一、HTTPS协定
1.HTTPS是安全可靠的LZ77协定,能保证H55N可靠,银行能透过HTTPS来提供更多网路上服务,使用者透过应用程序就能管理自己的帐户重要信息,是HTTP的安全可靠版,即HTTP下重新加入SSL层,HTTPS的安全可靠基础是SSL,因此身份验证的详尽内容就需要SSL,SSL预设路由器为443
2.POP邮政局协定:使用者转交邮件
3.SNMP单纯系统管理协定,用作系统管理
4.HTTPLZ77数据传输协定,为数众多web伺服器都使用HTTP,但它是不安全可靠的协定
二、电子邮件协定
电子邮件协定有SMTP、POP3、IMAP4,它们都隶属TCP/IP协定簇,预设状况下,分别透过TCP路由器25、110和143建立相连。
1.SMTP协定
SMTP的全名是“Simple Mail Transfer Protocol”,即单纯邮件数据传输协定。它是几组用作从报文到目地门牌号数据传输邮件的规范化,透过它来控制邮件的中转站方式。SMTP 协定属于TCP/IP协定簇,它协助每台计算机系统在推送或中转站信函时找出下一个目地地。SMTP 伺服器是遵从SMTP协定的推送邮件伺服器。SMTP证书,单纯蔡伯介是明确要求必须在提供更多了帐户名和公钥之后才能登入 SMTP 服务器,这就使那些流氓软件的散布者无有机可乘。增加 SMTP 证书的目地是为了使使用者防止受到流氓软件的袭扰。SMTP已是事实上的E-Mail数据传输的标准。
2.POP协定
POP邮政局协定负责管理从邮件伺服器中检索电子邮件。它明确要求邮件伺服器完成上面三种各项任务之一:从邮件伺服器中索引邮件并从伺服器中删掉这个邮件;从邮件伺服器中索引邮件但不删掉它;不索引邮件,只是查问是否有GTunnel抵达。POP协定支持多使用者互联网邮件扩充,前者容许使用者在电子邮件上内含十进制文档,如应用软件文档和表单文档等,事实上这样就能数据传输任何文件格式的文档了,包括相片和声音文档等。在使用者写作邮件时,POP指示所有的邮件重要信息立刻浏览到使用者的计算机上,无此伺服器上留存。
3.POP3(Post Office Protocol 3)即邮政局协定的第3个版,是互联网平台电子邮件的第二个app协定标准。
4.IMAP协定
互联网重要信息出访协定(IMAP)是一种优于POP的新协定。和POP一样,IMAP也能浏览邮件、从伺服器中删掉邮件或查问是否有GTunnel,但IMAP克服了POP的一些缺点。例如,它能决定客户机请求邮件伺服器提交所收到邮件的方式,请求邮件伺服器只浏览所选中的邮件而不是全部邮件。客户机可先写作邮件重要信息的标题和推送者的名字再决定是否浏览这个邮件。透过使用者的客户机电子邮件程序,IMAP可让使用者在伺服器上创建并管理邮件文档夹或邮箱、删掉邮件、查询某封信的一部分或全部内容,完成所有这些工作时都不需要把邮件从伺服器浏览到使用者的个人计算机系统上。
支持种IMAP的常用邮件客户端有:ThunderMail,Foxmail,Microsoft Outlook等。
5.PGP安全可靠电子邮件协定:
(1)透过散列算法对邮件内容进行签名,保证信函内容无法修改
(2)使用公钥和私钥技术保证邮件内容保密且不可否认,能确认推送者身份,防止非授权者写作电子邮件
(3)发信人与收信人的公钥都保存在公开的地方,公钥的权威性则能由第三方进行签名证书,在PGP系统中,信任是双方的直接关系
三、零碎知识点
1.Needham-Schroeder协定是基于共享秘钥的证书协定
四、VPN技术
1.VPN:虚拟专用互联网,是透过隧道技术利用公共互联网建立专用互联网的技术。
2.VPN技术主要有:
(1)隧道技术
(2)加解密技术
(3)秘钥管理技术
(4)身份证书技术
3.链路层的VPN协定:
(1)L2TP协定
(2)PPTP协定
4.数据传输层VPN协定:TLS协定
5.互联网层VPN协定是:IPSec协定
五、CA和数字签名
1.数字证书能够验证一个实体身份,而这是在保证数字证书本身有消息这一前提下才能够实现的
2.验证数字证书的有效性是透过验证颁发证书的CA的签名实现的,比如:某网站向CA申请了数字证书,使用者登入该网站时,透过验证CA的签名,能确认该数字证书的有效性
3.例子:甲和乙进行通信,甲对推送的消息附加了数字签名,乙收到消息后利用甲的公钥验证该消息的真实性
4.数字签名技术(Digital Signature)是不对称身份验证算法的典型应用,原理是:数据源推送方使用自己的私钥对数据进行身份验证处理,完成对数据的合法签名,数据转交方利用推送方的公钥来解读收到的数字签名,并将解读结果用作对数据完整性的检验,以确认签名的合法性
