密码编码学与网络安全-------原理与实践（第七版）

知识掌握：

1.掌握五大属性的定义

2.描述OSI的X.800的安全架构

3.讨论安全威胁和攻击的类型，举例说明作用于不同计算机和网络的安全威胁与攻击

4.解释安全设计的基本原则

5.讨论攻击面和攻击树的使用

第一章：计算机安全的定义

1.1计算机安全定义

数据与服务五大属性：保密性、完整性、可用性、真实性、可追溯性
计算机基础属性(核心三个目标)：
保密性：包含两个概念数据保密性和隐私性
数据保密性：确保隐私或秘密信息不向非授权者泄露也不被非授权者使用
隐私性：确保个人能够控制或确定与其自身相关的哪些信息是可以被收集的，被保存的这些信息可以由谁来公开以及向谁公开
(一般使用对称加密算法保证保密性)

完整性：包含数据完整性和系统完整性
数据完整性：确保信息和程序只能以特定和授权的方式进行改变
系统完整性：确保系统一种正常方式来执行预定的功能，免于有意或无意的非授权操纵
(用MD5算法检测数据完整性)

可用性：确保系统能工作迅速，对授权用户不能拒绝服务

另外俩属性
真实性：信息和信息的来源是真实的
(比如说A要给B发信息内容是half, 首先确定用户确定是A, 然后内容是否为half)

可追溯性：要求实体的行为可以唯一追溯到该实体
(例如银行转账发生纠纷的时候可以用可追溯性来追究实体，U盾等等)
上述的属性概念必须记住，否则后续算法的作用会不清楚

1.1.2安全泄露事件等级（了解即可）
安全泄露事件分为三个等级
低：这种损失对组织的运行、组织的资产或者个人负面影响有限（1）导致执行使命的能力在一程度上和时期内降级，期间仍能完成主要功能，但效果稍有降低；（2）导致资产的较小的损失；（3）导致很小的经济损失；（4）导致对个人的很小的伤害。

中：这种损失对组织的运行、组织的资产或者个人有严重的负面影响（1）导致执行使命的能力在一定程度上和时期内显著降级，期间能仍能够完成主要功能，但效果会明显降低；（2）导致资产的显著损失；（3）导致显著的经济损失；（4）导致对个人的显著伤害，但不包括丧命或者严重危害生命安全的伤害。

高：这种损失对组织的运行、组织的资产或者个人有严重或者灾难性的负面影响（1）导致执行使命的能力在一定程度上和时期内严重降级，期间不能完成主要的一项或多项功能；（2）导致大部分资产损失；（3）导致大部分经济损失；（4）导致对个人的严重或灾难性的伤害，包括丧命或严重威胁生命安全的伤害。

1.2 OSI安全架构

OSI安全架构主要关注安全攻击、安全机制、安全服务。
安全攻击：任何危及信息系统安全的行为。
安全机制：用来检测、阻止攻击或从攻击状态恢复到正常状态的过程。
安全服务：加强数据处理系统和信息传输的安全性的一种处理过程或通信服务，目的在于利用一种或多种安全机制进行反攻击。

1.3安全攻击

被动攻击：对传输进行窃听或者检测。一般为信息内容泄露攻击和流量分析。
信息内容泄露攻击：一般为窃取个人的隐私攻击。例如：人肉搜索
流量分析：通过流量分析可以确定主机的位置和身份，观察到传输消息的频率和长度，通过上述条件判定信息的性质。

