自学黑客(网络安全),一般人我劝你还是算了吧(自学网络安全学习路线--第六章 身份认证与访问控制)【建议收藏】

最新推荐文章于 2023-08-02 20:00:13 发布
最新推荐文章于 2023-08-02 20:00:13 发布
阅读量130 收藏 1
点赞数
分类专栏: 网络安全 计算机网络原理 文章标签: web安全 学习 安全 网络安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44967475/article/details/131413770
版权

文章目录

一、自学网络安全学习的误区和陷阱

1.不要试图先成为一名程序员(以编程为基础的学习)再开始学习
我在之前的回答中,我都一再强调不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,而且实际向安全过渡后可用到的关键知识并不多

一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。而且学习编程只是工具不是目的,我们的目标不是成为程序员。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少

在这里插入图片描述

2.不要把深度学习作为入门第一课

很多人都是冲着要把网络安全学好学扎实来的,于是就很容易用力过猛,陷入一个误区:就是把所有的内容都要进行深度学习,但是把深度学习作为网络安全第一课不是个好主意。原因如下:

【1】深度学习的黑箱性更加明显,很容易学的囫囵吞枣

【2】深度学习对自身要求高,不适合自学,很容易走进死胡同

在这里插入图片描述

3.不要收集过多的资料

网上有很多关于网络安全的学习资料,动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”,一下子购买十几本书,或者收藏几十个视频

网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料,下面我会推荐一些自认为对小白还不错的学习资源,耐心往下看

在这里插入图片描述

二、学习网络安全的一些前期准备

1.硬件选择

经常会问我“学习网络安全需要配置很高的电脑吗?”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以,不要打着学习的名义重新购买机器…

2.软件选择

很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统,Linux虽然看着很酷炫,但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习

至于编程语言,首推Python,因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。其他语言还包括C++、Java…

很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用我上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员

(这里额外提一句,学习编程虽然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识)

3.语言能力

我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,所以需要一定量的英文和黑客专业名词(不需要特别精通,但是要能看懂基础的)

比如说:肉鸡、挂马、shell、WebShell等等

三、自学网络安全学习路线

在这里插入图片描述

在这里插入图片描述

重点内容
身份认证
访问控制
访问控制类型
访问控制机制

在这里插入图片描述

身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段,通常是将某个身份与某个主体进行确认并绑定。

一、身份认证

通常身份认证由两类实体组成:

用户:
一类实体是用户,他们要向另一类实体证明自己的身份;

验证者:

另一类实体是验证者,他们要验证用户的身份。

1、身份认证概述

验证一个人的身份主要通过三种方式:

What you know

What you have

Who you are

2、身份认证常用技术

用户名/密码方式
IC卡认证
生物特征认证
USB Key认证
动态口令/动态密码
数字签名

3、常用身份认证机制

RADIUS认证机制
基于DCE/Kerberos的认证机制
基于公共密钥的认证机制
基于挑战/应答的认证机制
在这里插入图片描述

二、访问控制

1、访问控制概述

访问控制技术可以限制对计算机关键资源的访问,防止非法用户进入系统和合法用户对系统资源的非法使用。
访问控制的手段包括:
代码
口令
登录控制
资源授权(例如用户配置文件、资源配置文件和控制列表)
授权核查
日志和审计

2、访问控制基本要素

主要目标
机密性要求
完整性要求
可审计性
可用性
三大要素
主体
客体
控制策略
访问控制的实现
认证
控制策略的具体实现
审计

在这里插入图片描述

三、访问控制类型

主流访问控制技术有:自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)
自主型访问控制(DAC)
基于个人的策略
基于组的策略
强制型访问控制(MAC)
增加对资源的属性划分
比自主房间控制更加严格的访问控制策略
用户和客体资源都被赋予一定的安全级别
不能有效地抵抗计算机病毒的攻击
基于角色的访问控制(RBAC)
角色继承项目
最小权限原则
职责分离原则
在这里插入图片描述

四、访问控制机制

访问控制列表(Access Control List,ACL)
身份
文件属主
用户组
文件属主 及用户组成员对文件的访问权限
能力(Capabilities)机制


