23年《信息安全工程師》重要100條知識點(diǎn)速記

1、常見的網(wǎng)絡(luò)信息安全基本屬性如下:

名稱說明

機(jī)密性是指網(wǎng)絡(luò)信息不泄露給非授權(quán)的用戶、實(shí)體或程序，能夠防止非授權(quán)者獲取信

機(jī)密性

息。

完整性完整性是指網(wǎng)絡(luò)信息或系統(tǒng)未經(jīng)授權(quán)不能進(jìn)行更改的特性。

可用性可用性是指合法許可的用戶能夠及時(shí)獲取網(wǎng)絡(luò)信息或服務(wù)的特性。

抗抵賴性抗抵賴性是指防止網(wǎng)絡(luò)信息系統(tǒng)相關(guān)用戶否認(rèn)其活動(dòng)行為的特性。

可控性可控性是指網(wǎng)絡(luò)信息系統(tǒng)責(zé)任主體對其具有管理、支配能力的屬性。

除了常見的網(wǎng)絡(luò)信息系統(tǒng)安全特性，還有真實(shí)性、時(shí)效性、公平性、可靠性、可生存性

其他

和隱私性等。

2、網(wǎng)絡(luò)信息安全基本功能:

名稱說明

網(wǎng)絡(luò)信息安全防御是指采取各種手段和措施，使得網(wǎng)絡(luò)系統(tǒng)具備阻止、抵御

網(wǎng)絡(luò)信息安全防御

各種已知網(wǎng)絡(luò)安全威脅的功能。

網(wǎng)絡(luò)信息安全監(jiān)測是指采取各種手段和措施，檢測、發(fā)現(xiàn)各種已知或未知的

網(wǎng)絡(luò)信息安全監(jiān)測

網(wǎng)絡(luò)安全威脅的功能。

網(wǎng)絡(luò)信息安全應(yīng)急是指采取各種手段和措施，針對網(wǎng)絡(luò)系統(tǒng)中的突發(fā)事件，

網(wǎng)絡(luò)信息安全應(yīng)急

具備及時(shí)響應(yīng)和處置網(wǎng)絡(luò)攻擊的功能。

網(wǎng)絡(luò)信息安全恢復(fù)是指采取各種手段和措施，針對已經(jīng)發(fā)生的網(wǎng)絡(luò)災(zāi)害事

網(wǎng)絡(luò)信息安全恢復(fù)

件，具備恢復(fù)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的功能。

3、網(wǎng)絡(luò)信息安全基本技術(shù)需求:

名稱說明

物理環(huán)境安全是指包括環(huán)境、設(shè)備和記錄介質(zhì)在內(nèi)的所有支持網(wǎng)絡(luò)系統(tǒng)運(yùn)行

物理環(huán)境安全

的硬件的總體安全，是網(wǎng)絡(luò)系統(tǒng)安全、可靠、不間斷運(yùn)行的基本保證。

網(wǎng)絡(luò)信息安全認(rèn)證是實(shí)現(xiàn)網(wǎng)絡(luò)資源訪問控制的前提和依據(jù)，是有效保護(hù)網(wǎng)絡(luò)

網(wǎng)絡(luò)信息安全認(rèn)證

管理對象的重要技術(shù)方法。

網(wǎng)絡(luò)信息訪問控制是有效保護(hù)網(wǎng)絡(luò)管理對象，使其免受威脅的關(guān)鍵技術(shù)方

法，其目標(biāo)主要有：

網(wǎng)絡(luò)信息訪問控制

限制非法用戶獲取或使用網(wǎng)絡(luò)資源。

防止合法用戶濫用權(quán)限，越權(quán)訪問網(wǎng)絡(luò)資源。

網(wǎng)絡(luò)信息安全保密網(wǎng)絡(luò)安全保密的目的就是防止非授權(quán)的用戶訪問網(wǎng)上信息或網(wǎng)絡(luò)設(shè)備。

網(wǎng)絡(luò)系統(tǒng)中需配備弱點(diǎn)或漏洞掃描系統(tǒng)，用以檢測網(wǎng)絡(luò)中是否存在安全漏

網(wǎng)絡(luò)信息安全漏洞掃描

洞。

惡意代碼防護(hù)防范惡意代碼是網(wǎng)絡(luò)系統(tǒng)中必不可少的安全需求。

網(wǎng)絡(luò)信息內(nèi)容安全是指相關(guān)網(wǎng)絡(luò)信息系統(tǒng)承載的信息及數(shù)據(jù)符合法律法規(guī)要

網(wǎng)絡(luò)信息內(nèi)容安全

求，防止不良信息及垃圾信息傳播。

網(wǎng)絡(luò)信息安全監(jiān)測與預(yù)網(wǎng)絡(luò)安全監(jiān)測的作用在于發(fā)現(xiàn)綜合網(wǎng)系統(tǒng)入侵活動(dòng)和檢查安全保護(hù)措施的有

警效性。

網(wǎng)絡(luò)系統(tǒng)中需配備弱點(diǎn)或漏洞掃描系統(tǒng)，用以檢測網(wǎng)絡(luò)中是否存在安全漏

網(wǎng)絡(luò)信息安全以及響應(yīng)

洞。

4、常見網(wǎng)絡(luò)信息安仝管理對象分類如下:

對象類型范例

硬件計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、傳輸介質(zhì)及轉(zhuǎn)換器、輸入輸出設(shè)備、監(jiān)控設(shè)備

軟件網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)通信軟件、網(wǎng)絡(luò)管理軟件

存儲介質(zhì)光盤、硬盤、軟盤、磁帶、移動(dòng)存儲器

網(wǎng)絡(luò)信息資產(chǎn)網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)物理地址、網(wǎng)絡(luò)用戶賬號/口令、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

支持保障系統(tǒng)消防、保安系統(tǒng)、動(dòng)力、空調(diào)、通信系統(tǒng)、廠商服務(wù)系統(tǒng)

5、網(wǎng)絡(luò)系統(tǒng)受到的非自然的威脅主體類型:

威脅主體類型描述

國家以國家安全為目的，由專業(yè)信息安全人員實(shí)現(xiàn)，如信息戰(zhàn)士

以安全技術(shù)挑戰(zhàn)為目的，主要出于興趣，由具有不同安全技術(shù)熟練程度的

黑客

人員組成

恐怖分子以強(qiáng)迫或恐嚇手段，企圖實(shí)現(xiàn)不當(dāng)愿望

以非法獲取經(jīng)濟(jì)利益為FI的，非法進(jìn)入網(wǎng)絡(luò)系統(tǒng)，出賣信息或修改信息記

網(wǎng)絡(luò)犯罪

錄

商業(yè)競爭對手以市場競爭為目的，主要是搜集商業(yè)情報(bào)或損害對手的市場影響力

以收集新聞信息為目的，從網(wǎng)上非法獲取有關(guān)新聞事件中的人員信息或背

新聞機(jī)構(gòu)

