1.BLP模型(Bell-LaPadula模型)
BLP模型基于强制访问控制(MAC)系统,以敏感度来划分资源的安全级别。属于保密性模型,只允许向下读、向上写。
2.Biba访问控制模型
对数据提供了分级别的完整性保证,类似于BLP保密模型,也使用强制访问控制系统(MAC)。此模型利用不下读,不上写的原则来保证数据的完整性。
*.Biba模型和BLP模型是相对应的模型。Biba模型改正了被BLP模型所忽略的信息完
整性问题,但在一定程度上忽视了保密性。
3.Chinese Wall安全策略
它的基础是客户访问的信息不会与目前它们可支配的信息产生冲突。
用户必须选择一个他可以访问的区域,必须自动拒绝来自其它与用户的所选区域的利
益冲突区域的访问,同时包括了强制访问控制和自主访问控制的属性。
4.RBAC模型
该模型是20世纪90年代研究出来的一种新模型。
这种模型的基本概念是把许可权与角色联系在一起,用户通过充当合适角色的成员而获得该角色的许可权。
RBAC访问控制模型的要素:
- 用户
- 许可
- 角色
*.RBAC与DAC(自主访问控制)的根本区别在用户是否自主地将访问权限授权给别的用户。
5.哈希函数(Hash Function)
Hash Function是一种将任意长度的数据数据(消息或键)通过一个确定性的算法转换为固定长度数据(哈希值或摘要或散列值)的函数。
哈希函数将输入资料输出成较短的固定长度的输出,这个过程是单向的,逆向操作难以完成。
MD5(Message-Digest Algorithm 5)——信息摘要算法第五版是一种广泛使用的哈希算法,主要用于产生数据的数字指纹。它以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由4个32位分组组成,将这4个32位分组级联后将生成一个128位散列值。
SHA-1(Secure Hash Algorithm 1)——安全哈希算法1和MD5最大的区别在于其摘要要比MD5摘要长32bit,故耗时要更长。
哈希函数的应用:
- 消息认证
- 数字签名(密码学)
- 口令保护
- 数据完整性
*.数字签名(密码学):通过加密算法和加密密钥将明文转变为密文,而解密则是通过
解密算法和解密密钥将密文恢复为明文。
哈希函数的特点:
- 压缩
- 易计算
- 单向性
- 抗碰撞性
- 高灵敏性
*.哈希函数的单向性:一个从明文到密文的不可逆映射,只有加密过程,没有解密过程。
哈希算法中,安全性最好的是SHA-3。可产生160位哈希值的哈希算法是SHA-1。
*.两个不同的消息具有相同的消息摘要的现象称为碰撞。
6.DES(Data Encryption Standard)——数据加密标准
DES是一种对称算法。
利用DES等强密码算法可以实现一次性口令:系统产生一个随机数r,并对其加密得到Ek(r),并将Ek(r)提供给用户,用户计算 Ek(Dk(Ek(r)+1)),并将计算值回送给系统。同时系统计算Ek(r+1),系统将用户返回的值与系统自己计算的值进行比较,若两者相等,则系统认为用户的身份为真,这种方法中,系统和用户必须持有相同的密钥。
DES算法的加密密钥是根据用户输入的密码生成的,该算法吧64位密码中的第8位、第16位、第24位、第32位、第40位、第48位、第56位、第64位作为奇偶校验位,在计算密钥时忽略这8位。因此密钥的有效位数为56位。
DES算法的密钥长度为56位。理论上,通过尝试所有可能的密钥组合(穷举攻击)可以DES加密的密文。
7.身份认证手段:
- 静态密码方式——以用户名及密码认证的方式
- 动态口令方式——主要有动态短信密码和动态口令牌
- USB KYE认证——基于硬件设备的身份认证技术。
- 生物识别技术——通过可测量的生物信息和行为等特征进行身份认证的一种技术。
*.AC授权证书表明拥有该证书的用户有相应的权利。
8.单点登陆
用户只需要进行一次验证,便可以访问到自己所需的网络、信息和其他资源。
消除了多个系统中的用户密码进行同步时的风险。
Hotmail、Yahoo、163等知名网站上使用的通行证技术都是单点技术。
9.数字证书
数字证书包含:
- 证书序列号
- 证书持有者名称
- 证书颁发者名称
- 证书有效期
- 用户的公钥
- CA的数字签名 *.数字签名过程使用的是签名者的私钥。
验证数字证书的真实性,是通过验证证书中证书机构的数字签名来实现。
9.对称密码设计
其中用以达到扩散和混淆的目的的方法:乘积迭代。(主要思想:扩散和混淆)
