信安技术期中整理..docx

安全服务：加强数据处理系统和信息传输的安全性的一种服务。其目的在于利用一种或多种安全机制阻止安全攻击。安全机制：用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。安全攻击: 任何危及系统信息安全的活动。威胁：侵犯安全的可能性，在破坏安全或引起危害的环境、可能性、行为或事件的情况下出现，即威胁是利用脆弱性的潜在危险。攻击:对系统安全的攻击，他来源于一种智能的威胁，即有意违反安全服务和侵犯系统安全策略的智能行为。Kerberos要解决的问题: 解决一个非授权用户能够获得其无权访问的服务或数据的问题，Kerberos提供一个中心认证服务器，提供用户到服务器和服务器到用户的认证服务。Kerberos系统应满足的要求：1安全：网络窃听者不能获得必要信息以假冒其它用户，并且入侵者无法找到它的弱点连接。 2可靠：Kerberos应高度可靠，并且应借助于一 个分布式服务器体系结构，使得一个系统能够备份另一个系统。 3透明。理想情况下，用户除了要求输入口令以外应感觉不到认证的发生。 4可伸缩。系统应能够支持大数量的客户和服务器。Kerberos Version4：引入一个信任的第三方认证服务，采用一个基于Needham Schroeder协议；采用DES，精心设计协议，提供认证服务。Kerberos Version 5：功能性：1可信第三方（所需的共享密钥分配和管理变得十分简单，AS担负认证工作，减轻应用服务器的负担，安全相关数据的集中管理和保护，从而使攻击者的入侵很难成功 ）2Ticket（AS的认证结果和会话密钥安全地传送给应用服务器，在生存期内可重用，减少认证开销，提高方便性）3Ticket发放服务 （降低用户口令的使用频度，更好地保护口令；减轻AS的负担，提高认证系统的效率 ）4时间戳（防止对Ticket和Authenticator的重放攻击）5以共享秘密（密钥）为认证依据局限性：1重放攻击2时间依赖性3猜测口令攻击4域间鉴别（多跳域间鉴别涉及很多因素，实现过程复杂不明确；在“信任瀑布”问题）5改登录程序 （证系统本身的程序完整性很难保证 ）6钥存储问题 （令及会话密钥无法安全存放于典型的计算机系统中）MZ协议模型：是Kerberos协议模型的改进模型：1消除认证协议对安全时间服务的依赖性 2更好地防止重放攻击 3提高口令猜测的复杂度 4简化域间认证 5使用混合加密算法 6使用nonce公钥证书：公钥证书就是标志网络用户身份信息的一系列数据，它用来在网络通信中识别通信各方的身份。由权威的第三方机构即CA中心签发。公钥证书采用公钥体制，用户掌握私钥，公开公钥。公钥证书作用及特性：1必威体育官网网址性（通过使用收件人的公钥证书对电子邮件加密，只有收件人才能阅读加密的邮件。）2完整性（利用发件人公钥证书在传送前对电子邮件进行公钥签名，不仅可以确定发件人身份，而且可以判断发送的信息在传递过程中是否被篡改过。）3身份认证（利用发件人公钥证书在传送前对电子邮件进行公钥签名可以确定发件人身份，从而识破冒充的他人。）4不可否认性（发件人的公钥证书只有发件人唯一拥有，发件人进行签名后，就不能否认发送过某个文件。）证书结构：第一版：版本号，证书序号，签名算法标识符（算法，参数），发放者名称，有效期（起始日期、终止日期），主体名称，主体的公钥信息（算法、参数、公开密钥）。第二版：第一班内容+发放者唯一标识符，主题唯一标识符。第三版：第二版内容+扩充域。除以上，还有签字（算法、参数、签字）其他证书： SPKI证书、PGP证书、属性证书、X.509V4证书认证机构的组成有：注册服务器、证书申请受理和审核机构。认证机构服务器功能：证书发放、证书更新、证书撤销、证书验证。具体报告：接收并验证终端用户公钥证书的申请；确定是否接受终端用户公钥证书的申请，即证书的审批；向申请者颁发公钥证书/拒绝证书的发放；接收、处理终端用户的公钥证书更新请求及证书的更新；接收终端用户公钥证书的查询、撤销；产生和发布证书废止列表（CRL）；公钥证书的归档；密钥归档；历史数据归档。认证信任：层级信任模型、网状信任模型、混合信任模型、多根信任模型、桥接信任模型（不确定）注册机构RA：注册、注销以及批准或拒绝对用户证书属性的变更要求；对证书申请人进行合法性确认；批准生成密钥对或证书的请求，以及恢复备份密钥的请求；接受和批准撤销或暂停证书的请求（需要相应认证机构的支持）；向有权拥有身份标记的人当面分发标记或恢复旧标记。证书的注册：1注册机构对用户进行合法性验证，及获得更多用户信息。2证书申请人通过在线方式提供一部分信息，并以离线方式提供如身份证明这样的证据。证书发行过程：1证书申请人将申请证书所需要的证书内容信息提供给认证机构。2认证机构确认申请人所提交信息的正确性，这些信息将包含在证书中（根据其公认的义