物联网安全期末知识点总结
目录
1.显示文件扩展名
2.HTTPS
3.复杂性,交互性,变化性,Bug隐匿性
4.VPN
5.智能汽车
6.对称密码和非对称密码技术
7.独立主机,虚拟主机,VPS和云服务器
8.安全锁链
9.防火墙
10.互联网
11.身份识别和身份认证
12.Salami攻击
13.信息
14.常见的攻击方法
15.流程图
16.OTA
17.数字签名
18.DOS&DDOS
19.机密、完整、真实
20.0DAY
21.智慧家居
22.工业监控
23.Hash&salted password Hash
24.Poker Face
25.感知层、网络层、应用层
26.勒索病毒
27.钓鱼网站
28.数字威胁
29.代理服务器
30.DNS劫持
31.黑白盒测试
32.Bitcoin
33.请简要叙述物联网技术的发展前景并举例说明
34.请简要说明密码和个人识别码(PIN)的区别
35.孙子兵法中有“知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆。”请问这个思想如何应用到信息安全中?请举例说明
36.深网·暗网
1.显示文件扩展名
点击“此电脑”,然后点击“查看”,在文件扩展名处进行勾选
1.显示文件扩展名,可以让我们更加清楚的知道这个是什么文件
2.扩展名起到定义文件属性的作用,定义与之相关联的程序就可以快速运行。
3.如果没有扩展名,系统运行文件时候就要先分析文件类型然后再选择程序打开,这就会变得很复杂。
2.HTTPS
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。
什么是HTTPS?
使用了 SSL/TLS 的 HTTP,也就是安全的 HTTP
何为通信安全?
通信内容的保密性
互联网默认是公开透明的
HTTP是以明文进行传输的
HTTPS使用混合加密系统加密数据
利用非对称加密算法加密一个对称密钥
通信双方身份的真实性
如何确定公钥的真实性?
数字证书(SSL/TLS)
数字签名(.sig)
数字证书由 CA 签发
如何保证 CA 的真实性?
HTTPS 证书体系里,根证书是操作系统和浏览器自带的
证书也可以自己签发,例如原来的12306网站
通信内容的完整性
浏览网页遇到运营商广告就是教训
完整性需要借助哈希算法和非对称加密系统共同完成
HTTPS 如何避免中间人攻击?
DNS劫持
如果没有 HTTPS,浏览的地址可能会被指向非法的网站
HTTPS 使用证书鉴别避免上述攻击
申请证书时 CA 会对申请的域名进行控制权认证
伪造证书会被浏览器发现并警告用户(但不会影响用户抢火车票)
证书是真的,只替换公钥,同样会被浏览器通过数字签名识别
如果使用攻击站点的真实证书,攻击人能收到用户信息,但无法解密
HTTPS 足够安全吗?
没有绝对的安全
取决于非对称加密的安全性
HTTPS不保证完全性
别人知道你在浏览哪个网站,只是不知道你们交互的内容
2014年席卷全球的 Heartbleed 漏洞
就是针对 HTTPS 的网站
HTTPS对大部分人来说,意味着比较安全,起码比HTTP要安全
如何开启 HTTPS?
