第一篇:信息安全技术基础--期末考点总结
4.信息安全就是只遭受病毒攻击,这种说法正确吗?
不正确,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
信息安全本身包括的范围很大,病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击,信息还存在偶然泄露等潜在威胁,所以上述说法不正确。5.网络安全问题主要是由黑客攻击造成的,这种说法正确吗?
不正确。谈到信息安全或者是网络安全,很多人自然而然地联想到黑客,实际上,黑客只是实施网络攻击或导致信息安全事件的一类主体,很多信息安全事件并非由黑客(包括内部人员或还称不上黑客的人)所为,同时也包括自然环境等因素带来的安全事件。补充:信息安全事件分类
有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件
3.信息系统的可靠性和可用性是一个概念吗?它们有什么区别?
不是。
信息安全的可靠性:保证信息系统为合法用户提供稳定、正确的信息服务。
信息安全的可用性:保证信息与信息系统可被授权者在需要的时候能够访问和使用。区别:可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。5.一个信息系统的可靠性可以从哪些方面度量?
可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。
7.为什么说信息安全防御应该是动态和可适应的?
信息安全防御包括(1)对系统风险进行人工和自动分析,给出全面细致的风险评估。(2)通过制订、评估、执行等步骤建立安全策略体系(3)在系统实施保护之后根据安全策略对信息系统实施监控和检测(4)对已知一个攻击(入侵)事件发生之后进行响应等操作
保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化,没有一种技术可以完全消除信息系统及网络的安全隐患,系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障,应该构建动态适应的、合理可行的主动防御,而且投资和技术上是可行的,而不应该是出现了问题再处理的被动应对。4.什么是PKI?“PKI是一个软件系统”这种说法是否正确?
PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施,是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。
正确。PKI是一个系统,包括技术、软硬件、人、政策法律、服务的逻辑组件,从实现和应用上看,PKI是支持基于数字证书应用的各个子系统的集合。5.为什么PKI可以有效解决公钥密码的技术应用?
PKI具有可信任的认证机构(授权中心),在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各个成员提供全部的安全服务。简单地说,PKI是通过权威机构签发数字证书、管理数字证书,通信实体使用数字证书的方法、过程和系统。
实现了PKI基础服务实现与应用分离,有效解决公钥使用者获得所需的有效的、正确的公钥问题。1.什么是安全协议?安全协议与传统的网络协议有何关系与区别?
答:安全协议是为了实现特定的安全目标,以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务。
网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合,它是面向计算机网络的,是计算机通信时采用的语言。网络协议使网络上各种设备能够相互交换信息。常见的协议有:TCP/IP协议等。网络协议是由三个要素组成:语义、语法、时序。人们形象地把这三个要素描述为:语义表示要做什么,语法表示要怎么做,时序表示做的顺序。
区别与联系:两者都是针对协议实体之间通信问题的协议,网络协议是使具备通信功能,安全协议旨在通信的同时,强调安全通信。
1.为什么说WLAN比有线网络更容易遭受网络攻击?
