文章目录[隐藏]
- 写在前面
- 1.1.1 信息系统面临的威胁
- 1.1.2 安全攻击
- 什么是信息安全?
- 1.2 信息系统的安全需求
- 1.3 安全服务
- 1.4 信息系统安全技术与机制
- 2.1 ★密码学概括
- 传统加密技术
- 3.密码的分类
- 2.1.1 密码编码学
- 2.1.2 密码分析学
- 2.2 代换(替代)密码技术
- ★置换密码
- 2.4 置换替代密码
- 2.5 一次一密钥密码
- 轮转机密码
- 3.1 ★对称密钥算法
- 3.3 ★数据加密标准
- 4 ★AES
- 4.2 AES的设计原理
- ★S盒
- 公钥密码体制
- 5.1 公钥密码体值的基本原理
- ★5.2 RSA算法的原理
- RSA体制
- 数字签名
- 5.3 椭圆曲线密码
- 5.4 数字签名标准
- 6.1 消息认证
- 散列函数方式
- MD5算法
- MD5算法的应用
- ★安全散列算法SHA
- 6.2 密钥管理
- 6.2.1 密钥分配
- PKI(公钥基础设施)
- 8.2 PKI中常用的密码技术
- 8.3 PKI体系的互通性
- 9.1 IP欺骗技术
- ARP欺骗
- 如何避免IP欺骗
- IPsec协议
写在前面
因为疫情,考试延迟到现在。
如今也每天糊糊涂涂~
好好开始复习。
疫情快快走开~
2021-11-21 17:15:13 星期日
1.1.1 信息系统面临的威胁
1.1.2 安全攻击
1.被动攻击
1. 试图了解或利用系统的信息但不影响系统资源。
2. 这类攻击一般在信息系统的外部进行,有用的信息可能被盗窃并被用于非法目的。
①信息窃取——消息泄露
内外攻击者从传输信道、存储介质等处窃取信息。
如:无线传输信号侦收、搭线窃听、盗窃文件等。
②密码破译
对截取的已加密信息进行密码破译,从中获取有价值的信息。
③信息流量分析
对网络中的信息流量和信息流向进行分析,然后得出有价值的情报
2.主动攻击
1. 试图改变系统资源或影响系统运作。
2. 这类攻击直接进入信息系统内部,往往给信息网络带来灾难新的后果
①入侵
Ⅰ通过系统或网络漏洞、远程访问、盗取口令。
Ⅱ借系统管理之便等方法进入系统,非法查阅文件资料、更改数据、拷贝数据、甚至破坏系统、使系统 瘫痪。
★②假冒
假冒合法用户身份、执行与合法用户同样的操作。
③篡改
篡改数据、文件、资料
④插入
在正常的数据流中插入伪造的信息或数据
★⑤重放
录制合法、正常的交互信息、然后再适当的时机重放。
⑥阻塞
使用投放巨量垃圾电子邮件、无休止访问资源或者数据库等手段造成网络的阻塞,影响正常运行。
什么是信息安全?
采用保护措施确保信息资源的完整性、可用性、保密性。
1.2 信息系统的安全需求
保证系统资源的完整性、可靠性、保密性、真实性、合法性和可追溯性。
1.保密性
广义的保密性:未经信息拥有者的许可,不得非法泄露该保密信息给非授权人员。
狭义的保密性:指利用密码技术对信息进行加密处理,以防止信息泄露。
★2.完整性
Ⅰ防止信息系统内程序和数据不被非法篡改、复制和破坏,并保证其真实性和有效性的一种技术手段。
Ⅱ完整性分为:软件完整性和数据完整性
软件完整性:是为了防止拷贝或拒绝动态追踪,而使软件具有唯一的标识。
数据完整性:保证存储或传输的数据不被非法插入、篡改、重发或意外事件的破坏。
3.可用性
保证合法用户能够正确的使用而不拒绝执行或访问。
4.可靠性
保证系统硬件和软件无故障或无差错,以便再规定的条件下执行预定算法。
5.真实性
1。信息接受方应能证实它所收到的信息内容和顺序都是真实的。
2。应能检验收到的信息是否过时或为重播的信息。
6.合法性
信息交换的双方应能对对方的身份进行鉴别,以保证收到的信息是由确认的对方发送过来的。
★7.可追溯性
实体的行为可以唯一追溯到该实体。
1.3 安全服务
安全服务主要用于提高组织的数据处理系统和信息传输的安全性,能够有意识地抵御安全攻击。
1.认证
确保通信实体正是声称的那一方实体。
★2.访问控制
防止未授权而使用资源。
补充:通过某种途径准许或者限制访问能力,从而控制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作所造成的破坏。
3.数据保密性
保护数据以免未授权而被公开。
★4.数据完整性
确保接收到的数据与可信实体发送的数据完全一致。
★5.不可否认性
提供保护措施以防止参与通信的一方否认传输或接受过某条消息。
1.4 信息系统安全技术与机制
1.信息系统安全技术概述
1.实体硬件安全
2.软件系统安全
3.数据信息安全
4.网络站点安全
★2.信息系统安全技术标准
1.鉴别,(认证)
2.访问控制
3.数据保密
4.数据完整性