Web 服务器需要有独立 IP
独立 IP 一般是按年收费的,因为 IPv4 地址越来越紧张
SSL 证书要和 IP 绑定
独立 IP 有助于提升搜索引擎排名
域名必须属于证书申请者
一般通过域名邮箱验证
例如 admin@chrischen.net
3.复杂性,交互性,变化性,Bug隐匿性
系统安全
复杂性
Windows7系统的源码大概有4千万行
代码越多逻辑关系越复杂,越容易出错
需要经常通过更新维护系统(修复程序中的Bug)
交互性
用户同机器,机器同机器, 网页对网页等
交互性增加了逻辑关系的复杂度
双向车道和单行线
水管和水龙头
变化性
技术更新特别快
普通用户对技术不感兴趣
攻击者利用技术代沟搞破坏
Bug隐匿性
复杂的代码让程序中的Bug很难被发现
软件测试工程师
4.VPN
虚拟专用网络(Virtual Private Networks)
VPN是在公用因特网上建立一个临时的、安全的连接
因特网是开放的、不安全的
采用的技术:
隧道技术
加解密技术
密钥管理技术
身份认证技术
一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN网络同样也需要这三部分,不同的是VPN连接不是采用物理的传输介质,而是使用一种称之为“隧道”的东西来作为传输介质的,这个隧道是建立在公共网络或专用网络基础之上的,如因特网或专用Intranet等。
VPN 和代理服务器(Proxy Server)的异同
两者都用于将你的设备连接到远程服务器
都能达到隐藏真实 IP 地址的目的
你身在 A 地,却被检测到从 B 处访问 C 网站
未开启代理显示是本地
开启代理可显示不是本地
VPN同样可以让你的流量显示是从另一个IP地址发出的
同样可以用于隐藏IP
VPN工作在系统层面
转发所有程序的所有链接
VPN
客户端到服务器采用加密传输
相同配置情况下性能不如代理服务器
为什么要是用VPN
隐藏IP和上网节点
加密通讯
远程浏览内部网资源
浏览更多资源
5.智能汽车
智能车辆是一个集环境感知、规划决策、多等级辅助驾驶等功能于一体的综合系统,它集中运用了计算机、现代传感、信息融合、通讯、人工智能及自动控制等技术,是典型的高新技术综合体。对智能车辆的研究主要致力于提高汽车的安全性、舒适性,以及提供优良的人车交互界面。
智能车辆就是在一般车辆上增加了先进的传感器(如雷达、摄像头等)、控制器、执行器等装置,通过车载环境感知系统和信息终端,实现与人、车、路等的信息交换,使车辆具备智能环境感知能力,能够自动分析车辆行驶的安全及危险状态,并使车辆按照人的意愿到达目的地,最终实现替代人来操作的目的的汽车。
智能汽车技术与一般所说的自动驾驶技术有所不同,它指的是利用多种传感器和智能公路技术实现的汽车自动驾驶。
组成
导航信息资料库
GPS定位系统
道路状况信息系统
车辆防碰系统
紧急报警系统
无线通信系统
自动驾驶系统
智能汽车安全:
随着特斯拉自动驾驶汽车的推出,车联网已从概念变为现实,但是智能汽车一旦遭到黑客攻击,可能会造成比传统汽车更严重的交通事故,例如速度与激情8里的场景
6.对称密码和非对称密码技术
1.对称加密就是加密和解密的密钥是相同的
2.非对称加密的加密和解密的密钥是不同的
3.RSA属于不对称加密算法,DES和AES属于对称加密算法
对称密钥加密系统 (Symmetric Cryptography)
加密和解密采用相同的密钥
通信双方必须使用相同的密钥
双方必须信任对方不将密钥泄露出去
对于具有n个用户的网络,需要n(n-1)/2个密钥
在用户群不是很大的情况下,对称加密系统是有效的
对于大型网络,当用户群很大,分布很广时,密钥的分配和保存就成了问题
常见的对称加密算法
DES(Data Encryption Standard数据加密标准)算法及其变形Triple DES(三重DES)
明文数据被分成许多块,每块大小为64 bit
每块数据用密钥进行替换和移位操作,每次操作为一个循环
16次循环完成整个加密过程
类似于洗牌
暴力破解DES加密
顶级超级计算机耗资超千万元人民币
宇宙的年龄 1010 年
Triple DES
用DES对明文进行三次操作
AES – Advanced Encryption Standard
高级加密标准
2002年起替代 3DES 成为新的安全标准
