网络安全总复习(王杰版).doc

网络安全总复习（王杰 高教版）第1章 网络安全概论1、网络安全的任务 维护数据的机密性、完整性和不可否认性，并协助提供数据的可用性。2、信息安全的内容 除网络安全外，信息安全还包括安全政策、安全审核、安全评估、可信赖操作系统、数据库安全、安全软件、入侵应对、计算机取证及灾难恢复等领域。3、网络攻击技术（手段） 窃听、密码分析、盗窃密码（密码猜测、社交工程、网络钓鱼、DNS中毒（网转）、字典攻击、蛮力攻击、密码嗅探）、身份诈骗（中间人攻击、消息重放（旧信重放）、IP诈骗（包括SYN充斥、TCP劫持、ARP诈骗）、缓冲区溢出攻击（软件剥削）、入侵（寻找入口：IP扫描和端口扫描）、流量分析、DoS攻击（服务阻断攻击）、DDoS攻击、垃圾邮件。4、恶意软件 计算机病毒、蠕虫、木马、逻辑炸弹、软件后门、间谍软件、僵尸软件（占比软件）。5、hacker（黑客）、cracker Black-hat hacker（黑帽子黑客、黑顶黑客）White-hat hacker（白帽子黑客、白顶黑客）、Grey-hat hacker（灰帽子黑客、灰顶黑客）。第2章 常规加密算法1、对称加密算法 也称为常规加密算法，加密/解密使用同一个密钥2、密钥系统安全性因素 加密算法的强度、密钥的长度、密钥的保密性3、加密算法设计要求 运算简便快捷、抵御统计分析（扩散性和混淆性）、抵御穷举攻击、抵御数学攻击（差分破译分析、线性破译分析、代数破译分析）、抵御旁道攻击（比如计时攻击）、密码分析（已知明文攻击、选择明文攻击、已知密文攻击、选择密文攻击）4、DES算法（数据加密标准） 1977年由NBS（美国国家标准局，美国国家标准和技术研究院NIST的前身）公布为标准，源自1970年IBM公司Horst Feistel等人设计的Lucifer算法；DES算法将明文为若干个64位分组，每个分组用64-8=56位有效密钥加密，经过16轮加密变换，得到64位密文；56位密钥经过16轮移位、压缩操作，产生16个48位子钥，每轮加密使用1个子钥；DES算法使用排斥加、置换、替换和循环移位四种简单运算；由于56位密钥过短，DES1997年被破解，1999年有人在使用小于1天的时间破解DES密钥。5、3DES（三重DES） 目前安全；3DES/2密钥长度为112位，3DES/3密钥长度为168位。6、AES算法（高级加密标准） 2001年NIST选取两位比利时密码学家设计的Rijndael算法作为新的数据加密标准，称为高级加密标准AES，2002年5月作为AES正式生效； AES算法将明文分为若干个16字节分组（AES算法以字节为基本处理单元），密钥长度有128位、192位和256位三种，均使用16位子钥；加密轮数分别为10、12和14轮；AES算法每轮运算都由字节替换、行位移、列混合和子钥相加4部分组成； 目前安全，至少到目前为止还没有发现破译AES的有效方法。7、加密算法模式 电子密码本模式（ECB模式） 密码块链模式（CBC模式） 密码反馈模式（CFB模式） 输出反馈模式（OFB模式） 计数器模式（CTR模式）8、序列密码 也称流密码，以一个元素（一个比特或一个字母）为基本处理单元；相对的，分组密码以一个分组（一定大小，比数DES为64位）为每次处理单元； 优点：实现简单，加解密处理速度快，便于硬件实施；适用于无线保密通信，如手机，无线网；序列密码主要应用于军事和外交等机密部门，目前公开的序列密码算法有RC4、SEAL等。9、RC4密码算法 RC(Rivest Cypher)系列密码算法：RC1/RC2/RC3/RC4/RC5/RC6 RC4：Rivest在1987年设计的变长密钥的序列密码算法；RC4算法原理简单，包括初始化算法（KSA）和伪随机子密码生成算法（PRGA)两大部分；无线网通信标准802.11b中的WEP协议使用RC4加密算法。第3章 非对称密码体系及密钥管理1、非对称密码算法 也称为公钥密码算法，加密/解密使用的密钥不同，密钥对（公钥，私钥） 加密时，密钥对如何使用？ 非对称加密的用途是什么？（与对称密码算法相比）2、DH算法（Diffie-Hellman算法） Whitfield Diffie和Martin Hellman在1976年公布的一种密钥交换（建立）算法，不用于数据加密；可为通信双方确立一个对称密钥；基于模下指数幂运算。3、RSA算法 由Rivest、Shamir、Adleman三位密码学家1978年发明的一种公钥密码算法；密钥生成算法公式：e*d mod （p-1）*（q-1）=1；（e,n）作为公钥，（d,n）作为私钥，其中n=p*q。4、主密钥与会话密钥5、公钥证书/数字证书6、认证中心CA7、密钥传递方式 中心化密钥分配方式与无中心密钥分配方式： 中心化密钥分配方式：由密钥管理中心分配，常用于传递对称密钥，如密钥分配协议kerberos； 无中心密钥分配方式：公钥密码体制加密、公钥证书。 对称密钥分配方式与公钥分配方式： 对称密钥分配方式：告知、用公钥密码体制加密传输、由密钥管理中心分配； 公钥分配方式：公钥证书。第4章 数据认证1、数据认证 验证数据的不可否认性和完整性2、数字摘要/消息摘要/数字指纹 某字符串未使用密钥加密的短的表示，由散列函数产生。