物聯網資訊安全復習筆記（從頭開始，兩天速成）

雖說是專業課，但是呢沒有發書，據老師老師說呢是書太貴了就不買了，然后所有參考資料就是PPT了，當然，老師很良心的發了幾個可能考到簡答題問題，讓我們下來準備，那就對著PPT和百度開整！從頭開始，兩天速成（對，我寫了兩天）！

簡答題 （拿下它，80分到手，你愛了嗎？）

1.加解密原理以及分類

加解密原理：資料加密是指將一個資訊（明文）經過密鑰及加密函式轉換，變成無意義的密文，而接收方則是將此密文經過解密函式、密鑰還原成明文的程序；
分類：主要分成兩大類 對稱加密和非對稱加密，
對稱加密：特點是加密使用的密鑰和解密使用的密鑰是相同的，
包括：DES加密，AES加密等，
非對稱加密：有公鑰和私鑰兩種密鑰，其中，公鑰是公開的，不需要保密，私鑰由個人持有，必須妥善保管和注意保密，
包括：RSA公鑰密碼體制等，

2.報文摘要的含義、特征以及用途

含義：是一種檢查發送的報文是否被篡改的方法，在給定某個任意報文，通過一種特定的演算法對報文進行計算，產生有限位數資訊；
特征：確認性，唯一性，能夠作用于任意長度的報文，產生有限位數的標識資訊，具有單向性和抗碰撞性；
用途：訊息完整性檢測，身份鑒別；
幾種報文摘要的演算法：
（1）MD5：報文摘要第5版；
（2）SHA-1：安全散列演算法第1版；
（3）HMAC：散列訊息鑒別碼，

3. 數字簽名的含義、特征以及用途

含義：是只有資訊發送者才能產生的、別人無法偽造的一段數字串，這段數字串同時也是對資訊發送者發送資訊真實性的一個有效證明；
特征：（1）接收者能夠核實發送者對報文的數字簽名；（2）發送者事后無法否認對報文的數字簽名，（3）接收者無法偽造發送者對報文的數字簽名； 即唯一性，關聯性和可證明性
**用途：**用于證明真實性，證明來源（報文鑒別），防否認（報文的完整性），防偽造（不可否認）
參考博客：數字簽名與數字證書形象解釋

4. 加密解密、訊息摘要、數字簽名在實際生活中的運用

這一問是我把后面所有的題看了一遍最后寫的，因為一開始不知道從哪里答起，當時上課老師說的必考，而且雖然講了兩次，但是我現在還是沒啥印象了，我就憑借后面復習的和度娘胡亂組織一下語言，實際運用題必考無疑了，我盡量寫的準確一點，至于是不是準確呢，我也不知道，狗頭！
上面那個（3）問鏈接很有參考價值！

（1）首先這個人我們叫他guazhou吧，首先guazhou向權威機構CA提供各種證件、證明材料和協議，將自己的公鑰存入；
（2）然后用自己的私鑰對公鑰和其它一些資訊一起進行加密，生成數字證書，同時CA也會生成相應的私鑰(SKA)和公鑰（PKA）；
（3）這時候guazhou手上就有自己的私鑰和數字證書，
（4）如果這個時候guazhou要向圖中哪個灰色的小人（我們叫他huihui吧）傳輸資訊時，就在資訊的最后附上自己的數字簽名和數字證書就可以，然后huihui手上有CA給他的公鑰，他用公鑰解開數字證書，然后就能拿到guazhou的公鑰了，這下就能證明“數字簽名”是否真是guazhou簽的；
（5）最后用guazhou的公鑰打開訊息摘要，在和訊息本身作為對比，一致證明訊息沒有被改變！
（6）最后這個仲裁反正我是屬實沒看懂，不知道要問什么，
（圖中這個DSK(MD§的意思大概是先對報文p使用MD報文摘要演算法，然后再使用RSA公開密鑰加密演算法形成數字簽名，，總體上就這么個意思吧，現在我也是迷迷糊糊似懂非懂！）

5. 身份認證的單向鑒別，雙向鑒別的流程與運用

重放攻擊：入侵者從網路上截取主機A發送給主機B的報文，并把由A加密的報文發送給B，使主機B誤以為入侵者就是主機A，然后主機B向偽裝成A的入侵者發送應當發送給A的報文，（可通過加亂數，加時間戳，加流水號等方式來預防）
單向鑒別：

以上兩張示意圖都展示了單向鑒別的流程，文字總結為：單向鑒別程序中只需用戶向鑒別者證明自己的身份，無需確認鑒別者的身份；其中用戶A向鑒別者證明自己身份的程序就是證明擁有密鑰KEYA的程序

以上兩張示意圖都展示了雙向鑒別的流程，文字總結為：雙向鑒別程序中用戶不僅需要向鑒別者證明自己的身份，同時需要確認鑒別者的身份，所以用戶和鑒別者都需要證明自己擁有共享密鑰KEYA，

6. 無線局域網的開放性的特點、安全問題、常見的幾種協議、以及這幾種協議的流程及缺陷

開放性特點：(1)頻段開放性；（2）空間開放性；
安全問題：（1）任何終端均可向無線局域網中的其它終端發送資料； （2）任何位于某個終端電磁波傳播范圍內的其它終端均可以接收該終端發送的資料； 所以最侄訓出現冒充授權終端，竊取資料，篡改資料的情況，
**常見的幾種協議：**WEP–>WPA–>WPA2–>WAPL
WEP協議流程：