密钥长度高达128 bit 和 256 bit
估计要等量子计算机的出现才能在有限时间内破解该算法
对称加密系统的缺点
密钥如何安全共享
密钥总数量大,管理负责
估计要等量子计算机的出现才能在有限时间内破解该算法
非对称密码加密系统(Asymmetric Cryptography)
用一个密钥加密,用另一个密钥解密
通常发信人用收信人的公钥进行加密,收信人用自己的私钥进行解密
基于RSA算法
公钥和私钥是一对大素数的函数
RSA算法的安全性源自大整数“质因数分解”的困难性
平均每微妙进行一次计算,求解所需要的时间为74年
发送保密数据时
发信人用收信人的公钥进行加密,收信人用自己的私钥进行解密
非对称密码加密系统的优缺点
优点
不需要进行密钥交换
密钥越长越安全
缺点
加密耗时长
速度慢
只适合对少量数据进行加密
组合加密系统
目前互联网上采用的方式
公钥加密系统对会话密钥进行加密
得到会话密钥后采用对称加密方式
通常使用AES算法
7.独立主机,虚拟主机,VPS和云服务器
独立主机即Dedicated Server,是指客户独立租用一台服务器来展示自己的网站或提供自己的服务,比虚拟主机有空间更大,速度更快,CPU计算独立等优势,当然价格也更贵。
虚拟主机又称虚拟服务器,是一种在单一主机或主机群上,实现多网域服务的方法,可以运行多个网站或服务的技术。虚拟主机之间完全独立,并可由用户自行管理,虚拟并非指不存在,而是指空间是由实体的服务器延伸而来,其硬件系统可以是基于服务器群,或者单个服务器。
虚拟专用服务器(VPS)技术,是将一台服务器分割成多个虚拟专享服务器的优质服务
云服务器是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。
8.安全锁链
安全性可以比作一条由不同过程和工具组成的锁链
锁链中任何一个地方断裂,都会导致安全性被破坏
安全锁链的强度取决于其最脆弱的一个环节
如何保证锁链的强度是这门课的主要内容之一
锁链上的环节
人 公司员工, 用户,黑客等
协议 系统正常工作的一步步的方法
密码系统 系列数学算法
人在这个环节中最脆弱
因为
普通用户不懂技术
普通用户相信电脑
普通用户只希望用电脑完成任务
人之初性本善
普通用户不在意细小的潜在的威胁
9.防火墙
防火墙
原本用在蒸汽火车上
防止火花从燃炉内溅射到旁边的煤堆上
现在则是系统内网与互联网之间的屏障
类似于城堡的外墙或长城
防火墙属性
类似城墙,防火墙可以不停地(自动地)检测出入信息
防火墙必须是完整的包围体系(不能有后门和暗道)
防火墙有允许合法用户进出的门
防火墙只负责准入准出的控制
墙内外各种折腾我不管
智能把关
通过一系列规则确定哪些信息可以出入,哪些则不行
可以通过目标地址或协议类型进行限制
有“态度的”家伙
只能通过源头和目标的部分信息做判断
一些攻击防火墙的方法
完全绕过它
通过“猫”(modem)拨号连接到内部的一台计算机
零日攻击
通过未修复的漏洞植入木马或打开后门
10.互联网
互联网(internet),又称国际网络,指的是网络与网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络。
物联网是互联网的延伸,因此物联网的安全也是互联网的延伸
物联网对实时性、安全可信性、资源保证等方面有很高的要求
物联网的安全既构建在互联网的安全上,也有因为其业务环境而具有自身的特点
物联网安全比互联网安全多了感知层,传统互联网的安全机制可以应用到物联网,物联网安全比互联网安全更复杂
11.身份识别和身份认证
身份识别---官方发布码(ORC)是全球领先的互联网官方身份认证备案机构推行的官方身份识别码,施行一个真实身份一个号码的管理方法。
身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。
任何商业交易中的前两个步骤都是:
你是谁? (身份识别 - Identification)
你能证明吗? (身份认证 - Authentication)
身份认证(Authentication)
数据安全中最重要的环节之一
将确定可以信任谁和不能信任谁
不同权限不同方式的认证
两种类型的身份认证
会话认证
一系列连续的处理行为
类似于人之间的谈话(电话中)
发送这个请求的计算机/用户是发送之前请求的那个的计算机/用户吗?
