網(wǎng)絡安全總復習(王杰版).doc

網(wǎng)絡安全總復習（王杰 高教版）第1章 網(wǎng)絡安全概論1、網(wǎng)絡安全的任務 維護數(shù)據(jù)的機密性、完整性和不可否認性，并協(xié)助提供數(shù)據(jù)的可用性。2、信息安全的內(nèi)容 除網(wǎng)絡安全外，信息安全還包括安全政策、安全審核、安全評估、可信賴操作系統(tǒng)、數(shù)據(jù)庫安全、安全軟件、入侵應對、計算機取證及災難恢復等領(lǐng)域。3、網(wǎng)絡攻擊技術(shù)（手段） 竊聽、密碼分析、盜竊密碼（密碼猜測、社交工程、網(wǎng)絡釣魚、DNS中毒（網(wǎng)轉(zhuǎn)）、字典攻擊、蠻力攻擊、密碼嗅探）、身份詐騙（中間人攻擊、消息重放（舊信重放）、IP詐騙（包括SYN充斥、TCP劫持、ARP詐騙）、緩沖區(qū)溢出攻擊（軟件剝削）、入侵（尋找入口：IP掃描和端口掃描）、流量分析、DoS攻擊（服務阻斷攻擊）、DDoS攻擊、垃圾郵件。4、惡意軟件 計算機病毒、蠕蟲、木馬、邏輯炸彈、軟件后門、間諜軟件、僵尸軟件（占比軟件）。5、hacker（黑客）、cracker Black-hat hacker（黑帽子黑客、黑頂黑客）White-hat hacker（白帽子黑客、白頂黑客）、Grey-hat hacker（灰帽子黑客、灰頂黑客）。第2章 常規(guī)加密算法1、對稱加密算法 也稱為常規(guī)加密算法，加密/解密使用同一個密鑰2、密鑰系統(tǒng)安全性因素 加密算法的強度、密鑰的長度、密鑰的保密性3、加密算法設(shè)計要求 運算簡便快捷、抵御統(tǒng)計分析（擴散性和混淆性）、抵御窮舉攻擊、抵御數(shù)學攻擊（差分破譯分析、線性破譯分析、代數(shù)破譯分析）、抵御旁道攻擊（比如計時攻擊）、密碼分析（已知明文攻擊、選擇明文攻擊、已知密文攻擊、選擇密文攻擊）4、DES算法（數(shù)據(jù)加密標準） 1977年由NBS（美國國家標準局，美國國家標準和技術(shù)研究院NIST的前身）公布為標準，源自1970年IBM公司Horst Feistel等人設(shè)計的Lucifer算法；DES算法將明文為若干個64位分組，每個分組用64-8=56位有效密鑰加密，經(jīng)過16輪加密變換，得到64位密文；56位密鑰經(jīng)過16輪移位、壓縮操作，產(chǎn)生16個48位子鑰，每輪加密使用1個子鑰；DES算法使用排斥加、置換、替換和循環(huán)移位四種簡單運算；由于56位密鑰過短，DES1997年被破解，1999年有人在使用小于1天的時間破解DES密鑰。5、3DES（三重DES） 目前安全；3DES/2密鑰長度為112位，3DES/3密鑰長度為168位。6、AES算法（高級加密標準） 2001年NIST選取兩位比利時密碼學家設(shè)計的Rijndael算法作為新的數(shù)據(jù)加密標準，稱為高級加密標準AES，2002年5月作為AES正式生效； AES算法將明文分為若干個16字節(jié)分組（AES算法以字節(jié)為基本處理單元），密鑰長度有128位、192位和256位三種，均使用16位子鑰；加密輪數(shù)分別為10、12和14輪；AES算法每輪運算都由字節(jié)替換、行位移、列混合和子鑰相加4部分組成； 目前安全，至少到目前為止還沒有發(fā)現(xiàn)破譯AES的有效方法。7、加密算法模式 電子密碼本模式（ECB模式） 密碼塊鏈模式（CBC模式） 密碼反饋模式（CFB模式） 輸出反饋模式（OFB模式） 計數(shù)器模式（CTR模式）8、序列密碼 也稱流密碼，以一個元素（一個比特或一個字母）為基本處理單元；相對的，分組密碼以一個分組（一定大小，比數(shù)DES為64位）為每次處理單元； 優(yōu)點：實現(xiàn)簡單，加解密處理速度快，便于硬件實施；適用于無線保密通信，如手機，無線網(wǎng)；序列密碼主要應用于軍事和外交等機密部門，目前公開的序列密碼算法有RC4、SEAL等。