![WEP協議流程的加密程序

加密程序總結為：
（1）發送方選取加密密鑰，提取初始化向量（IV：Initial Vector），初始化向量長度為 24 位，并且 IV 以明文方式傳遞給接收方，其中 IV 的目的是為了保證避免密鑰重復；
（2）IV 與密鑰連接后作為種子（seed）輸入，在虛擬亂數產生器里，通過 RC4 演算法產生密鑰序列；
（3）在明文部分，通過 CRC 校驗生成完整性校驗碼，明文與校驗碼連接形成待加密明文；
（4）待加密明文與密鑰序列異或得到密文，連接 IV 與密文然后發送，

**解密程序總結為：**因為共享相同的密鑰，接收方通過共享密鑰和 RC4 演算法恢復密鑰序列（也叫偽亂數序列），再與密文異或恢復明文，把計算的結果進行對比，如果相等，則通過完整性檢測，
WEP安全協議的缺陷：
（1）同一BSS（業務支撐系統）中的終端使用相同密鑰，無法確保資料的保密性；
（2）一次性密鑰集有限，很容易發生重復使用一次性密鑰的情況；
（3）回圈冗余檢驗的方法計算完整性檢驗值，完整性檢測能力有限；
（4）鑒別身份程序存在缺陷，

嗯，這圖俺也看不懂，上課沒認真聽，咋也不敢問，答個缺陷沒問題吧，至于啥缺陷自己百度去！

WPA/WPA2安全協議流程：
WPA具有兩種標準：WPA和WPA2，WPA2是WPA的增強型版本，增加了支持AES的加密方式，
WPA：由于WEP存在安全缺陷，在IEEE 802.11i提出前，Wi-Fi聯盟（WFA）先提出了WPA（Wi-Fi Protected Access）技術，
WPA2：針對無線網路的安全問題，IEEE 802.11i 提出了RSN（Robust Security Network，強健安全網路），Wi-Fi聯盟（WFA）把RSN稱為WPA2，
WPA / WPA2 都加強了密鑰生成演算法，增加了防止資料被篡改的功能和認證功能，
兩種安全模式：
個人：此模式使用預共享密鑰（PSK（Pre-shared Key）），類似于用于驗證網路客戶端的密碼，所有客戶端都使用相同的PSK連接到網路，
企業：此模式使用遠程身份驗證撥入用戶服務（RADIUS）服務器來處理對網路的身份驗證，這允許每個用戶擁有單獨的憑據，
（課程PPT中主要了解個人模式，所以這企業模式答了也就裝個B）
加密程序（個人模式）：
終端與AP之間以128位的TKIP TK或者是128位的AES- CCMP TK作為加密密鑰，對終端與AP之間傳輸的資料進行加密
由于每一個終端與AP之間的密鑰是不同的，同一BSS中的其他終端無法解密某個終端與AP之間傳輸的加密資料
TKIP和AES-CCMP加密程序和完整性檢測程序是不一樣的，AES-CCMP的安全性更高

7. 網路安全中常見的幾種攻擊形式原理和流程

補充知識
計算機網路面臨的安全些威脅分為兩大類：被動攻擊和主動攻擊
被動攻擊：
指攻擊者從網路上竊聽他人的通信內容，通常把這類攻擊稱為截獲，被動攻擊又稱為流量分析
主動攻擊
主要有：
(1) 篡改——故意篡改網路上傳送的報文，這種攻擊方式有時也稱為更改報文流；
(2) 惡意程式——種類繁多，對網路安全威脅較大的主要包括：計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈、后門入侵、流氓軟體等；
(3) 拒絕服務——指攻擊者向互聯網上的某個服務器不停地發送大量分組，使該服務器無法提供正常服務，甚至完全癱瘓，
DoS（拒絕服務）：不是DOS作業系統，造成DoS的攻擊行為被稱為DoS攻擊，它的目的是使得計算機或者網路我無法提供正常服務，最常見的DOS攻擊有計算機網路帶寬攻擊和連通性的攻擊，
DDoS（分布式拒絕服務）；這個的攻擊借助于客戶/服務器技術，將多個計算機聯合起來作為一個攻擊平臺，對一個或者是多個目標發動攻擊，從而成倍的提高就裁決服務攻擊的威力，

SYN泛洪攻擊：

原理：通過快速消耗WEB服務器TCP會話表中的連接項，使得正常的TCP連接程序無法正常進行的攻擊行為
程序：A（攻擊者）發送TCP SYN，SYN是TCP三次握手中的第一個資料包，而當這個服務器回傳ACK以后，A不再進行確認，那這個連接就處在了一個掛起的狀態，也就是半連接的意思，那么服務器收不到再確認的一個訊息，還會重復發送ACK給A，這樣一來就會更加浪費服務器的資源，A就對服務器發送非法大量的這種TCP連接，由于每一個都沒法完成握手的機制，所以它就會消耗服務器的記憶體最后可能導致服務器死機，就無法正常作業了，更進一步說，如果這些半連接的握手請求是惡意程式發出，并且持續不斷，那么就會導致服務端較長時間內喪失服務功能——這樣就形成了DoS攻擊，也就形成了SYN泛洪攻擊；（理解就這么理解，答題就憑著印象答唄！）