对称密码设计的加解密处理速度快。
加解密使用的密钥相同。*.对称加密最大的缺点:密钥管理困难。
数字签名困难。
*.数字签名能够提供的安全服务:
- 鉴别(认证)
- 完整性
- 不可抵赖
10.密码分析学中的4种典型的密码攻击:
- 唯密文攻击(最容易防范)——密码分析者(攻击者)已知加密算法和要解密的密文时,所能发起的攻击
- 已知明文攻击
- 选择明文攻击
- 选择密文攻击(最难防范)。
11.对称密钥体制(单密钥体制或传统密码体制)
对称密钥体制根据对明文的加密方式不同分为两类:分组密码(分块密码)和序列密码。
常见的分组密码算法:DES、IDEA、AES等。(分组密码每一次加密一个明文分组)
公开的序列密码算法:RC4、SEAL等。(序列密码每一次加密一位或者一个字符)
优点:加解密处理速度快和保密度高。
缺点:密钥管理和分发复杂且代价高、数字签名困难。
12.美国联邦政府2001年颁布的高级加密标准:AES。
13.自主访问控制
任何访问控制策略最终均可以被模型化为访问矩阵形式。
系统中访问控制矩阵本身通常不被完整地存储起来,因为矩阵中的许多元素常常为空。
访问矩阵中的每行表示一个主体,每一列表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。
自主访问控制模型的实现机制就是通过访问控制矩阵实施,而具体的实现办法则是通过访问能力表或访问控制表来限定哪些主题针对哪些客体可以执行什么操作。
14.Feistel网络(Feiste结构)
Feistel网络(Feiste结构)被DES、FEAL、Twofish、RC5等算法使用。
15.密码分组链模式(CBC)
每一分组的加密都依赖于所有前面的分组。
其缺点之一就是要求数据的长度是密码分组长度的整数倍。
明文要与前面的密文进行异或运算然后被加密,从而形成密文链。
CBC模式除了用于加密大长度明文外,还常用于报文鉴别与认证。
*.分组密码的工作模式:电子密码本(ECB)、密码分组链(CBC)、密码反馈(
CFB)、输出反馈(OFB)、计数(CTR)。
16.DSS(数字签名标准):用于数字签名。
RSA:属于非对称加密算法,用于加密和数字签名。
IDEA:属于对称加密算法,用于加密,不适合数字签名。
17.AES
采用SP网络。
其圈函数F分为4层:
- 第一层:S盒变换ByteSub,是AES算法中唯一的非线性变换,由16个S盒并置而成,起到混淆的作用。
- 第二层:行移位变换ShiftRow,这是线性混合层,矩阵行被唯一,列被混淆,确保多轮之上的高度扩散。
- 第三层:列混淆变化MisColumn,这是线性混合层,矩阵行被唯一,列被混淆,确保多轮之上的高度扩散。
- 第四层:密钥加变化AddRmmdKye,矩阵中的每个字节都将与子密钥进行异或。
18.数据库的渗透测试主要包括:
- 监听器安全性分析
- 用户名和密码渗透
- 漏洞分析。
19.对于非对称加密而言,加解密密钥不同,私钥需要妥善保护,而公钥可以公开,但完整性和真实性必须严格保护。
20.密码学分为:密码编码学和密码分析学。
21.对称密码体制(单密钥密码体制/传统密码体制)基本特征是发送方和接收方共享相同的密钥,即加密密钥与解密密钥相同。
对称加密不易实现数字签名,限制了它的应用范围。
22.密码体制的安全仅依赖于对密钥的保密。
23.Caesar:最早的代换密码。(Julius Carser)
24.密钥加加密密钥/次主密钥(Key Encryption KEK)
对传送的会话或文件密钥进行加密时所采用的密钥。
25.用户密钥
由用户选出或由系统分配给用户的可在较长时间内用户所专用的秘密密钥。
26.ElGamal密码是除RS密码之外最有代表性的公开密钥密码,建立在离散对数的困难性之上。RSA建立在大整数因式分解的困难性之上,其尚未破解的密钥长度为:512、1024、2048。1996年成功破译了RSA-130,1999年破译了RSA-140。
27.常用的对称加密算法:DES、3DES(TripleDES)、AES、TDEA、Blowfish、RC2、RC4、REC5、SM1……
28.AES的分组长度固定为128位,密钥长度可以是:128、192、256位。
29.数据库安全检测:
- 端口扫描——对目标数据库的开发服务端口进行扫买哦和确定
- 渗透测试——完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做渗入的探测,发现系统最脆弱的缓解。
