1、考试内容: 信息安全的要素、威胁、 Hash 函数的相关概念、计算机病毒特性及理解方面的要点1,信息安全的基本概念( 安全的定义 信息技术安全概述 网络攻击的形式等 )2,信息保密技术( 古典加密 对称加密 非对称加密 RAS 划重点 两种密码体制 和其代表方法)3,信息认证技术( 信息摘要函数,数字 签名,身份 认证技术 )4,密钥管理技术( 概念 基础密钥管理知识 密钥管理系统)5,访问控制技术( 模型、基本要素、相关要素实现机制) 访问级别 审计之类的不考6,网络攻击和防范( 主要网络攻击技术:计算机病毒技术) 防火墙之类的不考考试形式:闭卷考试1,判断(讲过的知识点的灵活运用)10 分
2、2,填空(关键知识点)20 分3,简答(基本,核心的部分言简意赅的说清楚就好)40 分4,计算(要求详细过程,主要是 实验内容对实验之外的内容也要关注 )30 分信息保密注意实验和平时作业习题:Q1、常 见信息安全威 胁(至少列出十种)信息破坏、破坏信息完整性、拒绝服务、非法使用(非授权访问)、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、 计算机病毒、人员不慎、媒体废弃、物理入侵、窃取、业务欺骗Q2、衡量密 码 体制安全性的方法?1、计算安全性:度量破译密码体制所需计算上的努力2、可证明安全性:通过规约的方式为密码安全性提供证据,如果使用某种具体方法破译一个密码
3、体制,就有可能有效的解决一个公认困难的数学问题类比: NP 完全问题的规约3 无条件安全性:假设攻击者具有无限的计算资源和计算能力时,密码体制仍然安全Q3、以 p=5,q=7 为例,简 述 RSA 算法的加密和解密过程 / 自选密钥Eg:n=p*q=35f(n)=(p-1)(q-1)=24若 gcd(e,f(n)=1 则取 e=5由 d=e-1modf(n) 可取 d=5加密:若明文为 Z,m 值为 26,则 me=265=11881376,密文 c=memod n=31解密:密文为 31,则 cd=315=28629151 解密 m=cdmod n=26 即 ZQ4:满足什么条件的 Hash
4、 函数是安全的?如果对于原像问题、第二原像问题、碰撞 问题这三个问题都是难解的, 则认为该Hash 函数是安全的。Q5:列出针对 Hash 函数的主要攻击类型。生日攻击、穷举攻击、中途相遇攻击Q6:简述身份信息认证系统的构成被验证身份者、验证者、攻击者、可信任的机构作 为 仲裁或调解机构Q7:密钥可以分为哪些类型数据加密密钥和密钥加密密钥密钥加密密钥又分为主密钥和初级密钥、二级密钥Q8:简述密钥保护的基本原则1、密钥永远不可以以明文的形式出现在密码装置之外。2、密码装置是一种保密工具,即可以是硬件,也可以是软件。Q9:什么是访问控制?它包括哪几个要素访问控制是指主体依据某些控制策略或权限对客体
5、本 身或是其资源进行的不同授权访问。访问控制是在身份认证的基础上,根据身份对提出的资源访问请求加以控制,是针对越权使用资源的现象进行防御的措施。访问控制是网络安全防范和保护的主要策略,它可以限制对关键资源的访问,防止非法用户或合法用户的不慎操作所造成的破坏。要素是:主体、客体、访问策略Q10:自主访问控制和强制访问控制有什么区别?1、自主访问控制(Discretionary Access Control)是一种最为普遍的访问控制手段,其依据是用户的身份和授权,并为系统中的每个用户(或用户组)和客体规定了用户允许对客体进行访问的方式。每个用户对客体进行访问的要求都要经过规定授权的检验,如果授权中
