【软考】【计算机网络】网络信息安全

1.网络攻击手段

口令入侵：用账号密码登录主机实施攻击
放置木马：伪装自身吸引用户下载执行。包括服务端和控制端，黑客利用控制端进入运行了服务端的电脑。
DoS攻击：拒绝服务，目的是使计算机或网络无法提供正常服务
端口扫描：利用Socket编程与目标主机的端口建立TCP连接，获知主机的端口信心
网络监听：主机的一种工作模式，接收本网段同一物理通道上传输的所有信息。Sniffer
欺骗攻击：创造一个易于误解的上下文环境，诱使用户做出缺乏安全考虑的决策
电子邮件攻击：向目标信箱发送地址不详且容量庞大的垃圾邮件

2.信息系统安全属性

**保密性：**最小授权原则、防暴露、信息加密、物理保密
　　**完整性：**安全协议、校验码、密码校验、数字签名、公证
　　**可用性：**综合保障（IP过滤、业务流控制、路由选择控制、审计跟踪）
　　**不可抵赖性：**数字签名

3.加密认证技术

3.1对称加密

加密和解密用同一个秘钥，缺陷是加密强度不搞，秘钥分发困难。优点是加密速度快、效率高。
常见对称秘钥加密算法：
　　**DES：**替换+移位、56位秘钥、64位数据块、速度快。秘钥易产生
　　3DES：三重DES、两个56位秘钥k1和k2
　　　　加密：k1加密->k2解密->k1加密
　　　　解密：k1解密->k2加密->k1解密
　　AES：高级加密标准Rijndae加密法
　　RC-5：RSA数据安全公司的很多产品都是用了RC-5
　　IDEA：128位秘钥、64位数据块、比DES的加密性好、对计算机功能要求相对低，PGP

3.2非对称加密技术

用公钥加密用私钥解密。缺陷是加密速度慢，不适合对大信息量的数据进行加密
常见非对称秘钥加密算法
　　**RSA：**512位或128位秘钥、计算量超级大、难破解
　　**DSA：**数字签名算法
　　Elgamal：基础是Diffie-Hellman秘钥交换算法
　　**ECC：**椭圆曲线算法
　　其他非对称算法：背包算法、Rabin、H-D

3.3 信息摘要

单向散列函数（单项Hash函数）、固定长度的散列值
　　信息摘要不同于信息加密，它是单向的，信息生成的摘要无法再还原为原信息。
　　常用的消息摘要算法：MD5和SHA，散列值分别为128位和160位
　　保障信息完整性：甲向乙发送信息，信息内容是转账10W给丙，该信息被丙截获并将10W修改为100W，乙就会损失90W。若采用信息摘要技术，甲向乙发送信息，同时发送该信息的摘要。乙收到信息后，生成信息摘要，与甲传送过来的信息摘要做比对。

3.4 数字签名

数字签名技术是一种防抵赖的技术：用数字化的方式给发送者签上名字，接受者收到信息后知道是谁发送的，发送者无法抵赖。

　　用A的公钥解密出的信息摘要与接收方收到正文信息产生的信息摘要相同，即可证明信息是由A发送的。用A的私钥加密的过程叫做数字签名过程，用A的公钥解密的过程称为数字签名的验证过程。其本身并没有任何保密性可言，因为是私钥加密公钥解密，公钥是公开的，谁都可以解密。另外，是对信息摘要进行签名，因为非对称的加密技术不适合对大信息量的信息进行加密和解密，对摘要签名可以提高效率。

3.5 数字信封与PGP协议

发送方将原文用对称秘钥加密传输，而将对称秘钥用接收方公钥加密发送给对方。接收方收到电子信封，用自己的私钥解密信封，取出对称秘钥解密得原文。
PGP可用于电子邮件，也可用于文件存储。采用了杂合算法，包括IDEA、RSA、MD5、ZIP数据压缩算法。
　　PGP承认两种不同的证书格式：PGP证书和X.509证书。
　　PGP证书包含PGP版本号、证书持有者的公钥、证书持有者的信息、证书拥有者的数字签名、证书的有效期、秘钥首选的对称加密算法。
　　X.509证书包含证书版本、证书的序列号、签名算法标识、证书有效期、以下数据：证书发行商名字、证书主体名、主体公钥信息、发布者的数字签名。

3.6 数字证书

数字证书是经证书认证中心（CA）数字签名的包含公开钥匙拥有者信息以及公开密钥的文件。证书采用公钥体制，即利用一对互相匹配的秘钥进行加密解密，每个用户自己设定一个特定的仅为本人所知的私钥，用它进行解密和签名，同时设定一个公钥并由本人公开，为一组用户所共享，用于加密和验证签名。
验证证书的真伪可以用CA的公钥验证CA的数字签名。

3.7 综合练习

设计邮件加密系统（使用对称加密，非对称加密，信息摘要，数字签名技术）要求邮件以加密方式传输，邮件最大附件内容可达500MB，发送者不可抵赖，若邮件被第三方截获，第三方无法篡改。
分析：邮件附件大→大数据量加密→对称加密，发送者不可抵赖→数字签名，第三方无法篡改→信息摘要。首先因为邮件附件大，所以邮件采用对称加密技术，秘钥为K，发送方需要将邮件密文和秘钥K同时发送给接收方，为了增强安全性，对秘钥K进行非对称加密，采用B的公钥进行加密，接收方收到后用B的私钥进行解密，得到对称秘钥K；截获无法篡改，采用信息摘要技术，发送接收双方同时根据邮件正文生成信息摘要进行比对，防止第三方篡改；发送者不可抵赖，采用数字签名技术，对摘要用A的私钥进行加密（签名），接收方用A的公钥进行解密（验证），确定消息是从A发送。
公钥用于加密和验证
私钥用于解密和签名

4.网络安全保障

屏蔽：无线电信号防止泄露可以屏蔽
隔离：军用，公安专网，与民用网络区分开来
PPTP、L2TP：隧道协议
IPSec：一种开放标准的框架结构，通过使用加密的安全服务以确保在IP网络上进行保密安全的通信。
TLS协议：用于两个通信应用程序之间提供保密性和数据完整性。
SSL协议（安全套接层协议）：提高应用程序之间数据的安全系数。
PGP：一个基于RSA公钥加密体系的邮件加密软件协议
Https：以安全为目的的HTTP通道，其安全基础是SSL

5.防火墙技术

防火墙通过检测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、构造和运行情况来实现网络的安全保护。
　　防火墙的工作层次越高，则工作效率越低，同时安全性越高。

**包过滤型防火墙：**基于网络层、传输层。通过访问控制表，检查每个数据包的状态信息，来确定是否允许该数据包通过。优点是简单实用、成本较低。包过滤操作对应用层是透明的。所以缺点是无法识别基于应用层的恶意入侵，如java小程序或邮件中的病毒。
应用网关防火墙：
**代理服务器防火墙：**基于应用层。使用代理技术来阻断内部网络和外部网络之间的通信。优点是安全性较好，缺点是处理速度慢。
状态检测防火墙：
自适应代理防火墙：
##　防火墙的物理特性##
**内部区：**互联网络的信任区域，收到防火墙的保护。
**外部区：**互联网络中不被信任的区域。
非军事区： DMZ，也称隔离区。为了解决安装防火墙后外部网络不能访问的内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于内部区和外部区之间，可以放置一些必须公开的服务器，如Web服务器、FTP服务器和论坛等。