景材料

不滿的內(nèi)部工作人員以報(bào)復(fù)、泄憤為目的，破壞網(wǎng)絡(luò)安全設(shè)備或干擾系統(tǒng)運(yùn)行

粗心的內(nèi)部工作人員因工作不專心或技術(shù)不熟練而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)受到危害，如誤配置

6、網(wǎng)絡(luò)安全管理實(shí)際上是對網(wǎng)絡(luò)系統(tǒng)中網(wǎng)管對象的風(fēng)險(xiǎn)進(jìn)行控制，其方法如下:

名稱說明

避免風(fēng)險(xiǎn)例如，通過物理隔離設(shè)備將內(nèi)部網(wǎng)和外部網(wǎng)分開，避免受到外部網(wǎng)的攻擊。

轉(zhuǎn)移風(fēng)險(xiǎn)例如，購買商業(yè)保險(xiǎn)計(jì)劃或安全外包。

減少威脅例如，安裝防病毒軟件包，防止病毒攻擊。

消除脆弱點(diǎn)例如，給操作系統(tǒng)打補(bǔ)丁或強(qiáng)化工作人員的安全意識。

減少威脅的影響例如，采取多條通信線路進(jìn)行備份或制定應(yīng)急預(yù)案。

風(fēng)險(xiǎn)監(jiān)測例如，定期對網(wǎng)絡(luò)系統(tǒng)中的安全狀況進(jìn)行風(fēng)險(xiǎn)分析，監(jiān)測潛在的威脅行為。

7、下表為常見的網(wǎng)絡(luò)安全技術(shù)方面的術(shù)語及其對應(yīng)的英文。

名稱說明

常見的密碼術(shù)語如加密(encryption),解密(decryption)非對稱加密算法

基礎(chǔ)技術(shù)類(asymmetriccryptographicalgorithm)，公鑰加密算法(publickey

cryptographicalgorithm)、公鑰(publickey)等。

包括拒絕服務(wù)(DenialofService)、分布式拒絕服務(wù)(DistributedDenialof

Service)網(wǎng)頁篡改(WebsiteDistortion)>網(wǎng)頁仿冒(Phishing)、網(wǎng)頁掛馬

風(fēng)險(xiǎn)評估技術(shù)類(WebsiteMaliciousCode)、域名劫持(DNSHijack)、路由劫持(Routing

Hijack)垃圾郵件(Spam)惡意代碼(MaliciousCode)>特洛伊木馬

(TrojanHorse)、網(wǎng)絡(luò)蠕蟲(NetworkWorm)、僵尸網(wǎng)絡(luò)(Botnet)等。

包括訪問控制(AccessControl)防火墻(Firewall)>入侵防御系統(tǒng)

防護(hù)技術(shù)類

(IntrusionPreventionSystem)等。

檢測技術(shù)類包括入侵檢測(IntrusionDetection)漏洞掃描(VulnerabilityScanning)等。

包括應(yīng)急響應(yīng)(EmergencyResponse)、災(zāi)難恢復(fù)(DisasterRecovery)、備份

響應(yīng)/恢復(fù)技術(shù)類

(Backup)等。

包括黑盒測試(BlackBoxTesting)白盒測試(WhiteBoxTesting)灰盒測

測評技術(shù)類試(GrayBoxTesting)>滲透測試(PenetrationTesting)、模糊測試(Fuzz

Testing)。

8、網(wǎng)絡(luò)攻擊原理表:

攻擊者攻擊工具攻擊訪問攻擊效果攻擊意圖

黑客用戶命令本地訪問破壞信息挑戰(zhàn)

間諜腳本或程序遠(yuǎn)程訪問信息泄密好奇

恐怖主義者自治主體竊取服務(wù)獲取情報(bào)

公司職員電磁泄露拒絕服務(wù)經(jīng)濟(jì)利益

職業(yè)犯罪分子恐怖事件

破壞者報(bào)復(fù)

9、網(wǎng)絡(luò)攻擊一般過程

網(wǎng)絡(luò)攻擊過程主要分為以下幾個(gè)步驟：

?隱藏攻擊源。陷藏黑客主機(jī)位置使得系統(tǒng)管理無法追蹤。

?收集攻擊目標(biāo)信息。確定攻擊目標(biāo)并收集目標(biāo)系統(tǒng)的有關(guān)巖息。

?挖掘漏洞信息。從收集到的目標(biāo)信息中提取可使用的漏洞唁息。

?獲取目標(biāo)訪問權(quán)限。獲取目標(biāo)系統(tǒng)的普通或特權(quán)賬戶的權(quán)限。

?隱藏攻擊行為。隱蔽在目標(biāo)系統(tǒng)中的操作，防止入侵行為破發(fā)現(xiàn)。

?實(shí)施攻擊。進(jìn)行破壞活動(dòng)或者以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起新的攻擊。

?開辟后門。在目標(biāo)系統(tǒng)中開辟后門，方便以后入侵。

?清除攻擊痕跡。避免安全管理員的發(fā)現(xiàn)、追蹤以及法律部門取證。

10、端口掃描

端口掃描目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表。根據(jù)端口掃描利用的技術(shù)，掃描可以分為多種類

型:

掃描名稱說明

完全連接掃描利用TCP/IP協(xié)議的三次握手連接機(jī)制，贊源主機(jī)和目的主機(jī)的某個(gè)端口建立一次完整的連接。

完全連接掃描

如果建立成功，則表明該端口開放。否則,表明該端口關(guān)閉.

半連接掃描半連接掃描是指在源主機(jī)和目的主機(jī)的三次握手連接過程中，只完成前兩次握手，不建立一次完整的連接。

首先向目標(biāo)主機(jī)發(fā)送連接詁求，當(dāng)目標(biāo)主機(jī)返回響應(yīng)后，立即切斷連接過程，并直看響應(yīng)情況。如果目標(biāo)主

SYN掃描

機(jī)返回ACK信息，表明目標(biāo)主機(jī)的該端口開放。如果E標(biāo)主機(jī)返回RESET信息，表示該端口沒有開放。

首先山源主機(jī)A向dumb主機(jī)B發(fā)出連續(xù)的PING數(shù)據(jù)包，并且查看主機(jī)R返E1的數(shù)據(jù)包的【D頭信息（一般每

個(gè)順序數(shù)據(jù)包的ID頭的值會增加1）。然后由源主機(jī)A假日主機(jī)B的地址向目的主機(jī)C的任意端口（1-

65535）發(fā)送S、'N數(shù)據(jù)包.這時(shí)，主機(jī)C向主機(jī)B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：

