导图社区 软考网络安全知识点概括
2024最新版本sumer课堂的网络安全部分知识点概括,介绍详细,知识全面,希望可以对大家有所帮助!
summer老师软考局域网总结提纲,介绍了以太网协议、虚拟局域网VIAN、 生成树协议STP、 无线局域网协议等。
HTML基础笔记 思维导图,分享了标签、列表(Iist)、表格(table)、表单(form)的知识,快来看看吧!
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
网络安全
威胁类型
窃听、假冒、流量分析
重放:参考ATM机,重复发送报文,产生授权(随机数、时间戳)
数据完整性的破坏
拒绝DOS服务:让一个授权实体得不到应有的网络资源(SYN-Flooding 利用TCP不断建立会话,占用资源
MAC Flooding
ARP Flooding
SYN Flooding
资源的非授权使用:与所定义的安全策略不一致的使用
陷门和特洛伊木马:在合法程序重插入恶意代码
病毒
诽谤
网络攻击
被动攻击
嗅探、监听、流量分析、会话拦截
难以被检测,重点是防御,主要手段是加密
主动攻击
假冒、重放、拒绝服务、系统干涉等
主要是检测而不是预防,主要手段是防火墙,IDS、IPS等
其他
物理攻击,破坏机房
内部人员攻击
分发攻击,在软件开发安装之前就被篡改了
安全目标
访问控制,身份认证、消息认证、数据完整性、审计不可抵赖、保密方面
加密技术
私钥密码(对称密码)
定义:加密和解密使用相同密钥,消息双方必须实现通过安全渠道交换密钥
优点:加解密速度快、密文紧凑、使用长密钥时难破解 缺点:密钥分配、密钥管理、无法认证源
DES
解释:分组加密算法,采用位移+替换,速度快,密钥易产生
特点:分组长度64位,密钥长度64位,有效密钥长度56位
3DES
解释:三重DES,对明文加密,“加-解-加“模式 “K1加 - K2解 - K3加” “K3解 - K2加 - K1解” K1和K3一般相同
特点:密钥长度 56X2 = 112 K1 K3相同
IDEA
解释:分组加密算法,国际加密算法
特点:明文和密文分组都是64位,密钥长度128位,用于PGP
AES
解释:高级加密,通过硬件实现,速度快
特点:分组长度128位,密钥长度128、192、256三种
RC4/5
解释:流式加密算法,用于WIFI,速度快,可以达到DES的10倍
特点:分组和密钥长度都是可变的
公钥密码(非对称密码)
定义:对数据加密和解密的密钥是不同的
优点:密钥分发方便,密钥保管量少,支持数字签名 缺点:加密速度慢(不适合加密大数据)、数据膨胀率高
实体密钥:公钥公开,私钥自己保存
公钥加密,私钥解密,实现保密通信
私钥加密,公钥解密,实现数字签名
RSA:基于大素数因子分解困难性,采用512位(或1024)密钥,计算量大,难破解
Elgamal、ECC(椭圆曲线算法)、背包算法、HD等
混合密码
发送方用对称密钥加密需要发送的消息
再用接收方的公钥加密刚才的对称密钥
接收方用自己的私钥解密得到对称密钥
用对称密钥解密得到明文
国产加密算法
保护国家秘密:核心密码、普通密码 普通公民、法人:商业密码
SM1:对称加密,分组和密钥长度位128位
SM2:非对称,用于公钥加密,密钥交换、数字签名(椭圆曲线问题)
SM3:杂凑算法(哈希):分组512位,输出的长度256位
SM4:对称加密,分组长度和密钥长度为128位
SM9:标识密码算法,支持公钥加密、数字签名等
哈希算法
定义:又称杂凑算法、散列函数,能将任意长度的信息转换成固定长度的哈希值
特点:不可逆(单向),无碰撞性、雪崩效应
MD5:以512数据块处理,产生128位的信息摘要,常用文件校验
SHA:以512数据块处理,产生160位的信息摘要,安全更强大
SM3:分组512位,输出256位的摘要
应用
文件完整性校验
账号密码的存储(盐+哈希,防彩虹表的)
用户身份认证
数字签名和数字证书
数字签名
定义:签名方用自己的私钥签名,接受方用发送者的公钥进行验证
特点
数字签名是可信的
数字签名是不可伪造的
数字签名是不能改变的