Smurf攻擊：

原理：攻擊者向網路廣播地址發送ICMP包，并將回復地址設定成受害網路的廣播地址，通過使用ICMP應答請求資料包來淹沒受害主機的方式進行，最終導致該網路的所有主機都對ICMP應答請求作出答復，導致網路阻塞，總結為(1)ping程序；（2）間接攻擊程序（黑客終端以攻擊目標的IP地址為源地址發送ICMP報文）；（3）放大攻擊效果，
程序：我覺得總結的這個原理也算是程序吧，一起看看就行了！

DHCP欺騙攻擊：

原理：終端自動獲取的網路資訊來自DHCP服務器；黑客可以偽造一個DHCP服務器，并將其接入網路中；當終端從偽造的DHCP服務器獲取錯誤的默認網關地址或是錯誤的本地域名服務器地址時，后續訪問網路資源的行為將被黑客所控制 ，
程序：釣魚網站欺騙，用一個錯誤的IP地址來替換正確網站的IP地址，

ARP欺騙攻擊：

原理：ARP協議用于查找IP地址對應的MAC地址 ，每臺主機上都有一個ARP快取表用于存盤IP地址和MAC地址的對應關系，局域網資料傳輸依靠的是MAC地址，
程序：黑客終端用自己的MAC地址冒充其他的IP地址，

路由項欺騙攻擊：

**原理：**利用路由演算法來進行欺騙攻擊；
程序：RIP協議更新路由表

8. 惡意軟體的分類以及主要特點

分類：包括后門程式，邏輯炸彈和病毒三大類，其中病毒包括特洛伊木馬（當然木馬也有很多種類，但是都大概都是這樣的程序）、蠕蟲、Zombie和狹義上的病毒（單指那種既具有自我復制能力，又必須寄生在其他實用程式中的惡意代碼）；
邏輯炸彈：是包含在正常應用程式中的一段惡意代碼，當某種條件出現，如到達某個特定日期，增加或洗掉某個特定檔案等，將激發這一段惡意代碼，執行這一段惡意代碼將導致非常嚴重的后果，（我總結為：需要觸發，可控性低，不具有傳染性）；
后門程式：是某個程式的秘密入口，通過該入口啟動程式，可以繞過正常的訪問控制程序，（它和木馬有一定的聯系和相似，都隱藏在用戶系統的隱蔽的向外發送資訊，但是他沒有木馬程式完整，也只是用于比較單一的功能）；
特洛伊木馬：主要在于削弱系統的安全控制機制，（聽過這個故事的大概也能知道二三，特點是里應外合）
蠕蟲：也是一種病毒，能夠自我完成下述步驟：查找遠程系統，建立連接，實施攻擊， （主要特征是自我復制傳播，速度極快）
Zombie：俗稱僵尸，是一種具有秘密接管其他連接在網路上的系統，并以此系統為平臺發起對某個特定系統的攻擊的功能的惡意代碼，（也具有自我復制的能力）

9. 防火墻的概念、規則和過濾集的設定方法

防火墻：是由軟體、硬體構成的系統，是一種特殊編程的路由器，用來在兩個網路之間實施訪問控制策略，可用來解決行內網和外聯網的安全問題，
過濾規則（按照順序逐項匹配）：
（1）無狀態分組過濾器通過規則從一組相互獨立的IP分組流中鑒別出一部分IP分組，然后對其實施規定的操作∶比如正常轉發和丟棄；
（2）規則由一組屬性值組成，如果某個IP分組攜帶的資訊和構成規則的一組屬性值匹配，意味著該IP分組和該規則匹配；
兩種設定方法（一個禁止一個允許）：
（1）黑名單:方法是列出所有禁止通過的IP分組型別，沒有明確禁止的IP分組型別都是允許通過的；黑名單方法主要用于需要禁止少量型別IP分組通過，允許其他型別IP分組通過的情況，
(2) 白名單:方法是列出所有允許通過的IP分組型別，沒有明確允許通過的IP分組型別都是禁止通過的；白名單方法主要用于只允許少量型別IP分組通過，禁止其他型別IP分組通過的情況，

10. 安全協議的含義，安全協議的模式型別以及VPN和NAT的原理

安全協議的含義：
（1）協議自始至終是有序的程序，每一個步驟必須執行，在前一步沒有執行完之前，后面的步驟不可能執行;
（2）協議至少需要兩個參與者;
（3）通過協議必須能夠完成某項任務，
安全協議的功能
（1）雙向身份鑒別（共享密鑰和證書）；
（2）資料加密（密鑰分配和加密演算法的協商）；
（3）資料完整性檢測；
（4）防重放攻擊機制（一是要求在安全協議報文中增加序號欄位，二是安全協議能夠動態調整接收端的序列視窗），
安全協議的模式型別：
傳輸模式：
（1）傳輸模式用于保證資料端到端安全傳輸，并對資料源端進行鑒別 ；
（2）IP Sec所保護的資料就是作為IP分組凈荷的上層協議資料 ；
（3）安全關聯建立在資料源端和目的端之間，
隧道模式：
（1）隧道模式下安全關聯的兩端是隧道的兩端；
（2）將整個IP分組作為另一個IP分組的凈荷的封裝方式就是隧道格式，
VPN原理：
（1）VPN的實作主要使用了兩種基本技術：隧道傳輸 和 加密技術 ；
（2） VPN定義了兩個網路的路由器之間通過Internet的一個隧道， 并使用IP-in-IP封裝通過隧道轉發資料報；
（3）為了保證保密性，VPN把外發的資料報加密后，封裝在另一 個資料報中傳輸；
（4）隧道接收路由器將資料報解密，還原出內層資料報，然后轉發該資料報，
NAT原理
（1）內部主機 A 用本地地址 IPA和互聯網上主機 B 通信所發送的資料報必須經 過 NAT 路由器；
（2）NAT 路由器將資料報的源地址 IPA轉換成全球地址 IPG，并把轉換結果記 錄到NAT地址轉換表中，目的地址 IPB保持不變，然后發送到互聯網；
（3） NAT 路由器收到主機 B 發回的資料報時，知道資料報中的源地址是 IPB而 目的地址是 IPG；
（4）根據 NAT 轉換表，NAT 路由器將目的地址 IPG轉換為 IPA，轉發給最終的 內部主機 A，
（這繞來繞去不就是當個中轉站的功能嘛，主機A=a,主機B=b,NAT路由器=t,t = a 實作程序2源地址變化，t = b實作程序4目的地址變化）

