1、
可用性、机密性、完整性、非否认性、真实性和可控性。这6个属性是信息安全的基本属性,其具体含义如下 (1)可用性( Availability)。即使在突发事件下,依然能够保障数据和服务的正常使用,如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。 (2)机密性( Confidentiality)。能够确保敏感或机密数据的传输和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信的事实。 (3)完整性( Integrity)。能够保障被传输、接收或存储的数据是完整的和未被篡改的,在被篡改的情况下能够发现篡改的事实或者篡改的位置。 (4)非否认性( non-repudiation)。能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果,这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。
(5)真实性( Authenticity)。真实性也称可认证性,能够确保实体(如人、进程或系统)身份或信息、信息来源的真实性。 (6)可控性( Controllability)。能够保证掌握和控制信息与信息系统的基本情况,可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。
2、
信息安全是一个古老而又年轻的科学技术领域。纵观它的发展,可以划分为以下四个阶段:
(1)通信安全发展时期:从古代至20世纪60年代中期,人们更关心信息在传输中的机密性。
(2)计算机安全发展时期:计算机安全发展时期跨越20世纪60年代中期至80年代中期。
(3)信息安全发展时期:随着信息技术应用越来越广泛和网络的普及,20世纪80年代中期至90年代中期,学术界、产业界和、军事部门等对信息和信息系统安全越来越重视,人们所关注的问题扩大到前面提到的信息安全的6个基本属性。在这一时期,密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展,尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用,因此,这个时期也可以称为网络安全发展时期。
(4)信息安全保障发展时期:20 世纪90 年代中期以来,随着信息安全越来越受各习的高度重视,以及信息技术本身的发展,人们更加关注信息安全的整休发展及在新型应用下的安全问题。
3、
在现实中,常见的信息安全威胁有以下几类: (1)信息泄露; (2)篡改; (3)重放;
(4)假冒; (5)否认;
(6)非授权使用; (7)网络与系统攻击; (8)恶意代码;
(9)灾害、故障与人为破坏。
4、
密钥为5,得到的替换表为:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z F G H I J K L M N O P Q R S T U V W X Y Z A B C D E N S K P E J Y D 用替换表对明文加密: M O 明文 密文 R T 所以密文为:RTSPJD
5、
一个完整的信息安全技术体系结构由基础安全技术、物理安全技术、系统安全技术、网络安全技术及应用安全技术组成。
6、
一个最常见的网络安全模型是PDRR模型。PDRR是指Protection(防护),Detection(检测)、Response(响应)、Recovery(恢复)。这4个部分构成了一个动态的信息安全周期。
(1)防护(P)网络安全核型PDRR 最重要的部分是防护。防护是预先阻止攻击发生条件的产生,让攻击者无法顺利入侵,防护可以减少大多数的入侵事件。
(2)检测(D)PDRR 模型的第二个环节就是检测。防护系统可以阻止大多数入侵事件的发生,但是不能阻止所有的入侵,特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此,安全策略的第二个安全屏障就是检测,如果入侵发生就会被检测出来,这个工具是入侵检测系统。
(3)响应(R)
PDRR模型中的第三个环节是响应,响应就是已知一个攻击(入侵)事件发生之后,进行相应的处理。
(3)恢复(R)
恢复是PDRR 模型中的最后一个环节。恢复是事件发生后,把系统恢复到原来的状态,或者比原来更安全的状态。恢复可以分为两个方面: 系统恢复和信息恢复。
1、
密码学是以研究秘密通信为目的,对所要传送的信息采取秘密保护,以防止第三者窃取信息的一门学科。
密码学的发展经历三个阶段,即古典密码(从古代到19世纪末)、近代密码(1949~1975)和现代密码(1976年至今)。
2、
按密钥特点来分,密码分为对称密码(私用密钥加密技术)和非对称密码(公开密钥加密技术)。在对称密码中,加密和解密采用相同的密钥非对称密码中,加密密钥和解密密钥是相互,即由加密密钥无法推导出解密密钥。
按数据处理的特点来分,密码分为分组密码和序列密码。分组密码是将明文消息编码表示后的数字序列划分成长度为n的组,每组分别在密钥的控制下变换成等长的输出数字序列。常见的序列密码算法有RC4、A5/1、SEAL等。
3、