3、消息认证码MAC 某字符串使用密钥加密的短的表示，由散列函数产生并用对称加密算法加密4、散列函数 用于产生消息摘要或消息认证码，将较长字符串“打碎重组”生成一个固定长度的短字符串（即消息摘要）的算法，也称杂凑函数（算法）、哈希函数（算法）。5、散列函数的设计要求 单向性、计算唯一性6、SHA算法 SHA（Secure Hash Algorithm）安全散列算法，由美国国家安全局NSA设计，由美国国家标准和技术研究院批准使用的标准安全散列函数； SHA家族：SHA、SHA-1、SHA-224、SHA-256、SHA-384、SHA-512；其中SHA习惯称为SHA-0，把SHA-256、SHA-384、SHA-512称为SHA-2。7、MD5算法MD5（Message-Digest Algorithm 5）消息摘要算法5，由Rivest于1991年设计出来，可将大容量文件信息产生一个128位的散列值；目前已被破解，但在非绝密应用领域，MD5应该算得上非常安全。8、数据认证码DAC与密钥散列消息认证码HMAC DAC（Data Authentication Code）,数据认证码，也称为CBC-MAC（密码块链模式MAC）,加密算法采用DES；由于DES安全性受到威胁，被HMAC取代。 HMAC（Keyed-hash MAC），密钥散列消息认证码，将密钥信息渗入到数据后再用某种散列函数算出散列值；因嵌入不同的散列函数而产生不同的HMAC算法，如HMAC-SHA-512, HMAC-MD5等。9、数字签名 用于保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生； 数字摘要技术与公钥证书技术的结合应用。第5章 网络安全协议1、IPsec（IP安全协议） 网络层安全协议，由认证首部AH、封装安全载荷ESP和互联网密钥交换IKE三部分组成； IPsec的两种应用模式：传输模式、隧道模式。2、SSL/TLS（安全套接层协议/传输层安全协议） 传输层安全协议，SSL协议主要由SSL握手协议、SSL记录协议组成； SSL握手协议用于给通信双方约定使用哪个加密算法、压缩算法及哪些参数； SSL记录协议用于将数据分割、压缩、签名、加密并传送给通信对方；典型的应用HTTPS（SSL上的HTTP协议）。3、PGP协议 PGP(Pretty Good Privacy)，应用层协议，加密软件，可实现邮件、文件、数据加/解密、签名等操作； 第1版于1991年公布使用，PGP 10.02 为最终安装版，以后以插件形式出现在各安全产品中。4、S/MIME协议S/MIME（Secure Multipurpose Internet Mail Extension），安全多用途互联网邮件扩充协议，电子邮件安全协议；支持多种格式的消息，不只是ASCII码文本，还可以包含、图像、声音、视频及其它应用程序的特定数据。5、kerberos协议 Kerberos协议是一个在局域网内用常规加密算法进行用户身份认证的协议； 这种认证方式下，用户只需输入一次正确的用户名和密码，即可获得电子通行证从而可访问多个服务； 需要两个特殊的服务器：认证服务器AS：用于管理用户和认证用户；票据授予服务器TGS：用于管理服务器； 用户需要使用两种票据： TGS票据：由AS颁发给用户，用于向TGS服务器证明自己的身份； 服务器票据：由TGS服务器颁发给用户，用于向该服务器索要服务。6、SSH协议 SSH（Secure Shell），安全外壳协议，用于替代不安全的登录工具，例如 RCP, FTP, RSH, Telnet, rlogin等。第6章 无线网的安全性1、无线网的类型无线广域网（WWAN）、无线城域网（WMAN）、无线局域网（WLAN）和无线个人网（WPAN）2、无线局域网的体系结构 固定无线局域网、特定无线局域网3、Wi-Fi无线网 接入点AP、Wi-Fi热区、SSID4、WEP协议 WEP（Wired Equivalent Privacy），有线等价隐私协议，发布于1999年，是无线通信标准802.11b在数据链接层使用的安全协议；密钥长度有40-bit, 104-bit (最通用的), 某些产品采用232-bit；身份认证算法采用简单排斥加；完整性验证算法采用CRC；加密算法采用RC4。5、WPA协议WPA（Wi-Fi Protected Access），Wi-Fi访问保护协议，由Wi-Fi 联盟于2003制定，基于IEEE 802.11i 标准初稿（第3稿）；在WEP的基础上作了一些改进，如：TKIP协议（使用主密钥和临时密钥）；完整性验证采用Michael算法；6、WPA2协议 基于802.11i 标准，使用CCMP协议（AES-128加密算法及计数器模式-密码块链MAC协议）；7、蓝牙技术 第7章 防火墙1、防火墙的功能与不足2、防火墙的类型3、网包过滤防火墙 无态过滤：访问控制列表ACL有态过滤：状态表4、电路级网关5、应用级网关6、可信赖系统7、保垒主机8、防火墙体系结构 屏蔽路由器、双重宿主主机结构、屏蔽主机结构和屏蔽子网结构。9、网络地址转换NAT第8章 恶意软件1、计算机