信息安全问题汇总初稿.docxVIP

所谓在计算上是安全的密码系统要满足什么条件（P17） 破译该密码的成本超过被加密信息的价值，时间超过被加密信息的生命周期 Hill密码的计算(P15) 名词 DES：数据加密标准 三重 DES：三个密钥三次加密。 AES：高级加密标准 RSA：利用陷门单向函数的一种可逆模指数运算 MAC：消息认证码 散列函数：对不定长的输入产生定长输出的特殊函数 SHA：安全散列算法 DSS：数字签名标准 链路加密：每个易受攻击的链路两端都使用加密设备进行加密 端到端加密：仅在一对用户的通信线路两端进行加密 KDC：密钥分配中心 PKI：公钥基础设施 PAP：口令认证协议 CHAP：质询-握手协议 Kerberos：身份鉴别协议 访问控制：在保障授权用户能获取所需资源同时拒绝非授权用户的安全机制 自由访问控制：基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的 访问控制表：基于访问控制矩阵中列的自主访问控制 访问能力表：最常用的基于行的自主访问控制 基于角色的访问控制：通过定义角色的权限为系统中的主体分配角色来实现访问控制用户以一定的角色访问系统，不同的角色被赋予不同的访问权限 本地安全授权机构：根据安全账号管理器中的数据处理本地或远程用户的登录信息，并控制审计和日志。 DDOS：分布式拒绝服务攻击 特洛伊木马：服务端程序，被恶意攻击者通过一定手段放在目标主机上以达到非法目的；或者是目标主机上正在运行的授权应用软件，其本身具有可被攻击者利用的特性。 安全扫描技术：指手工地或使用特定的软件工具 系统扫描器：运行于目标结点上的进程 网络扫描器：用于检查网络和分布式系统的进程 端口扫描器：检查服务器上打开和关闭的端口，查询对外开放的服务 IDS：入侵检测系统 DIDS：分布式入侵检测系统 基于主机的入侵检测：监视与分析主机的审计记录检测入侵 基于网络的入侵检测：在共享网段上对通信数据进行侦听采集数据，分析可疑现象 蜜罐：采用路由器把攻击者引导到一个经过特殊装备的系统上 防火墙：两个网络间执行访问控制策略的一个或一组系统 堡垒主机：配置安全防范措施的网络计算机 IPSec：工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性 IKE: Internet HYPERLINK /view/934.htm \t _blank 密钥交换协议 SSL:  HYPERLINK /view/525499.htm \t _blank 安全套接层 PGP：更好的保护隐私 S/MIME：多用途网际邮件扩充协议 SET：安全电子交易协议 简述DES的加密过程 输入64比特明文数据；初始置换IP；在密钥控制下16轮迭代；交换左右32比特；初始拟置换IP-1；输出64比特密文数据。 简述分组密码的四种工作模式 ECB电码本模式:一次对一个64比特长的明文分组进行加密，而且每次的加密密钥都相同。 CBC密码分组链接模式：每次加密使用同一密钥，加密算法的输入是当前明文组和前一次密文组的异或。 CFB密码反馈模式：若待加密的消息必须按字符处理时，可采用CFB么偶是火OFB模式，讲DES转换成流密码。 OFB输出反馈模式：将加密算法的输出反馈到移位寄存器，传输过程中的比特错误不会被传播。 RSA密钥选择的计算 1） 随机选择两个大素数p和q 2） 计算公开的模 n=p*q 3） 计算欧拉函数 Φ(n)=(p-1)*(q-1) 4） 随机选一整数 e，1≤eΦ(n) ，(Φ(n),e)=1，即Φ(n)）和e互素 5） 计算d ，满足 ed mod Φ(n) =1。 得到公钥和私钥，公钥为( e , n )，私钥为 d RSA加密算法的处理 用“平方－乘”算法计算7560 mod 561 用于消息认证的散列函数应具备的性质 H能用于任何大小的数据分组，都能产生定长的输出 对于任何给定的x，H(x)要相对易于计算 对任何给定的散列码h，寻找x使得H(x)=h在计算上不可行 对任何给定的分组x，寻找不等于x的y，使得H(x)=H(y)在计算机上不可行 寻找任何的(x,y)，使得H(x)=H(y)在计算机上不可行 数字签名应满足的基本条件 签名者不能否认自己的签名 接收者能够验证签名，而其他任何人都不能伪造签名 当关于签名的真伪发生争执时，存在一个仲裁机构或第三方能够解决争执 简述数字签名与手写签名的区别 签名：手写是被签文件的物理组成部分，数字是将签名链接到被签消息上 验证：手写是通过与真实签名进行验证，数字是利用验证算法来验证 数字签名消息的复制品与本身是一样的，手写签名的复制品与原品不同 数字签名的需求 依赖性 唯一性 可验证性 抗伪造 可用性 RSA签名机制的实现 在网络应用中，