CISP 4.2备考之《安全支撑技术》知识点总结

举报
zuozewei 发表于 2024/03/28 09:12:22 2024/03/28
【摘要】 CISP 4.2备考之《安全支撑技术》知识点总结

第一节 密码技术

    1. 密码学发展阶段:古典、近代、现代和公钥密码学及特点。
    1. 密码系统组成:明文、加密、密钥、解密、密文。
    1. 柯克霍夫原则:密钥保密,算法公开。
    1. 对称密码算法
    • (1)加密密钥和解密密钥相同,或实质上等同。
    • (2)典型算法:DES、3DES、AES、IDEA、RC5、Twofish、CAST-256。
    • (3)AES 算法:128/192/256bits 三种密钥长度。
    • (4)优点:高效。不足:交换密钥问题及密钥管理复杂。
    1. 非对称密码算法:
    • (1)典型算法:RSA、ECC、ElGamal
    • (2)原理:基于数学难题实现,大整数分解、离散对数、背包问题。
    • (3)优点:解决密钥传递问题、密钥管理简单、提供数字签名等其他服务。缺点:计算复杂、耗用资源大。
    1. 哈希函数:
    • (1)作用:完整性校验;
    • (2)主要算法:MD5、SHA-1、SHA-256\384\512。
    • (3)特点:具有单向性、定长输出、抗碰撞性(强弱之分)。
    1. 消息鉴别码:
    • (1)消息认证、完整性校验、抗重放攻击(时间或顺序号验证);
    • (2)消息认证方式:MAC、HMAC。
    1. 数字签名:
    • (1)原理:见图。
      image.png

    • (2)作用:身份鉴别、不可抵赖、消息完整性。

  • 9.数字证书:
    • (1)一段电子数据,是经证书权威机构 CA 签名的、包含拥有者身份信息和密钥的电子文件。
    • (2)数字证书格式:国际标准 X.509 定义一个规范的数字证书格式,版本 v3。
    • (3)证书生命周期:证书申请、生成、存储、发布、使用、冻结、更新、废止等。
  • 10.PKI 体系构成及作用
    • (1)KMC 或 KMS(密码系统)
    • (2)CA(认证权威)
    • (3)RA(注册权威)
    • (4)LDAP(证书管理目录服务)
    • (5)CRL&OCSP(黑名单库或在线认证)
    • (6)终端实体(持有 USB-Key 和程序)
  • 11.区块链(了解,考试不考)
    • (1)区块链是分布式数据存储、点对点传输、密码技术等计算机技术的新型应用模式,解决了去中心化的共识机制的建立和应用。
    • (2)区块链的基本特征:去中心化、开放性、自治性、信息不可篡改、基于场景的匿名性。
    • (3)区块链技术:分布式账本、非对称加密和授权技术、共识机制、智能合约。

第二节 标识和身份鉴别技术

    1. 标识:实体身份的唯一性表达。
    1. 鉴别:确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体。
    1. 鉴别系统的构成:验证者、被验证者、可信赖第三方。
    1. 鉴别的类型:单向鉴别、双向鉴别、第三方鉴别。
    1. 鉴别的方式:
    • (1)基于实体所知:知识、密码、PIN 码等。
    • (2)基于实体所有:身份证、钥匙、智能卡、令牌等。
    • (3)基于实体特征:指纹,笔迹,声音,视网膜等。
    • (4)分类:单因素、双因素、多因素认证
  • 6.实体所知:
    • 1)安全密码
    • 2)锁定机制
    • 3)验证码
    • 4)输入控件
    • 5)一次一密
    • 6)哈希传输保护
    • 7)挑战应答机制。
  • 7.实体所有:
    • 1)复制技术难度;
    • 2)复制的成本方面。要求所有的实体具有唯一性。
  • 8.实体特征:
    • 1)原则:最小化、不干扰、长期性、稳定性。
    • 2)方式:指纹;掌纹;虹膜;视网膜;静脉;声音;扫脸;步态等识别。
    • 3)生物特征鉴别系统的有效性判断
      • — 错误拒绝率(FRR)
      • — 错误接受率(FAR)
      • — 交叉判错率(CER):FRR=FAR 的交叉点,CER 用来反映系统准确度。
  • 9.身份鉴别的应用
    • 1)单点登录:单点登录是安全凭证在多个系统之间传递或共享。
    • 2)Kerberos 构成:
      • (1)密钥分发中心(KDC):由 AS 和 TGS 两个部分构成。认证服务器(AS:Authentication Server)、票据授权服务器(TGS:Ticket Granting Server)。
      • (2)应用服务器
      • (3)客户端
    • 3)Kerberos 过程由三个阶段组成
      • (1)第一次:访问 AS,获得票据许可票据(TGT)
      • (2)第二次:访问 TGS,获得服务许可票据(SGT)
      • (3)第三次:访问应用,获得服务。
    • 4)常见 AAA 协议(AAA=认证、授权、计费;AAA=认证、授权、审计;4A):
      • (1)RADIUS 协议:UDP 协议、明文发送,安全性低。
      • (2)TACACS+协议:延时问题,国外开发提供。
      • (3)Diameter 协议:是 RADIUS 的升级版,是一组协议。

第三节 访问控制技术

  • 1.访问控制作用:
    • (1)保证用户在系统安全策略下正常工作。
    • (2)拒绝非法用户的非授权访问请求。
    • (3)拒绝合法用户越权的服务请求。
  • 2.自主访问控制
    • (1)访问控制表 ACL:权限与客体关联,在客体上附加一个主体明细表的方法来表示访问控制矩阵的。
    • (2)访问能力表 CL:权限与主体关联,为每个用户维护一个表,表示主体可以访问的客体及权限。
    • (3)优点:灵活性高,被大量采用。缺点:安全性不高、信息在传递过程中其访问权限关系会被改变(体现的是 CL)。
  • 3.强制访问控制:
    • (1)主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。
    • (2)BLP 模型:解决不同级别间保密性。全策略:高等级权限大于等于低级权限,简单安全规则(向下读)、星型规则(向上写)。不同的权限类型不可读也不可写。
    • (3)BIBA 模型:解决不同级别间完整性(语义)。
      • 简单规则:向上读,主体可以读客体,当且仅当客体的完整级别支配主体的完整级。
      • 星型规则:向下写:主体可以写客体,当且仅当主体的完整级别支配客体的完整级。
    • (4)CLARK-WILSON 模型:操作前和后,数据必须满足一致性条件。
    • (5)CHINESE-WALL:在竞争域中的客体,主体只能访问其中的一个。
    1. 角色访问控制模型 RBAC 模型:根据用户所担任的角色决定用户访问权限。用户必须成为某个角色,且还必须激活这一角色,才能对一个对象进行访问或执行某种操作,激活的方式常为会话。
    •  RBAC0,基本模型,规定了所有 RBAC 的基本内容,四种要素,用户(U)、角色®、会话(S)和权限§
    •  RBAC1:包含 RBAC0,加入安全等级及角色继承关系
    •  RBAC2:包含 RBAC0,加入约束条件,例如会计和出纳不能为同一人
    •  RBAC3:结合了 RBAC1、RBAC2。

温馨提示:为了减少学习的负担和聚焦核心,知识点总结写的是关键的精要的要点,并非是知识点的全文,请一定进一步结合官方的教材进行扩充补充、理解和掌握全面,以免产生以偏概全的问题。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。