并能自我复制的一组运算机指令或者程序代码。

蠕虫：能够自我复制的独立程序，可通过网络自动传播，不需要人工干预。不需要寄生在其它程序上。

木马：泛指那些表面看起来有用无害，但实际上包含有害代码的程序。假装成感爱好的程序或游戏，诱骗用户下载执行，借机植入系统进行破坏。

★病毒寄生在其它程序上，依靠于特定平台，在本地系统复制传播；

★木马具有较强的埋伏隐藏能力，不以感染其它程序为目的和一样也不使用网络进行主动复制传播；

★蠕虫也不需要寄生在其它程序上和依靠于特定平台，不需要运算机使用者干预即可运行和通过网络传播的攻击程序或代码

运算机病毒的特性：传染特性；破坏性；隐藏性；可激活性。

运行机制分为四个步骤：埋伏时期、繁育时期、触发时期、执行时期。

运算机病毒分析：要紧分析病毒的传播途径、破坏的现象以及表现症状。

运算机病毒防范是指通过建立合理的运算机病毒防范体系和制度，及时发觉运算机病毒侵入，并采取有效的手段阻止运算机病毒的传播和破坏，复原受阻碍的运算机系统和数据。

运算机病毒的清除是指依病毒的种类采取不同的清除措施，不同的病毒运行原理不同，那么它的清除方法也不同，然而清除病毒时也要遵循一定的规则。

防火墙的关键技术：数据包过滤技术(Filter)；代理服务技术（Proxy)；网络地址转换技术（NAT)；虚拟私有网络技术（VPN)。

防火墙的差不多类型：堡垒主机（或双宿主机）型防火墙；被屏蔽主机型防火墙；屏蔽子网型防火墙。

入侵检测系统的数据来源讨论：基于主机的信息源；基于网络的信息源；应用程序的日志文件。

访咨询操纵系统中一样包括主体、客体、安全访咨询政策三个元素；

访咨询操纵的策略：要紧有两种：传统的访咨询操纵策略和基于角色的访咨询操纵。

身份证明系统的组成和要求:组成：：由三方组成：示证者，又称作申请者，提出某种要求；另一方为验证者，检验示证者提出证件的正确性和合法性，决定是否满足其要求；第三方是攻击者，能够窃听和假装示证者骗取验证者的信任。

身份证明的差不多分类: 身份证明可分为两大类：第一类是身份证实，只对个人身份进行确信或否定判定。第二类是身份识不，要紧用来判不身份标识的真伪。

口令是一种按照已知事物验证身份的方法，也是一种最广泛研究和使用的身份验证法。