9、RC4密碼算法 RC(Rivest Cypher)系列密碼算法：RC1/RC2/RC3/RC4/RC5/RC6 RC4：Rivest在1987年設(shè)計的變長密鑰的序列密碼算法；RC4算法原理簡單，包括初始化算法（KSA）和偽隨機子密碼生成算法（PRGA)兩大部分；無線網(wǎng)通信標準802.11b中的WEP協(xié)議使用RC4加密算法。第3章 非對稱密碼體系及密鑰管理1、非對稱密碼算法 也稱為公鑰密碼算法，加密/解密使用的密鑰不同，密鑰對（公鑰，私鑰） 加密時，密鑰對如何使用？ 非對稱加密的用途是什么？（與對稱密碼算法相比）2、DH算法（Diffie-Hellman算法） Whitfield Diffie和Martin Hellman在1976年公布的一種密鑰交換（建立）算法，不用于數(shù)據(jù)加密；可為通信雙方確立一個對稱密鑰；基于模下指數(shù)冪運算。3、RSA算法 由Rivest、Shamir、Adleman三位密碼學家1978年發(fā)明的一種公鑰密碼算法；密鑰生成算法公式：e*d mod （p-1）*（q-1）=1；（e,n）作為公鑰，（d,n）作為私鑰，其中n=p*q。4、主密鑰與會話密鑰5、公鑰證書/數(shù)字證書6、認證中心CA7、密鑰傳遞方式 中心化密鑰分配方式與無中心密鑰分配方式： 中心化密鑰分配方式：由密鑰管理中心分配，常用于傳遞對稱密鑰，如密鑰分配協(xié)議kerberos； 無中心密鑰分配方式：公鑰密碼體制加密、公鑰證書。 對稱密鑰分配方式與公鑰分配方式： 對稱密鑰分配方式：告知、用公鑰密碼體制加密傳輸、由密鑰管理中心分配； 公鑰分配方式：公鑰證書。第4章 數(shù)據(jù)認證1、數(shù)據(jù)認證 驗證數(shù)據(jù)的不可否認性和完整性2、數(shù)字摘要/消息摘要/數(shù)字指紋 某字符串未使用密鑰加密的短的表示，由散列函數(shù)產(chǎn)生。3、消息認證碼MAC 某字符串使用密鑰加密的短的表示，由散列函數(shù)產(chǎn)生并用對稱加密算法加密4、散列函數(shù) 用于產(chǎn)生消息摘要或消息認證碼，將較長字符串“打碎重組”生成一個固定長度的短字符串（即消息摘要）的算法，也稱雜湊函數(shù)（算法）、哈希函數(shù)（算法）。5、散列函數(shù)的設(shè)計要求 單向性、計算唯一性6、SHA算法 SHA（Secure Hash Algorithm）安全散列算法，由美國國家安全局NSA設(shè)計，由美國國家標準和技術(shù)研究院批準使用的標準安全散列函數(shù)； SHA家族：SHA、SHA-1、SHA-224、SHA-256、SHA-384、SHA-512；其中SHA習慣稱為SHA-0，把SHA-256、SHA-384、SHA-512稱為SHA-2。7、MD5算法MD5（Message-Digest Algorithm 5）消息摘要算法5，由Rivest于1991年設(shè)計出來，可將大容量文件信息產(chǎn)生一個128位的散列值；目前已被破解，但在非絕密應用領(lǐng)域，MD5應該算得上非常安全。8、數(shù)據(jù)認證碼DAC與密鑰散列消息認證碼HMAC DAC（Data Authentication Code）,數(shù)據(jù)認證碼，也稱為CBC-MAC（密碼塊鏈模式MAC）,加密算法采用DES；由于DES安全性受到威脅，被HMAC取代。 HMAC（Keyed-hash MAC），密鑰散列消息認證碼，將密鑰信息滲入到數(shù)據(jù)后再用某種散列函數(shù)算出散列值；因嵌入不同的散列函數(shù)而產(chǎn)生不同的HMAC算法，如HMAC-SHA-512, HMAC-MD5等。9、數(shù)字簽名 用于保證信息傳輸?shù)耐暾?、發(fā)送者的身份認證、防止交易中的抵賴發(fā)生； 數(shù)字摘要技術(shù)與公鑰證書技術(shù)的結(jié)合應用。第5章 網(wǎng)絡安全協(xié)議1、IPsec（IP安全協(xié)議） 網(wǎng)絡層安全協(xié)議，由認證首部AH、封裝安全載荷ESP和互聯(lián)網(wǎng)密鑰交換IKE三部分組成； IPsec的兩種應用模式：傳輸模式、隧道模式。