数据安全期末复习
概述
1.信息安全模型
密码技术
1.密码体制分类
- 对称密码体制
优点 | 缺点 |
---|---|
加/解密速度快 | 密钥分发需要安全通道 |
明文长度和密文一样 | 密钥量大难以管理 |
密钥比较短 | 无法解决不可否认性 |
- 非对称密码体制
优点 | 缺点 |
---|---|
密钥分发相对容易 | 加/解密速度慢 |
密钥管理容易 | 密文长度较长 |
能实现数字签名 | 密钥长度长 |
2.密码体制的攻击
- 唯密文攻击:攻击者知道部分密文;
- 已知明文攻击:攻击者者知道部分密文和对应的明文;
- 选择明文攻击:攻击者可以选择任意明文,并在同一密钥下得到相应密文;(控制加密器)
- 选择密文攻击:攻击者可以选择任意密文,并得到对应解密的明文;(控制解密器)
- 选择文本攻击:同时控制加密器和解密器。
3.传统密码体制
- 置换密码(重排)
- 代换密码(替换)
单字母代换 | 多字母代换 |
---|---|
单表代换 (移位,替换,仿射) | |
多表代换 |
-
仿射密码
e=(ax+b)mod26
d= a^-1(x-y)mod26 -
多表代换vigenere
分组 ->模26->加上密钥 -
统计分析法
4.现代对称密码体制
- DES
分组长度64位 密钥长度56位 其中8位为奇偶校验位
流程:明文64bit——>初始IP变换——>(64bit密钥进行子密钥生成)乘积变换——>逆初始变换——>输出64比特密文
5.非对称密码体制
- RSA基本原理:
1.密钥产生:
随机生成大素数p,q,n=p*q,欧拉函数O(n)=(p-1)(q-1)
随机选择密钥k,k和O(n)互质,若sk=k,pk就是sk的逆元
2.加密过程与解密过程
Ci=mi^sk mod n
Mi=ci^pk mod n
安全性取决与大素数分解的难度和p,q的保密性
信息认证技术
1.哈希函数MD5
以512为分组来处理数据,分为16个32位子数组——>输出4个32位子数字级联成128位散列值
- 数据填充与分组:最后一位为448位,将填充前的消息L转为64位,(保留最后64位)填充到后448位那里
2.消息认证技术
(检验消息是否真实)
- 消息加密:将整个消息的密文作为认证码
对称加密,添加校验码,公钥加密 - 哈希函数:将哈希函数产生的散列值作为消息认证码
使用哈希函数,保证机密性的哈希函数,混合加密认证 - 消息认证码:将消息和密钥一起作为认证码
3.数字签名
- 直接数字签名:依赖于发送方私人密钥的安全性,若丢失或被盗用,签名被伪造。
- 仲裁数字签名:
方案1:对称加密算法(报文M以明文形式发送)
方案2:对称加密算法,密文传输(仲裁者两方勾结)
方案3:公开密钥算法,密文传输()
4.身份认证
- 常见的重放攻击:1.简单重放;2.可检测的重放;3.不可检测的重复; 4.不加修改的逆向重放
重放攻击的预防:序列号,时间戳,随机数
基于对称密钥的身份认证 | 特点 |
---|---|
Needham-Schroeder (随机数) | 第三步易受攻击 |
Denning(时间戳) | 无法安全同步网络时钟,抑制—重放攻击,报文中的时间戳快了 |
Numan-Stubblebine | 解决抑制—重放攻击 |
基于公钥的消息认证 | 特点 |
---|---|
Denning-Sacco | 引入时间戳,但需严格时钟同步 |
Woo-lam | 用随机数作为临时交互值 |
计算机病毒
1.计算机病毒特征
隐蔽性,寄生性,可触发性,传染性,破坏性
2.常见的病毒类型
引导型病毒,文件型病毒,网络蠕虫,计算机木马
3.病毒的检测
特征代码法:对每种病毒样本抽取特征代码,根据该代码特征进行病毒检测;
校验和法:计算文件内容的校验和;
行为检测法:利用病毒特有行为特征进行检测
软件模拟法:两次特征代码法,识别未知病毒
网络攻击与防范
1.分类
分类 | 举例 |
---|---|
窃听 | 网络监听,获取密码,网络监听 |
欺骗 | 获取密码,恶意代码,网络欺骗 |
拒绝服务 | |
数据驱动攻击 | 缓冲区溢出 |
2.步骤
目标检测——端口扫描——网络监听——实施攻击——撤退
防火墙技术
1. 体系结构
-
堡垒主机体系结构
堡垒主机是一种被强化的可以防御攻击的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点(checkpoint),以达到把整个网络的安全问题集中在某个主机上解决。正是由于这个原因,防火墙的建造者和防火墙的管理者应尽力给予其保护,特别是在防火墙的安装和初始化的过程中应予以仔细保护 -
双宿主主机体系结构
双宿主主机的防火墙系统由一台装有两个网卡的堡垒主机构成。两个网卡分别与外部网及内部网相连。堡垒主机上运行防火墙软件,可以转发数据、提供服务等。堡垒主机将防止在外部网络和内部系统之间建立任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络。
双宿主主机有两个接口,具有以下特点。
(1)两个端口之间不能进行直接的IP数据包的转发。
(2)防火墙内部的系统可以与双宿主主机进行通信,同时防火墙外部的系统也可以与双宿主主机进行通信,但二者之间不能直接进行通信。
这种体系结构的优点是结构非常简单,易于实现,并且具有高度的安全性,可以完全阻止内部网络与外部网络通信 -
屏蔽主机体系结构
这种结构的堡垒主机位于内部网络,而过滤路由器按以下规则过滤数据包:任何外部网(如 Internet)的主机都只能与内部网的堡垒主机建立连接,甚至只有提供某些类型服务的外部网主机才被允许与堡垒主机建立连接。任何外部系统对内部网络的操作都必须经过堡垒主机,同时堡垒主机本身就要求有较全面的安全维护。包过滤系统也允许堡垒主机与外部网进行一些“可以接受(即符合站点的安全规则)”的连接 -
屏蔽子网体系结构
在最简单的屏蔽子网体系结构中,有两台都与边界网络相连的过滤路由器,一台位于边界网络与内部网络之间,而另一台位于边界网络与外部网络之间。在这种结构下,入侵者要攻击到内部网必须通过两台路由器的安全控制,即使入侵者通过了堡垒主机,它还必须通过内部路由器才能抵达内部网,因此整个网络安全机制就不会因一个站点攻破而全部瘫痪。