(1)有线网络中存在的网络安全威胁在WLAN中都存在。(2)WLAN固有的特点----开放的无线通信链路,使得网络安全问题更为突出,从而WLAN面临更多的安全隐患。例如:在两个无线设备间传输未加密的敏感数据,容易被截获并导致泄密。恶意实体更容易干扰合法用户的通信,更容易直接针对无线连接或设备实施拒绝服务攻击DoS,并坑你跟踪他们的行为。
11.如果让你来设计WLAN安全机制,请论述你将考虑的方面以及设计思路。
WLAN需要解决的问题(138):
01.访问控制。只有合法的实体才能够访问WLAN及其相关资源。02.链路保密通信。无线链路通信应该确保数据的保密性、完整性及数据源的可认证性。
基于上述需求,WLAN安全机制应该包括实体认证、链路加密和完整性保护、数据源认证等,此外应该考虑防止或降低无线设备遭受DoS攻击。
大致设计思路:采用基于密码技术的安全机制,借鉴全新的WLAN安全基础架构—健壮安全网络关联RSNA设计建立过程:
(1)基于IEEE 802.1X或预共享密钥PSK实现认证与密钥管理,建立RSNA。(2)在RSNA建立过程中,使用协议栈中一些相关标准协议,确保协议的安全性。(3)密钥管理协议部分:采用4次握手密钥协商协议—用于在STA与AP之间协商产生和更新共享临时密钥,以及密钥使用方法。(4)STA与AP之间相互认证之后,使用数据保密协议保护802.11数据帧。
6.若一个单位部署防火墙时,需要对外提供Web和E-mail服务,如何部署相关服务器? 答:部署过程如下图:
Web服务器FTP服务器Email服务器Internet屏蔽子网外部防火墙内部防火墙服务器内部网络
部署:在内部网与Internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网和屏蔽子网与Internet之间各设置一个屏蔽路由器(防火墙)。
这种防火墙部署也称为DMZ部署方式:提供至少3个网络接口:一个用于连接外部网络—通常是Internet,一个用于连接内部网络,一个用于连接提供对外服务的屏蔽子网。DMZ是一个安全系统与非安全系统之间的一个缓冲区,这个缓冲区位于企业内部网络和外部网络之间,放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。9.什么是入侵检测系统?如何分类?
答:入侵检测系统:通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。分类:主机型IDS、网络型IDS 主机型IDS:安装在服务器或PC机上的软件,监测到达主机的网络信息流 网络型IDS:一般配置在网络入口处或网络核心交换处,通过旁路技术监测网络上的信息流。10.网络入侵检测系统是如何工作的?
1)截获本地主机系统的网络数据,查找出针对本地系统的非法行为。2)扫描、监听本地磁盘文件操作,检查文件的操作状态和内容,对文件进行保护、恢复等。3)通过轮询等方式监听系统的进程及其参数,检查出非法进程。4)查询系统各种日志文件,报告非法的入侵者。
Internet防火墙Web/E-mail/FTP核心交换机网络IDS位置主机IDS位置办公大楼
15.入侵检测技术和蜜罐技术都是用于检测网络入侵行为的,它们有什么不同?
入侵检测系统是根据人定义的规则、模式阻止非授权访问或入侵网络资源的行为。其收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,其前提即已知非法访问规则和入侵方式,否则容易产生误判。
蜜罐(Honeypot)技术则是可以在不确定攻击者手段和方法前提下发现攻击。发现自身系统已知或未知的漏洞和弱点。它可以看成是一种诱导技术,目的是发现恶意攻击和入侵。蜜罐技术可以运行任何的操作系统和任意数量的服务,蜜罐上配置的服务决定了攻击者可用的损害和探测系统的媒介。
16.如果你是一个单位的网络安全管理员,如何规划部署网络安全产品?
答:安装安全的无线路由器(防火墙)、选择安全的路由器名字、定制密码、隐藏路由器名字、限制网络访问、选择一种安全的加密模式、考虑使用入侵检测系统或蜜罐等高级技术。
2.信息隐藏与传统数据加密有什么区别?信息隐藏过程中加入加密算法的优点是什么?
信息隐藏就是利用特定载体中具有随机特性的冗余部分,将有特别意义的或重要的信息嵌入其中掩饰其存在,嵌入的秘密信息称为隐藏信息,现代信息隐藏通常要把传输的秘密信息写到数字媒介中,如图像、声音、视频信号等,其目的在于将信息隐藏的足够好,以使非法用户在截获到媒介物时不会怀疑媒介中含有隐藏信息。
传统数据加密指通过加密算法和加密密钥将明文转变为密文,其目的是使明文信息不可见,它的核心是密码学。
优点:由于隐藏算法必须能够承受一定程度的人为攻击,保证隐藏信息不会破坏,所以信息隐藏中使用加密算法,增强了隐藏信息的抗攻击能力,更加有利于对信息的安全性保护,5.什么是数字水印?数字水印技术与信息隐藏技术有什么联系和区别?