11. 物聯網應用層訪問控制的主要功能及內容

訪問控制的主要功能：
（1）防止非法的主體進入受保護的網路資源；
（2）允許合法用戶訪問受保護的網路資源；
（3）防止合法的用戶對受保護的網路資源進行非授權的訪問，
訪問控制的主要內容：
（1）對用戶合法使用資源的認證和控制，按用戶身份及其所歸屬的某預設的定義組限制用戶對某些資訊項 的訪問，或限制對某些控制功能的使用(系統管理員控制用戶對 服務器、目錄、檔案等網路資源的訪問)；
（2）型別包括:自主訪問控制（DAC)、強制訪問控制（ MAC）；
（3）其目的是阻止非法用戶進入系統和合法用戶對系統 資源的非法使用，

12. 物聯網網路層的基本功能和內容（安全機制內容）

物聯網網路層的基本功能：
（1）主要功能為“傳送”，即通過通信網路進行資訊傳送；
（2）它作為紐帶連接著感知層和應用層，它由各種私有網路、互聯網、有線和無線通信網等組成，相當于人的神經中樞系統，負責將感知層獲取的資訊，安全可靠地傳輸到應用層；
（3）然后根據不同的應用需求進行資訊處理，
安全機制內容:
（1）構建物聯網與互聯網、移動通信網路等相融合的網路安 全體系結構;
（2）建設物聯網網路安全統一防護平臺 ;
（3）提高物聯網系統各應用層次之間的安全應用與保障措施 ;
（4）建立全面的物聯網網路安全接入與應用訪問控制機制，

13. 物聯網感知層的基本功能和安全機制內容

物聯網感知層的基本功能：
（1）位于整個物聯網體系結構的最底層，是物聯 網的核心和基礎，其基本任務是全面感知外界資訊， 是整個物聯網的資訊源；
（2）感知層主要涉及各種傳感器及其所組成的無線傳感器網路，通過各種傳感器以完成對目標物件或環境的資訊感知，
安全機制內容：
（1）因感知層節點資源有限、只能執行少量的計算和通信的突出特點，感知層能否抗DoS攻擊是衡量物聯網是否健康的重要指標；
（2）感知層安全機制的建立離不開輕量級密碼演算法和 輕量級安全認證協議的支持；
（3）感知層的安全目標主要體現為①強調基于WSN的感知中的信任管理，確保所 采集資料的真實和有效性；②確保基于RFID的感知層中物件的隱私保護， 包括“物”的標識與定位等，

懟完簡答題感覺就差不多穩了吧，不過抱著嚴謹科學的態度，我也就隨緣復習一下填空題，
不過這PPT好多，而且分為資訊安全相關和計網補充知識，所以下面分為這兩類看看吧！今天累了我要去看會兒馬原，明天繼續更！