交易认证
信用卡认证
电子支付认证
12.Salami攻击
Salami攻击是一种积少成多的非法获取利益的攻击。 比如每次都将交易的零星小数从总额中扣下, 存入自设的账户, 日积月累往往可以达到可观的数目, 而每次扣掉的金额很小, 一般很难被发现, 有较好的隐蔽性。
13.信息
生物信息
声音
签名
照片
虹膜
视网膜
步态识别
胎记等
依靠生物信息不简单
有可能出现两种错误
允许了冒名顶替者
拒绝了正确的用户(有些生物信息会随着时间改变)
生物信息伪造
指纹很难伪造
盗用相对更可行
用照片骗普通的人脸识别系统
电影动漫中的易容术(怪盗基德、贝尔摩德、碟中谍)
电影中的指纹盗用(国家宝藏)
系统必须验证生物信息是否以正确的方式输入
脸部3D信息
柯南中的扯脸
验证多个指纹
14.常见的攻击方法
犯罪攻击
知识产权盗取
黑客主义
品牌盗用
流量分析
拒绝服务攻击(DOS)/分布式拒绝服务攻击(DDOS)
犯罪攻击
最容易理解的一个
95%的攻击都是由有组织的犯罪团体实施的(电信诈骗)
大部分都追求高额的资金回报
主要依靠欺诈和设立骗局等手段(电信诈骗和网上传销)
手法同现实生活中的一样
知识产权盗取
估计大部分人参与过
盗版软件
盗版电子书
盗版音像制品
黑客主义
小团体或分散的个体(如Anonymous匿名者)
一些可能的原因
针对受到的不满意待遇复仇
发现安全隐患(白客或红客)
政治干预(俄罗斯黑客和美国大选)
占攻击总量很少(<1%),但常见于媒体报道
15.流程图
16.OTA
空中下载技术(OTA ),是通过移动通信的空中接口实现对移动终端设备及SIM卡数据进行远程管理的技术。网络运营商通过OTA技术实现SIM卡远程管理,还能提供移动化的新业务下载功能。
17.数字签名
数字签名技术是不对称加密算法的典型应用
数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
18.DOS&DDOS
拒绝服务攻击(DOS)
拒绝服务攻击,俗称DDOS攻击,只要能够对目标造成麻烦,使某些服务器暂停或者死机都是DDOS攻击
顾名思义,即是利用网络上已被攻陷的电脑作为“僵尸”,向某一特定的目标电脑发动密集式的“拒绝服务”要求,用以把目标电脑的网络资源及系统资源耗尽,使之无法向真正正常请求的用户提供服务。
想办法让目标机器停止提供服务
发送大量的连接请求
伪造大量的IP地址,发送链接错误数据包
例如有人问10086客服“中午吃什么”的问题
通常是黑客主义者为了引起对政治或社会话题的关注
匿名者成员们曾向山达基教会总部寄送大量的披萨和用大量黑色传真单耗尽教会总部的墨盒
分布式拒绝服务攻击(DDOS)
分布式拒绝服务攻击指借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动DDOS攻击,从而成倍地提高拒绝服务攻击的威力
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,
19.机密、完整、真实
CIA: 机密性、 完整性、 真实性
机密性指信息指在未验证状态下信息不能被用户获取,保证没有权限的人无法查看数据
完整性的目的是通过阻止威胁或探测威胁,保护可能遭到不同方式危害的数据的完整性和数据相关属性的完整性。保证数据不被没有权限的人更改
真实性
20.0DAY
零日漏洞通常是指被发现后立即被恶意利用的安全漏洞,零日攻击则是指利用零日漏洞对系统或软件应用发动的网络攻击。
21.智慧家居
智能家居(smart home, home automation)是以住宅为平台,利用综合布线技术、网络通信技术、 安全防范技术、自动控制技术、音视频技术将家居生活有关的设施集成,构建高效的住宅设施与家庭日程事务的管理系统,提升家居安全性、便利性、舒适性、艺术性,并实现环保节能的居住环境 。
智能家居是在互联网影响之下物联化的体现。智能家居通过物联网技术将家中的各种设备(如音视频设备、照明系统、窗帘控制、空调控制、安防系统、数字影院系统、影音服务器、影柜系统、网络家电等)连接到一起,提供家电控制、照明控制、电话远程控制、室内外遥控、防盗报警、环境监测、暖通控制、红外转发以及可编程定时控制等多种功能和手段。与普通家居相比,智能家居不仅具有传统的居住功能,兼备建筑、网络通信、信息家电、设备自动化,提供全方位的信息交互功能,甚至为各种能源费用节约资金
智能家居安全:
如果黑客能轻松利用网络攻破一些智能家用产品的安全防线,如侵占智能摄像头,将带来严重的隐私安全问题
22.工业监控
由于物联网技术基于无线通信技术,传感器网络技术和射频识别技术等多种访问技术,因此它可以将环境中的大量数据和电子设备互连以形成大规模的虚拟网络,并将其应用于工业环境监控与防护中
利用相关传感器,或者其它设备对工业生产当中的相关数据进行的测量和监控之类,然后进行控制
工业控制安全:
针对工业控制系统的攻击将导致严重的后果。工业4.0驱动制造业、过程控制、基础设施、其它工业控制系统的连通性,对于这些系统的威胁不断上升
23.Hash&salted password Hash
单向函数
正向计算容易,反向极其困难
单向哈希(散列)函数
把任意长度的输入值通过哈希函数,变换成固定长度的输出值,该输出值就是哈希值
哈希值通常远小于输入值,所以经常被称为消息摘要
不同的输入有可能出现相同的哈希值,但1很难找到
无法判断两个数据绝对相同,但准确率可以接受
哈希(散列)函数用途
完整性校验
数字签名
保存密码数据
完整性校验
信息安全主要涉及数据的机密性(保密性)、完整性和可用性
机密性:保证没有权限的人无法查看数据
完整性:保证数据不被没有权限的人更改
可用性:数据可以被有权限的人使用
数字签名
原理同手写签名或盖章
配合非对称加密一同使用
保存密码数据
用于网页用户登录系统
如何保护用户的密码?