1、SYNlACK表示該端口處于監(jiān)聽狀態(tài)：

ID頭信息掃描

2、RSTIACK表示該端口處于非監(jiān)聽狀態(tài)；

后續(xù)的PING數(shù)據(jù)包響應(yīng)信息的ID頭信息可以看出，如果主機(jī)C的某個(gè)端口是開放的，則主機(jī)B返回A的數(shù)

據(jù)包中，ID頭的值不是遞增1,而是大于1。如果主機(jī)C的某個(gè)端口是非開放的，則主機(jī)B返回A的數(shù)據(jù)包

中，ID頭的值遞增1,非常規(guī)律。

隱蔽掃描是指能夠成功地繞過IDS、防火增和監(jiān)視系統(tǒng)等安全機(jī)制，取得目標(biāo)主機(jī)端口信息的一種掃描方

隱蔽掃描

式。

由源主機(jī)向目標(biāo)主機(jī)的某個(gè)端口直接發(fā)送SYNIACK數(shù)據(jù)包，而不是先發(fā)送SYN數(shù)據(jù)包。由尸這一方法不發(fā)送

SYN數(shù)據(jù)包，E標(biāo)主機(jī)會認(rèn)為這是一次錯(cuò)誤的連接，從而報(bào)錯(cuò)。

SYNIACK掃描

如果目標(biāo)主機(jī)的該端口沒布?開放，則會返回RST信息。如果目標(biāo)主機(jī)的該端口開放，則不會返回任何信息，

而是直接將數(shù)據(jù)包拋棄掉。

源主機(jī)A向目標(biāo)主機(jī)B發(fā)送FIN數(shù)據(jù)包,然后查看反餓信息。如果端口返回RESET信息，則說明該端口關(guān)

FIN掃描

閉。如果端口沒有返歸1任何信息，則說明該端1」開放.

首先由主機(jī)A向主機(jī)B發(fā)送FIN數(shù)據(jù)包，然后杳看反餓數(shù)據(jù)包的TTL值和WIN值。開放端口所返回的數(shù)據(jù)包

ACK掃描的TTL值一般小于64,而關(guān)閉端口的返回值一般大于64：開放端口所返回的數(shù)據(jù)包的WIN值一般大于0,而

關(guān)閉端口的返回值一般等于0.

將源主機(jī)發(fā)送的數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志位全部置空.如果目標(biāo)主機(jī)沒有返回任何

NULL掃描

信息，則表明該端口是開放的。如果返回RST信息，則表明該端口是關(guān)閉的。

XMAS掃描的原逑和NULL掃描相同,只是將要發(fā)送的數(shù)據(jù)包中的ACK、FTN、RST、SYN、URG、PSH等標(biāo)志位全

XMAS掃描部置成1。如梟目標(biāo)主機(jī)沒有返回任何信息，則表明該端口是開放的。如果返回RST信息，則喪明該端口是

關(guān)閉的。

11、口令破解

建立與目標(biāo)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接；

選取一個(gè)用戶列表文件及字典文件；

在用戶列表文件及字典文件中，選取一組用戶和口令按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名及口令發(fā)送給目

標(biāo)網(wǎng)絡(luò)服務(wù)端「I;

檢測遠(yuǎn)程服務(wù)返回信息，確定口令嘗試是否成功；

再取另一組用戶和口令，重復(fù)循環(huán)試驗(yàn)，直至口令用戶列表文件及字典文件選取完畢。

12、緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊的防范策略：

系統(tǒng)管理.上的防范策略：

關(guān)閉不需要的特權(quán)服務(wù)；及時(shí)給程序漏洞打補(bǔ)丁。

軟件開發(fā)過程中的防范策略：

編寫正確的代碼；緩沖區(qū)不可執(zhí)行；改進(jìn)C語言函數(shù)庫。

漏洞防范技術(shù)：

地址空間隨機(jī)化技術(shù)；數(shù)據(jù)執(zhí)行阻止；堆棧保護(hù)。

惡意代碼：常見的惡意代碼類型有計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門、邏輯炸彈、僵尸網(wǎng)絡(luò)

等。

13、拒絕服務(wù)攻擊

拒絕服務(wù)攻擊的種類:

DoS攻擊名稱說明

利用TCP協(xié)議缺陷發(fā)送大量偽造的TCP連接請求,使得被攻擊者資源耗

同步包風(fēng)暴盡。三次握手，進(jìn)行了兩次(SYN)[SYN/ACK),不進(jìn)行第三次握手(ACK),

(SYNFlood)連接隊(duì)列處于等待狀態(tài)，大量的這樣的等待，占滿全部隊(duì)列空間，系統(tǒng)掛

起。

PingofDeath攻擊者故意發(fā)送大于65535字節(jié)的ip數(shù)據(jù)包給對方，導(dǎo)致內(nèi)存溢出，這時(shí)

（死亡之Ping）主機(jī)就會出現(xiàn)內(nèi)存分配錯(cuò)誤而導(dǎo)致TCP/IP堆棧崩潰，導(dǎo)致死機(jī)！

TeardropAttack分段攻擊。偽造數(shù)據(jù)報(bào)文向目標(biāo)主機(jī)發(fā)送含有重疊偏移的數(shù)據(jù)分段，通過

（淚滴攻擊）將各個(gè)分段重疊來使目標(biāo)系統(tǒng)崩潰或掛起。

利用簡單的TCP/IP服務(wù)，如用Chargen和Echo傳送亳無用處的占滿寬帶

UDPFluod的數(shù)據(jù)。通過偽造與某主機(jī)的ClRHgeu服務(wù)之間的次UDP連接，回復(fù)

（UDP洪水）地址指向開放Echo服務(wù)的一臺主機(jī)，生成在兩臺主機(jī)之間的足夠多的無用

數(shù)據(jù)流。

攻擊者偽裝H標(biāo)主機(jī)向局域網(wǎng)的廣播地址發(fā)送大量欺騙性的ICMPECHO請

Smurf攻擊求，這些包被放大，并發(fā)送到被欺騙的地址，大量的計(jì)算機(jī)向一臺計(jì)算機(jī)

回應(yīng)ECHO包，目標(biāo)系統(tǒng)將會崩潰。

針對服務(wù)端口(SMTP端口，即25端口)的攻擊方式，攻擊者通過連接到郵

垃圾郵件件服務(wù)器的25端口，按照SMTP協(xié)議發(fā)送兒行頭信息加上一堆文字垃圾，

反復(fù)發(fā)送形成郵件轟炸。

消耗CPU和內(nèi)存資源的利用目標(biāo)系統(tǒng)的計(jì)算算法漏洞，構(gòu)造惡意數(shù)據(jù)集，導(dǎo)致目標(biāo)系統(tǒng)的CPU或