数字签名是不能重新使用的
数字签名是不可抵赖的
接受者可以核实发送者身份
数字证书
定义:主要包含用户的公钥,CA的签名,主要用于身份识别
签名的算法:RSA(1024)及MD5
注意里边含有:姓名、地址、组织、算法、证书有效期、认证机构数字签名,公钥
KPI体系
用户/终端实体:向认证中心申请数字证书的客户或组织
注册机构RA:负责用户申请书,批准和拒绝,主要对用户进行资格审查
证书颁发机构CA:负责给用户颁发,管理和撤销
证书发布系统:负责证书发布
CRL库:证书吊销、存放过期、无效证书等
证书链
俩个证书发放机构彼此之间安全交换了公钥
X1机构的A通过一个证书链获取X2机构的B的公钥:X1《X2》 X2《B》
Kerberos服务器
认证、授权、审计
客户方向认证服务器(AS)请求
拿到AS服务器下发的许可凭证,向授权服务器(TGS)请求
拿到授权服务器(TGS)凭证后,向服务器链接
IPSec
定义:一种建立在公网上的,由某一组织或一群用户的虚拟专用网(VPN)
网络层:IPSec和GRE
传输层:SSL和TLS
隧道技术
数据链路层(PPP)
L2TP不具备加密功能,可以运行在IP协议或者X.25,帧中继等
PPTP仅支持TCP/IP,网络层是IP协议
PPP协议:链路控制协议LCP 网络控制协议NCP
PPP协议在点对点链路上传输多种上层协议的数据包,有校验位
认证方式
PAP
两次握手验证,口令明文传输,不安全
CHAP
三次握手,认证过程不传输口令,传送HMAC(随机数+密码=HMAC)
网络层
增强IP网络的安全性
安全服务
数据完整性
认证
保密性、数据加密
应用透明安全性
功能
认证头(AH)负责数据完整性和源认证(MD5、SHA)
封装安全负荷(ESP):提供数据加密服务(DES、3DES、AES)
网络密钥交换协议(IKE),用于生成和分发在ESP和AH中使用的密钥(DH)
封装模式
传输模式:封装在IP头部和TCP头部之间
隧道模式:直接添加新的IP头部
GPE
无法加密
传输层
SSL
定义:传输层安全协议,保证web安全
包含:SSL握手协议、SSL改变密码协议、SSL警告协议
端口号:443
TLS
其实是一个东西,定义标准的公司叫法不同 HTTPS = HTTP + SSL/TLS
S—HTTP,端口号:80,报文头直接在HTTP上
关键技术
加解密技术
密钥管理技术
身份认证技术
PGP
定义:完整的电子邮件安全软件包,提供数字加密和数字签名俩种服务
采用RAS的公钥进行身份验证。使用IDEA进行数据加密,使用MD5进行数据完整性验证
使用广泛的原因
支持多平台免费使用
基于安全的算法
既可以加密文件和电子邮件,也可以用于个人通信。
防火墙
定义:实现内部信任网络同外部不可信任网络之间或者内部不同区域隔离与访问控制
技术与分类:包过滤、状态化防火墙、应用层网关、应用层检测DPI
区域划分
本地区域(Local)100:防火墙本身
信任区域(Trust)85:内部安全网络、数据库服务器等
非信任网络区域(Untrust)5:外部网络
军事缓冲区域(DMZ)50:内部和外部之间,常放置公共服务设备
低级别进高级别(Inbound) 高级别进低级别(Outbound)
入侵检测
分析方式
匹配模式
统计分析
定义:防火墙之后的第二道安全屏障
旁路部署,一般接在交换机的端口镜像上。交换机把接收到的信息复制一份扔给IDS检测
信息来源
主机入侵(HIDS)、网络入侵(NIDS)、分布式(DIDO)
响应方式:实时检测、、非实时检测
数据分析处理方式
异常检测:建立不断更新和维护系统正常的轮廓,能够检测出未出现的攻击,但是误报率高
误用检测:对已知的入侵行为特征提取,形成模式库。对已知入侵检测准确率高,但对未知的检测率较低,高度依赖特征库(专家模式和匹配模式)
混合检测
防入侵检测系统IPS
抢先的网络安全检测和防御系统,能检测出攻击并积极响应。
具备拦截攻击并阻断攻击的功能。
IPS在攻击响应上采取的是主动的全面深层次的防御。
计算机病毒与防护
格式:<病毒前缀(种类)>.<病毒名称>.<病毒后缀(变种)>
病毒类型见书上