数字水印是指嵌入在数字产品中的、不可见、不易移除的数字信号,可以是图像、符号、数字等一切可以作为标识和标记的信息,其目的是进行版权保护、所有权证明、指纹(追踪发布多份拷贝)和完整性保护等。
联系和区别:
信息隐藏与数字水印都是采用信息嵌入的方法,可以理解为信息隐藏的概念更大,但通常讲到的信息隐藏是隐秘和保护一些信息传递,而数字水印是提供版权证明和知识保护,二者目的不同。
8.如何对数字水印进行攻击?
从数字水印的2个主要性质:鲁棒性、不可见性入手。
基于攻击测试评价,分析数字水印的鲁棒性,结合使用峰值信噪比PSNR分析数字水印不可见性,使用低通滤波、添加噪声、去噪处理、量化、几何变换(缩放、旋转、平移、错切等)、一般图像处理(灰度直方图调整、对比度调整、平滑处理、锐化处理等)、剪切、JPEG压缩、小波压缩等方式综合完成数字水印进行攻击。9.RSA及公钥密码体制的安全基础:
RSA密码系统的安全性依赖两个数学问题:大数分解问题、RSA问题。由于目前尚无有效的算法解决这两个问题的假设,已知公钥解密RSA密文是不容易的。10.保密通信系统模型图
窃听者明文m加密(Encrypttion)密 文c=E k1(m)搭线信道公众信道解密(Decryption)明文m=Dk2(c)发送方加密密钥k1秘密信道解密密钥k2接收方
11.简述公钥密码体制在信息安全保护中的意义:
公钥加密系统中任何主体只拥有一对密钥—--私钥和公钥,公开其公钥,任何其他人在需要的时候使用接收方的公钥加密信息,接收方使用只有自己知道的私钥解密信息。这样,在N个人通信系统中,只需要N个密钥对即可,每个人一对。公钥加密的特点是公钥是公开的,这很好地解决了对称密码中密钥分发与管理问题。12.AES 由多轮操作组成,轮数由分组和密钥长度决定。AES在4×n字节的数组上操作,称为状态,其中n是密钥字节数除4。AES的数据结构:以字节为单位的方阵描述:输入分组in、中间数组State、输出分组out、密钥分组K。排列顺序:方阵中从上到下,从左到右
AES算法轮操作过程:
轮变换包括以下子步骤:
(1)字节替换:执行一个非线性替换操作,通过查表替换每个字节。(2)行移位:状态(矩阵)每一行以字节为单位循环移动若干个字节。(3)列混合:基于状态列的混合操作。
(4)轮密钥加:状态的每一个字节混合轮密钥。轮密钥也是由蜜月调度算法产生。需要注意的是,最后一轮(第10轮)操作与上述轮操作略有不同,不包括列混合操作,即只包括字节替换、行移位和密钥叠加操作。加密128比特明文轮密钥加主密钥Kw[0,3]密钥扩展128比特明文轮密钥加逆字节替换逆行移位逆列混合第9轮第10轮第1轮字节替换行移位列混合轮密钥加w[4,7]轮密钥加逆字节替换第9轮字节替换行移位列混合轮密钥加w[36,39]逆行移位逆列混合轮密钥加逆字节替换逆行移位w[40,43]轮密钥加128比特密文第1轮第10轮字节替换行移位轮密钥加128比特密文解密 13.简述PKI的功能:
PKI功能包括数字证书管理和基于数字证书的服务。
01.数字证书是PKI应用的核心,它是公钥载体,是主题身份和公钥绑定的凭证。因此,证书管理是PKI的核心工作,即CA负责完成证书的产生、发布、撤销、更新以及密钥管理工作,包括完成这些任务的策略、方法、手段、技术和过程。
02.PKI服务:PKI的主要任务是确立证书持有者可信赖的数字身份,通过将这些身份与密码机制相结合,提供认证、授权或数字签名等服务。当完善实施后,能够为敏感通信和交易提供一套信息安全保障,包括保密性、完整性、认证性和不可否认性等基本安全服务。