5.抗否认
★8种安全机制
1.加密机制
2.数字签名机制
3.访问控制机制
4.数据完整性机制
5.鉴别交换机制
6.通信业务填充机制
7.路由控制机制
8.公证机制
2.1 ★密码学概括
1.明文——————原始消息
2.密文——————加密后的消息
3.加密算法——把明文转换为密文的算法
4.密钥——————在密码技术中使用只有发送者/接收者知道的信息
5.译成密码————将明文转换成密文
6.解译密码——————把密文恢复成明文
7.密码编码学———有关加密原理/方法的研究领域
8.密码分析学————在不知道密钥的情况下,解密密文的原理/方法的研究领域
9.密码学——————包括密码编码学和密码分析学的研究领域
传统加密技术
3.密码的分类
①按照密码转换的操作类型分:
1.替代密码
2.移位密码
②按保密程度划分:
1.有理论上保密的密码
2.实际上保密的密码
3.不保密的密码
③按明文加密时的处理方法分:
1.分组密码
2.序列密码
④按密钥的类型分:
1.对称密钥密码
2.非对称密钥密码
2.1.1 密码编码学
1.使用的加密操作类型:代换密码/置换密码/乘积密码。
2.使用的密钥数:单钥或私钥/双钥或公钥。
3.处理明文的方式:分组密码/序列密码
2.1.2 密码分析学
1.目标是恢复密钥而不仅仅是消息
2.常用的方法:密码分析学攻击、穷举攻击
3.密码分析学攻击:
(1)唯密文攻击:知道密码算法,仅根据截获的密文进行分析,以得出明文或密钥
(2)已知明文攻击:除了有截获的密文外,还有一些已知的“明文-密文对”来破译密码
(3)选择明文攻击:除一些“明文——密文对”,还选择被加密的明文,并获得相应的密文。
(4)选择密文攻击:选择一些密文,并得到相应的明文
2.2 代换(替代)密码技术
1.加密原理
使用替代法进行加密,即将明文种字符用其他字符替代后形成密文。
★2.凯撒密码
1.也称为凯撒移位,是最简单的加密方法之一。
2.加密公式:密文 = (明文 + 位移数k)Mod 26即明文种的每个字母用此字母表中后面第k个字符替代‘
3.解密公式:明文 = (密文 - 位移数k)Mod26.
4.凯撒密码的安全性
利用电脑可以方便地列出所有组合,然后从中选出有意义的话。
2.维吉尼亚密码
1.夺标替换密码
2.根据密钥来决定用哪一行的咪表来进行替换,以此来对抗字频率统计。
加密公式:密文 = (明文 + 密钥)Mod 26 -1
解密公式(逆运算):
明文 = [26 + (密文-密钥)]Mod26 + 1
可以用查表法来进行加密
例子:
3.Polybius密码
1.加密原理
也称为棋盘密码,是利用波利比奥斯方阵进行加密的密码方式。
2.用一套秘密混杂的字母表天马波利比奥斯方阵
★置换密码
1.加密原理
不改变明文字符,只将字符在明文排序顺序改变,又称换位(移位)密码。
2.栅栏密码
1.要把将要传递的信息种的字母交替排成上下两行
2.再将下面一行字母排在上面一行的后边,从而形成为一段密码。
2.4 置换替代密码
1.加密原理
置换技术与替代技术的结合。
2.ADFGX密码
2.5 一次一密钥密码
1.加密原理
2.一次一密钥密码的推广
3.一次一密钥密码的具体实现
4.注意
5.应用
轮转机密码
替代表和多重替代(消除字频统计规律)
3.1 ★对称密钥算法
1.什么是对称密钥算法
1.加密密钥能够从解密密钥种推算出来,反过来也成立。
2.说明
在大多数对称算法种,加解密的密钥是相同的。
安全性依赖于所持有密钥的安全性。
3.2 Office加密方式
采用RC4对称加密算法
采用序列密码的设计思想实现加解密
3.3 ★数据加密标准
①DES简介
1.数据加密标准由美国国家标准局提出。
2.是目前广泛采用的对称加密算法
3.采用分组密码的设计思想实现加解密。
②加密的过程
Ⅰ对64位明文分组经行初始置换
Ⅱ分左右两部分分别经过16轮迭代
Ⅲ再进行循环移位与变换
Ⅳ最后进行逆变换得出密文。
加密与解密使用相同的密钥。
③算法流程
。。
主要应用
Ⅰ计算机网络通信
Ⅱ电子资金传送系统
Ⅲ保护用户文件
Ⅳ用户识别
DES安全分析
Ⅰ差分攻击
Ⅱ线性分析
Ⅲ穷举攻击
Ⅳ弱密码和半弱密码
4 ★AES
4.2 AES的设计原理
能够抵抗所有已知的攻击;
在各个平台上易于实现,速度快;
设计简单;
Rijindael是一个分组密码算法,其分组长度和密钥长度相互独立,都可以改变。
AES(Advanced Encryption Standard)是美国联邦政府采用的一种区块加密标准,用来代替 DES 的。它属于对称加密。
AES支持三种密钥长度:128bit、192bit和256bit。
AES的区块长度固定为 128bit!