DES 的整体结构采用16圈Feistel模型,待加密的比特明文数据分组首先进行初始置换IP,然后将置换后的比特数据分为左半部分L0和右半部分R0各32比特,接着进行16圈迭代。在每一圈中,右半部分在48比特圈(子)密钥k的作用下进行f变换,得到的32比特数据与左半部分按位异或,产生的32比特数据作为下一圈迭代的右半部分,原右半部分直接作为下一圈迭代的左半部分,但第16圈(最后一圈)不进行左右块对换。最后对(R16,L16)进行末置换IP-1(初始置换IP的逆置换,又称为逆初始置换),所得结果IP-1(R16,L16)就是密文。
4、
(1) 由初始密钥K求第一圈的圈密钥k1。
将初始密钥K = 0123 4567 AB CDEF转换为二进制形式,即k = 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111,然后按置换选择1,输出56比特数据(C0,D0),C0,D0各28比特,即:
C0 = 1111 0000 1100 1100 1010 1010 0000 D0 = 1010 1010 1100 1100 1111 0000 0000
将C0,D0分别循环左移1位得C1,D1,即: C1 = 1110 0001 1001 1001 0101 0100 0001 D1 = 0101 0101 1001 1001 1110 0000 0001 对C1,D1进行置换选择2,得到48比特的圈密钥,即:
k1 = 0000 1011 0000 0010 0110 0111 1001 1011 0100 1001 1010 0101 (2) 由明文M和k1求(L1,R1)。
将明文M = 0000 0000 0000 0011转换为二进制形式,即M = 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0001,对其进行初始置换IP,得到比特数据(L0,R0),L0,R0各32比特,即:
L0 = 0000 0000 1000 0000 0000 0000 1000 0000 R0 = 0000 0000 0000 0000 0000 0000 0000 0000
1)由扩展变换E规则得:
E(R0)= 000000 000000 000000 000000 000000 000000 000000 000000 E(R0)⊕k1 = (000000 000000 000000 000000 000000 000000 000000 000000)⊕(0000 1011 0000 0010 0110 0111 1001 1011 0100 1001 1010 0101) = 000010 110000 001001 100111 100110 110100 100110 100101
2)对E(R0)⊕k1进行S盒代替: S(E(R0)⊕k1)= 4 5 3 6 11 4 13 14(十进制) = 0100 0101 0011 0110 1011 0100 1101 1110(十六进制)
3)最后对S(E(R0)⊕k1)进行P盒置换,得: f(R0,k1)= P S(E(R0)⊕k1)
=P S(000010 110000 001001 100111 100110 110100 100110 100101) =P(0100 0101 0011 0110 1011 0100 1101 1110) = 0010 1111 0101 0010 1101 0000 1011 1101
L1 = R0 = 0000 0000 0000 0000 0000 0000 0000 0000 = 0000 0000(十六进制)
R1 = L0⊕f(R0,k1)= 0010 1111 1101 0010 1101 0000 0011 1101 = 2FD2 D03D(十六进制)
(L1,R1)= (0000 0000,2FD2 D03D)
5、
N = pq =5*7 = 35 λ(N) = (p-1)(q-1)= 4*6=24 利用e和λ(N)计算d: ed modλ(N)= 1 5d mod 24 = 1 d = 5
由解密公式得:
m = D(c)= cd(mod N)=105 mod 35 = 5
6、
N = pq = 5*11 = 55
λ(N) = (p-1)(q-1)= 4*10=40 利用e和λ(N)计算d: ed modλ(N)= 1 7d mod 40 = 1 d =23
C = me(mod N)= 547 mod 55 =54
7、
常见的分组密码有: 1) RC5:RC5适合硬件和软件实现,运算速度快,对不同字长的处理器具有适应性,迭代次数可变,密钥长度可调整,对存储容量要求较低,高安全性,依赖于数据的循环移位。
2) IDEA:算法对位的数据块进行加密,密钥长度是128位。用硬件和软件实现都很容易,且加解密速度超过DES算法的实现。
3) AES算法:AES在安全、性能、效率、易实施和灵活性上都比其它几个候选算法更有优势,经过多年的分析和测试,至今没有发现AES的明显缺点,也没有找到明显的安全漏洞。
8、