2、SSL/TLS（安全套接層協(xié)議/傳輸層安全協(xié)議） 傳輸層安全協(xié)議，SSL協(xié)議主要由SSL握手協(xié)議、SSL記錄協(xié)議組成； SSL握手協(xié)議用于給通信雙方約定使用哪個加密算法、壓縮算法及哪些參數(shù)； SSL記錄協(xié)議用于將數(shù)據(jù)分割、壓縮、簽名、加密并傳送給通信對方；典型的應用HTTPS（SSL上的HTTP協(xié)議）。3、PGP協(xié)議 PGP(Pretty Good Privacy)，應用層協(xié)議，加密軟件，可實現(xiàn)郵件、文件、數(shù)據(jù)加/解密、簽名等操作； 第1版于1991年公布使用，PGP 10.02 為最終安裝版，以后以插件形式出現(xiàn)在各安全產(chǎn)品中。4、S/MIME協(xié)議S/MIME（Secure Multipurpose Internet Mail Extension），安全多用途互聯(lián)網(wǎng)郵件擴充協(xié)議，電子郵件安全協(xié)議；支持多種格式的消息，不只是ASCII碼文本，還可以包含、圖像、聲音、視頻及其它應用程序的特定數(shù)據(jù)。5、kerberos協(xié)議 Kerberos協(xié)議是一個在局域網(wǎng)內(nèi)用常規(guī)加密算法進行用戶身份認證的協(xié)議； 這種認證方式下，用戶只需輸入一次正確的用戶名和密碼，即可獲得電子通行證從而可訪問多個服務； 需要兩個特殊的服務器：認證服務器AS：用于管理用戶和認證用戶；票據(jù)授予服務器TGS：用于管理服務器； 用戶需要使用兩種票據(jù)： TGS票據(jù)：由AS頒發(fā)給用戶，用于向TGS服務器證明自己的身份； 服務器票據(jù)：由TGS服務器頒發(fā)給用戶，用于向該服務器索要服務。6、SSH協(xié)議 SSH（Secure Shell），安全外殼協(xié)議，用于替代不安全的登錄工具，例如 RCP, FTP, RSH, Telnet, rlogin等。第6章 無線網(wǎng)的安全性1、無線網(wǎng)的類型無線廣域網(wǎng)（WWAN）、無線城域網(wǎng)（WMAN）、無線局域網(wǎng)（WLAN）和無線個人網(wǎng)（WPAN）2、無線局域網(wǎng)的體系結(jié)構(gòu) 固定無線局域網(wǎng)、特定無線局域網(wǎng)3、Wi-Fi無線網(wǎng) 接入點AP、Wi-Fi熱區(qū)、SSID4、WEP協(xié)議 WEP（Wired Equivalent Privacy），有線等價隱私協(xié)議，發(fā)布于1999年，是無線通信標準802.11b在數(shù)據(jù)鏈接層使用的安全協(xié)議；密鑰長度有40-bit, 104-bit (最通用的), 某些產(chǎn)品采用232-bit；身份認證算法采用簡單排斥加；完整性驗證算法采用CRC；加密算法采用RC4。5、WPA協(xié)議WPA（Wi-Fi Protected Access），Wi-Fi訪問保護協(xié)議，由Wi-Fi 聯(lián)盟于2003制定，基于IEEE 802.11i 標準初稿（第3稿）；在WEP的基礎(chǔ)上作了一些改進，如：TKIP協(xié)議（使用主密鑰和臨時密鑰）；完整性驗證采用Michael算法；6、WPA2協(xié)議 基于802.11i 標準，使用CCMP協(xié)議（AES-128加密算法及計數(shù)器模式-密碼塊鏈MAC協(xié)議）；7、藍牙技術(shù) 第7章 防火墻1、防火墻的功能與不足2、防火墻的類型3、網(wǎng)包過濾防火墻 無態(tài)過濾：訪問控制列表ACL有態(tài)過濾：狀態(tài)表4、電路級網(wǎng)關(guān)5、應用級網(wǎng)關(guān)6、可信賴系統(tǒng)7、保壘主機8、防火墻體系結(jié)構(gòu) 屏蔽路由器、雙重宿主主機結(jié)構(gòu)、屏蔽主機結(jié)構(gòu)和屏蔽子網(wǎng)結(jié)構(gòu)。9、網(wǎng)絡地址轉(zhuǎn)換NAT第8章 惡意軟件1、計算機