明文分组和密钥分组的组织排列方式
★S盒
在密码学中,S盒(Substitution-box)是对称密钥算法执行置换计算的基本结构。
S盒用在分组密码算法中,是唯一的非线性结构。
S盒是将48比特压缩成32比特,S盒接受特定数量的输入48比特,经过8个盒将其转换为32比特输出。
在DES算法中替代由8个不同的S盒完成,每个S盒有6位输入4位输出。
//在密码学中,S盒(Substitution-box)是对称密钥算法执行置换计算的基本结构。S盒用在分组密码算法中,是唯一的非线性结构,其S盒的指标的好坏直接决定了密码算法的好坏。
//S盒的功能就是一种简单的“代替”操作。S盒是将48比特压缩成32比特,S盒接受特定数量的输入48比特,经过8个盒将其转换为32比特输出
★4.3.2字节替代
ByteSubsititution是一个非线性的字节替代,独立地在每个状态字节上利用S盒进行字节替代。
S盒是由16×16个字节组成的矩阵,包含了256种可能的变换
State种每个字节的最高4位作为行值,低4位作为列值,取出S盒中对应行列元素作为输出
公钥密码体制
公钥密码体值使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
公钥密码体制的产生主要是因为两个方面的原因,一是由于常规密钥密码体值的密钥分配问题,另一个是由于对数字签名的需求。
5.1 公钥密码体值的基本原理
1.什么是公钥密钥算法(非对称算法)?
公钥(公开密钥):加密密钥能够公开,即陌生者能够用加密密钥加密信息。
私钥(私人密钥):只有用相应的解密密钥才能解密信息。
公钥和私钥不同。
私钥不能根据公钥计算出来,或者至少在可以计算的时间内不能计算出来。
2. 公钥加密技术必须满足下面几个条件:
3. 用公钥加密技术通信的过程
4. 公开密钥密码体值的主要算法:
5. 公开密钥算法的加密模型
★5.2 RSA算法的原理
它是第一个既能用于数据加密也能用于数字签名的算法。
RSA体制
①生成两个大素数p和q(一般位100位以上的十进制数)。
②计算这两个素数的乘积n = p×q。
③计算小于n并且与n互质的整数的个数,即欧拉函数φ(n)=(p-1)(n-1)
④选择一个随机数e满足1<e<φ(n),并且e和φ(n)互质,即gcd(e,φ(n))=1.