有可能考到的資訊安全的一堆知識點

第一節 網路爬蟲

1. 網路爬蟲模擬了人們瀏覽網頁的行為，只是用 程式代替了人類的操作，在廣度和深度上遍歷網頁；
2. 爬蟲通過遍歷網頁上的鏈接，從一 個節點跳轉到下一個節點，就像是在一張巨大 的網上爬行，但是比人類的速度更快，跳轉的 節點更全面，所以被形象地稱為網路爬蟲或網路蜘蛛；
3. 網路爬蟲最早的用途是服務于搜索引擎的資料收集；
4. Alan Emtage開發了一個可以按照檔案名查找檔案的系統；
5. 作業原理與現在的搜索引擎已經非常接近，依靠腳本程式自動搜索分散在各處FTP主機中的文 件，然后對有關資訊進行索引，供使用者以一 定的運算式查詢；
6. 其后，無數的搜索引擎促使了爬蟲越寫越復雜， 并逐漸向多策略、負載均衡及大規模增量抓取 等方向發展；
7. 爬蟲的作業成果是搜索引擎能夠遍歷鏈接的網頁，甚至被洗掉的網頁也可以通過“網頁快照” 的功能訪問；
8. 每個行業都有其Code of Conduct，稱為行為準則或行為規范；
9. 隨著互聯網搜索規模的增長，爬蟲收集資訊的能力快速進化，網站開始考慮對于搜索引擎爬 取資訊做出限制，于是robots.txt應運而生，成為爬蟲界的“君子協定”；
10. 爬蟲禮儀：禮儀一：robots.txt檔案；禮儀二：爬取吞吐量的控制；禮儀三：做一個優雅的爬蟲（2018年，歐盟出臺的《General Data Protection Regulation》（通用資料保護條例） 中對資料保護做出了嚴格的說明，）；
11. 不少網站和應用APP應用了大量的反爬技術，這使得爬蟲技術中又衍生出反反爬蟲技術，比如各類滑動拼圖、文字點選、圖示點選等驗證碼的破 解，它們相互促進、相互發展、相互傷害著，
12. 反爬蟲的關鍵在于阻止被爬蟲批量爬取網站內容， 反爬蟲技術的核心在于不斷變更規則，變換各類驗證手段，
13. 各類反爬蟲技術：1、圖片/Flash（將關鍵資料轉為圖 片，并添加上水印）；2、java script混淆技術（其實就是一種障眼法，本質上還是一種 加密技術，將java script代碼進行加密，讓別人看不懂）；3、驗證碼（驗證碼是一種區分用戶是計算機還是人的公共 全自動程式）
14. 爬蟲的幾個禁忌：抓取的資料最好不要直接商用，涉及社交資訊/用戶資訊要謹慎（刑法285條）；
15. 販賣個人資訊超過50條屬于“情節嚴重”，需要追究其法律責任；
16. 三全一穩定，兩秘密一隱私：“三全”是指國家安全、公共安全、經濟 安全；“一穩定”指社會穩定，“兩秘密一隱私”是指國家秘密、商業秘密和個人隱私；
17. 合法爬取的資料的規范使用：一方面需要授權使用；另一方面則需要避免構成不正當競爭，

第二節 資料加密相關知識

1. 明文通過加密演算法 E 和加密密鑰 K 變成密文； 接收端利用解密演算法 D 運算和解密密鑰 K 解出明文 X；解密演算法是加密演算法的逆運算；
2. ，資料加密是指將一個資訊（或稱明文）經過密鑰及加密函式轉換，變成無意義的密文，而接收方則將此密文經過解密函式、密鑰還原成明文的程序， 加密是一種資料轉換，解密是加密的逆轉換，資料加密是網路安全技術的基石；加密程序為:Y=Ek1 ( P)
3. 資料加密主要為了防止資訊泄露;
4. 所謂常規密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制; 這種加密系統又稱為對稱密鑰系統;
5. 分組密碼： 黑客無法在知道加密解密演算法的情況下，通過有限的密文Y及對應的明文P推匯出 密鑰K，演算法復雜; 序列密碼： 每一個密鑰只進行一次加密運算， 而且每一個密鑰都是從一個足夠大的密鑰集中隨機產生，密鑰之間沒有任何相關性 ，
6. 資料加密標準 DES 屬于對稱密鑰密碼體制，是一種分組密碼;使用的密鑰為 64 位（實際密鑰長度為 56 位，有 8 位 用于奇偶校驗)
7. DES 的保密性僅取決于對密鑰的保密，其演算法公開的; 較為嚴重的問題是 DES 的密鑰的長度;
8. 三重 DES: 使用兩個 56 位的密鑰; 把一個 64 位明文用一個密鑰加密，再用另一個 密鑰解密，然后再使用第一個密鑰加密;
9. 高級加密標準AES，AES的設計要求①安全性：抵抗所有已知攻擊； ②實用性：適應各種環境，速度快； ③擴展性：分組長度和密鑰長度可擴展，
10. 分組密碼加密演算法的安全性：增加資料段長度和密鑰長度都可以提升；
11. 序列密碼體制的限制:密鑰集總是有限的;密鑰集中的密鑰是用演算法產生的， 密鑰之間無法做到沒有任何相關性;發送端和接收端每次資料傳輸程序都必須同步密鑰;
12. 在不對稱密碼體制中:(1)加密密鑰(即公鑰) PK 是公開資訊，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的，(2)加密演算法 E 和解密演算法 D 也都是公開的;
13. 不對稱密鑰的幾點注意：任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計算量，在這方面，不對稱密碼體制并不具有比傳統加密體制更加優越處;目前不對稱加密演算法的開銷較大；不對稱還需要密鑰分配協議；
14. 使用對稱密鑰時，由于雙方使用同樣的密鑰， 因此在通信信道上可以進行一對一的雙向保密通信； 在使用不對稱密鑰時，在通信信道上可以是多對一的單向保密通信，
15. 常見的不對稱密碼：RSA（ Rivest-Shamir-Adelman）是目前最常用的公開密鑰加密演算法； RSA私鑰的安全性取決于密鑰長度n；
16. 目前常用的密鑰分配方式是設立密鑰分配中心 KDC (Key Distribution Center)；其任務就是給需要進行秘密通信的用戶臨時分配一個會話密鑰 （僅使用一次）
17. 目前最出名的密鑰分配協議是 Kerberos V5； Kerberos 既是鑒別協議，同時也是 KDC，它已經變 得很普及，現在是互聯網建議標準； 只用于客戶與服務器之間的鑒別；
18. 公鑰的分配：由認證中心CA (Certification Authority)，來將公鑰與其對應的物體（人或機器）進行系結；每個物體都有 CA 發來的證書(certificate)，里面有公鑰及其擁有者的標識資訊，此證書被 CA 進行了數字簽名，任何用戶都可從可信的地方獲得認證中心 CA 的公鑰， 此公鑰用來驗證某個公鑰是否為某個物體所擁有，