03.交叉认证。为了在PKI间建立信任关系,引入了“交叉认证”的概念,实现一个PKI域内用户可以验证另一个PKI域内的用户证书。
14.信息安全威胁主要来自人为攻击,其大致可分为主动攻击和被动攻击两大类型。15.现代密码系统按其原理可分为两大类: 对称加密系统和 非对称加密系统。16.安全的定义 只有相对的安全,没有绝对的安全。安全的意义在于保护信息安全所需的代价与信息本身价值的对比,因此信息安全保护是一种效能的折衷。可将信息系统的安全性定义为以下三种:
01.理论安全性:即使具有无限计算资源,也无法破译。
02.可证明安全性:从理论上可以证明破译一个密码系统的代价/困难性不低于求解某个已知的数学难题。03.计算安全性:使用已知的最好算法和利用现有的最大的计算资源仍然不可能在合理的时间完成破译一个密码系统。
3种又可区分为理论安全性和实际安全性两个层次,其中实际安全性又包括两个层次:可证明安全性和 计算安全性。16.1如何攻击密码系统?
惟密文攻击:破译者已知的东西只有两样:加密算法、待破译的密文。
已知明文攻击:破译者已知的东西包括加密算法和经密钥加密形成的一个或多个明-密文对,即知道一定数量的密文和对应的明文。
选择明文攻击:破译者除了知道加密算法外,他还可以选定明文消息,并可以知道该明文对应的加密密文。
选择密文攻击:破译者除了知道加密算法外,还包括他自己选定的密文和对应的、已解密的明文,即知道选择的密文和对应的明文。
选择文本攻击:是选择明文攻击与选择密文攻击的结合。破译者已知的东西包括:加密算法、破译者选择的明文消息和它对应的密文,以及破译者选择的猜测性密文和它对应的解密明文。
17.消息认证(如何主体的身份或消息的真实性?)
被认证的主体包括两类:
01.消息的发送实体,人或设备(实现技术,例如:数字签名)02.对消息自身的认证,顺序性、时间性、完整性(时间戳服务、消息标识等方法)由中国制定的无线网络安全国际标准是GB 15629.11;
公钥基础设施PKI通过 控制中心CA以签发 数字证书 的形式发布有效的实体公钥。18.网路安全协议:
应用层传输层网络层数据链路层物理层HTTPS, SSH, PGP, Kerberos,SETSSL, TLS, SOCK5IPSecPPP-PAP/CHAP,WEP物理层安全
18.1数字签名工作过程:
签名者私钥签名s摘要h(m)Hash消息m签名者消息m签名者公钥有效验证摘要h(m)Hash无效签名签名验证者 19.密码体制分类(根据密钥情况分类)
对称密钥密码体制:加密与解密使用相同密钥(单钥)优点(为什么使用对称密码加密消息呢?):加解密速度快、效率高、加密算法简单、易于实现,计算开销小。
缺点:密钥分发困难,即在通信双方共享的密钥一般需要带外传递,总之,通信双方最初的共享密钥必须通过安全的方式传递交换。对称加密密钥使用接受者 公钥,数字签名使用 发送者 的私钥。
公钥密码体制:加密与解密使用不同密钥(双钥)公、私钥成对出现,公钥加密、私钥解密。
20.对称密码体制分类
分组密码先将明文划分成若干等长的块——分组(如64b),然后再分别对每个分组进行加密,得到等长的密文分组;解密过程也类似。有些密码体制解密算法与加密算法完全一样,如DES。
序列密码是把明文以位或字节为单位进行加密,一般是与密钥进行混合(如异或)获得密文序列。也称流密码。
分组密码设计的两个思想 扩散:即将明文及密钥的影响尽可能迅速地散布到较多的输出密文中,典型操作就是“置换”。
混淆:目的在于使作用于明文的密钥和密文之间的关系复杂化,使得明文和密文、密文和密钥之间的统计相关性极小化,从而使统计分析攻击不能奏效。混淆通常采用“代换”操作。