存放账号信息的数据库经常成为入侵目标
无法避免网站遭受入侵,但可避免攻击者获取真实密码
为什么密码要进行哈希?
明文保存密码极不安全
数据库被攻破会泄露大量用户的真实密码信息
通常用户注册和认证的流程
用户注册一个账号
密码经过哈希处理后储存
当用户登录时,从数据库取出哈希值,和经过哈希的用户输入做对比
如果哈希值相同,用户获得登录入授权,否则告知用户名或密码错误(永远不要告诉用户到底是用户名错了,还是密码错了)
每当有用户尝试登录,以上两步都会重复
如何破解哈希加密
字典攻击和暴力攻击
破解哈希加密最简单的方法——去猜
对于字典攻击和暴力攻击没有办法完全阻止,但可以降低其效率,比如失败次数过多冻结其账户
查表法
预计算密码字典中的每个密码
把哈希值和对应的密码储存到一个用于快速查询的数据表中
反向查表法
需要构造一个基于密码-用户名的一对多的表
通常从已经被入侵的数据中获取
许多用户可能有着相同的密码
加盐哈希
为什么要采用加盐哈希
传统哈希法容易被使用查表法破解
传统哈希法-当两个用户密码相同,那么密码的哈希值也相同。导致破解速度越来越快。
加盐哈希会使破解任意一个密码的平均用时相等
根本目的就是增加破解时间
加盐哈希原理
加入盐值(随机数)使相同密码的哈希值不同
容易犯的错误-盐值太短 、盐值重复
加盐哈希正确的操作方法
盐值应该使用基于加密的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator – CSPRNG)来生成
每个用户每个密码的盐值都应该是独一无二的
用户注册和修改密码时都应该使用新的盐值进行加密
盐值要足够长以确保足够多的盐值
盐值要和密码哈希一起储存在数据库中
存储密码的步骤
使用CSPRNG生成一个长度足够的盐值
将盐值混入密码,并使用标准的加密哈希函数进行加密
把加盐哈希值与对应的用户名一起存入数据库
校验密码的步骤
从数据库取出用户名和对应的密码加盐哈希值
使用同样的哈希函数对用户新输入的密码进行加盐哈希处理
比较上一步的结果和数据库取出的哈希值是否相同,如果相同那么密码正确,反之密码错误
24.Poker Face
Poker Face 扑克脸
在牌类游戏中,拿到牌的人不动声色无面部表情,从而无法使人猜到你手里的牌怎么样
引申为永远不能让对手猜出你想的是什么
大智若愚
需要良好的心态做基础
25.感知层、网络层、应用层
感知层主要完成信息的收集与简单处理, 主要解决物联网全面感知的核心能力
全面感知,即利用RFID、传感器、GPS定位装置等随时随地获取物体的信息
网络层主要完成信息的远距离传输等功能;
可靠传递,通过各种网络与互联网的融合,将物体的信息准确地传递出去
应用层主要完成服务发现和服务呈现的工作
智能处理,利用云计算等各种智能计算技术,对海量数据和信息进行分析和处理,对物体实施智能化控制
26.勒索病毒
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
病毒攻击行为和结果
遭受病毒入侵的电脑,其文件被加密
更改桌面背景并弹出勒索软件界面
告知受害人发生了什么以及如何处理
该病毒分为蠕虫部分和勒索病毒部分
蠕虫病毒是一种常见的计算机病毒