⑤计算ed = 1modφ(n)
⑥保密d,p和q,公开n和e。
⑦加密函数
加密明文m时,利用公钥(e,n)来计算
c = E_e(m)=m^e mod n
可以得到相应的密文c
⑧解密函数
解密的时候,通过私钥d计算
m = D_d(c) = c^d mod n
可以恢复出明文m
⑨RSA的安全分析
RSA的安全性建立在大整数的素因子分截困难问题基础上
RSA算法举例
数字签名
接收方能够确认发送者的身份
发送方不能抵赖
接收方不能伪造报文
5.3 椭圆曲线密码
5.4 数字签名标准
算法描述
6.1 消息认证
1.在网络通信中,有一些针对消息内容的攻击方法:
①伪造消息
②篡改消息内容
③改变消息顺序
④消息重放或者延迟
2.消息认证:对收到的消息进行验证,证明确实是来自声称的发送发,并且没有被修改过
-如果在消息中加入时间及顺序信息,则可以对时间和顺序的认证。
散列函数方式
1.MAC需要对全部数据进行加密:MAC速度慢。
2.Hash是一种直接产生认证码的方法
3.Hash函数:h=H(x),要求
①可作用于任何尺寸数据且均产生定长输出
②H(x)能够快速计算
③单项性:给定h,找到x使h=H(x)在计算上不可行
④给定x,找到y不等于x使得H(x)=H(y)在计算上不可行
⑤找到y不等于x使得H(x)=H(y)在计算上不可行
MD5算法
1.输入的数据进行补位
补一个1然后补若干0使得数据位LEN对512求余的结果是448.即数据扩展至K*512+448位
2.用一个64位的数字表示数据的原始长度
3.初始化MD5参数
四个32位整数(A,B,C,D)用来计算信息摘要,初始化使用的是十六进制表示的数字
4.数据压缩
MD5算法的应用
消息认证(完整性检验)
①任何一个文件、无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,也不管它体积多大,都有且只有一个独一无二的MD5信息值
②雪崩效应
如果这个文件被非常少量地修改,它的MD5值将随之发生较大地改变
③检验方法
通过对比同一文件的MD5值,来检验这个文件是否被”篡改过“
★安全散列算法SHA
1.输入的数据进行补位
补一个1然后补若干0使得数据位长度LEN对512求余的结果是448.即数据扩展至K*512+448
2.用一个64位的数字表示数据的原始长度
3.要求输入小于2^64位,输出160位(5个寄存器,A,B,C,D,E)
4.将明文分成若干512位的定长快,每一块与当前的信息摘要值结合,产生信息摘要的下一个中间结果,直到处理完毕。
5.初始化SHA参数
6.进行四回合迭代,每回合20步运算。每一步运算对A\B\C\D\E中的三个寄存器进行非线性操作,然后移位,每回合有一个常数kt
6.2 密钥管理
密钥管理包括:密钥的产生、分配、注入、验证和使用。
密钥分配是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。
目前常用的目要分配方式是设立你要分配钟信KDC,通过KDC来分配密钥
6.2.1 密钥分配
对称密钥的分配
公钥的分配
需要有一个值得信赖的机构——即认证中心CA,来将公钥与其对应的实体进行绑定
认证中心一般由政府出资建立
每个实体都有CA发来的证书,里面有公钥及其拥有者的表示信息。
此证书被CA进行了数字签名
任何用急都可以从可信的地方获得认证钟信CA的公钥,此公钥用来验证某个公钥是否为某个实体所拥有
有的大公司也提供认证钟信服务
PKI(公钥基础设施)
电子商务的核心问题是安全问题。
解决电子商务安全问题的技术:PKI技术
解决网上身份认证、信息完整性、保密性和不可否认性等安全问题的技术保障体系
8.2 PKI中常用的密码技术
1.信息加密/解密。
2.数字签名
3.报文检验码
★4.数字信封
1.就是信息发送端用接收端的公钥,将一个通信密钥(即对称密钥)给予加密,生成一个数字信封。
2.然后接收端用自己的私钥打开数字信封,获取该对称密钥SK,用它来解读收到的信息。
8.3 PKI体系的互通性
9.1 IP欺骗技术
1.IP欺骗的动机
- 影藏自己的IP,防止被跟踪
- 以IP地址作为授权依据
- 穿越防火墙
2.IP欺骗的形式
- 单向IP欺骗:不考虑回传的数据包
- 双向IP欺骗:要求看到回传的数据包
- 更高级的欺骗:TCP会话劫持
成功要诀:
IP数据包路由原则:根据目标地址进行路由
ARP欺骗
①ARP协议:
通过目标设备的IP地址,查询目标设备的MAC地址,以确保通信的顺利进行
②ARP缓存表
③ARP欺骗过程
叨叨几句... 9 条评论
「 该评论为私密评论 」
@苦晴夜
哈哈,客气了。就是总结了一遍
嘿嘿,就是总结了一遍,哈哈哈哈哈
@zx
能考满分了?
@xiaoan
喵了个咪的,为啥还给我发邮件~
@zx
我这个上面还有一个邮件服务器-。-会自动提醒的
@zx
可以把你初始化头像换了吗-。-太丑。。
@xiaoan
我上传了头像,加载不出来怎么回事,我也不知道
@zx
果然又是你这个憨憨头像。。。