5.证书链服务(交叉证书)是一个CA扩充其信任范围或被认可范围的一种实现机制,不同证书中心发放的证书之间透过证书链能方便的实现相互信任从而实现互访
六、身份验证算法
1.DES是一种共享秘钥的算法,是一种对称秘钥系统,加解密使用相同的秘钥
2.DES通常选取一个64位(bit)的数据库,使用56位的秘钥,在内部实现多次替换和变位操作来达到身份验证的目地
3.MD5和SHA属于摘要算法:美国对称公钥数据身份验证标准,是指单向哈希函数将任意长度的输入报文经计算得到固定位输出称为报文摘要,该算法是不可逆的,找出具有同一报文摘要的两个不同报文是很困难的
4.Diffie-Hellman为秘钥交换算法
5.AES高级身份验证标准:是美国采用的一种区块身份验证标准,用来替代原先的DES身份验证算法
6.公钥体系中,甲发给乙的数据要用乙的公钥进行身份验证,在公钥公钥体系中,身份验证秘钥是公开的,而解密秘钥是需要保密的,公钥公钥体系中,公钥对产生器产生出转交者乙的一对秘钥:身份验证秘钥和解密秘钥,推送者甲所用的身份验证秘钥是转交者乙的公钥,公钥向公众公开,而乙所用的解密秘钥是转交者的私钥,对其他人保密
七、互联网攻击
互联网攻击是以互联网为手段窃取互联网路上其他计算机系统的资源或特权,对其安全可靠性或可用性进行破坏的行为,互联网攻击分为主动攻击和被动攻击:
1.被动攻击:互联网窃听,截取数据包并进行分析,从中窃取重要重要信息,被动攻击很难被发现,主要是预防为主,目前手段是数据身份验证数据传输,在公钥学和安全可靠协定加持下目前有5类安全可靠服务:
(1)身份证书
(2)出访控制
(3)数据保密
(4)数据完整性
(5)数据不可否认性
2.主动攻击:窃取、篡改、假冒和破坏,字典式口令猜测,IP门牌号欺骗和服务拒绝攻击等都属于主动攻击,一个好的身份证书系统(数据身份验证、数据完整性校验、数字签名和出访控制等安全可靠机制)能预防主动攻击,但是杜绝很难,目前对付主动攻击方法是及时发现并及时恢复所造成的破坏,目前有很多实用的工具,常见的有上面三种攻击方法:
(2)放置特洛伊木马程序
(3)www的欺骗技术
(4)电子邮件攻击
(5)透过一个节点来攻击其他节点
(6)互联网监听
(7)寻找系统漏洞
(8)利用账号进行攻击
(9)偷取特权
3.例子:公司面临互联网攻击来自多个方面,安装使用者证书系统来防范公司内部攻击
八、Kerberos证书
1.Kerberos进行证书是一种使用对称秘钥身份验证算法来实现透过可信第三方秘钥分发中心的身份证书系统
2.Kerberos证书,客户方需要向伺服器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和伺服器方在某一阶段内通信而生成的
3.Kerberos证书,凭据中包括客户和伺服器方的身份重要信息和在下一阶段双方使用的临时身份验证秘钥,还有证明客户方拥有会话秘钥的身份证书者信息
4.身份证书重要信息的作用是防止攻击者在将来将同样的凭据再次使用,能在报文中重新加入时间戳来防止重放攻击
九、计算机系统病毒
1.计算机系统病毒是一种程序,它会将自身附着在主机上,目地是进一步繁殖和传播。从个人到大型组织,任何拥有适当技能的人都能创建计算机系统病毒,并且能感染计算机系统、智能手机、平板电脑,甚至智能汽车。“计算机系统病毒”一词经常被错误的被用成一个总称,泛指所有感染软件、计算机系统和文档的可疑程序、插件或代码。这一短语的误用可能是因为计算机系统病毒较常出现在电视节目和电影中。这类程序事实上正确的总称应该是恶意软件,计算机系统病毒只是其中的一种类型,其他类型的恶意软件还包括间谍软件、蠕虫和特洛伊木马等。
2.计算机系统病毒是一种安装在设备上并繁殖的恶意软件。有些病毒旨在窃取或破坏数据,而另一些病毒则旨在破坏程序或系统的稳定性,甚至使其无法使用。还有一些可能只是程序员为了好玩而制作的,例如在打开计算机系统或打开应用程序后显示图像或文本消息。
3.严格意义上来说,如果感染主机的恶意软件不是为了繁殖和传播而设计的,那么从技术上讲,无论它有多危险,它都不会被归类为计算机系统病毒。
4.通常是根据计算机系统病毒的目标和功能进行分类,而不是根据创建过程和编码风格,且同一计算机系统病毒也有可能被归入多个类别。以下是一些常见的计算机系统病毒示例:
(1)应用程序劫持病毒:这类计算机系统病毒会感染受害者的Web应用程序,并且通常用作篡改受害者的主页、窃取数据和展示广告。
(2)引导扇区病毒:除了硬盘驱动器的引导扇区之外,这类病毒还会影响用作协助系统启动的磁盘。