一般通过网络和电子邮件进行传播,具有自我复制和传播迅速的特点
27.钓鱼网站
钓鱼网站是指一些不法人员通过模仿制作一些与正规企业网站,银行网站及交易平台网站非常类似的网站,模仿一些真实网站地址以及网站页面,或利用正规网站程序的一些漏洞在该网站某些页面中加入伪装的危险代码,通过用户输入来骗取用户银行或信用卡账号、密码等私人资料。钓鱼网站由于在网站制作中完全克隆或者模仿目标网站,因此这类网站与真实的网站界面几乎一模一样,导致用户不仔细分辨完全分辨不出来。
最常见的QQ空间钓鱼网站
扫描二维码登录更加安全
简单的识别方法
官方地址“qq.com”后一定紧跟“/”,不会存在其他符号;
假冒地址即使有“qq.com”,后面跟的一定不是“/”符号,而是其他符号,例如“.”或是字母等,请注意识别。
钓鱼网站
注意网址是否采用安全的链接方式(HTTPS)
28.数字威胁
现实中的大多数威胁同样会发生在网络安全中
盗窃, 欺诈,报复等
线上社区和线下社区很类似
游戏中互相抱怨、言语攻击等
朋友圈倒是相对比较和谐。你的是吗?
数字威胁并没有什么“创新”的破坏方式
数字威胁正在增长
物联网设备和应用正以指数级增长
目前的物联网设备安全性很差甚至没有安全性
云系统是个很不错的目标(攻击多个系统和一个的方法一样)
数字威胁的特点
分布广泛
传播迅速
较难跟踪、抓捕和判其有罪
破坏性大
为什么会有这些特点呢?
快速自动化
远距离操作
手法复制迅速
快速自动化
计算机擅长重复性的任务
有些攻击在现实世界中可能不会引起注意 。例如Salami攻击
电子搜索(数据挖掘技术)
网上个人信息很容易被搜索到
信息泄露、信息盗用等
远距离操作
攻击者不需要在目标附近
国际联合的互联网犯罪调查机制还不完善
互联网上的国际性法律目前还不存在
现实世界中的手法复制
现实中商业公司可能不会在乎某个人破解了他们的实体产品
假硬币(例如公交车投币)
改装电表、水表、燃气表
破解饮料机
这些都是可以控制的
没什么大不了的
网络世界中的手法复制
程序自身复制速度相当快
复杂的破解方法可以通过网络发布
任何人可以通过下载现成的软件实现破解
传播速度快、范围广
BT下载
29.代理服务器
代理服务器(Proxy Server)
只用于代理、隐藏IP
突破地域限制、IP限制浏览
没有数据加密功能
包含 HTTP 代理和 SOCKS 代理
属于应用程序层面,可以针对某个程序设置是否代理
HTTP 代理只负责网页数据,速度较快
Socks 代理支持 TCP 和 UDP,针对程序,速度相对 HTTP 代理慢
更新 Android SDK 就可以使用 HTTP 代理
解决原地址无法访问的问题
有很多高校提供代理服务,速度很快
30.DNS劫持
1.DNS就是把域名和IP地址联系在一起的服务,有了DNS服务器,你就不用输入IP地址来访问一个网站,可以通过输入网址访问。
2.利用DNS劫持,即便访问的是正确的网银或购物网站网址,也会进入假冒的钓鱼网站
Domain Name System 域名系统
它将域名和IP地址相互映射,使人们直接通过域名访问网站
一、什么是DNS?
DNS,全称Domain Name System,即域名解析系统。每台计算机必须通过域名解析,才能访问互联网。
二、什么是DNS劫持?