6、允许用户以这种方式访问客体,则访问就可以得到允许,否则就不予许可。2、强制访问控制的实质是对系统当中所有的客体和所有的主体分配敏感标签(Sensitivity Label)。用户的敏感标签指定了该用户的敏感等级或者信任等级,也被称为安全许可(Clearance);而文件的敏感标签则说明了要访问该文件的用户所必须具备的信任等级。强制访问控制就是利用敏感标签来确定谁可以访问系统中的特定信息的。3、区别:自主访问控制的数据存取权限由用户控制,系统无法控制;强制访问控制安全等级由系统控制,不是用户能直接感知或进行控制的。自主访问有很大的灵活性,但存在安全隐患,强制访问提高了安全性但在灵活性上大打折扣。
7、部分知识点:(个人感觉范围较大建议看 ppt)1、信息的定义信息:认识主体所感受的或所表达的事物的运动状态和运动状态的变化方式。(1)信息是普遍存在的。(2)信息与物质。(3)信息与能量。(4)人类认识事物,变革事物必须要有信息。2、信息的性质:普遍性、无限性、相对性、转换性、 变换性、有序性、动态性、转化性、共享性、可量度性3、信息技术信息技术的产生-来源:认识世界,改造世界信息技术的内涵:能够延长或扩展人的信息能力的手段和方法信息安全重要性:设计日常生活的各个方面信息安全研究设计的领域:消息层(完整性、保密性、不可否认性)、网 络层(可用性、可控性)4、信息安全的要素完整性、保密性、不可否
8、认性、可用性、可控性5、信息安全的定义安全的定义:远离危险的状态或特征信息上安全:关注信息本身的安全,保护信息财产不受损失 6、常见的安全威胁定义:指人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险常见威胁:信息破坏、破坏信息完整性、拒绝服务、非法使用(非授权访问)、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、 计算机病毒、人员不慎、媒体废弃、物理入侵、窃取、业务欺骗信息系统的威胁:物理安全角度:对系统所用设备的威胁通信链路角度:信息传输过程中的威胁网络安全角度:计算机网络使用中的威胁操作系统角度:对信息系统工作平台的威胁应用系统角度:
9、对网络服务或用户业务系统的威胁管理系统角度:管理人员不慎造成的威胁应对措施:1 、安全机制 :保护信息安全所采用的手段2 、一个完整的信息安全系统至少包含 3 类措施 技术方面的安全措施 管理方面的安全措施* 相应的政策法律7、网络攻击手段产生原因:网络本身具有的开放性和共享性系统客观存在的安全漏洞网络协议的设计缺陷发展阶段:早期-破解口令和利用系统已知漏洞等有限方法目前-逐步 发展成为一门完整的科学常见的网络攻击工具:安全扫描工具、监听工具、口令破译工具8、信息安全的实现安全机制: -保护信息安全所采用的手段信息安全的内容:-技术方面的安全措施-管理方面的安全措施-相应的政策法律 -国家关于
10、数据通信环境的安全机制法规 9、信息安全的技术措施信息加密:让有用的信息变为看上去看似无用的乱码,使攻击者无法读懂信息内容从而保护信息(单钥密码、公钥密码 序列密码、分组密码 )、数字签名:数字签名机制决定于两个过程签名过程-签名过程是利用签名者的私有信息验证过程-利用公开的规程和信息来确定签名是否是利用私有信息产生的、数据完整性保护、身份鉴别、 访问控制、数据 备份和灾 难恢复、网络控制技术、反病毒技术、安全审计、路由控制技术、其他:( 业务填充、公证机制等)10、信息安全管理管理目标:保障信息资源安全管理涉及方面:人事、设备、 场地、储存媒体、软件、网络、密码密钥管理管理原则:规范、预防、
11、立足国内、重 视实效、系 统化、均衡防护、应急和灾难恢复原则11、网络的安全防范防范重点:计算机病毒、黑客犯罪网络安全的体系构建:物理安全、网络安全、操作系统安全、数据安全、管理安全信息保密技术12、古典密码1、移位密码将 26 个英文字母依次与 0,1,2,25 对应密文 c=m+k(mod 26)明文 m=c-k(mod 26) (其中 k 是密钥)2、仿射密码密文 c=k1*m+k2(mod 26)明文 m=k1-1(ck2) (mod 26)3、维吉利亚密码该密码体制有一个参数 n。在加解密时同样把英文字母用数字代替进行运算,并按 n 个字母一组进行变换。明、密文空间及密钥空间都是 n
