网络与信息安全复习资料

《网络与信息安全Ⅰ》复习资料1、网络信息系统脆弱性的主要原因：（1）网络的开放性：业务基于公开的协议；所有信息和资源通过网络共享；基于主机上的社团彼此信任的基础是建立在网络连接上的。（2）组成网络的通信系统和信息系统的自身缺陷。（3）黑客（hacker）及病毒等恶意程序的攻击。2、从协议层次看，常见主要威胁：（1）物理层：窃取、插入、删除等，但需要一定的设备。（2）数据链路层：很容易实现数据监听。（3）网络层：IP欺骗等针对网络层协议的漏洞的攻击。（4）传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。（5）应用层：存在认证、访问控制、完整性、保密性等所有安全问题。3、远程服务一般具备两个特征：远程信息监测和远程软件加载。4、攻击的种类：（1）被动攻击：搭线监听、无线截获、其他截获；（2）主动攻击：假冒、重放、篡改消息、拒绝服务；（3）物理临近攻击；（4）内部人员攻击；（5）软硬件配装攻击。5、网络信息系统安全的基本需求：一般可从以下5个方面定义其基本需求：（1）保密性(Confidentiality)（2）完整性(Integrity)（3）可用性(Availability)（4）可控性(Controllability)（5）不可否认性（抗否性non-repudiation）6、网络信息系统安全的内容：（1）网络信息系统安全的内容包括了系统安全和信息安全。系统安全主要指网络设备的硬件、操作系统和应用软件的安全。信息安全主要指各种信息的存储、传输的安全。（2）安全通常依赖于两种技术：一是存取控制和授权，如访问控制表技术、口令验证技术等。二是利用密码技术实现对信息的加密、身份鉴别等。7、什么是安全服务？主要内容是什么？包括哪些安全服务？（1）通常将加强网络信息系统安全性及对抗安全攻击而采取的一系列措施称为安全服务。（2）安全服务的主要内容包括安全机制、安全连接、安全协议和安全策略等，能在一定程度上弥补和完善现有OS和网络信息系统的安全漏洞。（3）ISO7498-2中的定义了五大类可选的安全服务：鉴别（Authentication）；访问控制（AccessControl）；数据保密（DataConfidentiality）；数据完整性（DataIntegrity）；不可否认（Non-Repudiation）。8、应用层提供安全服务的优缺点：应用层的安全措施只能在通信两端的主机系统上实施。（1）优点：a)安全策略和措施通常是基于用户制定的；b)对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务；c)不必依赖操作系统来提供这些服务；d)对数据的实际含义有着充分的理解。（2）缺点：a)效率低；b)对现有系统的兼容性差；c)改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。9、传输层提供安全服务的优缺点：传输层上的安全只能在通信两端的主机系统上实施。（1）优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。（2）缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。10、网络层提供安全服务的优缺点：网络层安全在端系统和路由器上都可以实现。（1）优点：a)主要优点是透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制；b)其次是网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问；c)第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。（2）缺点：无法实现针对用户和用户数据语义上的安全控制。11、数据链路层提供安全服务的优缺点：（1）优点：整个分组（包括分组头信息）都被加密，保密性强。（2）缺点：使用范围有限。只有在专用链路上才能很好地工作，中间不能有转接点12、加密是提供数据保密的最常用方法。13、按密钥类型划分，加密算法可分为对称密钥加密算法和非对称密钥两种；14、按密码体制分，可分为序列密码和分组密码算法两种。15、链到链加密方式的优缺点：在物理层或数据链路层实施加密机制。注：EK为加密设备，DK为解密设备，K1，K2，K3代表不能的密钥。（1）优点：a)主机维护加密设施，易于实现，对用户透明；b)能提供流量保密性；c)密钥管理简单；d)可提供主机鉴别；e)加/解密是在线。（2）缺点：a)数据仅在传输线路上是加密；b)开销大；c)每段链路需要使用不同的密钥。16、端到端加密方式的优缺点：（1）优点：a)在发送端和中间节点上数据都是加密的，安全性好；b)能提供用户鉴别；c)提供了更灵活的保护手段。（2）缺点：a)不能提供流量保密性；b)密钥管理系统复杂；c)只有在需要时才进行加密，加密是离线的。17、什么是密码学？包括哪几个部分？（1）密码学是研究密码系统或通信安全的一门学科，分为密码编码学和密码分析学。（2）密码编码学是使得消息保密的学科。（3）密码分析学是要研究加密消息破译的学科。18、密码体制的分类：（1）按操作方式进行分类：替换密码、换位密码。操作方式：是明文变换成密文的方法。替换密码：又称代替密码是明文中的每一个字符被替换成密文中的另一个字符。接收者对密文做反向替换就可以恢复出明文。换位密码：又称置换密码，加密过程中明文的字母保持相同，但顺序被打乱了。（2）按照对明文的处理方法进行分类：a)流密码（将明文按字符逐位加密）。b)分组密码（对明文进行分组后逐组加密）。（3）按照使用密钥的数量进行分类：对称密钥（单密钥）、公开密钥（双密钥）。（4）从密钥使用数量上看，密码系统分为：单密钥系统和双密钥系统。