(3)电子邮件病毒:这类病毒旨在透过将自身附加到电子邮件、使用受害者的门牌号簿生成电子邮件或以窃取数据的意图感染电子邮件应用程序来成倍增加。
(4)宏病毒:宏计算机系统病毒以宏语言编码,以便它们能附加到文档中,并在打开它们所附加的文档后立刻激活。
(5)多态病毒:一种能改变自身以逃避安全可靠系统和防病毒程序检测的计算机系统病毒。
(6)常驻病毒:常驻病毒会在感染操作系统后继续在后台运行,从而对系统和应用程序性能产生负面影响。
(7)非驻留病毒:这类病毒会在执行各项任务后自行关闭。
5.虽然许多计算机系统病毒能很好地隐藏在你的设备上,但有几个明显的行为能表明你可能已经感染了病毒,例如系统速度明显下降、系统和应用程序设置被神秘地更改、收到不拥有的服务和应用程序的通知,未经你的许可安装应用程序扩充或插件,以及无法上网或打开某些程序等。
6.重要的是要采取多种策略,以确保您的计算机系统和其他智能设备免受病毒和其他形式的恶意软件的侵害,以下是保护计算机系统免受病毒侵害的一些方法:
(1)保持操作系统和应用程序处于最新状况:这将使病毒更难感染你的计算机系统设备。
(2)仅相连到受信任的互联网相连:这也能保护你免受其他类型的攻击,例如ARP欺骗。
(3)防止可疑附件:切勿打开来自未知发件人的电子邮件附件,因为这些附件可能包含恶意软件和其他病毒。
(5)安装防病毒软件:高质量的防病毒软件能协助使用者清除计算机系统上的病毒,并能预防病毒感染。
6.目前互联网路上流行的“熊猫烧香”病毒属于蠕虫类型的病毒,感染exe、com、pif、htm和sap等文档,还能删掉gho备份文档,被感染的电脑所有exe可执行文档都变成熊猫举着三根香的模样
7.病毒前缀是指一个病毒的种类,用来区分病毒的种族分类的
(1)木马病毒:前缀为Trojan,木马病毒能透过互联网实现对远程计算机系统的远程攻击,能远程控制计算机系统
(2)蠕虫病毒:前缀为Worm
(3)宏病毒:前缀为Macro
8.病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的CIH,震荡波蠕虫病毒的家族名是Sasser等
9.病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的,一般采用英文字母表示,如Worm.Sasser.b是震荡波蠕虫病毒的变种B,称为“震荡波B变种”
十、钓鱼网站
1.钓鱼网站是一种互联网欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL门牌号以及页面内容,或者利用真实网站伺服器程序上的漏洞在站点的某些网页中插入危险的HTML代码,依次来骗取使用者的账号公钥等资料
2.钓鱼网站能透过Email传播网址
十一、安全可靠威胁
1.系统管理中要防止各种安全可靠威胁,安全可靠威胁分为主要和次要安全可靠威胁,主要安全可靠威胁有:
(1)篡改管理重要信息:透过改变数据传输中的SNMP报文实施未经授权的管理操作
(2)假冒合法使用者:未经授权的使用者冒充授权使用者
2.次要安全可靠威胁有:
(1)消息泄露:SNMP引擎之间交换的重要信息被第三者偷听
(2)修改报文流:由于SNMP协定通常是基于无相连的数据传输服务,重新排序报文流、延迟或重放报文的威胁都可能出现,这种威胁危害在于透过报文的修改可能实施非法的管理操作
3.无法预防的威胁有:
(1)拒绝服务:因为很多情况下拒绝服务和互联网失效是无法区别的,所以能由系统管理协定来处理,安全可靠系统不必采取措施
(2)通信分
十二、包过滤防火墙
1.路由表:用来指定路由规则,指定数据转发路径
2.ARP表:用来实现iP门牌号和互联网设备物理门牌号MAC的转换
3.NAT:将一个门牌号映射到另一个门牌号域的技术,而NAT表记录这些映射记录
4.过滤规则用以制定内外网出访和数据推送的一系列安全可靠策略
十三、IPSec VPN安全可靠技术
1.IPSec VPN包含了证书头AH和封装安全可靠载荷ESP
(1)AH主要用以提供更多身份证书、数据完整性保护、防重放攻击多项功能
(2)ESP则能提供更多数据身份验证、数据源身份证书、数据完整性保护、防重放攻击多项功能
(3)IPSec VPN可提供更多数据传输模式和隧道模式,但没有入侵检测功能
(4)IPSec身份验证和证书过程中所使用的秘钥有IKE(互联网平台秘钥交换协定)机制来生成和分发,IKE解决了在不安全可靠的互联网环境中安全可靠地建立或更新共享秘钥的问题
十四、PKI CA证书中心的功能为