- 内部安全检测——深入数据库内,对数据库内部的安全相关对象进行完整的稻苗和检测。包括安全元数据、内部审计、安全配置检查、漏洞检测、版本补丁检测。
30.Kerberos
一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据,可实现单点登录。
Kerberos协议支持双向的身份认证,通过交换跨域密钥视线分布式网络环境下的认证,且与授权机制相结合。
Kerberos协议身份认证采用的是对称加密机制。其中的AS和TGS是集中式管理,容易形成瓶颈。
Kerberos协议不需要解决时钟同步问题。
31.消息摘要
消息摘要是一个唯一对应一个消息或文本的固定长度的值,它是由一个单向hash加密函数对消息进行作用产生的。
哈希算法实际上将明文压缩成消息摘要,是一定会有碰撞产生,也就是两个不同的明文生成相同的哈希值(消息摘要),因为明文和消息摘要的信息量不同。
两个不同的消息具有相同的消息摘要的现象称为碰撞。
32.Diffie-Hellman算法
第一个使用的非保护信道中共享密钥的方法,本身是一个匿名(无认证)的密钥交换协议,已经成为很多认证协议的基础,存在遭受中间人攻击的风险。
33.P类问题:计算机可以在多项式时间复杂度内解决的问题。
NP类问题:计算机在多项式时间复杂度内不可以解决的问题。
34.智能卡存储用户私钥(Smart Cards)
提供了抗修改能力。
比使用口令方式有更高的安全性。
不易于全面推广。
卡片体积小,便与携带。
35.RADIUS(拨号用户远程认证服务)协议(C/S结构协议)
RADIUS是一个客户端/服务器协议,它运行在应用层,使UDP协议之上,并且没有定义重传机制。
RADIUS不支持失败恢复机制。
RADIUS固有的C/S模式限制了它的进一步发展。
RADIUS的审计独立于身份验证和授权服务。RADIUS中认证与授权必须成对出现。
RADIUS进行简单的用户名、密码认证,且用户只需要一个接受或拒绝即可进行访问。
RADIUS从用户角度结合了认证和授权。(TACACS+(TCP)分离了认证和授权)
RADIUS的优点:简单明确,可扩充。
RADIUS属于集中式访问控制技术,提供集中式AAA管理。
36.1994年,美国联邦政府颁布数字签名标准(DSS)。
37. USB Key身份认证
采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
USB Key内置单片机或智能卡芯片,可以存储用户的密钥或数字证书。
USB Key作为数字证书的存储介质,可以保证私钥不被复制。
USB Key有两种应答模式:基于挑战/应答的认证模式和基于PKI体系的认证模式。
38.消息摘要算法MD5可以对任意长度的明文产生128位的消息摘要。
39.会话密钥
两个通信终端用户在一次交换数据时所采用的密钥,当用其保护传输数据时称为数据加密密钥。
40.静态密码机制是一种不安全的身份认证方式。
41.身份认证协议:单向认证协议、双向认证协议。
42.基于动态口令认证的方式主要有:动态短信认证、动态口令牌(卡)认证。
口令一次一密,大大提高的安全性。
43.消息认证
可以抵抗伪装、内容修改、顺序修改、计时修改的方法。
这是是一种认证技术,它利用密钥来生成一个固定长度的数据块,并将该数据块附加在消息后。
消息认证只提供认证。
44.访问控制中主体和客体
主体是一个主动的实体,它提供对客体中的对象或数据的访问要求。
45.Diameter协议
该协议支持移动IP、NAS请求和移动代理的认证、授权和审计工作,协议的实现和RADIUS类似,但是采用TCP协议,支持分布式审计。它克服了RADIUS的许多缺点,是最适合未来移动通信系统的AAA协议。
*.AAA管理:认证、授权、审计。
46.强制访问控制
强访问控制对访问主体和受控对象标识两个安全标签:具有偏序关系的安全等级标签、非等级分类标签。它们是实施强制访问控制的依据。
强制访问控制是强加给访问主体的,即系统强制主体服从访问控制政策。强制访问控制的主要特征是对所有主体及其所控制的客体(如进程、文件、段、设备)实施强制访问控
制。
47.访问控制标签列表(ACSLL):限定一个用户对一个客体目标访问的安全属性集合。
48.高交互蜜罐
指用作攻击的有真实操作系统的虚拟机系统,可以收集丰富的主机响应信息。
为了使“诱”更有效果,蜜罐系统的操作系统包括常用的Windows版本和Linux版本,提供常见服务(例如Web服务、FTP服务)。
