网络与信息安全知识点总结.docx

### 网络与信息安全知识点总结 #### 一、计算机病毒的本质特点 计算机病毒的核心特性是**破坏性**。这种特性使病毒能够在未经授权的情况下侵入计算机系统，对系统中的文件和程序造成损害。 #### 二、DES的工作模式之一：密码分组链接(CBC) 密码分组链接（Cipher Block Chaining, CBC）是一种常见的DES（Data Encryption Standard）工作模式。在这种模式下，如果一个密文块损坏，则会导致解密后连续两个明文块损坏。这是因为CBC模式在加密过程中引入了一个初始化向量(IV)和前一个密文块来确保数据的安全性。当前一个密文块发生错误时，这种错误会在解密过程中传播到下一个明文块。 #### 三、避免访问控制表过大的方法 为了防止访问控制表（ACL）变得过于庞大，可以通过**分类组织成组**的方式来简化访问控制。这种方法是将具有相似访问需求的用户或者资源划分到同一组内，然后对该组设置统一的访问权限，从而减少访问控制表的规模和复杂度。 #### 四、公钥密码算法为何不能完全取代对称密码 尽管公钥密码算法提供了更强大的安全性和灵活性，但它存在以下局限性，因此无法完全取代对称密码算法： - **复杂性高**：公钥密码算法通常比对称密码算法更加复杂。 - **加解密速度慢**：对于大量数据的加密和解密，公钥密码算法的速度较慢。 - **不适合大量数据加密**：由于速度上的限制，对于需要高效加密的大批量数据，通常采用对称密码算法。 #### 五、入侵检测系统的组成部件 入侵检测系统（Intrusion Detection System, IDS）通常包含以下几个核心部件： - **事件生成器**：负责收集系统日志和其他相关信息。 - **事件分析器**：用于分析收集的信息，检测可能的入侵行为。 - **事件数据库**：存储所有相关的事件记录。 - **响应单元**：一旦检测到入侵行为，该组件会触发相应的应对措施。 - **目录服务器**：提供系统配置和管理功能。 #### 六、访问控制的实现方法 访问控制的主要实现方法包括： - **访问控制矩阵**：通过矩阵形式直观地表示各个用户对不同资源的访问权限。 - **访问控制表**（列）：列出用户或用户组对特定资源的访问权限。 - **访问能力表**（行）：列出特定资源被哪些用户或用户组所访问。 #### 七、PKI的组成部分 公共密钥基础设施（Public Key Infrastructure, PKI）主要由以下几个部分组成： - **权威认证机构（CA）**：负责颁发和管理数字证书。 - **数字证书库**：存储已颁发的数字证书。 - **密钥备份及恢复系统**：在密钥丢失或损坏时提供恢复机制。 - **证书作废系统**：管理失效或撤销的数字证书。 - **应用接口（API）**：提供与其他系统的接口。 #### 八、公钥密码的两种基本用途 公钥密码的主要用途包括： - **数据加密**：保护数据在传输过程中的机密性。 - **数字签名**：确保数据的完整性和发送者的身份认证。 #### 九、SHA-1算法的输出 SHA-1（Secure Hash Algorithm 1）算法产生的消息摘要长度为**160比特**。 #### 十、Kerberos的设计目标 Kerberos协议的设计目标是为了解决分布式网络环境下用户访问网络资源的安全问题，特别是防止非授权用户获取无权访问的服务或数据。 #### 十一、PKI管理的对象 PKI主要管理以下对象： - **证书**：用于证明公钥的所有者。 - **密钥**：包括私钥和公钥。 - **证书撤销列表**：记录已被撤销的数字证书。 #### 十二、防火墙的技术基础 防火墙的基本技术包括： - **包过滤技术**：检查数据包的头部信息。 - **代理服务技术**：作为内外网之间的中介。 - **状态检测技术**：跟踪连接状态。 - **自适应代理技术**：结合了代理服务技术和状态检测技术的优点。 #### 十三、数字签名的研究范畴 数字签名属于**防止行为抵赖**的研究范畴。它通过数学方法确保信息的发送者无法否认其发送过的信息，并且接收者能够验证发送者的身份。 #### 十四、完整的数字签名过程 完整的数字签名过程包括**签名过程**和**验证签名过程**两大部分。 #### 十五、用户认证依据 用户认证主要依据以下三个方面： - **用户所知道的东西**：例如密码、口令等。 - **用户所拥有的东西**：例如智能卡、身份证等。 - **用户所具有的生物特征**：例如指纹、虹膜扫描结果等。 #### 十六、入侵检测系统的分类 入侵检测系统可以根据不同的标准进行分类： - **根据信息来源**：基于主机的IDS和基于网络的IDS。 - **根据检测方法**：异常入侵检测和误用入侵检测。 #### 十七、访问控制的分类 访问控制的主要分类包括： - **自主访问控制**：用户自行决定其他用户的访问权限。 - **强制访问控制**：系统强制执行访问控制策略。 - **基于角色的访问控制**：根据用户的角色分配权限。 #### 十八、PKI的信任模型 PKI的信任模型主要有以下几种： - **层次模型**：信任关系呈层级结构。 - **交叉模型**：不同CA之间互相信任。 - **混合模型**：结合了层次模型和交叉模型的特点。 #### 十九、数字签名的分类 数字签名可以根据不同的标准进行分类： - **按签名方式**：直接数字签名、仲裁数字签名。 - **按安全性**：无条件安全的数字签名、计算上安全的数字签名。 - **按可签名次数**：一次性数字签名、多次性数字签名。 #### 二十、密码分析攻击的分类 密码分析攻击主要分为以下几种： - **已知密文攻击**：只有密文已知。 - **已知明文攻击**：攻击者知道部分明文及其对应的密文。 - **选择明文攻击**：攻击者可以选择任意明文并观察其对应的密文。 - **选择密文攻击**：攻击者可以选择任意密文并观察其对应的解密结果。 #### 二十一、消息鉴别与数字签名的区别 消息鉴别通过验证消息的完整性和真实性来保护消息免受第三方攻击，但它无法处理通信双方之间的相互攻击。相比之下，**数字签名**不仅提供了消息鉴别的功能，还能有效防止通信双方的相互欺骗和抵赖行为。 #### 二十二、访问控制策略的特点 访问控制策略有多种类型，每种策略都有其独特的特点： - **自主访问控制**：基于用户自行决定其他用户的访问权限。 - **强制访问控制**：系统强制执行访问控制策略。 - **基于角色的访问控制**：根据用户的角色来确定其访问权限，提高了系统的可管理性和安全性。 #### 二十三、异常检测模型与误用检测模型的区别 - **异常检测模型**：基于正常行为建立基线，任何偏离基线的行为都被视为可疑。 - **误用检测模型**：通过已知的攻击模式或特征来识别攻击行为。 #### 二十四、Caesar密码的解密示例 Caesar密码是一种简单的替换密码，当密文为“XXX_XX_XXX_XXXXXX”时（假设密钥k=3），解密后的明文为“TUU_TU_TUU_TUUUUT”。Caesar密码的特征在于其加密过程简单，即通过将明文中的字母向右移动固定的位置来实现加密。 #### 二十五、数字签名与手写签名的异同 数字签名与传统的手写签名相比，在功能上有着许多相似之处，但在实现方式和技术细节上则存在明显的区别： - **相同点**： - 都能防止签名者否认自己的签名。 - 都能防止他人伪造签名。 - 当签名真伪存在争议时，都可以通过某种方式得到验证。 - **不同点**： - 数字签名不与被签文件在物理上不可分，而是通过数学方法与被签文件进行绑定。 - 数字签名的验证过程依赖于数学算法，而非与真实签名的对比。 - 数字签名的复制品与其原件完全一致，而传统手写签名的复制品与原件有所不同。 #### 二十六、基于对称密码体制的中心化密钥分配方案 在基于对称密码体制的中心化密钥分配方案中，通常涉及以下步骤： 1. **用户A向密钥分发中心KDC发送请求**：请求包含A的身份信息。 2. **KDC验证A的身份**：确认A的身份合法。 3. **KDC生成一对临时密钥**：用于A和B之间的通信。 4. **KDC使用A的密钥加密临时密钥并发送给A**：保证密钥的安全传输。 5. **A使用自己的密钥解密临时密钥**：获取与B通信所需的密钥。 #### 二十七、网银转账操作的安全属性 在网银转账操作中，如果转账金额被非法篡改，那么这破坏了信息的**完整性**安全属性。 #### 二十八、安全散列函数的计算步骤 安全散列函数的计算步骤一般包括： - 将输入数据划分为固定大小的数据块。 - 对每个数据块应用散列函数，产生一个固定长度的输出。 - 将所有输出进行组合，得到最终的消息摘要。 #### 二十九、高级数据加密标准的前身 高级数据加密标准（Advanced Encryption Standard, AES）的前身是Rijndael对称分组密码算法，这是一种经过严格评估和测试的加密算法。 #### 三十、回放攻击 攻击者截获并记录了从A到B的数据，然后从早些时候所截获的数据中提取出信息重新发往B，这种攻击称为**回放攻击**。这类攻击利用了数据的重复发送特性，以达到欺骗的目的。 #### 三十一、数字证书的组成 数字证书是由认证机构（CA）颁发的一种电子文档，用于证明持有者（用户或实体）的身份。数字证书主要包括以下组成部分： - **版本号**：表示证书的版本。 - **证书序列号**：唯一的序列号。 - **签名算法表示符**：指定用于签名的算法。 - **颁发者名称**：颁发证书的CA名称。 - **有效期**：证书的有效时间范围。 - **主体**：证书持有者的详细信息。 - **主体公钥信息**：主体的公钥及其相关参数。 - **颁发者唯一标识符**：颁发者的唯一标识。 - **主体唯一标识符**：主体的唯一标识。 - **扩展域**：可选的扩展信息。 - **颁发者签名**：CA对整个证书的数字签名。 #### 三十二、数字签名使用单向Hash函数的原因 数字签名使用单向Hash函数的主要原因是为了**缩小签名密文的长度**，从而加快数字签名和验证签名的运算速度。通过对原始数据应用单向Hash函数，可以将其转换为固定长度的消息摘要，再对消息摘要进行签名，这样既能保证签名的安全性，又能提高效率。