《信息安全》复习大纲.ppt

1、,信息安全复习大纲,题型,选择题 名词解释 简答题 综合应用 论述题,选择题,通行字 密钥加密,名词解释,信息安全：信息安全的概念，有广义和狭义两种。广义的信息安全，是指一个国家或地区的信息化状态和信息技术体系不受威胁和侵害；狭义的信息安全，是指信息系统（包括信息网络）的硬件、软件及其数据、内容等不被破坏或泄露、不被非法更改，信息系统保持连续可靠运行、信息服务不中断的一种状态,信息安全的目标,机密性：确保信息不暴露给未授权的实体或进程。加密机制。防泄密 完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。防篡改

2、不可抵赖性（不可否认性）保证信息的发送者提供的交付证据和接收者提供的发送者的证据一致，使其以后不能否认信息过程。,可用性：得到授权的实体在需要时可访问资源和服务。 公钥体制：（非对称体制）加密密钥和解密密钥不相同，从一个难于推出另一个。,简答题,1. 身份认证的基本方法。 1）口令机制 用户名/口令认证技术：最简单、最普遍的身份识别技术，如：各类系统的登录等。 口令具有共享秘密的属性，是相互约定的代码，只有用户和系统知道。例如，用户把他的用户名和口令送服务器，服务器操作系统鉴别该用户。 口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户

3、口令，若口令与用户文件中的相匹配，用户即可进入访问。 口令有多种，如一次性口令；还有基于时间的口令,8,认证的方法,2）数字证书 这是一种检验用户身份的电子文件，也是企业现在可以使用的一种工具。这种证书可以授权购买，提供更强的访问控制，并具有很高的安全性和可靠性。 非对称体制身份识别的关键是将用户身份与密钥绑定。CA(Certificate Authority)通过为用户发放数字证书(Certificate)来证明用户公钥与用户身份的对应关系。,9,认证的方法,验证者向用户提供一随机数；用户以其私钥KS对随机数进行签名，将签名和自己的证书提交给验证方；验证者验证证书的有效性，从证书中获得用户公

4、钥KP，以KP验证用户签名的随机数。,10,认证的方法,3）智能卡 网络通过用户拥有什么东西来识别的方法，一般是用智能卡或其它特殊形式的标志，这类标志可以从连接到计算机上的读出器读出来。访问不但需要口令，也需要使用物理智能卡。 智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备，也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器必将成为用户接入和认证安全解决方案的一个关键部分。,11,4）主体特征认证 目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器等。安全性高。 例如：系统中存储了他的指纹，他接入网络时，

5、就必须在连接到网络的电子指纹机上提供他的指纹（这就防止他以假的指纹或其它电子信息欺骗系统），只有指纹相符才允许他访问系统。更普通的是通过视网膜膜血管分布图来识别，原理与指纹识别相同，声波纹识别也是商业系统采用的一种识别方式。,简答题,2. 散列函数的基本要求。 （1）输入x可以为任意长度；输出数据串长度固定； （2）正向计算容易，即给定任何x，容易算出H(x)；反向计算困难，即给出一Hash值h，很难找出一特定输入x，使h=H(x)； （3）抗冲突性（抗碰撞性），包括两个含义，一是给出一消息x，找出一消息y使H(x)=H(y)是计算上不可行的（弱抗冲突），二是找出任意两条消息x、y，使H(x)

6、=H(y)也是计算上不可行的（强抗冲突）。,简答题,3. 数字签名的基本特征。 （1）输入x可以为任意长度；输出数据串长度固定； （2）正向计算容易，即给定任何x，容易算出H(x)；反向计算困难，即给出一Hash值h，很难找出一特定输入x，使h=H(x)； （3）抗冲突性（抗碰撞性），包括两个含义，一是给出一消息x，找出一消息y使H(x)=H(y)是计算上不可行的（弱抗冲突），二是找出任意两条消息x、y，使H(x)=H(y)也是计算上不可行的（强抗冲突）。,14,简答题,数字签名的基本特点 传统签名的基本特点 能与被签的文件在物理上不可分割 签名不能被伪造 容易被验证 数字签名是传统签名的数字

7、化 能与所签文件“绑定” 签名不能被伪造,15,数字签名,设H杂凑函数，RSA签名过程为 sHd(m) (mod n) 验证过程如下：验证下式是否成立 H(m)se (mod n),16,简答题,公钥体制的优缺点 缺点：加密算法复杂，加密和解密速度较慢。 优点： 与对称体制相比，不需要共享密钥； 公钥在发布及传递的过程即使被截获，由于没有匹配的私钥，截获的公钥对入侵者没有太大意义； 密钥少，易于管理，N个用户需要N对密钥，网络中每个用户只需要保存自己的私钥。 密钥分配简单，加密密钥分给用户，解密密钥自己保存。,17,简答题,PKI的组成 PKI是用公钥概念和技术实施的，支持公开密钥的管理并提供

8、真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建,18,简答题,PKI的组成 PKI是用公钥概念和技术实施的，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。 KI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分：公钥密码证

9、书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。,19,简答题,PKI的组成 认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征； 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥； 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。,20,简答题,PKI的组成 证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作