在流密码中,密钥流生成器的基本组成部分有内部状态、下一个状态函数和输出函数。其中,内部状态描述了密钥流生成器的当前状态;输出函数处理内部状态,并产生密钥流;下一个状态函数处理内部状态,并生成新的内部状态。
9、
密钥的分配方法有:
1)只使用会话密钥:会话密钥由专门机构生成密钥后,将其安全发送到每个用户节点,保存在安全的保密装置中,当通信双方通信时,直接使用这个会话密钥对信息进行加密。
2)采用会话和基本密钥:在这种方式中,A先产生会话密钥,再用双方共有的基本密钥对其加密后发送给B。B收到后用基本密钥对其解密就可得到会话密钥。
3)采用非对称密码的密钥分配,当A与B要进行秘密通信时,先进行会话密钥的分配。A首先从认证中心获得B的公钥,用该公钥对会话密钥进行加密,然后发给B,B收到后用自己的私钥对其解密,就可得到这次通信的会话密钥。
1、
消息认证是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改,即验证消息的发送者是真正的而非假冒的(数据起源认证);同时验证信息在传送过程中未被篡改、重放或延迟等。消息认证和信息保密是构成信息系统安全的两个方面,二者是两个不同属性上的问题:即消息认证不能自动提供保密性,保密性也不能自然提供消息认证功能。
2、
消息鉴别码( Message Authentication Code )MAC是用公开函数和密钥产生一个固定长度的值作为认证标识,并用该标识鉴别信息的完整性。
MAC是消息和密钥的函数,即MAC = C K(M),其中M是可变长的消息,C 是认证
函数,K是收发双方共享的密钥,函数值C K(M)是定长的认证码。认证码被附加到消息后以M‖MAC方式一并发送给接收方,接收方通过重新计算MAC以实现对M的认证。
3、
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,并与解密的摘要信息进行对比,若相同则说明收到的信息完整,在传输过程中未被修改;否则说明信息被修改。
1)签名应与文件是一个不可分割的整体,可以防止签名被分割后替换文件,替换签名等形式的伪造。
2)签名者事后不能否认自己的签名。
3)接收者能够验证签名,签名可唯一地生成,可防止其他任何人的伪造。 4)当双方关于签名的真伪发生争执时,一个仲裁者能够解决这种争执。 4、
身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。它通过特定的协议和算法来实现身份认证。身份认证的目的是防止非法用户进入系统;
访问控制机制将根据预先设定的规则对用户访问某项资源进行控制,只有规则允许才能访问,违反预定安全规则的访问将被拒绝。访问控制是为了防止合法用户对系统资源的非法使用。
5、
1)基于口令的认证技术:当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交口令信息,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。
2)双因子认证(Two-factor Authentication):一个因子是只有用户本身知道的密码,可以是默记的个人认证号(PIN)或口令;另一个因子是只有该用户拥有的外部物理实体—智能安全存储介质。
3)电话远程身份认证:系统集成了基于声纹的身份认证技术和语音识别技术,通过一个电话语音对话系统与用户交流,在人机语音对答的过程中在后台进行用户的身份认证。
4)基于在线手写签名的身份认证技术:首先获取签名信息的数据,然后进行预处理,包括去噪、归一化等操作,接着进行特征提取,最后进行特征匹配和判决,即将提取的特征信息与标准签名样本进行匹配,得出鉴别结果,即验证输入签名的身份是否属实 1、
计算机系统的安全性包括狭义安全和广义安全两个方面。狭义安全主要是对外部攻击的防范,广义安全则是保障计算机系统中数据保密性、数据完整性和系统可用性。 2、
(1)硬件安全 1)存储保护 2)运行保护 3)I/O 保护 (2)身份认证 (3)访问控制 1)自主访问控制 2)强制访问控制 (4)最小管理 (5)可信通道 (6)安全审计机制
3、
数据库系统(Database System,简称DBS)是采用了数据库技术的计算机系统,通常由数据库、硬件、软件、用户四部分组成。
4、
最小策略。最小策略是指用户被分配最小的权限。
最大共享策略。最大共享策略是在保密的前提下,实现最大程度的信息共享。
粒度适当策略。数据库系统中不同的项被分成不同的颗粒,颗粒随小,安全级别越高,但管理也越复杂。
开放系统和封闭系统策略。 按内容访问控制策略。 按类型访问控制策略。 按上下文访向控制策略。 根据历史的访问控制策略。
5、
常用的数据库备份方法有:冷备份、热备份和逻辑备份。 1)冷备份
是在没有终端用户访问数据库的情况下关闭数据库并将其备份,有称为“脱机备份”。 2)热备份
是指当数据库正在运行时进行的备份,又称为“联机备份”。 3)逻辑备份
逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件,该文件的格式一般与原数据库的文件格式不同,而是原数据库中数据内容的的一个映像。因此逻辑备份文件只能用来对数据库进行逻辑恢复(即数据导入),而不能按数据库原来的存储特征进行物理恢复。