拒絕服務(wù)攻擊內(nèi)存資源耗盡，從而使目標(biāo)系統(tǒng)癱瘓，如HashDoS。

引入了分布式攻擊和C/S結(jié)構(gòu)，客戶端運(yùn)行在攻擊者的主機(jī)上，用來發(fā)起

分布式拒絕服務(wù)攻擊控制代理端；代理端運(yùn)行在已被攻擊者侵入并獲得控制的主機(jī)上，從主控

(DDOS)端接收命令，負(fù)責(zé)對目標(biāo)實(shí)施實(shí)際的攻擊。利用C/S技術(shù)，主控程序能在

幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

13、網(wǎng)絡(luò)釣魚

(I)獲取敏感數(shù)據(jù)：?用戶名；?口令；?賬號ID

(2)防范方法：?申請并安裝數(shù)字證書：?規(guī)范使用操作

14、網(wǎng)絡(luò)竊聽

網(wǎng)絡(luò)竊聽是指利用網(wǎng)絡(luò)通信技術(shù)缺陷，使得攻擊者能夠獲取到其他人的網(wǎng)絡(luò)通信信息。

常見的網(wǎng)絡(luò)竊聽技術(shù)手段主要有：網(wǎng)絡(luò)嗅探、中間人攻擊。

15、SQL注入

(1)SQL注入原理：在web服務(wù)中一般采用三層架構(gòu)模式，即：瀏覽器+web服務(wù)瑞+數(shù)據(jù)庫；由于

web服務(wù)腳本程序的編程漏洞，網(wǎng)絡(luò)攻擊者將SQL命令插入web表單中的輸入域或頁面請求查找字符

串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。

<2)注入形式

?http：//xxx.xxx.xxx/abc.asp??p=YY

?執(zhí)行注入：http：//xxx.xxx.xxx/abc.asp??p=YYanduser>0從運(yùn)行的錯(cuò)誤信息中可獲知川戶名

?執(zhí)行注入：http：//xxx.xxx.xxx/abc.asp??p=YYand(Selectpasswordfromloginwhereuser_name，

admin')>0從運(yùn)行的錯(cuò)誤信息中可獲知密碼。

16、社交工程

網(wǎng)絡(luò)攻擊者通過一系列的社交活動(dòng)，獲取需要的信息。

17、電子監(jiān)聽

網(wǎng)絡(luò)攻擊者采用電子設(shè)備遠(yuǎn)距離地監(jiān)視電磁波的傳送過程。

18、會話劫持

會話劫持是指攻擊者在初始授權(quán)之后建立一個(gè)連接，在會話劫持以后，攻擊者具有合法用戶的特權(quán)權(quán)

限。

19、漏洞掃描

通過漏洞掃描器可以自動(dòng)發(fā)現(xiàn)系統(tǒng)的安全漏洞。

20、代理技術(shù)

網(wǎng)絡(luò)攻擊者通過免費(fèi)代理服務(wù)器進(jìn)行攻擊，其目的是以代理服務(wù)器為“攻擊跳板”，即使攻擊目標(biāo)的

網(wǎng)絡(luò)管理員發(fā)現(xiàn)了，也難以追蹤到網(wǎng)絡(luò)攻擊者的真實(shí)身份或IP地址。

21、數(shù)據(jù)加密

網(wǎng)絡(luò)攻擊者常常采用數(shù)據(jù)加密技術(shù)來逃避網(wǎng)絡(luò)安全管理人員的追蹤。加密使網(wǎng)絡(luò)攻擊者的數(shù)據(jù)得到有

效保護(hù)，即使網(wǎng)絡(luò)安全管理人員得到這些加密的數(shù)據(jù)，沒有密鑰也無法讀懂，這樣就實(shí)現(xiàn)攻擊者的自身保

護(hù)。

22、黑客常用工具

工具名稱說明

NMAP網(wǎng)絡(luò)地圖

掃描器Nessus遠(yuǎn)程安全掃描器

SuperScan

遠(yuǎn)程監(jiān)控常見的遠(yuǎn)程監(jiān)控工具有冰河、網(wǎng)絡(luò)精靈、Netcato

JohntheRipper：用于檢查Unix/Linux系統(tǒng)的弱口令

密碼破解

LOph'.Crack：常用于破解Windows系統(tǒng)口令

Tcpdump/WireShark

網(wǎng)絡(luò)嗅探器

DSniff

Melasploit

安全滲透工具箱

BackTrack5

23、密碼體制

一個(gè)密碼系統(tǒng)，通常簡稱為密碼體制(Cryptosystem),它由五部分組成：明文空間M、密文空間C、

密鑰空間K、加密算法E、解密算法D。

24、公鑰密碼體制的基本原理

加密模型：用接收者的公鑰作加密密鑰，私鑰作解密密鑰，即只有接收者才能解密密文得到明文。

加密過程：c=EpkB(m)

解密過程：m=DskB(c)

25、DES算法

DES算法流程：

初始置換IP

生成16個(gè)48位的子密鑰

16輪feisiel結(jié)構(gòu)迭代：

?擴(kuò)展置換E

?S盒代換

?置換P

?逆初始置換IP-1

DES算法的安全性：

密鑰較短：面對計(jì)算能力高速發(fā)展的形勢，DES采用56位密鑰，顯然短了一些。其密鑰量僅為256

約為1017個(gè)。

存在弱密鑰：

弱密鑰K：K1=K2-=K16；弱密鑰不受任何循環(huán)移位的影響，并且只能得到相同的子密鑰，由全0

或全I(xiàn)組成的密鑰顯然是弱密鑰，子密鑰生成過程中被分割的兩部分分別為全?；蛉?時(shí)也是弱密鑰，并

且存在4個(gè)弱密鑰。

半弱密鑰K：有些種子密鑰只能生成兩個(gè)不同的子密鑰，這樣的種子密鑰K稱為半弱密鑰，DES至少

存在12個(gè)半弱密鑰。半弱密鑰將導(dǎo)致把明文加密成相同的密文。

26、IDEA算法

1、是國際數(shù)據(jù)加密算法的簡記，是一個(gè)分組加密處理算法，其明文和密文分組都是64比特，密鑰長

度為128比特。

2、該算法是由來學(xué)嘉和Massey提出的建議標(biāo)準(zhǔn)算法，已在PGP中得到應(yīng)用。

27、AES算法

1、數(shù)據(jù)長度可變

2、不存在弱密鑰

3、抗攻擊能力強(qiáng)

4、適應(yīng)性強(qiáng)