第三章 訊息摘要和數字簽名

1. 散列函式的兩個特點：（1）散列函式的輸入長度可以很長，但其輸出長 度則是固定的，并且較短；（2）散列函式的輸入和輸出并非一一對應的，而是多對一的；
2. 密碼散列函式的特點：單向性；
3. 實用的密碼散列函式MD5和SHA-1，SHA-1比 MD5 更安全，但計算起來卻比 MD5 要慢些；
4. MD5 演算法計算步驟：（1）附加（把任意長的報文按模 2^64 計算其余數（64 位），追加在報文的后面（長度項））；（2）填充）（在報文和長度項之間填充 1~512 位，使 得填充后的總長度是 512 的整數倍，填充的首位是 1，后面都是 0，）；（3）分組（把追加和填充后的報文分割為一個個 512 位的資料塊，每個 512 位的報文資料再分成 4 個 128 位的資料塊）；（4）計算(將 4 個 128 位的資料塊依次送到不同的 散列函式進行4輪計算，每一輪又都按 32 位的小數 據塊進行復雜的運算，一直到最后計算出 MD5 報文 摘要代碼（128位）);
5. 安全散列演算法（SHA-1）:（1）基本思想要求輸入碼長小于 264 位，輸出碼長為 160 位，（2）將明文分成若干 512 位的定長塊，每一塊與當前的 報文摘要值結合，產生報文摘要的下一個中間結果， 直到處理完畢；（了解一下就行）
6. 通過密碼散列函式可以實作保護明文X的完整性， 防止報文被篡改，但不能防偽造， 可以對散列進行一次加密，散列加密后的結果叫做報文鑒別碼 MAC，
7. **報文摘要( MD )**技術是一種檢查發送的報文是否被篡改的方法，具有：確認性和唯一性
8. 報文摘要演算法需要滿足的要求：（1）作用于任意長度的報文；（2）產生有限位的標識資訊；（3）易于實作；（4）具有單向性；（5）具有抗碰撞性；
9. 報文摘要的主要用途：（1）訊息完整性檢測；（2）驗證秘密資訊—身份鑒別
10. 幾種常用的報文摘要演算法：（ 1） MD5：報文摘要第5版；（2）SHA-1：安全散列演算法第1版；（ 3） HMAC： 散列訊息鑒別碼；
11. 數字簽名：只有資訊發送者才能產生的； 接收者能夠核實發送者對報文的數字簽名；發送者事后無法否認對報文的數字簽名；接收者無法偽造發送者對報文的數字簽名， （總結為可證明來源，防否認，防偽造）
12. 數字簽名特征：唯一性、關聯性和可證明性；

第四章 身份認證

1. 資料庫可能會泄露兩方面的因素：人為故意和惡意程式；
2. （1） 訊息摘要用途：完整性檢測和驗證密碼資訊 （2）密碼在資料庫中應該加密存盤 （3）身份認證的程序中：單向認證和雙向認證
3. 其它看一下簡答題（5）就夠了，了解下單向鑒別和雙向鑒別；

第五章 無線網路安全技術

1. 無線局域網的特點：開放性，包括（頻段開放性；空間開放性）
2. 開放性帶來的安全問題：冒充授權終端（接入控制功能）；竊取資料（加密資料）；篡改資料（檢測資料完整性）；
3. 無線局域網安全標準WEP：在WEP機制中，密鑰既用來驗證身份，允許PC接 入，又用來加密傳輸的資料；WEP使用了一次一密的對稱加解密機制；
4. 其它看一下簡答題（5）

第六章 以太網安全技術

1. 以太網交換機實質上就是一個多介面的網橋；一般都作業在全雙工方式；具有并行性；介面有存盤器，能在輸出埠 繁忙時把到來的幀進行快取；是一種即插即用設備，其內部的幀交換表（又稱為地址表）是通過自學習演算法自動地逐漸建立起來的；使用了專用的交換結構芯片；
2. 以太網交換機的優點：（1）用戶獨享帶寬，增加了總容量；(2)從共享總線以太網轉到交換式以太網時，所有接入設備的軟體和硬體、配接器等都不需要做任何改動（3）具有多種速率的介面;
3. 以太網交換機的交換方式:（1）存盤轉發方式；（2）直通 (cut-through) 方式（接收資料幀的同時就立即按資料幀的目的 MAC地 址決定該幀的轉發介面；缺點是它不檢查差錯就直接將幀轉發出去）
4. 以太網接入控制技術身份鑒別方法：（1）靜態配置訪問控制串列；（2）安全埠；（3）802.1X接入控制程序；
5. 互聯網廣泛使用的動態主機配置協議 DHCP (Dynamic Host Configuration Protocol) 提供 了即插即用連網 (plug-and-play networking) 的機制，
6. （1）黑客實施DHCP攻擊的前提是能夠將偽造的DHCP服務器接入以太網，并為選擇自動配置方式的終端提供配置服務；（2）交換機防御DHCP欺騙攻擊的關鍵是能夠禁止一切偽造的DHCP服務器提供配置服務；
7. 地址決議協議 ARP 自己看吧，不想總結了，