DNS劫持又被称为:域名劫持。是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址
三、DNS被劫持后的表现
1、打开一个正常的网站,电脑的右下角回莫名其妙的弹出一些小广告;
2、打开一个下载链接,并不是自己所需要的东西;
3、浏览器输入一个网址后回车网页跳转到其他网址的页面;
Internet Service Provider (ISP) 同样会进行DNS劫持
联通、电信、移动等都属于ISP
一般应对方法: 手动更改DNS服务器地址
31.黑白盒测试
白盒测试也称为结构测试,主要用于检测软件编码过程中的错误。程序员的编程经验、对编程软件的掌握程度、工作状态等因素都会影响到编程质量,导致代码错误。
黑盒测试又称为功能测试,主要检测软件的每一个功能是否能够正常使用。在测试过程中,将程序看成不能打开的黑盒子,不考虑程序内部结构和特性的基础上通过程序接口进行测试,检查程序功能是否按照设计需求以及说明书的规定能够正常打开使用。
32.Bitcoin
一种程序员开发的数字货币,一个币值40万人民币,等于900克黄金价格,总市值超过71000亿人民币!
比特币的发明
源于两位神人:哈耶克 和 中本聪
哈耶克是诺贝尔经济学奖得主,出了《货币的非国家化》
比特币是什么
一个全新的支付系统和一种完全数字化的货币
第一个去中心化的对等支付网络
至今在全球拥有数千万用户,数万商家接受付款,市值超过7万亿人民币的货币系统
比特币是是如何运行的?
去中心化账本
用户在电脑上运行比特币客户端,形成一个节点
大量节点互相连接,形成一个P2P(点对点)的网络
区块链技术
区块和区块链
以区块为单位同步交易数据
打包区块的奖励
挖矿
本质是对区块打包权(全网唯一记账权)的竞争
节点打包实际上是做哈希运算
为保证唯一性,使用类似“掷筛子”的方法争夺打包权
为保证唯一性,使用类似“掷筛子”的方法争夺打包权
比特币总量恒定,产量越来越少的方式也和黄金相似
挖矿设备的演变
最早采用CPU,单个每秒100万次哈希运算
后来采用GPU,速度是CPU的百倍
挖矿规则会随着挖矿速度而不断增加,保证每10分钟打包一次
矿机越来越先进,目前主流是ASIC矿机
区块链技术特点
去中心化
去信任化
集体维护
可靠数据库
比特币是是如何运行的?
钱包和地址
验证交易
比特币有什么用?
比特币的价值来源于其用途
支付汇款(支付手续费低)
全球支付
信息公开
交易双方身份是隐匿的,但交易本身是公开透明的
任一比特币地址的余额和历史交易都是公开的
去中心化服务
资金公开
博彩网站利用比特币证明其资金实力雄厚
在线博彩
暗网黑市
使用网银等实名账户容易被执法部门查获
比特币的隐匿性成为暗网黑市的最爱支付方式
暗网黑市交易也成为比特币支付的刚需
勒索敲诈
比特币付款是不可逆的,警方无法像银行那样冻结资金
比特币成为网络犯罪分子最爱的支付方式
隐匿资产
通过收货地址无法找出所有者
所有人只需记住自己的私钥
比特币崛起
总量恒定
坚不可摧
交易隐蔽
比特币交易全网公开,但谁也不知道对应的真人是谁
区块链技术
在物联网环境中,所有日常家居物件都能自发、自动地与其他物件、或外界世界进行互动,但是必须解决设备之间的信任问题
传统的中心化系统中,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中的设备众多,会对可信的第三方造成很大的压力
区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系,也被称为“拜占庭将军问题”
33.请简要叙述物联网技术的发展前景并举例说明
物联网是一个行业,而不是一个专业
物联网的发展前景很广阔
智慧家居,智慧城市,智慧医疗,车联网等等
34.请简要说明密码和个人识别码(PIN)的区别
1.密码不要求必须是数字,个人识别码必须是数字
2.特点不同。PIN码:是保护SIM卡的一种安全措施,防止别人盗用SIM卡,如果启用了开机PIN码,那么每次开机后就要输入答4到8位数PIN码。服务密码:用于业务查询类和部分业务受理类,对涉及交易性质的业务受理项目,除了要提供服务密码外,还必须提供有效证件方能办理。
3.规则不同。PIN码:在输入三次PIN码错误时,手机便会自动锁卡,并提示输入PUK码解锁,需要使专用服务密码拨打运营商客服热线。服务密码:运营商对服务密码的防盗取有着严密措施,用户登录网上营业厅、在实体网点办理业务,均有短信告知。
35.孙子兵法中有“知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆。”请问这个思想如何应用到信息安全中?请举例说明
我们需要知道:
谁 要攻击我们的系统
为什么 要攻击我们的系统
如何 攻击我们的系统
36.深网·暗网
互联网中的很大一部分无法通过常规的搜索引擎和浏览器访问到,这就是深网,它的体量比我们熟知的互联网要大上500倍
暗网是深网的一个特定部分,比深网小得多
TOR洋葱浏览器
物联网安全期末知识点总结相关推荐
- 2020秋季《大数据与物联网》期末答案参考
2020秋季<大数据与物联网>期末答案参考 说明: 答案为截图版: 开了护眼模式,光线偏弱,仔细看题: 来源于公众号查找,准确率不详(才做完看不到对错),选择题排列顺序随机,要看选项内容. ...