28、RSA密碼

RSA的加密和解密

?參數(shù)定義和密鑰生成

選兩個(gè)大素?cái)?shù)p和q；(保密)

計(jì)算n=pXq,4)(n)=(p-l)X(q-1)；(n公開，d>(n)保密)

選一整薪e,滿足(n),且gcd(<i>(n),e)=1；(e公開)

計(jì)算d,滿足dXemImod。(n)(保密)

?加密算法：c=memodn

?解密算法：ni=cdmodn

特點(diǎn)：

?加解密算法是可逆的，加密和解密運(yùn)算可交換，可同時(shí)確:呆數(shù)據(jù)的秘密性和數(shù)據(jù)的真實(shí)性，

?實(shí)現(xiàn)效率比較高效，其核心運(yùn)算是模塞運(yùn)算。

安全性：

?RSA密碼的安全性在于大合數(shù)的因子分解，應(yīng)當(dāng)采用足夠大的整數(shù)n,一般至少取1024位，最好

取2048位；國際可信計(jì)算組織TCG在可信計(jì)算標(biāo)準(zhǔn)中規(guī)定：一般加密密鑰和認(rèn)證密鑰選1024位，而平

臺根密鑰和存儲根密鑰則選2048位。

?選擇RSA的密碼參數(shù)：p和q要足夠大并且應(yīng)為強(qiáng)素?cái)?shù)；e、d的選擇不能太小，并且不要許多用戶

共用一個(gè)模數(shù)n。

29、國產(chǎn)密碼算法

算法名稱算法特性描述備注

SMI對稱加密分組長度和密鑰長度都為128比特

非對稱加密，用于公鑰加密算法、密鑰交換協(xié)議、數(shù)字簽名國家標(biāo)準(zhǔn)推薦使用素?cái)?shù)域

SM2

算法256位橢圓曲線

SM3雜湊算法，雜湊值長度為256比特

SM4對稱加密，分組長度和密鑰長度都為128比特

SM9標(biāo)識密碼算法

30、典型的Hash算法

基本形式：

Hash函數(shù)將任意長的報(bào)文M映射為定長的hash碼h,其形式為：h=H(M)

Hash碼也稱之為報(bào)文摘要,具有錯(cuò)誤檢測能力。

基本性質(zhì)：

單向性：由Hash碼不能得出相應(yīng)的報(bào)文；

抗弱碰撞性：不能找到與給定報(bào)文具有相同Hash值的另一個(gè)報(bào)文；

抗強(qiáng)碰撞性：抵抗生日攻擊這類攻擊的能力強(qiáng)弱問題。Hash函數(shù)值應(yīng)該較長。

31、常見的Hash算法

MD5算法是由Rivesi設(shè)計(jì)的。MD5以512位數(shù)據(jù)塊為單位來處理輸入，產(chǎn)生128位的

MD5算法

消息摘要，即MD5能產(chǎn)生128比特氏度的哈希值。

HA由NIST開發(fā)，同樣也以512位數(shù)據(jù)塊為單位來處理輸入，產(chǎn)生160位的哈希值，具

SHA算法有比MD5更強(qiáng)的安全性。

SHA算法產(chǎn)生的哈希值長度有SHA-224、SHA-256.SHA-384、SHA-512。

SM3國產(chǎn)算SM3是國家密碼管理局于2010年公布的商用密碼雜湊算法標(biāo)準(zhǔn)。該算法消息分組長度為

法512比特，輸出雜湊值長度為256比特。

32、數(shù)字簽名

數(shù)字簽名至少應(yīng)滿足以下三個(gè)條件：

非否認(rèn)。簽名者事后不能否認(rèn)自己的簽名。

真實(shí)性。接收者能驗(yàn)證簽名，而任何其他人都不能偽造簽名。

可鑒別性°當(dāng)雙方關(guān)于簽名的直偽發(fā)生爭執(zhí)時(shí)，第二方能解決雙方之間發(fā)生的爭執(zhí).

33、密碼管理

密鑰管理主要圍繞密鑰的生命周期進(jìn)行，包括密鑰生成、密鑰存儲、密鑰分發(fā)、密鑰使用、密鑰更

新、密鑰撤銷、密鑰備份、密鑰恢復(fù)、密鑰銷毀、密鑰審計(jì)。

34、數(shù)字證書

數(shù)字證書也稱公鑰證書，是由證書認(rèn)證機(jī)構(gòu)(CA)簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)

者信息、有效期以及擴(kuò)展信息的一種數(shù)據(jù)結(jié)構(gòu)。數(shù)字證書的基本信息域格式要求如下表所示：

序號項(xiàng)名稱描述

1version版本號

2serialNumber序列號

3signature簽名算法

4issuer頒發(fā)者

5validity有效日期

6subject主體

7subjectPublicKeylnfo主體公鑰信息

8issucrUniqucID頒發(fā)者唯一標(biāo)識符

9subjectUniquelD主體唯一標(biāo)識符

10extensions擴(kuò)展項(xiàng)

數(shù)字證書按鄉(xiāng)培別可分為個(gè)人證書、機(jī)構(gòu)證書和設(shè)備證書。

按用途可分為簽名證書和加密證書。

簽名證書是用于證明簽名公鑰的數(shù)字證書；

加密證書是用于證明加密公鑰的數(shù)字證書。

35、Diffie-Hellman密鑰交換協(xié)議

W.Diffie和M.E.Hellman于1976年首次提出一種共享秘密的方案，簡稱Diffie-Hellman密鑰交換協(xié)

議。Diffie-HeHman密鑰交換協(xié)議基于求解離散對數(shù)問題的困難性，即對于卜述等式：

Cd=MmodP

其操作步驟如下：

第一步，Alice和Bob確定一個(gè)適當(dāng)?shù)乃財(cái)?shù)p和Q,并使得a是p的原根，其中竊和p可以公開。

第二步，Alice秘密選取一個(gè)整數(shù)為，計(jì)算yA=q〃modp,并把以發(fā)送給Bob。

第三步，Bob秘密選取一，個(gè)整數(shù)沏，計(jì)算二廢""modp,并把"發(fā)送給Alice。力和坊就是所說的

Diffie-Hellman公開值。

第四步，Alice和Bob雙方分別計(jì)算出共享密鑰K,即：

Alice通過計(jì)算K=(yB)"modp生成密鑰K；

ClD

Bob通過計(jì)算K=(yA)modp生成密鑰K?

