理论知识:掌握信息安全三要素:机密性、完整性和可用性,简称为CIA;并能运用它
来解决信息安全中的问题;
答:机密性:防止对信息进行未授权的“读”。如:Bob 不想让Trudy 知道他存款账户里有多少钱。
完整性:防止或至少是检测出未授权的“写”(对数据的改变)。如:Alice 网银必须保护账号信息的完整性,以防止Trudy 擅自增加她自己账户里的余额。
可行性:针对的问题是解决拒绝服务攻击(DoS 攻击),力图降低服务的可获得性。
实例:对于国家的高级机密文件,该信息的机密性比完整性更重要;考试后,学生试卷
的完整性比机密性更重要;对于服务性,盈利性网站或软件,为避免服务中断,
导致使用者及自身利益受损,其可用性最重要
理论知识:掌握加密技术中的几个术语,加密,解密,明文,密文,对称密钥,公开密 钥
术语解释:
加密(加密系统):“秘密代码”的制作过程。
解密:“秘密代码”的破解过程,把密文恢复成原始的明文。
明文:原始的未加密的数据。
密文:加密的结果。
对称密钥:加密和解密使用的是同样的密钥。
公开密钥:加密和解密密钥是不同的,加密密钥称为“公钥”,而解密密钥需要确保机密,称为“私钥”。
机密方案:要求密钥空间足够大(密码系统永远无法提供比穷举式密钥检索更高的安全性);
安全性:(要求已知著名的攻击行为在该系统上无效)
不能彻底防范一切攻击,只有当密码方案经受了有经验的密码专家们大规模的分析后,才可以信赖;
拥有较少数量密钥的安全密码系统比拥有较多数量密钥的非安全密码系统更容易攻破
几个简单的加密方法:简单替换密码,双换位密码,一次性密码本;
了解加密技术的分类:对称密钥加密,公开密钥加密与哈希函数及该三大类的异同
任何我们可以通过对称密码系统加密的也都可以通过公钥密码系统来完成;对称密钥加密相比公开密
钥加密在速度上的优势是数量级的,对称密钥加密如今常用于加密大数据量的数据,而公开密钥加密则在
信息安全领域扮演了其他几个关键的角。加密哈希函数接受任意长度的输入,产生定长的输出。
扰乱:通俗的讲,定义为混淆明文和密文之间的相关性。扩散:是一种将明文中的统计
特性扩散并使其湮没于整个密文之中的思路。简单替换密码和一次性密码本加密都
仅仅利用了扰乱原则;而双换位密码则是仅有扩散特性的加密方案。电报密码本同时使用了扩散和扰乱原则。
单点登录和Web cookie
单点登录:让用户仅仅认证一次,然后无论她在Internet 上再去往哪里,这个认证成功 的结果都会一直跟着她。也即是说,出事的认证过程需要用户的参与,但是后续的认证将在各个场景的后台自动进行。安全的单点登录会提供极大地便利。
Web cookie:当用户在上网是,web 站点常常会为用户的浏览器提供web cookie(一个
由用户的浏览器负责存储和管理的小的数值),web 站点也会存储这个web cookie 用来对保
存用户的相关信息的数据库建立索引,当用户再去访问他已经持有web cookie 站点时,他的浏览器就会自动的将这个web cookie 传送给web 站点。通过这种方式web cookie 维护了
跨会话的状态信息。Web cookie 可以作为web 站点实现单点登录的一种方法。