- 操作系统期末知识点总结
操作系统期末知识点总结 根据本校老师所画重点总结,请自行对应你们的重点食用^ ^ 第一章 *1.1OS是什么?********OS的作用是什么?* 操作系统是配置在计算机硬件上的第一层软件,负责计算机 ...
- 《信号分析与处理》期末复习题库整理(题目+手写知识点+答案+期末知识点精细)
文章目录 一.傅里叶变换.s域变换.z域变换(待:整理一些常用以及方程变换) 傅里叶变换 s域变换 z域变换 二.试卷 一.选择题 1 2 3 4 5 6 7 8 ==9== 10 11 12 13 ...
- 复变函数与积分变换 期末知识点总结(Jeff自我感悟)
复变函数与积分变换 期末知识点总结(Jeff自我感悟)
- 2020数字逻辑期末知识点总结
数字逻辑期末知识点总结 以下用A' 代替 A非 1.若ABCDE为最小项,则它的逻辑相邻项有5个 解析:逻辑相邻项有:A' BCDE.AB' CDE.ABC' DE.ABCD' E.ABCDE' 2. ...
- 软件工程导论 期末知识点复习总结
title: 软件工程导论 期末知识点 复习 categories: 计算机专业课 tags: "软件工程" 软件工程知识点总结,仅仅为了期末考试.带*不重要了解一下即可,黑体重点 ...
- 计算机网络期末知识点总结
计算机网络期末知识点总结 第四章-网络层:数据面 4.1概述 4.2虚电路和数据报网络 4.3路由器工作原理 4.4网际协议:因特网中的转发和编址 第五章 网络层:控制面 5.1路由选择算法 5.2路 ...
- 北航研究生课程最优化方法期末知识点总结
期末考试之前把可能考的梳理了一下,没有期中之前的知识点.作者水平十分有限,上课全程挂机,作业答案都看不懂.勉强整理出知识点,希望能帮助到有缘人. 最优化期末知识点总结 半定规划是一个非光滑凸优化问题 ...
- DATA2001 期末知识点概括Week 2 - Week 12
DATA2001 期末知识点概括 文章目录 DATA2001 期末知识点概括 前言 Week 2 Data Cleaning and Exploration with Python 2.1 Level ...
最新文章
- [每周软件]:Cucumber:未完待续的原因
- C++ Primer 5th笔记(chap 14 重载运算和类型转换)函数调用运算符
- 编译faac错误分析
- wpf click事件在触摸屏上点击第一次没反应_你的PLC和你的触摸屏为什么总是通讯不上?...
- portainer 启动mysql_docker 安装portainer容器后,启动/Portainer 安装MySQL并开启远程访问...
- 动态规划——最长回文子串(Leetcode 5)
- 域对象的引用,ActionContext 和ServletActionContext类的使用
- 定制 cobbler TITLE 信息
- Java抽象类、接口和内部类
- 帮肋营销人员建立策略思考能力
- linux源码安装 rpm命令
- frame框架左右展开收缩(上下左右,其中左右可收缩)
- 更新maven卡在18不动_Android Studio maven-metadata.xml 卡着不动原因和解决方法
- Xenserver console界面无法查看虚拟机的信息
- 数字图像处理与应用——图像滤波技术
- 第5章-着色基础-5.4-锯齿和抗锯齿
- 秦九韶算法java程序_算法 秦九韶算法
- Qt Creator插件ToDo
- ArcGIS教程 - 4 GIS数据
- 微信公众号通过第三方平台完成授权