因?yàn)椋?/p>

Q人

aB

K=(yB)modp=(amodp)modp

=(aaB)人modp=aaA<1Bmodp

=(aaA)modp=(aa^modp)modp

aB

=(yA)modp

所以Alice和Bob生成的密鑰K是相同的,這樣一來就實(shí)現(xiàn)了密鑰的交換。Alice和Bob采用Diffie-

Hellman密鑰交換的安全性基于求解離散對數(shù)問題的困難性,即從力或者如以及a計(jì)算期或如在計(jì)算上是

不可行的。

36、SSH協(xié)議

SSH是SecureShell的縮寫，即“安全外殼”，它是基于公鑰的安全應(yīng)用協(xié)議，由SSH傳輸層協(xié)議、

SSH用戶認(rèn)證協(xié)議和SSH連接協(xié)議三個(gè)子協(xié)議組成，各協(xié)議分工合作，實(shí)現(xiàn)加密、認(rèn)證、完整性檢查等

多種安全服務(wù)。

用戶為了認(rèn)證服務(wù)器的公鑰真實(shí)性，有三種方法來實(shí)現(xiàn)：

?用戶直接隨身攜帶含有服務(wù)器公鑰的拷貝，在進(jìn)行密鑰交奧協(xié)議前，讀入客戶計(jì)算機(jī)；

?從公開信道卜.載服務(wù)器的公鑰和它對應(yīng)的指紋后，先通過電話驗(yàn)證服務(wù)器的公鑰指紋的真實(shí)性，然

后用HASH軟件生成服務(wù)器的公鑰新指紋，比較下載的指紋和新生成的指紋，若比較結(jié)果相同，則表明服

務(wù)器的公鑰是真實(shí)的，否則是虛假的。

?通過PKI技術(shù)來驗(yàn)證服務(wù)器。

SSH在端口轉(zhuǎn)發(fā)技術(shù)的基礎(chǔ)上，能支持遠(yuǎn)程登錄（Telnel）、rsh、rlogin、文件傳輸（scp）等多種安全

服務(wù)。Linux系統(tǒng)一般提供SSH服務(wù)，SSH的服務(wù)進(jìn)程端口通常為22。

37、密碼技術(shù)常見應(yīng)用場景類型

密碼技術(shù)主要應(yīng)用

說明

場景類型

基于公鑰密碼學(xué)技術(shù)

網(wǎng)絡(luò)用戶安全

使用加密技術(shù)

對物理區(qū)域訪問者的身份進(jìn)行鑒別

物理和環(huán)境安全保護(hù)電子門禁系統(tǒng)進(jìn)出記錄的存儲完整性和機(jī)密性

保證視頻監(jiān)控音像記錄的存儲完整性和鞏密性

對通信實(shí)體進(jìn)行雙向身份鑒別

使用數(shù)字簽名保證通信過程中數(shù)據(jù)的完整性

網(wǎng)絡(luò)和通信安全

對通信過程中進(jìn)出的敏感字段或通信報(bào)文進(jìn)行加密

使用密碼安全認(rèn)證協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行接入認(rèn)證

使用密碼安全認(rèn)證協(xié)議對登錄設(shè)備用戶的身份進(jìn)行鑒別

使用Hash函數(shù)及密碼算法建立可信的計(jì)算環(huán)境

設(shè)備和計(jì)算安全使用數(shù)字簽名驗(yàn)證重要可執(zhí)行程序來源的真實(shí)性

使用加密措施保護(hù)設(shè)備的重要信息資源，如口令文件

使用SSH及SSL等密碼技術(shù)，建立設(shè)備遠(yuǎn)程管理安全信息傳輸通道

使用安全協(xié)議及數(shù)字證書對登錄用戶進(jìn)吁身份鑒別加密應(yīng)用系統(tǒng)訪問控制信息

應(yīng)用SSH及SSL等密碼技術(shù)，傳輸重要數(shù)據(jù)，保護(hù)重要數(shù)據(jù)的機(jī)密性和完整性

應(yīng)用和數(shù)據(jù)安全

加密存儲重要數(shù)據(jù)，防止敏感數(shù)據(jù)泄密

使用Hash函數(shù)、數(shù)字簽名等密碼技術(shù)，保護(hù)應(yīng)用系統(tǒng)的完整性

利用數(shù)字證書和數(shù)字簽名等密碼技術(shù)，構(gòu)建網(wǎng)絡(luò)發(fā)票

業(yè)務(wù)應(yīng)用創(chuàng)新使用Hash函數(shù)等密碼技術(shù)，構(gòu)建區(qū)塊鏈

利用密碼技術(shù)，建立電子證照

38、路由器安全應(yīng)用參考

（I）路由器口令管理

路由器先用MD5對管理員口令信息進(jìn)行Hash計(jì)算，然后再保存到路由器配置文件中。

（2）遠(yuǎn)程安全訪問路由器

管理員為增強(qiáng)路由器的安全管理，使用SSH替換Telnet。

（3）路由器信息交換認(rèn)證

路由器常用MD5-HMAC來實(shí)現(xiàn)。

39、網(wǎng)絡(luò)安全體系的主要特征

（1）整體性：網(wǎng)絡(luò)安全體系從全職長遠(yuǎn)的角度實(shí)現(xiàn)安全保障，網(wǎng)絡(luò)安全單元按照一定的規(guī)則相互依

賴，相互約束，相互作用，而形成人機(jī)物一體化的網(wǎng)絡(luò)安全保護(hù)方式：

（2）協(xié)同性：網(wǎng)絡(luò)安全體系依賴于?多種安全機(jī)制，通過多種安全機(jī)制的相互協(xié)作，構(gòu)建系統(tǒng)性的網(wǎng)

絡(luò)安全保護(hù)方案；

（3）過程良：針對保護(hù)對象，網(wǎng)絡(luò)安全體系提供一種過程式的網(wǎng)絡(luò)安全保護(hù)機(jī)制，覆蓋保護(hù)對象的

全生命周期：

（4）全面性：網(wǎng)絡(luò)安全體系基于多個(gè)維度，多個(gè)層面與安全威脅進(jìn)行管控構(gòu)建防護(hù)、檢查、響應(yīng)恢

復(fù)等網(wǎng)絡(luò)安全功能；

（5）適應(yīng)性：網(wǎng)絡(luò)安全體系具有動(dòng)態(tài)演變機(jī)制I.能夠適應(yīng)網(wǎng)絡(luò)安全威脅的變化和需求.