主动攻击：包括对数据流进行修改或者伪造数据流，具体分四类：伪装、重放、消息修改和拒绝服务。
伪装：是指某实体假装成其他实体。
重放：指攻击者未经授权地将截获的信心再次发送。
消息修改：是指未经授权地修改合法消息的一部分，或延迟消息的传输，或改变消息的顺序。
拒绝服务（DoS）：阻止或禁止对通信设施的正常使用或管理。
DoS攻击原理：
1.迫使服务器缓冲区满，不断接受新请求，致使其无法接受用户的请求。
2.使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。
DDos攻击原理：
1.相对于DoS一对一攻击，DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。DDoS是基于DoS攻击而实现的全称为分布式拒绝服务攻击
2.一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。
每个部分的作用以及攻击的步骤可以看百度词条，上面解析的很清晰
安全攻击总结：
1.被动攻击相对于主动攻击而言，造成的损失一般较低，而且可以预防
2.主动攻击难以预防，更多的是在与检测并且快速从攻击中造成的破坏或延迟中恢复出来
3.区分被动攻击和主动攻击最简易的办法就是以接受方视角看有没有修改或者截获数据
（战争时期的截获电报就是主动攻击）

1.4安全服务

1.4.1认证
队等实体认证：为连接中的队等实体提供身份认证。
数据源认证：为数据源的来源提供确认，对数据的复制或修改并不提供保证

1.4.2访问控制
在网络中，访问控制是限制和控制那些通过通信连接对主机与应用进行访问的一种能力。为此每个试图获得访问的实体必须被识别或认证后，才能获取相应的访问权限。

1.4.3数据保密性
保密性是指防止数据遭到被动攻击。
一方面是在一段时间内为两个用户间所传输的所有用户数据提供保护。另一方面是防止流量分析。

1.4.4数据完整性
完整性可应用于消息流、单条消息或消息的指定部分。
用于处理消息流、面向连接的完整性服务保证收到的消息和发出的消息一致，保证；消息未被复制、插入、修改顺序或重放。该服务也涉及对数据的破坏。因此面向连接的完整性服务需要处理消息流的修改和拒绝服务两个问题。另一方面，无连接的完整性服务仅处理单条消息，而不管大量的上下文信息，因此通常仅防止对消息的修改。
完整性服务还分为可恢复的服务和无恢复的服务。

1.4.5不可否认性
不可否认性防止发送方或者接受方否认传输或者接收过某条消息。

1.4.6可用性服务
X.800和RFC 4949将可用性定义为：根据系统的性能说明，系统资源可被授权实体请求访问或使用。

1.5安全机制

特定安全机制

可以并入适当的协议层以提供一些OSI安全服务

加密
运用数学算法将数据转换成不可知的形式。数据的变化和还原依赖于算法和零个或多个加密密钥
数字签名
附加于数据单元之后的一种数据，它是对数据单元的密码转换，以使得可证明数据源和完整性，并防止伪造
访问控制
对资源行使访问控制的各种机制
数据完整性
用于保证数据单元或数据单元流的完整性的各种机制
认证交换
通过信息交换来保证实体身份的各种机制
流量填充
在数据流空隙中插入若干位以阻止流量分析
路由控制
能够为某些数据选择特殊的物理上安全路线，并允许路由变化（尤其是在怀疑有侵犯安全的行为时）
公证
利用可信的第三方来保证数据交换的某些性质

普遍的安全机制

不限于任何特定OSI安全服务或协议层的机制

可信功能
据某些标准被认为是正确的功能
安全标签
资源的标志，命名或指定该资源的安全属性
事件检测
检测与安全相关的事件
安全审计跟踪
收集可用于安全审计的数据，它是对系统记录和行为的独立回顾与检查
安全恢复
处理来自安全机制的请求，如事件处理、管理功能和采取恢复行为

1.6基本安全设计准则

十三大准则，前八为核心分别为：机制的经济性、故障安全默认、完整的监察、开放的设计、权限分离、最小权限、最小共同机制、心里接受度、隔离、密封、模块化、分层、最小意外。

