信息安全技术期末复习重点.docVIP

第一章 安全服务：加强数据处理系统和信息传输的安全性的一种服务。其目的在于利用一种或多种安全机制阻止安全攻击 安全机制：用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。 安全攻击：任何危及系统信息安全的活动。 威 胁：侵犯安全的可能性，在破坏安全或引起危害的环境，可能性行为或时间的情况下，会出现这种威胁。也就是说，威胁是利用脆弱性潜在危险。 攻 击：对系统安全的攻击，它来源于一种具有智能的威胁。也就是说，有意违反安全服务和侵犯系统安全策略的（特别是在方法或技巧的）智能行为。 认 证：保证通信的实体是它所声称的实体。 存取控制：阻止对资源的非授权使用。 数据保密性：保护数据免于非授权泄露。 连接保密性：保护一次连接中所有的用户数据 无连接保密性：保护单个数据块里的所有用户数据 选择域保密性：对一次连接或单个数据块里选定的数据部分提供保密性 流量保密性：保护那些可以通过观察流量而获得的信息 数据完整性：保证收到的数据确实是授权实体所发出的数据 具有恢复功能的连接完整性：提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放，且试图恢复之。 无恢复的连接性完整性：提供一次连接中所有用户数据的完整性检测整个数据序列存在的修改、插入、删除或重放，但不尝试恢复。 选择域连接完整性：提供一次连接中传输的单个数据块用户数据中选定部分的数据完整性，并判断选定域是否被修改 不可否认性：防止整个或部分通信过程中，任一通信实体进行否认的行为 源不可否认：证明消息是有特定方发出的 宿不可否认性：证明消息被特定方收到 加密：运用数学算法将数据转换成不可知的形式。数据的变换和复原依赖于算法和零个或多个加密密钥 数字签名：附加于数据元之后的数据，是对数据元的密码变换，以使得可证明数据源和完整性，并防止伪造 认证交换：通过信息交换来保证实体身份的各种机制 流量填充：在数据流空隙中插入若干位以阻止流量分析 路由控制：能够为某些数据选择特殊的物理上安全的路线并允许路由变化。 公证：利用可信的第三方来保证数据交换的某些性质 可信功能：据某些标准被认为是正确的 安全标签：资源的标志，指明该资源的安全属性 事件检测：检测与安全相关的事件 安全审计跟踪：收集的及潜在用于安全审计的数据，它是对系统记录和行为的独立回顾和检查 安全恢复：处理来自安全机制的请求，如事件处理、管理功能和采取恢复行为 被动攻击：它的特性是对传输进行窃听和检测，包括：信息内容泄露和流量分析 主动攻击：它包括对数据流进行篡改或伪造数据流，可分为：伪装、重放、消息篡改和拒绝服务 第二章 Kerberos原理： 认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用 客户端密钥加密的证书。证书的构成为： 1) 服务器 “ticket” ； 2) 一个临时加密密钥（又称为会话密钥 “session key”） 。客户机将 ticket （包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。 公钥证书：它是标志网络用户身份信息的一系列数据，它用来在网络通信中识别通信各方的身份。它是由权威的第三方机构即CA中心签发。它采用公钥体制，用户掌握私钥，公开公钥。一个简单的公钥签名包括：证书序号，主体公钥值，认证机构名，主体身份信息，认证机构签名。 公钥证书包括： 版本号。其默认值为第1版。如果证书中需有发放者惟一标识符或主体惟一标识符，则版本号一定是2；如果有一个或多个扩充域，则版本号为3。 证书序列号。由CA发放，值唯一。 签名算法标识符。签名算法及参数 发放者名称。CA的名称 有效期。起始时间和终止时间。 主体名称。 主体的公钥信息。 发放者惟一标识符。 主体惟一标识符。 扩充域。 公钥证书作用及特性 保密性 通过使用收件人的公钥证书对电子邮件加密，只有收件人才能阅读加密的邮件。 完整性 利用发件人公钥证书在传送前对电子邮件进行公钥签名，不仅可以确定发件人身份，而且可以判断发送的信息在传递过程中是否被篡改过。 身份认证 利用发件人公钥证书在传送前对电子邮件进行公钥签名可以确定发件人身份，从而识破冒充的他人。 不可否认性 发件人的公钥证书只有发件人唯一拥有，发件人进行签名后，就不能否认发送过某个文件。 第三章 PGP的处理流程 PGP加密系统是采用公开 密钥加密与传统密钥加密相结合的一种加密技术。它使用一对数学上相关的钥匙，其中一个（公钥）用来加密信息，另一个（私钥）用来解密信息。 　　PGP采用的传统加密技术部分所使用的密