**pk|系統的關鍵:**如何實現對金鑰的安全管理
公開金鑰機制涉及公鑰私鑰,私鑰由使用者自己儲存,公鑰在一定範圍內是公開的。
公開金鑰體制的金鑰管理主要是對公鑰的管理,目前較好的解決方法是採用大家共同信任的認證機構( ca )。
4.認證機構(ca)
ca的概念
認證機構( ca)是整個網上電子交易等安全活動的關鍵環節,主要負責產生、分配並管理所有參與網上安全活動的實體所需的數字證書。
在公開金鑰體制中,數字證書是一種儲存和管理金鑰的檔案。
ca具有權威性、可依賴性、公正。
ca的主要職能:
制訂並發布本地ca策略。但本地ca策略只能是對上級ca策略的的補充,而不能違背。
對下屬各成員進行身份認證和鑑別。
發布本ca的證書,或代替上級ca發布證書。
產生和管理下屬成員證書。
證實ra的證書申請,向ra返回證書製作的確認資訊,或返回已製作好的證書。
接收和認證對它所簽發的證書的撤銷申請。
產生和發布它所簽發的證書和crl,
儲存證書資訊、crl資訊、審計資訊和它所制訂的策略。
ca的組成:
證書及管理:
pki採用證書管理公鑰。通過第三方的可信任機構ca把使用者的公鑰和使用者的其他標識資訊**在一起,在internet或intranet上驗證使用者的身份。數字證書的營理方式在pki系統中起著關鍵作用。
5.數字證書
數字證書概念:
也稱為數字標識( digital certificate,或digital id)。
它提供了一種在internet等公共網路中進行身份驗證的方式,是用來標識和證明網路通訊雙方身份的數字資訊檔案。
跟日常生活中的身份證差不多。.
證書的概念:數字證書由乙個權威的證書認證機構(ca)發行
比較專業的數字證書定義:
數字證書是乙個經證書授權中心數字簽名的包含公開金鑰擁有者資訊以及公開金鑰的檔案。
**最簡單的證書組成:**公開金鑰、名稱、證書授權中心的數字簽名
**一般來說:**證書裡面還會有金鑰的有效時間、發證機關名稱、證書的序列號等資訊。
**數字證書格式:**x.509、wtls ( wap )、pgp等多種
x.509最為通用,它的通用格式為:
數字證書的管理:證書申請、證書發放、證書撤銷、證書更新。
二、pmi技術
1.概念
pmi(授權管理基礎設施)
pmi的概念
pmi是在pki發展的過程中為了將使用者許可權的管理與其公鑰的管理分離,由ietf提出的一種標準。pmi以資源管理為核心。對資源的訪問控制權統一交由授權機構統管理。
pmi組成
屬性權威(attribute authority, aa)、屬性證書(attribute certification, ac)、屬性證書庫
屬性權威(aa);
也稱為「授權管理中心"或「屬性權威機構」, 是整個pmi系統的核心,
它為不同的使用者和機構進行屬性證書(ac)建立、儲存、簽發和撤銷,負責管理ac的整個生命週期。
屬性證書(ac):
是由pmi的權威機構簽發的將實體與其享有的許可權屬性**在一起的資料結構,權威機構的數字簽名保證了繫結的有效性和合法性。
屬性證書庫
用於儲存屬性證書,一般情況下採用ldap目錄伺服器。
對於授權管理;最常用的就是基於角色的訪問控制。
pmi中基於角色的訪問控制的優勢:
授權管理的靈活性
授權操作與業務操作相分離
多授權模型的靈活支援
pmi系統框架:
授權管理基礎設施在體系上可分為**:
權威源(soa)
屬性權威(aa)
aa**點
**二級一級可以靈活配置。
pmi與pki之間的關係:在建設pmi設施的時候必須擁有足夠安全的pki資訊。
pki負責公鑰資訊的管理
pmi負責許可權的管理
pmi設施中的每乙個aa實體和終端使用者都是pki設施的使用者
應用角度:pmi和pki的發展是相輔相成,並互為條件的
pmi與pki的區別:
pki證明使用者是誰。
pmi證明這個使用者有什麼許可權、能幹什麼。
pmi需要pki為其提供身份認證。
pki:身份鑑別
pmi:授權管理
46.ipsee vpn在隧道模式中,對整個ip資料報進行加密或認證,因而需要產生乙個通道ip 頭。
47.試簡述資訊保安的四項基本目標。
(1)保密性
(2)完整性
(3)可用性
(4)合法使用
48.安全攻擊被分為主動攻擊和被動攻擊,請列出主動攻擊的四種主要型別。
1.重放攻擊
2.訊息篡改
3.拒絕服務
4.偽裝攻擊
49.請簡述網路加密的四種主要方式,並指出其報頭是以明文還是密文傳輸的。
(1)網路加密方式主要包括鏈路加密,節點加密,端到端加密和混合加密