机制的经济性准则：指嵌入在硬件和软件中的安全机制应设计得尽量简单、短小。
故障安全默认准则：故障安全默认准则意味着访问决策基于允许而非拒绝，也就是说默认情况下是无访问权限，保护方案核实是否符合允许访问条件。
完整的监察准则：完整的监察准则意味着必须检查访问控制机制中的每个访问，系统不能依赖从缓存中的检索到的访问决策。
开放的设计准则：指出安全机制的设计应是开放的，而不是保密的。
权限分离准则：是要多个权限属性来访问一个受限资源时的准则。
最小权限准则：最少权限准则意味着系统的每个进程和用户应该已执行该任务所需的最小权限集来进行操作。
最小共同机制准则：最小共同机制准则意味着应把不同用户共享的功能设计的最小化，以便提供共同的安全性。
心理接受度准则：说明安全机制在满足授权访问时的用户需求的同时，不应过度干预用户的工作。

隔离准则：隔离准则应用于一下三种情况
1.公共访问系统应与关键资源隔离，以防止其泄露或纂改。
2.除非明确这么做，否则各个用户的进程和文件应彼此隔离。
3.安全机制也应被隔离，以防止他人访问到这些机制。
密封准则：密封准则可视为基于面向对象的特定形式的隔离。
模块化准则：在安全领域中，既指将安全功能作为单独的模块开发，也指有机制设计和实现的模块化架构。
分层准则：是指使用多个叠加的保护方法来保护信息系统的人员、技术和操作。
最小意外准则：是指程序或用户接口，应让用户感到对意外事故的处理，响应最小化。

1.7攻击面与攻击树

1.7.1攻击面

攻击面可以分为以下几类：
网络攻击面 ：此类攻击面涉及的是企业网络、广域网或互联网。包含其中的是网络协议的漏洞，如用来进行拒绝服务攻击、中断通信链路、各种形式的入侵攻击的漏洞。
软件攻击面 ：此类攻击面涉及的是应用程序、工具包或操作系统代码。其中的一个重点是Web服务器软件。
人类攻击面：此类攻击面涉及的是由系统人员或外部人员造成的漏洞，如认为错误和被信任的内部人员。

1.7.2攻击树

概念：攻击树是采用分支化、层次化表示来利用安全漏洞的可能技术集合的数据结构
攻击树的根节点是攻击的目的——造成安全事件。
攻击树上的分支和子节点是攻击者为到达这一目的所采用的方法。
攻击树上的子节点定义一个目标。
例：
图中黄色部分为根节点即为攻击目的，红色为或节点即为子目标，蓝色为叶子节点，代表组成攻击的事件。

1.8网络安全模型

通过上图可发现，需要保护传输信息，防止攻击着对机密性、真实性等进行攻击时，安全技术开始发挥作用。所有提供安全的技术都包含一下两个部分：
1.对发送信心的变换。如加密信息，将消息打乱，使其变得不可读；基于消息内容，附加基于一段基于消息内容的编码，用来验证发送者的身份。
2.被两个主体共享且不被攻击者知道的一些机密消息。如在传输之前用于加密消息、收到消息后用于解密消息的密钥。

为了实现安全传输，可能需要由可行的第三方以便于仲裁。
因此设计安全服务应包含如下4个方面的内容：
1.设计一个算法，它执行与安全相关的变换。该算法应时攻击者无法攻破的。
2.产生算法所使用的秘密信息。
3.设计分配和共享密钥信息的方法。
4.指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务。

1.9标准

美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）：NIST是一个美国联邦结构。负责处理与美国政府使用和促进美国私营部门创新有关的测量科学、标准和技术。
国际互联网协会（Internet Society，ISOC）：ISOC是一个具有全球组织和个人会员资格的专业协会。
ITU-T 国际电信联盟(International Telecommunication Union,ITU)：是联合国系统内的一个国际组织，ITU-T是国际电联的三个部门之一，任务是制定涵盖所有电信领域的基数标准。
ISO 国际标准化组织（International Organization for Standardization，ISO）：是由140多个国家的国家标准机构组成的全球联盟。ISO是一个全球性的非政府组织,致力于促进标准化和相关活动的发展。