49.CCB(密码块链接),每个平文块先与前一个密文块进行异或后,再进行加密,没有分组工作模式。
ECB(电码本)模式是分组密码的一种最基本的工作模式。在该模式下,待处理信息被分为大小合适的分组,然后分别对每一分组独立进行加密或解密处理。
CFB(密文反馈),其需要初始化向量和密钥两个内容,首先先对密钥对初始向量进行加密,得到结果(分组加密后)与明文进行移位异或运算后得到密文,然后前一次的密文充当初始向量再对后续明文进行加密。
OFB(输出反馈),需要初始化向量和密钥,首先运用密钥对初始化向量进行加密,对下个明文块的加密。
50.网络内容监控的主要方法:网络舆情分析。
51.恶意行为的监控方式主要分为:主机检测和网络监测。
网络监测中最常用的技术是在活动网络中被动监听网络流量,利用检测算法识别网络入侵行为。
在用户主机上安装反病毒软件和基于主机的入侵检测软件,对入侵主机的已知恶意代码进行检测和警告的恶意行为监控方式为主机监测。
52.CHECK约束通过限制用户输入的值来加强域完整性。它制定应用于列中输入的所有值的布尔搜索太偶见,拒绝所有不取值为TRUE的值。可以为每类指定多个CHERK约束。
53.在UNIX系统中每组权限有3个权限标志位来控制以下权限:
- 可读(r):如果被设置,则文件或目录可读。
- 可写(W):如果被设置,文件或目录可以被写人或修改。
- 可执行(x):如果被设置文件或目录可以被执行和搜索。
54.访问控制是指所有硬件、软件、组织管理策略或程序,它们对访问进行授权或限制、监控和记录访问的企图、标识用户的访问企图,并且确定访问是否经过了授权。
主要可以分为三类:预防性的访问控制、探查性的访问控制、纠正性的访问控制。
按照实现方法,访问控制可分为:行政性访问控制、逻辑/技术性访问控制、物理性访问控制。
模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。
55.访问控制管理是指按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、
文件等网络资源的访问。访问控制管理主要依赖:用户账户管理、操作跟踪、访问权利和许可权的管理。
56.序列密码又称流密码,这是一种对称密码算法,它通过对明文进行逐位加密,生成与明文等长的密文序列。*.RC4、SEAL属于序列密码。
57.在国产商用密码算法中,SM4属于分布密码算法。
58.数字签名
数字签名中,发信人是签名生成者(自己的私钥),收信人是签名认证者(发信人的公钥)。
数字签名是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化。它类似于手写签名或印章,也可以说它就是电子印章。
对一些重要的文件进行签名,以确定它的有效性。
数字签名的目的就是要保证文件的真实性,防止签名者抵赖。对文件进行了签名说明签名者认可了这份文件。所以数字签名系统不一定具有数据加密功能。
59.ECC在实际应用中,为了保证足够的安全性,一般选择的参数(有限域的大小)的规模应大于160位。
60.基于典型的对称密码身份认证协议是1978年提出的Needham-Schroeder认证协议。
61.IEEE 802.1x是一种基于端口的标准,用于对无线网络的接入认证,在认证是也采用RADfUS协议。
62.TACACS是指终端访问控制器访问控制系统。
63.网络中不良内容监控方法:网址过滤技术、网页内容过滤技术、图像内容过滤方式。
64.网络舆情分析系统:舆情分析引擎、自动信息采集功能、数据清理。
65.SM2:公钥密码算法。
SM3:消息摘要算法。
66.能用于产生认证码的是:
- 消息加密
- 消息认证码
- 哈希函数
67.密钥加密密钥(KEK)
对传送的会话或文件密钥进行加密时采用的密钥。
68.Diameter
Diameter运行在可靠d 传输协议TCP、SCTP之上。
Diameter支持串口机制,每个会话方可以动态调整自己的接受窗口,以免发送超出对
方处理能力的请求。
Diameter支持应用层缺人,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误。
Diameter采用peer-to-peer模式,peer的任何一端都可以发送消息以发起计费等功能或中断连接。
Diameter支持认证和授权分离,重授权可以随即根据需求进行。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
