信息安全考点总结.docVIP

关于QQ、网银、大师、360等讨论题，你们有谁整理出答案来了 hmac是用hash函数做mac的技术 就是分解n啊,不分解n比分解n更难 大家都知道溢出现象一不小心就会发生，所以微软和VC做了预先准备，在临时变量之间设置了缓冲隔离带，万一有溢出，尽可能避免影响到别人，也尽早尽量发现,在debug模式下才有此举，在release模式下隔离带就没有饿了。 缓冲区： 网银安全; 1、Ssl加密，https 2、输入银行账号和密码时的控件：特殊机制 3、对抗口令监听的软件（硬件对抗不了) 4、开通网银时的那句话来鉴别这不是钓鱼网 5、手机交易吗 6、U盾 7、有没有可能网站不存口令 8若是不可能，存了口令，认证期间不要在网上传，传的时候hash一下，传hash值，用随机数挑战，随机数和口令hash。 9、网银ssl加密后给服务器 Qq 登陆方面。 重新设你的密保，复杂一点的，QQ密码 也复杂一点， QQ盗号从单纯的“偷窥”、“键盘钩子”木马、“屏幕快照”木马，到聊天记录监视和“网络钓鱼” 输入账号密码的时候可能网吧里面就双黑色的眼睛正盯着你的键盘可能电脑里面还有你看不到的“眼睛”也监控着你的键盘，然后把获取的账号信息发送出去，而这类木马占了QQ盗号木马的99％以上。 将账号密码加密，QQ账号密码信息本地存放，无须注册。不用注册的方式比较安全，不用担心信息在传递过程中出现问题 在加密通道中输入QQ账号密码后自动删除所有临时信息 注意电脑系统的清洁 检测键盘钩子程序和木马 以及打开的qq是不是按照目录下的qq.exe 聊天时可以进行身份认证 确定和你聊天的确实是那个人 所以现在比较高级的就是用二维码登陆⊙.⊙ 手机确认一下 使用qq交换文件的话，服务器会不会有记录？ QQ加密外挂 Pkcs5 密钥分发： 1，公钥 CA 2：对称密钥 diffie hellman 文件加密的惨剧： 360加密： 无纸化办公： 单表统计规律： 文件共享 密码学和网络信息安全能帮助我们干什么 通信安全 偷听和保密 分组网络的存储-转发 假冒和抵赖 无纸化支持 办公和电子商务活动 签章、支付安全和抵赖问题 数字签名 系统安全 漏洞、病毒等问题 系统访问安全体现 恶意代码 病毒、木马、攻击程序 数据驱动 黑客 攻击破坏(漏洞,引诱) 未授权使用 系统和软件漏洞 NOS 系统软件 系统安全手段 硬件、NOS、系统软件 防火墙 软件、硬件 身份认证 访问控制和授权 kerberos 审计/入侵检测 LOG，IDS 网络管理员 关于签名 手写签名 数字签名 纸版文件 数字文件 手写签名 数字小文件 同一页纸 如何绑定 必须的特性： 不可伪造 不可重用 不可改变 不可抵赖 四种技术手段 加密 鉴别/数字签名 身份 消息来源和真实性 防抵赖 签名和验证 完整性 校验 网络安全模型 系统安全 病毒、木马、漏洞、黑客、攻击等 防火墙、信息过滤和入侵监测等 传输安全 加密防信息泄密 鉴别和认证：消息来源、身份核认、防抵赖等 完整性 * 密码学 加密算法、鉴别和签名算法、安全协议等 * 安全系统 互操作、部署、运行、监控等 密码分析学 目标：恢复密钥或明文 唯密文攻击 只有一些密文 已知明文攻击 知道一些过去的(明文及其密文)作参考和启发 选择密文攻击 有一台解密机（能解密选择的密文） 选择明文攻击 缴获有一台加密机（还能加密选择的明文） Feistel参数特性 分组大小 密钥大小 循环次数 一般仅几轮是不够的，得十几轮才好，如16轮 子钥产生算法 越复杂越好 轮函数Round 关键 其他考虑 速度（尤其是软件实现的速度） 便于分析（使用简洁的结构） 不是Feistel结构的 AES、IDEA * 绝大数分组密码属于或类似Feistel结构 多轮 每轮有XOR（或能恢复的操作） 轮函数 DES 参数 Feistel体制分组密码 分组大小 64bit，密钥大小 56bit，轮数 16轮 S-Boxes 对DES的争议集中在 密钥空间太小 Key space 从Lucifer的2^128降到DES的2^56 DES Challenge III, 22 hours 15 minutes S盒 S-Boxes S盒的设计准则？ 陷门？ trapdoors by NSA (?) “Form surprise to suspicion” 从惊喜(甚至能够抵御很后来才发现的各种攻击) 到怀疑(n年前就如此厉害的NSA现在究竟有多厉害) DES总结 DES算法对个人用户仍值得信赖 DES算法本身没有大的缺陷 对DES攻击方法复杂度为2^47 DES使用的2^56密钥空间不够大，蛮力攻击目前已