40、網(wǎng)絡(luò)安全體系的主要模型

（1）BLP機(jī)密性模型

Bcll-LaPadula模型是符合軍事安全策略的計(jì)算機(jī)安全模型，簡稱BLP模型。BLP模型有以下兩個(gè)特

性：

?簡單安全特性：主體只能向下讀，不能向上讀

?辛特性：主體只能向上寫，不能向下寫

（2）BiBa完整性模型

BiBa模型主要用于防止非授權(quán)修改系統(tǒng)信息，以保護(hù)系統(tǒng)的信息完整性。該模型同BLP漠型類似，

采用主體、客體、完整性級別描述安全策略要求。BiBa具有以下三個(gè)安全特性：

?簡單安全特性：主體不能向下讀。

?*特性：主體不能向上寫。

?調(diào)用特性：主體的完整性級別小于另外一個(gè)主體時(shí)，不能調(diào)用另一個(gè)主體。

（3）信息流模型

信息流巡是訪問控制模型的一種變形，簡稱FM。

信息流模型可表示為FM=（N,P,SC,0,-）,其中，N表示客體集，P表示進(jìn)程集，SC表示安

全類型集，③表示支持結(jié)合、交換的二進(jìn)制運(yùn)算符，一表示流美系。一個(gè)安全的FM當(dāng)且僅當(dāng)執(zhí)行系列操

作后，不會導(dǎo)致流與流關(guān)系一產(chǎn)生沖突。

（4）信息保障模型

PDRR改進(jìn)了傳統(tǒng)的只有保護(hù)的單一安全防御思想，強(qiáng)調(diào)信息安全保障的四個(gè)重要環(huán)節(jié)。

?保護(hù)的內(nèi)容主要有加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、認(rèn)證機(jī)制、信息隱藏、防火墻技術(shù)

等。

?檢測的內(nèi)容主要有入侵檢測、系統(tǒng)脆弱性檢測、數(shù)據(jù)完整性檢測、攻擊性檢測等。

?恢復(fù)的內(nèi)容主要有數(shù)據(jù)備份、數(shù)據(jù)修復(fù)、系統(tǒng)恢復(fù)等。

?響應(yīng)的主要內(nèi)容有應(yīng)急策略、應(yīng)急機(jī)制、應(yīng)急手段、入侵過程分析及安全狀態(tài)評估等。

（5）能力成熟度模型

能力成熟度模型（簡稱CMM）是對一個(gè)組織機(jī)構(gòu)的能力進(jìn)行成熟度評估的模型。成熟級別一般分為

5級，其中，級別越大，表示能力成熟度越高，各級別定義如下：

?1級?非正式執(zhí)行：具備隨機(jī)、無序、被動(dòng)的過程

?2級-計(jì)劃跟蹤：具備主動(dòng)、非體系化的過程

?3級-充分定義：具備正式的規(guī)范的過程

?4級-量化控制：具備可量化的過程

?5級.持續(xù)優(yōu)化：具備可持續(xù)優(yōu)化的過程

（6）縱深防御模型

縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全防護(hù)措施有機(jī)組合起來，針對保護(hù)對象，部署合適的安

全措施，形成多道保護(hù)線，各安全防護(hù)措施能夠互相支持和補(bǔ)救，盡可能地阻斷攻擊者的威脅。目前，安

全業(yè)界認(rèn)為網(wǎng)絡(luò)需要建立四道防線：

?安全保護(hù)

?安全監(jiān)測

?實(shí)時(shí)響應(yīng)

?恢復(fù)

（7）分層防護(hù)模型

分層防護(hù)模型針對單獨(dú)保護(hù)節(jié)點(diǎn)。

（8）等級保護(hù)模型

等級保護(hù)模型是根據(jù)網(wǎng)絡(luò)信息系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定和保護(hù)公共利益等方面的重要程

度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定的安全保護(hù)要求和成本開銷等因素，將其劃分成不同的安全保護(hù)等

級，采取相應(yīng)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。

（9）網(wǎng)絡(luò)生存模型

網(wǎng)絡(luò)生存性是指在網(wǎng)絡(luò)信息系統(tǒng)遭受入侵的情形下，網(wǎng)絡(luò)信息系統(tǒng)仍然能夠持續(xù)提供必要服務(wù)的能

力。

41、網(wǎng)絡(luò)安全體系在建設(shè)過程中主要遵循以下原則

名稱說明

在建立網(wǎng)絡(luò)安全防范體系時(shí)，應(yīng)當(dāng)特別強(qiáng)調(diào)系統(tǒng)的整體安全性，即

系統(tǒng)性和動(dòng)態(tài)性原則

“木桶原則”，即木桶的最大容積取決于最短的一塊木板。

網(wǎng)絡(luò)安全體系應(yīng)該包括安全評估機(jī)制、安全防護(hù)機(jī)制、安全監(jiān)測機(jī)

縱深防護(hù)與協(xié)作性原則

制、安全應(yīng)急響應(yīng)機(jī)制。

指根據(jù)網(wǎng)絡(luò)資產(chǎn)的安全級別，采用合適的網(wǎng)絡(luò)防范措施來保護(hù)網(wǎng)絡(luò)資

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和分級保護(hù)原則

產(chǎn)，做到適度防護(hù)。

網(wǎng)絡(luò)系統(tǒng)安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)

標(biāo)準(zhǔn)化與i致性原則

分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)、互通、互操作。

網(wǎng)絡(luò)安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，必須將各種安全技術(shù)與運(yùn)行管

技術(shù)與管理相結(jié)合原則

理機(jī)制、人員思想教育和技術(shù)培訓(xùn)、安全規(guī)章制度的建設(shè)相結(jié)合。

安全第一，預(yù)防為主原則網(wǎng)絡(luò)安全應(yīng)以預(yù)防為主。

安全與發(fā)展同步，業(yè)務(wù)與安全網(wǎng)絡(luò)安全的建設(shè)要實(shí)現(xiàn)和信息化統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)

等同一實(shí)施，確保三同步一一同步規(guī)劃、同步建設(shè)、同步運(yùn)行。

網(wǎng)絡(luò)安全體系建設(shè)要依托網(wǎng)絡(luò)信息產(chǎn)業(yè)的發(fā)展，做到自主可控，安全

人機(jī)物融合和產(chǎn)業(yè)發(fā)展原則可信，建立持續(xù)穩(wěn)定發(fā)展的網(wǎng)絡(luò)安全生態(tài)，支撐網(wǎng)絡(luò)安全體系的關(guān)鍵

要素可控。

42、一般來說，物理安全保護(hù)主要從以下方面采取安全保護(hù)措施:

名稱說明

設(shè)備物理安全的安全技術(shù)要素主要有設(shè)備的標(biāo)志和標(biāo)記、防止電磁信息泄露、抗電

設(shè)備物理安全

磁干擾、電源保護(hù)以及設(shè)備震動(dòng)、碰撞、沖擊適應(yīng)性等方面。

環(huán)境物理安全的安全技術(shù)要素主要有機(jī)房場地選擇、機(jī)房屏蔽、防火、防水、防

環(huán)境物理安全

雷、防鼠、防盜、防毀、供配電系統(tǒng)、空調(diào)系統(tǒng)、綜合布線和區(qū)域防護(hù)等方面

系統(tǒng)物理安全的安全技術(shù)要素主要有存儲介質(zhì)安全、災(zāi)難備份與恢復(fù)、物理設(shè)備訪

問、設(shè)備管理和保護(hù)、資源利用等。

系統(tǒng)物理安全

物理安全保護(hù)的方法土要是安全合規(guī)、訪問控制、安全屏蔽、故障容錯(cuò)、安全監(jiān)測

與預(yù)警、供應(yīng)鏈安全管理和容災(zāi)備份等。

43、設(shè)備硬件攻擊防護(hù)