执行
安全标签机制
标签大小限制
如何对主题分配访问权
决定可访问某客体的所有主体

在这里插入图片描述

智慧云工具箱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
身份认证访问控制
qq_54575513的博客
06-17 758
河北金融学院(Hebei Finance University),位于河北省保定市,是中央与地方共建的全日制普通本科高等院校,是河北省优先发展的金融人才培养基地、河北省省级硕士立项建设单位。学校始建于1952年,原隶属于中国人民银行总行。截至2022年3月,学校占地面积1000余亩,校舍建筑面积25万多平方米;设有11个教学院,38个本科专业;有教职工973人;有全日制在校生共计14900余人。---------------------------------------------------------
网络安全第5章课后题 身份认证访问控制
qq_64314976的博客
06-23 1614
每次用户登录时,用户应输入用户名、口令和用户希望登录的服务器/域等信息,登录主机把这些信息传送给系统的安全账号管理器,安全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,服务器发给客户机或工作站允许访问的信息,记录用户账号的特权、主目录位置、工作站参数等信息,并返回用户的安全标识和用户所在组的安全标识。(10)将两个数字摘要MD 和MD′进行比较,验证原文是否被修改,如果二者相等,说明数据没有被篡改,是保密传输的,签名是真实的,否则拒绝该签名。多级安全策略的优点是避免敏感信息的扩散。
数据通信与计算机网络(第二版)-课件及习题答案.rar
06-26
6. **网络安全**:了解基本的网络安全威胁,如病毒、黑客攻击,以及相应的防护措施,如防火墙和加密技术。 课件部分将通过图表、示例和案例分析,生动展示这些理论知识,使学习更加直观易懂。而习题答案则可以帮助...
《计算机安全与防护》教学设计方案—.pdf
12-25
教学内容分析 本节是凤凰出版社初中信息技术第一册第二章管理计算机第三节《计算机安全与防护》 的内容,这部分内容以理论为主,主要讲了计算机安全和计算机病毒的相关知识,总结分析 了计算机病毒的特征、传播途径...
《python灰帽子》《用python写网络爬虫》《笨办法学python》等高清书籍
05-04
通过这些书籍,你可以从Python的基础语法开始学习,逐渐掌握网络爬虫的实现,了解网络安全,甚至深入到自然语言处理等领域,形成全面的Python知识体系。无论是自学还是作为参考书,这些资源都将为你的Python编程之旅...
国际互联网【计算机网络技术】
02-08
第6 章 常用软件介绍 …………………………………………………………………………… (66) 6 .1 共享软件的基本概念…………………………………………………………………… (66) 6 .2 压缩软件...
Internet技术与应用
06-10
6. **网络安全**:讲解常见的网络安全威胁,如病毒、黑客攻击,并讨论防范措施。 7. **网络管理**:涵盖网络监控、故障诊断、性能优化和网络策略制定。 8. **云计算**:解释云计算的基本概念,如IaaS、PaaS和SaaS,...
系统架构设计笔记(88)—— 身份认证访问控制
读万卷书,行万里路
10-02 4023
访问控制是通过某种途径限制和允许对资源的访问能力及范围的一种方法。它是针对越权使用系统资源的保护措施,通过限制对文件等资源的访问,防止非法用户的侵入或者合法用户的不当操作造成的破坏,从而保证信息系统资源的合法使用。访问控制技术可以通过对计算机系统的控制,自动 、 有效地防止对系统资源进行非法访问或者不当地使用,检测出一部分安全侵害,同时可以支持应用和数据的安全需求。访问控制技术并不能取代身份认证,它是建立在身份认证的基础之上的。 访问控制技术包括如下几方面的内容: (1)用户标识与认证 用户标识与认证是一种
网络安全身份认证访问控制实现原理(ZZ)
chqfei的专栏
07-18 2432
        身份认证访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证访问控制安全需求;而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证访问控制需求。以下将分别进行介绍:基于SSL的身份认证访问控制   目前,SSL技术已被
2.2 身份鉴别与访问控制
最新发布
weixin_43263566的博客
08-02 2073
为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。
密码学基础06——身份认证访问控制
weixin_43903568的博客
05-05 1281
身份认证 手段: 一、口令认证技术: 1.静态口令认证:就比如及时通讯软件,或者银行密码,等不常常更改的密码。登录时,用户系统会产生一个时间戳,将时间戳用口令和固定的密码算法加密,然后和用户名一起发送到相应的平台,平台进行解密来验证时间戳,但平台时看不到用户密码的,对于用户的账号密码只能通过比对加密后的值来判断是否登录成功。 容易受到字典攻击,暴力破解,社工,种植木马等攻击 2.动态口令认证: 采...
2021-05-05
qwerjssjjs的博客
05-07 1363
身份认证访问控制 1.身份认证 身份认证是信息安全中最前沿的一道防线,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。 身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源 常用网络身份认证方式 静态口令(password) 基于口令的认证方式是较常用的一种技术。 用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中,这个口令一般是长期有效的,因此也称为静态口令。 基于静态口
安全性和保密性设计---身份认证访问控制
hu19930613的博客
12-22 6333
身份认证访问控制     访问控制是通过某种途径限制和允许对资源的访问能力及范围的一种方法。它是针对越权使用系统资源的保护措施,通过限制对文件等资源的访问,防止非法用户的侵入或者合法用户的不当操作造成的破坏,从而保证信息系统资源的合法使用。     访问控制技术可以通过对计算机系统的控制,自动、有效地防止对系统资源进行非法访问或者不当地使用,检测出一部分安全侵害,同时可以支持应用和数据的安全...
网络安全自学笔记:实验吧CTF实战-WEB渗透与隐写术解析
"网络安全自学篇, CTF实战, WEB渗透, 隐写术, Chrome浏览器, Jother编码, BurpSuite, SQLMAP, Fiddler" 在网络安全领域,尤其是对于初学者来说,了解并实践CTF(Capture The Flag)实战是一种很好的学习方式。"04....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智慧云工具箱

你的鼓励将是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值