12、 长的英文字母串的集合。加密:设密钥 k=(k1, k2, , kn),明文 P=(m1, m2, , mn),加密函数 ek(P)=(c1, c2, , cn),其中 ci=(mi+ki) (mod 26), i=1, 2, , n。解密:对密文 c=(c1, c2, , cn),密 钥 k=(k1, k2, , kn),解密 变换为 dk(c)=(m1, m2, , mn),其中 mi=(ciki) (mod 26), i=1, 2, , n。4、置换密码加密:把明文字符以固定的宽度 m(分组长度)水平地 (按行)写在一张纸上(如果最后一行不足 m,需要补充固定字符),按 1,2,m 的一
13、个置换 交换列的位置次序,再按垂直方向( 即按列)读出即得密文。解密:将密文按相同的宽度 m 垂直在写在纸上,按置换 的逆置换交换列的位置次序,然后水平地读出得到明文。置换 就是密钥。13、两种密码体制和其代表方法对称加密 序列密码 分组密码 数据加密标准-DES非对称加密 RSA 密码算法 Diffie-Hellman 密钥交换算法 ElGamal 加密算法14、RSA 加密RSA 密码方案是惟一被广泛接受并实现的通用公开密码算法,目前已经成为公钥密码的国际标准。它是第一个既能用于数据加密,也通用数字签名的公开密钥密码算法。(1)密钥生成首先选取两个大素数 p 和 q,计算 n=pq ,其欧
14、拉函数值为 (n)=(p-1)(q-1) ,然后随机选择整数 e ,满足 gcd(e,(n)=1,并计算整数 d e-1 mod (n),则公钥为e, n,私钥是d, n。p, q 是秘密参数,需要保密,如不需要保存,可 销毁ps:gcd(e,(n)=1 指 e 和 (n)的公因数为 1d e-1 mod (n)-de=1mod (n)即 d 和 e 的乘积与 (n)相除余数为 1(2) 加密过程设接收方的公钥为 e,明文 m 满足 0mn(否则需要进行分组)计算密文 c= me mod n(3) 解密过程m= cd mod n信息认证技术15、信息摘要函数(hash 函数)定义:一个将任意长
15、度的消息序列映射为较短的、固定长度的一个值的函数。哈希函数安全的条件、常见攻击类型见习题16、数字签名签名应该具有的特征:可信、无法被伪造、无法重复使用、文件被 签名以后是无法被篡改的、签名具有不可否认性功能:解决否认、伪造、篡改及冒充等问题数字签名的实现:(1)用对称加密算法进行数字签名:hash 函数(直接数字签名)(单密钥、实现简单性能好、安全性低)(2)非对称加密算法:公钥签名技术(用单向函数对报文变换,得到数字签名。利用私钥进行加密。接收方公钥解密,得到数字 签名的明文。用单向函数对报文变换,得到数字签名。比较签名验证身份。加密 强度高。第三方认证。 ) 数字签名标准(DSS)两种特殊签名方式:盲签名、群签名17、身份认证技术身份认证目的:对通信中一方的身份进行标识和验证。1方法:验证用户所拥有的可被识别的特征21、只有主体了解的秘密,如口令、密钥2、主体携带的物品,如智能卡和令牌卡3、主体身份特征,如指纹、声音、视网膜身份 认证系统构成:被验证身份者(示证者)、验证者、攻击者、可信任的机构作3为仲裁或调解机构。在网 络通信中,身份认证 就是用某种方法证明用户 身份是合法的。 4常 见身份认证技术:基于口令的认证技术、双因子身份认证技术、生物特征认证5技术、给予零知识证明的识别技术具体实现:1、口令技术是目前常用的身份认证技术。