硬件木馬檢測：

硬件木馬檢測方法有反向分析法、功耗分析法、側(cè)信道分析法。

硬件漏洞處理：

硬件漏洞不同于軟件漏洞，其修補(bǔ)具有不可逆性。通常方法是破壞漏洞利用條件，防止漏洞被攻擊者

利用。

44、存儲介質(zhì)安全分析與防護(hù)

1.存儲介質(zhì)安全分析

?存儲管理失控

?存儲數(shù)據(jù)泄密

?存儲介質(zhì)及存儲設(shè)備故隙

?存儲介質(zhì)數(shù)據(jù)非安全刪除

?惡意代碼攻擊

45、認(rèn)證概念

認(rèn)證是一個(gè)實(shí)體向另一個(gè)實(shí)體證明其所有聲稱的身份的過程。

2.認(rèn)證依據(jù)

認(rèn)證依據(jù)也稱為鑒別信息，通常指用于確認(rèn)實(shí)體（聲稱者）身份的真實(shí)性或者其擁有的屬性的憑證。

目前，常見的認(rèn)證依據(jù)主要有四類：

所知道的秘密信息

所擁有的實(shí)物憑證

所具有的生物特征

所表現(xiàn)的行為特征

46、認(rèn)證類型與認(rèn)證過程

1.單向認(rèn)證

單向認(rèn)證是指在認(rèn)證過程中，驗(yàn)證者對聲稱者進(jìn)行單方面的鑒別，而聲稱者不需要識別驗(yàn)證者的身

份。

2.雙向認(rèn)證

雙向認(rèn)證是指在認(rèn)證過程中，驗(yàn)證者對聲稱者進(jìn)行單方面的鑒別，同時(shí)，聲稱者也對驗(yàn)證者的身份進(jìn)

行確認(rèn)。

3.第三方認(rèn)證

第三方認(rèn)證是指兩個(gè)實(shí)體在鑒別過程中通過可信的第三方來實(shí)現(xiàn)。可信的第三方簡稱TTP.

47、口令認(rèn)證技術(shù)

口令認(rèn)證是基于用戶所知道的秘密而進(jìn)行的認(rèn)證技術(shù)。

設(shè)用戶A的標(biāo)識為UA，口令為PA，服務(wù)方實(shí)體為B,則認(rèn)證過程描述如下：

用戶A發(fā)送消息CUA,PA）到服務(wù)方B。

B收到（U4,PA）消息后，被查I/。和的正確性。若正確，則通過用戶A的認(rèn)證。

B回復(fù)用戶A驗(yàn)證結(jié)果消息。

要實(shí)現(xiàn)口令認(rèn)證的安全，至少應(yīng)滿足以下條件：

?口令信息要安全加密存儲；

?口令信息要安全傳輸；

?口令認(rèn)證協(xié)議要抵抗攻擊，符合安全協(xié)議設(shè)計(jì)要求；

?口令選擇要求做到避免弱口令。

48、智能卡技術(shù)

智能卡是?種帶有存儲器和微處理器的集成電路卡，能夠安全存儲認(rèn)證信息，并具有?定的計(jì)算能力。

目標(biāo)系統(tǒng)

L發(fā)達(dá)R

3.讀取數(shù)字.C<2.提示輸入數(shù)字

驊黑>X4發(fā)送數(shù)字生成挑戰(zhàn)

智能卡

7.應(yīng)答.fy?丁

用戶

檢測應(yīng)答，

如果正確則

登陸成功

挑戰(zhàn)/響應(yīng)認(rèn)證示意圖

49、Kerberos認(rèn)證技術(shù)

一個(gè)Kerberos系統(tǒng)涉及四個(gè)基本實(shí)體：

Kerberos客戶機(jī)，用戶用來訪問服務(wù)器設(shè)備；

AS,識別用戶身份并提供TGS會話密鑰；

TGS,為申請服務(wù)的用戶授予票據(jù)；

應(yīng)用服務(wù)器，為用戶提供服務(wù)的設(shè)備或系統(tǒng)。

Kerberos工作流程示意圖

L向AS請求TGS票據(jù)

2.發(fā)送TGT給客戶AS服務(wù)器

Kerberos

3.發(fā)送TGT和應(yīng)用服務(wù)票據(jù)申請

客戶

4.發(fā)送應(yīng)用票據(jù)給客戶

TGS服務(wù)器

KDC

5.發(fā)送會話票6.應(yīng)用請求服

據(jù)到服務(wù)器務(wù)器確認(rèn)請求

應(yīng)用服務(wù)

器

Kerberos協(xié)議中要求用戶經(jīng)過AS和TGS兩重認(rèn)證的優(yōu)點(diǎn)主要有兩點(diǎn)。

可以顯著減少用戶密鑰的密文的暴露次數(shù)，這樣就可以減少攻擊者對有關(guān)用戶密鑰的密文積累。

Kerberos認(rèn)證過程具有單點(diǎn)登錄的優(yōu)點(diǎn)，只要用戶拿到了TGT并且該TGT沒有過期，那么用戶就可

以使用該TGR通過TGS完成到任一服務(wù)器的認(rèn)證過程而不必重新輸入密碼。

但是，Kerberos也存在不足之處。Kerberos認(rèn)證系統(tǒng)要求解決主機(jī)節(jié)點(diǎn)時(shí)間同步問題和抵御拒絕服務(wù)

攻擊。

50、公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)

?簽證機(jī)構(gòu)CA

負(fù)責(zé)簽發(fā)證書、管理和撤銷證書

?注冊機(jī)構(gòu)RA

負(fù)責(zé)專門受理用戶申請證書的機(jī)構(gòu)

證書的簽發(fā)

證書目錄

證書的認(rèn)證

證書的撤俏

信任模型

51、其他認(rèn)證技術(shù)

名稱說明

指用戶訪問使用不同的系統(tǒng)時(shí)，只需要進(jìn)行一次身份認(rèn)證，就可以根據(jù)3次登錄的

單點(diǎn)登錄

認(rèn)證身份訪問授權(quán)資源。

基于人機(jī)識別認(rèn)證基于人機(jī)識別認(rèn)證利用計(jì)算機(jī)求解問