网络安全复习提纲(2012重邮)Word文件下载.doc
- 文档编号:14186078
- 上传时间:2022-10-19
- 格式:DOC
- 页数:17
- 大小:359.50KB
网络安全复习提纲(2012重邮)Word文件下载.doc
《网络安全复习提纲(2012重邮)Word文件下载.doc》由会员分享,可在线阅读,更多相关《网络安全复习提纲(2012重邮)Word文件下载.doc(17页珍藏版)》请在冰豆网上搜索。
恢复就是指在系统被入侵之后,把系统恢复到原样或者比原来更安全的状态。
PDRR模型的目标是尽可能的增大保护时间,尽量减少检测时间和响应时间,减少系统暴露时间。
三、安全服务
1.鉴别服务:
提供通信中的对等实体和数据来源的鉴别。
2.访问控制服务:
防止未经授权的用户非法使用系统资源。
3.数据保密性服务:
防止数据非授权泄露。
① 连接的保密性
② 无连接的保密性
③ 选择字段的保密性
④ 流量的保密性
4、数据的完整性服务:
防止通过违反安全策略的方式进行非法修改
① 有恢复功能的连接完整性
② 无恢复功能的连接完整性
③ 选择字段连接完整性
④ 无连接完整性
⑤ 选择字段无连接完整性
5、抗抵赖服务:
防止发送方发生数据后否认自己发送过的数据,或接受方接受数据后否认自己已收到过数据
① 数据源方证明的抗抵赖
② 数据交付证明的抗抵赖
四:
安全机制
1.加密机制
2.数字签名机制
数字签名能够保证:
报文鉴别、报文的完整性、不可抵赖
3、访问控制
4、数据完整性机制
5、鉴别交换机制
6、业务流填充机制
7、路由控制
8、公证机制
第二部分:
一.计算机网络机房与环境安全
1. 机房设计应该遵守以下原则:
(1)先进原则
(2)可管理性原则
(3)可靠原则
2.机房的三度要求:
(1)温度
(2)湿度
(3)洁净度、
二.计算机病毒和蠕虫
1. 计算机病毒的概念:
利用计算机软件与硬件的缺陷,编制的具有特殊功能的程序。
2. 计算机病毒的特征:
寄生性、传染性、潜伏性、隐蔽性、破坏性、可触发性、加密性、多态性。
3. 计算机病毒的分类:
按照计算机病毒存在的媒体:
网络病毒、文件病毒、引到型病毒。
按照破环能力分:
无害型、无危险型、危险型、非常危险型。
4.计算机病毒的五中传播途径:
(1)通过不可移动的计算机硬件设备进行传播
(2)通过移动设备传播
(3)通过计算机网络进行传播
(4)通过点对点通信系统和无线信道传播
蠕虫与传统病毒的区别:
见P294对照表
第三部分:
IPSecP55页
全称:
InternetProtocolSecurity。
概念:
IETF为了在IP层提供通信安全而制定的一套协议簇。
包含安全协议部分和密钥协商部分,安全协议部分定义了通信的安全保护机制;
密钥协商部分定义了如何为安全协议协商保护参数以及如何对通信实体的身份进行鉴别。
IPSec的安全协议部分
包含:
封装安全载荷ESP(EncapsulationSecurityPayload),和鉴别头AH(AuthenticationHeader)两种保护机制。
ESP:
为通信提供机密性和完整性保护
AH:
为通信提供完整性保护
IPSec中的AH协议
功能:
AH协议使用散列技术为IP报文提供数据完整性,数据源验证以及可选择的抗重放攻击保护,不提供数据加密服务。
组成:
由5个固定长度域和一个变长的认证数据域组成(详见p57)
保护对象:
上层协议(传输模式下)和完整的IP数据报(隧道模式下)。
AH的传输模式封装:
AH头插入IP头和路由扩展头之后、上层协议数据和端口到端扩展头之前。
AH的隧道模式封装:
将AH头插入原IP分组的IP头之前,并在AH头之前插入新的IP头。
AH传输模式保护对象:
在主机上保护上层协议,将AH报头插于IP报头和上层协议之间。
AH隧道模式保护对象:
保护主机和网关之间的数据。
IPSec中的ESP协议
数据加密:
提供AH的所有功能,以及数据加密服务,常用DES、3DES等。
认证服务:
EPS还提供认证服务,常通过HMAC-MD5、HMAC-SHA-1等。
ESP数据格式:
详见p59
ESP传输模式封装:
ESP插入IP头和上层协议之间,如TCP、UDP、ICMP或其他的IPSec头之前
ESP隧道模式封装:
整个受保护的IP包都封装在一个ESP包中(包括完整的IP报头),还增加一个IP头。
ESP传输模式保护对象:
保护上层协议,但不包括IP报头
ESP隧道模式保护对象:
保护主机之间或安全网关之间。
SSL/TLS协议簇
定义:
SSL/TLS协议是建立在可靠连接(如TCP)之上的一个能够防止偷听、篡改和消息伪造等安全问题的协议。
流程:
发送为对上层传下来的数据分片——>
压缩——>
计算MAC——>
加密——>
数据发送
接收为对收到的数据解密——>
验证——>
解压——>
重组之后发给上层应用程序
位置:
SSL/TLS作为一个兼容OSI七层网络结构模型的安全通信协议,位于传输层和应用层之间,对用户来说是一个可选层。
协议结构:
第一层:
记录层协议
第二层:
可靠传输层
连接阶段:
第一阶段:
握手阶段
第二阶段:
数据传输阶段
记录协议:
SSL中,实际的数据传输是使用SSL记录协议实现
握手协议:
握手协议是SSL/TLS中最重要的一个协议,他负责建立安全连接之前在SSL/TLS客户代理和SSL/TLS服务器之间鉴别双方身份、协商加密算法和密钥参数,为建立一条安全的通信连接做好准备。