第七章 網路安全

1. 計算機網路上的通信面臨以下兩大類威脅：被動攻擊和主動攻擊；
2. 主動攻擊主要有：(1) 篡改；(2) 惡意程式； (3) 拒絕服務；
3. 從互聯網上的成百上千的網站集中攻擊一個 網站，則稱為分布式拒絕服務 DDoS；也把這種攻擊稱為網路帶寬攻擊或連通性攻擊；，
4. 常見的網路威脅：（1）病毒侵害；（2）黑客攻擊；（3）拒絕服務攻擊；（4）網路欺騙；
5. 計算機網路通信安全的目標：(1) 防止析出報文內容和流量分析， （2) 防止惡意程式， (3) 檢測更改報文流和拒絕服務，
6. 對付被動攻擊可采用各種資料加密技術；對付主動攻擊則需將加密技術與適當的鑒別技術相結合；
7. 一個安全的計算機網路應達到四個目標：1. 保密性；2. 端點鑒別；3. 資訊的完整性；4. 運行的安全性； 可用性（身份鑒別）；保密性（資料加密）；完整性（訊息摘要）;不可抵賴性(資料簽名;可控制性;
8. 網路攻擊舉例 （1）SYN泛洪攻擊 （2）Smurf攻擊 （3）DHCP欺騙攻擊 （4）ARP欺騙攻擊 （5） 路由項欺騙攻擊
9. 幾種攻擊具體參看（7），至于其中提到的ARQ協議，選擇確認 SACK，網際控制報文協議 ICMP，地址決議協議 ARP，內部網關協議 RIP 不想看了，吐了吐了；

第八章 病毒檢測與防御技術

1. 惡意代碼定義:：指利用存盤介質和網路實作計算機系統間傳播，未經授權來破壞計算機系統完整性的一段程式，它的重要特點：非授權性和破壞性；
2. 分類惡意代碼的標準主要是代碼的獨立性和自我復制性；獨立的惡意代碼是指具備一個完整程式所應該具有的全部功能，能夠獨立傳播、運行的惡意代碼，這樣的惡意代碼不需要寄宿在另一個程式中， 非獨立惡意代碼只是一段代碼，它必須嵌入某個完整的程式中，作為該程式的一個組成部分進行傳播和運行，
3. 幾種惡意代碼的具體闡述參看簡答題（8）；
4. 病毒檢測與防御技術：
   被動性的：１．基于特征的掃描技術，建立病毒特征庫，通過分析已經發現的病毒，提取出每一種病毒有別于正常代碼或文本的病毒特征，然后根據病毒特征庫在掃描的檔案中進行匹配操作；2．基于完整性檢測的掃描技術，完整性檢測是一種用于確定任意長度資訊在傳輸和存盤程序中是否改變的技術，它基本思想是在傳輸或存盤任意長度資訊P時，添加附加資訊C，C對P進行報文摘要運算后的結果，為了防止病毒重新計算并修改檢測碼，通常對檢測碼進行加密，只能檢測出檔案是否發生改變，并不能確定檔案是否被病毒感染；非常適合于可執行檔案的掃描；3.基于線索的掃描技術
   主動性的：基于行為的檢測技術、基于模擬運行環境的檢測技術
5. 病毒防御措施 ：（1）不要隨意下載軟體；（2）可以查看占用較多CPU時間片的行程；（3）定期升級系統安全補丁，定期升級病毒特征庫；（4）不要輕易打開不安全的郵件附件，比如.exe檔案等（5）如果發現自己的計算機突然變慢或者流量例外，立即用“netstat –a – n”
   命令來查看哪些埠是開放的，計算機是否向其他地址發送資料包，

第九章 防火墻和入侵檢測系統

1. 有狀態分組過濾器的作用：根據會話的屬性與狀態,對屬于同一會話的IP分組進行傳輸程序控制的過濾器， 其中會話是指兩端之間資料交換程序；一個TCP連接；兩個行程間的UDP報文傳輸程序；一次ECHO請求和ECHO回應程序；
2. 資料交換程序可以用一次會話來表示；
3. 精確的資料交換程序控制必須基于會話；
4. 有狀態分組過濾器是一 種基于會話實作資料交換程序控制的分組過濾器；
5. 入侵檢測系統 IDS (Intrusion Detection System)能夠在入侵已經開始，但還沒有造成危害或在造成更大危害前，及時檢測到入侵，以 便盡快阻止入侵，把危害降低到最小；IDS 對進入網路的分組執行深度分組檢查；
6. IDS 能用于檢測多種網路攻擊，包括網路映射、 埠掃描、DoS 攻擊、蠕蟲和病毒、系統漏洞 攻擊等；
7. 兩種入侵檢測方法：（1）基于特征的 IDS 維護一個所有已知攻擊標志性 特征的資料庫；只能檢測已知攻擊，對于未知 攻擊則束手無策；（2）基于例外的 IDS 通過觀察正常運行的網路流量， 學習正常流量的統計特性和規律，至今為止，大多數部署的 IDS 主要是基于特征的，盡管某些 IDS 包括了某些基于例外的特性；
8. 防火墻是由軟體、硬體構成的系統，是一種特殊編程的路由器，用來在兩個網路之間實施訪問控制策略；
9. 防火墻內的網路稱為“可信的網路”(trusted network)，而將外部的因特網稱為“不可信的網路”(untrusted network)，
10. 防火墻的功能有兩個：阻止和允許；
11. 防火墻技術一般分為兩類：（1）應用網關也稱為代理服務器（1.它在應用層通信中扮演報文中繼的角色；2.在應用網關中，可以實作基于應用層資料的過濾和高層用戶鑒別；3.所有進出網路的應用程式報文都必須通過應用網關）；（2）分組過濾路由器（1.是一種具有分組過濾功能的路由器，它根據過濾規 則對進出內部網路的分組執行轉發或者丟棄；2.分組過濾可以是無狀態的，即獨立地處理每一個分 組，也可以是有狀態的，即要跟蹤每個連接或會話 的通信狀態，并根據這些狀態資訊來決定是否轉發 分組）；
12. 無狀態分組過濾器通過規則從一組相互獨立的IP分組流中鑒別出一部分IP分組,然后對其實施規定的操作:比如正常轉發和丟棄；
13. 規則由一組屬性值組成,如果某個IP分組攜帶的資訊和構成規則的一組屬性值匹配,意味著該IP分組和該規則匹配；
14. 構成規則的屬性值欄位：源IP地址；目的IP地址；源和目的埠號；協議型別；
15. 兩種過濾規則集設定方法：黑名單和白名單；
16. 對IP分組分類的標準是過濾規則；過濾規則按照順序逐項匹配，