单密钥系统又称为对称密码系统或秘密密钥系统，其加密密钥和解密密钥或者相同或者实质上等同，即从一个密钥得出另一个。19、密码学的组成部分：a)X,明文（plain-text）：作为加密输入的原始信息。b)Y,密文（cipher-text）：对明文变换的结果。c)E,加密（encrypt）：对需要保密的消息进行编码的过程，是一组含有参数的变换。d)D,解密（decrypt）：将密文恢复出明文的过程，是加密的逆变换。e)Z（K）,密钥（key）：是参与加密解密变换的参数。f)加密算法：对明文进行加密时采取的一组规则或变化g)解密算法：对密文进行解密时采用的一组规则或变化h)加密算法和解密算法通常在一对密钥控制下进行，分别称为加密密钥和解密密钥。i)一个密码系统（或称密码体制或密码）由加解密算法以及所有可能的明文、密文和密钥（分别称为明文空间、密文空间和密钥空间）组成。20、密码分析的方法：密码分析：从密文推导出明文或密钥。密码分析常用的方法有以下4类：a)惟密文攻击（cybertextonlyattack）；b)已知明文攻击（knownplaintextattack）；c)选择明文攻击（chosenplaintextattack）；d)选择密文攻击（chosenciphertextattack）。21、一个好的密码系统应满足的要求：a)系统理论上安全，或计算上安全（从截获的密文或已知的明文-密文对，要确定密钥或任意明文在计算上不可行）；b)系统的保密性是依赖于密钥的，而不是依赖于对加密体制或算法的保密；c)加密和解密算法适用于密钥空间中的所有元素；d)系统既易于实现又便于使用。22、加密的功能：a)保密性：基本功能，使非授权者无法知道消息的内容。b)鉴别：消息的接收者应该能够确认消息的来源。c)完整性：消息的接收者应该能够验证消息在传输过程中没有被改变。d)不可否认性：发送方不能否认已发送的消息。23、衡量一个保密系统的安全性有两种基本方法：一种是计算安全性，又称实际保密性，另一种是无条件安全性，又称完善保密性。24、计算安全性和无条件安全性：（1）计算安全性（computationalsecurity）：如果利用最好的算法（已知的或未知的）破译一个密码系统需要至少N（某一确定的、很大的数）次运算，就称该系统为计算上安全的系统。（2）无条件安全性（unconditionallysecure）：a)不论提供的密文有多少，密文中所包含的信息都不足以惟一地确定其对应的明文；b)具有无限计算资源（诸如时间、空间、资金和设备等）的密码分析者也无法破译某个密码系统。25、P和NP问题：（1）易处理的（tractable）：确定性图灵机上能够在多项式时间内得到处理的问题。称易处理问题的全体为“多项式时间可解类”，记为P。（2）非确定性图灵机上能够在多项式时间内得到处理的问题被称为“非确定性多项式时间可解问题”，简称NP问题。NP问题的全体被称为“非确定性多项式时间可解类”，记为NP。（3）NP完全问题：指NP中的任何一个问题都可以通过多项式时间转化为该问题（SAT？）。NP完全问题的全体被记为NPC。26、流密码的分类及其工作模式：（1）按照对明文的处理方法进行分类：流密码（序列密码）、分组密码。流密码是一种针对比特流的重要加密方法，这种密码使用非常简单的规则，每次只对二进制串的一个比特进行编码。流密码的原则是创建密钥流的随机比特串，并且将明文比特和密钥流比特组合在一起，生成的比特串就是密文。在分组密码中，明文消息是按一定长度分组（长度较大的），每组都使用完全相同的密钥进加密，产生相应的密文，相同的明文分组不管处在明文序列的什么位置，总是对应相同的密文分组。（2）相对分组密码而言，流密码主要有以下优点：a)在硬件实施上，流密码的速度一般要比分组密码快，而且不需要有很复杂的硬件电路；b)在某些情况下（例如对某些电信上的应用），当缓冲不足或必须对收到的字符进行逐一处理时，流密码就显得更加必要和恰当；c)流密码能较好地隐藏明文的统计特征等。（3）流密码的原理：（4）分组密码的原理：（5）分组密码的优缺点：优点：易于标准化；易于实现同步。缺点：不善于隐藏明文的数据模式、对于重放、插入、删除等攻击方式的抵御能力不强。（6）分组密码的设计原则：安全性角度：a)“混乱原则”：为了避免密码分析者利用明文与密文之间的依赖关系进行破译，密码的设计应该保证这种依赖关系足够复杂。b)“扩散原则”：为避免密码分析者对密钥逐段破译，密码的设计应该保证密钥的每位数字能够影响密文中的多位数字；同时，为了避免避免密码分析者利用明文的统计特性，密码的设计应该保证明文的每位数字能够影响密文中的多位数字，从而隐藏明文的统计特性。可实现性角度：a)应该具有标准的组件结构（子模块），以适应超大规模集成电路的实现。b)分组密码的运算能在子模块上通过简单的运算进行。27、Feistel密码结构：加密:Li=Ri-1Ri=Li-1F(Ri-1,Ki)解密:Ri-1=LiLi-1=RiF(Ri-1,Ki)=RiF(Li,Ki)28、DES算法的特点：（1）DES算法是分组加密算法：以64位为分组。（2）DES算法是对称算法：加密和解密用同一密钥。（3）DES算法的有效密钥长度为56位。（4）换位和置换。（5）易于实现。29、DES算法要点：算法设计中采用的基本变换和操作：a)置换（P）：重新排列输入的比特位置。b)交换（SW）：将输入的左右两部分的比特进行互换。c)循环移位：将输入中的比特进行循环移位，作为输出。d)一个复杂变换（fK）1)通常是一个多阶段的乘积变换；2)与密钥Key相关；3)必须是非线性变换；4)实现对密码分析的扰乱；5)是密码设计安全性的关键。30、DES的加密过程：31、分组密码的工作模式：已经提出的分组密码工作模式有：a)密码分组链接（CBC）模式；b)密码反馈（CFB）模式；c)输出反馈（OFB）模式；d)级连（CM）模式（又称多重加密模式）；e)计数器模式；f)扩散密码分组链连（PCBC）模式。32、密码分组链接