握手协议的阶段:
阶段一:
建立安全能力
阶段二:
服务器鉴别和密钥交换
第三阶段:
客户端鉴别和密钥交换
第四阶段:
完成握手协议
详见p65
应用层安全通信协议
在应用层提供安全机制的优点在于:
以用户为背景执行,因此更容易访问用户凭据,比如私人密钥等;
对用户想保护的数据具有完整的访问权,简化了提供某些特殊的服务的工作,比如不可抵赖性;
应用可自由扩展,不必依赖操作系统来提供。
由此可见安全服务直接在应用层上处理单独应用需求是最灵活的方法,例如一个邮件系统可能需要对发出的邮件进行签名这在由低层提供安全服务的情况下是无法实现的,因为它不知道邮件的结构和哪些部分需要签名。
所以无论低层协议能提供何种形式的安全功能,在应用层提供安全服务是有理由的。
在应用层提供安全机制的缺点在于:
针对每个应用,都要单独设计一套安全机制。
这意味着对现有的很多应用来说,必须进行修改才能提供安全保障。
1、电子邮件安全协议
PGP四个密码单元:
对称加密算法、非对称加密算法、单向散列算法以及随机
数产生器。
PGP特点是通过单向散列算法对邮件体进行签名,以保证邮件体无法修改,使用对称和非对称密码相结合的技术保证邮件体保密且不可否认。
PGP的加密解密过程:
(1)根据一些随机的环境数据(如击键信息)产生一个密钥。
(2)发送者采用对称加密算法,使用会话密钥对报文进行加密。
(3)发送者采用非对称加密算法,使用接收者的公开密钥对会话密钥进行加密,并与加密报文结合。
(4)接收者采用同一非对称密码算法,使用自己的私有密钥解密和恢复会话密钥。
(5)接收者使用会话密钥解密报文。
PGP的签名验证过程:
(1)PGP根据报文内容,利用单向hash函数计算出定长的报文摘要。
(2)发送者用自己的私钥对报文摘要进行加密得到数字签名。
(3)发送者把报文和数字签名一起打包传送给接收者。
(4)接收者用相同的单向hash函数计算接收到的报文的摘要。
(5)接收者用发送者的公钥解密接收到的数字签名。
(6)接收者比较(4)、(5)步计算的结果是否相同,相同则表示验证通过,否则拒绝。
S/MIME与PGP主要有两点不同:
它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的,这就是所谓的TreeofTrust。
还有,S/MIME将信件内容加密签名后作为特殊的附件传送,它的证书格式采用X.509V3相符的公钥证书。
2、SET协议
SET提供了三种服务:
•在参与交易的各方之间建立安全的通信信道。
•通过使用符合X.509规定的数字证书来提供身份认证和信任。
•为了保证安全性,只有在必要的时候、必要的交易阶段才向必要的交易参与方提供必要的交易信息。
SET协议主要特征:
信息的保密性。
数据的完整性。
不可抵赖性。
SET交易5大环节:
客户/商家/银行注册地申请证书;
客户/商家/银行身份认证;
交易请求;
交易认证;
支付发货;
3、SNMP协议
团体(Community):
SNMP的团体是一个代理和多个管理站之间的认证和访问控制关系。
SNMPv1安全机制简单的认证服务
认证服务的目的是保证通信是经过授权的。
在SNMP中,认证服务主要是保证接收的报文来自它所声称的源。
SNMPv3定义了5类应用程序:
命令生成器、命令响应器、通知发生器、通知接收器和代理转发器。
S-HTTP连接的建立过程大致如下:
(1)客户对服务器进行认证;
服务器对客户的认证则是可选的。
(2)利用认证过程得到的数字证书,双方进行对称加密算法、会话密钥和MAC算法的协商。
(3)根据协商的结果进行协议数据的加密传输,并且由MAC算法保证数据完整性。
链路层安全通信协议
L2TP特点:
(1)差错控制:
L2TP通过其包头中的两个字段NextReceived和NextSent进行流控制和差错检测。
(2)地址分配:
L2TP支持在NCP协商机制的基础上动态分配客户地址。
(3)身份认证:
具有身份认证功能
(4)安全性能:
采用IPSec对LAC和LNS之间的IP包进行加密传送
L2TP工作流程:
隧道建立、会话建立和PPP帧的封装前转
L2TP格式:
T位为标识消息类型。
数据消息设置为0,控制消息设置为1如果L位为1,表示长度域存在。
对于控制消息,必须设置为1;
X位是为将来保留的扩展位。
所有的保留位在呼出消息中必须设置为0,在呼入消息中必须忽略。
若O位(序列号位)为1,则Ns和Nr域存在。
对于控制消息来说,该位必须设置为1。
Ver(版本号)可以设置为2,标明当前的L2TP版本号为第二版。
或者为3,标明当前的L2TP版本号为第三版。
Length域标识以八位组表示的消息长度。
相关课后习题答案:
不同网络层次安全保障的优势和不足:
数据链路层提供安全机制的优点:
无需对其任何上层进行改变就能对所有数据加密,提供链路安全;
能够由硬件在数据传输和接收时轻易实现,而且对性能的影响将会很小,能达到的速率最高;
能够和数据压缩很好的结合起来;
对流分析能提供最高的保护性;
对隐通道能提供最高的保护性;
基于网络攻击的途径最少。
数据链路层提供安全机制的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 复习 提纲 2012
![提示](https://static.bdocx.com/images/bang_tan.gif)