(2)在鏈路加密方式下,包頭是以密文形式傳輸的
(3)在節點加密方式下,報頭是以明文形式傳輸的
(4)端到端加密是由於不允許對訊息的目的位址加密,因而是採用明文 傳輸的
(5)混合加密模式一般是鏈路加密與端到端加密的混合,其報頭是採用密文傳輸的。
論述1.防火牆是網路安全中最基本的組成部分,請舉出最常見的4類防火牆,試分別論述他們工作osi七層模型的哪個層次,並分別從開銷,安全性和 對網路效能的影響 比較他們的優缺點:
(1)常見的網路防火牆主要包括靜態包過濾防火牆,動態包過濾防火牆,電路級閘道器,應用級閘道器。
(2)他們在osi七層模型層次分別為:
①靜態包過濾防火牆工作在網路層
②動態包過濾防火牆工作在網路層或傳輸層。
③電路級閘道器工作在會話層
④應用級閘道器工作在應用層
(3)防火牆的優缺點比較:
由於路由器通常整合了簡單包過濾功能,而靜態包過濾防火牆功能和設計簡單,僅檢查資料源位址,目的位址,應用協議,源埠號,目的埠號等特定字段,開銷很小。
①靜態包過濾防火牆工作於網路層,其自身結構設計決定了它不能對資料報進行高層的分析和過濾,因此僅提供較低水平的安全性。而靜態包過濾防火牆只是簡單地根據位址,協議和埠進行控制訪問,因此對網路效能影響較小。
②動態包過濾防火牆檢查資料源位址,目的位址,應用或協議,源埠號,目的埠號等特定字段,而且由於在連線建立後儲存了連線狀態,當後續資料報通過防火牆時,不再需要繁瑣的匹配,減小開銷。由於具有「狀態感知」能力,對於不確定的埠協議資料報,可以通過分析開啟相應埠,比靜態包過濾防火牆安全性有所提公升。由於部署在網路層或傳輸層,檢查的內容較少,且採用了smp的動態包過濾防火牆對網路效能影響較小。
③電路級閘道器檢查的資料報 包括 資料源位址,目的位址,應用協議,源埠號,目的埠號,握手資訊及序列等特定手段,相比包過濾防火牆開銷要大,但是比應用級閘道器要小。由於電路級防火牆工作在會話層,過濾檢查的專案更多,因而比包過濾防火牆具有更高的安全性,但是比應用級閘道器的安全性要差,電路級閘道器工作層次比包過濾防火牆要高,因而效能比包過濾防火牆要差,但比應用級閘道器效能要好。
④應用級閘道器工作在會話層,需要針對特定的伺服器編寫特定的**程式 ,因而開銷較大。由於檢查所有層次的資訊,因而安全性最好,應用級閘道器工作在最高增對網路影響最大。
2.請簡述入侵檢測系統ids按照資料**不同和入侵檢測策略不同分別為哪幾類?並用自己的語言論述採用分布式入侵檢測系統dids的主要原因。
(1)入侵檢測系統ids按照資料**不同分為:
①基於網路的入侵檢測系統
②基於主機的入侵檢測系統
③分布式入侵檢測系統
(2)入侵檢測系統ids按照入侵策略不同分為:
①濫用檢測
②異常檢測
③完整性檢測
(3)採用分布式入侵檢測系統dids的主要原因?
①系統的弱點或漏洞分散在網路的各個主機上,這些弱點有可能被入侵者一起用來攻擊網路,而依靠唯一的主機或網路,入侵檢測系統很難發現入侵行為。
②入侵檢測行為不再是單一的行為,而表現出協作入侵的特點,如分布式拒絕服務。(ddos)
③入侵檢測所依靠的資料**分散化,收集原始資料變得困難,如交換網路使得網路資料報受到限制。
④網路傳輸速度加快,網路的流量大,集中處理原始資料的方式往往造成檢測瓶頸,從而導致漏檢。
網路安全 防火牆知識點
一 防火牆的基本概念 定義 是一款具備安全防護功能網路裝置 隔離網路 將需要保護的網路與不可信任網路進行隔離,隱藏資訊並進行安全防護 二 防火牆的基本功能 訪問控制攻擊防護冗餘設計路由 交換日誌記錄虛擬專網vpnnat 三 防火牆產品及廠家 防火牆產品 h3c u200系列 四 區域隔離 防火牆區域...
網路安全與應用知識點筆記(一)
1.1 網路安全威脅和漏洞型別 竊聽 病毒 假冒 木馬 重放 誹謗 流量分析 非授權訪問 破壞完整 拒絕訪問 漏洞 物理 軟體 不相容 其他等。1.2 網路安全資訊資料的五大特徵 1.完整性 資訊資料完整不破壞。2.保密性 資訊資料需授權不洩露。3.可用性 資訊資料攻擊後迅速恢復可用。4.不可否認性...
網路安全攻防之Web滲透測試知識點總結
1.簡述osi的七層結構 2.簡述tcp三次握手的過程 3.簡要說明tcp和udp區別以及用途 4.tcp的半連線狀態是什麼 5.ip的報頭是怎麼樣的 6.nat轉換的原理是什麼?和iptables的關係?7.dhcp協議的功能?報文結構?8.dhcp動態分配ip的過程是什麼?它的原理是什麼?9.講...