第十章 安全協議

1. TCP/IP的安全缺陷：（1）源端鑒別問題；（2）資料傳輸的保密性問題（3）資料傳輸的完整性問題；（需要有對IP分組中的資料欄位進行加密的機制和保障IP分組完整性的機制）；（4）身份鑒別問題；

2. 安全協議功能：（1）雙向身份鑒別（證書和共享密鑰）；（2）資料加密；（3）資料完整性檢測：（4）防重放攻擊機制（1.在報文中增加序號欄位；2.能夠動態調整接收端的序號視窗）；

3. IP Sec ： IP Security ，IP安全協議； 包括：
   AH協議：（1）資料完整性檢測；（2）IP分組源端鑒別；（3）防重放攻擊；
   ESP協議：（1）資料加密；（2）資料完整性檢測；（3）IP分組源端鑒別；（4）防重放攻擊

4. IP Sec安全關聯：（1）關聯目的：以鑒別發送者、進行資料加密和完整性檢測為目的的關聯；（2）關聯方向：安全關聯是單向的；（3）關聯內容：發送者至接收者傳輸方向的資料所使用的加密演算法和加密密鑰、訊息鑒別碼MAC（Message Authentication Code）演算法和訊息鑒別碼MAC 密鑰等；每個安全關聯都有一個安全引數索引（Security Parameters Index，SPI）,由接收端產生；

5. 2種安全協議模式：（1）傳輸模式（1.式用于保證資料端到端安全傳輸，并對資料源端進行鑒別；2.IP Sec所保護的資料就是作為IP分組凈荷的上層協議資料；3.安全關聯建立在資料源端和目的端之間）；（2）隧道模式，隧道模式下安全關聯的兩端是隧道的兩端，將整個IP分組作為另一個IP分組的凈荷的封裝方式就是隧道格式；
   
   

6. 
   （1）下一個首部： 給出了AH報文凈荷協議型別（封裝成傳輸模式的AH報文后，IP首 部中的協議欄位值為51，表明是AH 報文；封裝成隧道模式的AH報文后，外層 IP首部中的協議欄位值為51，表明 是AH報文）（2）鑒別首部長度：以32位為單位給 出AH的總長；（3）安全引數索引（SPI）：接收端 將SPI和AH報文的目的IP地址 和IP首部(隧道模式下的外層IP 首部)中IP Sec協議型別一起用于確定AH報文所屬的安全關聯；（4）序號：用于防重放攻擊；（5）鑒別資料：訊息鑒別碼MAC）， 用于鑒別源端身份和資料完整性檢測；

7. 凈荷后面添加填充資料的目的： （1）是為了對凈荷進行加密運算時，保證凈荷＋ESP尾部是資料段長度的整數倍； （2）是凈荷＋ESP尾部必須是32位的整數倍； （3）是隱藏實際凈荷長度有利于資料傳輸的安全性，

8. IP sec是網際層的安全協議；

9. VPN的實作主要使用了兩種基本技術：隧道傳輸 和 加密技術；

10. 裝有 NAT 軟體的路由器叫做 NAT路由器，它至少有一個有效的外部全球IP 地址

第十一章 物聯網感知層安全

1. 物聯網感知層面臨的安全威脅主要表現為：節點自身故障和節點間的鏈接關系不正常；
2. 物聯網感知層的安全目標主要體現為：（1）強調基于WSN的感知中的信任管理，確保所采集資料的真實和有效性 （2）確保基于RFID的感知層中物件的隱私保護， 包括“物”的標識與定位等;
3. 感知層能否抗DoS攻擊是衡量物聯網是否健康的重要指標;
4. 感知層安全機制的建立離不開輕量級密碼演算法和輕量級安全認證協議的支持;
5. RFID空中介面面臨的主要威脅分為惡意搜集資訊式威脅、偽裝式威脅及拒絕服務威脅三大類;
6. RFID安全防御方法:（1）基于訪問控制的方法；（2）基于密碼技術，

第十二章 物聯網網路層安全

1. 網路層是實作萬物互連的核心；基本功能為基于資料的分析、處理、決策與應用提供支持；
2. 物聯網的網路層可分為業務網、核心網、接入網三部分；
3. 和前面知識有重復，不看了；

第十三章 物聯網應用層安全

有重復不看了！

誰知道考不考的計網相關知識

毀滅吧，我累了！
后面再重新復習計網時再寫吧，看吐了，復習鞏固，這些基本夠了！