公钥密码的算法就是一种陷门单向函数f 21.数字签名与消息加密组合方案
公钥(接收者)私钥(接收者)密钥加密解密密钥明文明文明文加密密文密文|签名摘要签名密文解密Hash摘要有效解密签名私钥(发送者)公钥(发送者)接收者验证无效Hash签名发送者 22.DES DES是一种分组密码算法,加密和解密使用相同的密钥。DES的分组长度为64比特位。使用64比特密钥(其中包括8比特奇偶校验位),密钥通过扩展后,经过16轮对明文分组的代换和置换。
DES工作过程:(1)初始置换及其逆置换(2)f函数(乘机变换)[扩展、密钥混合、替换、置换P ] DES的安全性分析:S盒是DES的核心,也是DES算法最敏感的部分,所有替换都是固定的,甚显神秘。许多密码学家曾担心NSA设计S盒时隐藏了某些陷门。DES算法具有很好的雪崩效应。64比特明文初始置换IP56比特密钥(去除奇偶校验位)置换PC128bits28bits<<<置换PC248bits32bits左循环移位K132bitsL0第1轮R0 <<
(1)最小化原则:受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要,仅被授予其访问信息的适当权限。
(2)分权制衡原则:每个授权主体只能拥有其中一部分权限,使它们之间相互制约、相互监督,共同保证信息系统的安全。
(3)安全隔离原则:将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
第二篇:信息安全技术总结
第1章 信息安全概述
1.广义的信息安全是指网络系统的硬件,软件及其系统中的信息受到保护.2.信息安全威胁从总体上可以分为人为因素的威胁和非人为因素的威胁。人为因素的威胁包括无意识的威胁和有意识的威胁。非人为因素的威胁包括自然灾害、系统故障和技术缺陷等。
3.信息安全不仅涉及技术问题,而且还涉及法律、政策和管理问题。信息安全事件与政治、经济、文化、法律和管理紧密相关。
4.网路不安全的根本原因是系统漏洞、协议的开放新和人为因素。人为因素包括黑客攻击、计算机犯罪和信息安全管理缺失。
5.保密性、完整性、可用性、可控性和不可否认性是从用户的角度提出的最基本的信息服务需求,也称为信息安全的基本特征。
6.ISO基于OSI参考互连模型提出了抽象的网络安全体系结构,定义了五大类安全服务(认证(鉴别))服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务、八大种安全机制(加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制和公证机制)和完整的安全管理标准。
7.信息安全既涉及高深的理论知识,又涉及工程应用实践。一个完整的信息安全保障体制系框架由管理体系、组织机构体系和技术体系组成。技术体系可划分为物理安全、网络安全、信息安全、应用安全和管理安全五个层次,全面揭示了信息安全研究的知识体系和工程实施方案框架。
第2章 信息保密技术
1.密码学的发展大致经历了手工加密阶段、机械加密阶段和计算机加密阶段。密码技术是现代信息安全的基础和核心技术,它不仅能够对信息加密,还能完成信息的完整性验证、数字签名和身份认证等功能。按加密密钥和解密密钥是否相同,密码体制可分为对称密码体制和非对称密码体制。对称密码体制又可分为序列密码和分组密码。2.移位密码、仿射密码、维基利亚密码和置换密码等是常用的古典密码案例,虽然在现代科技环境下已经过时,但它们包含的最基本的变换移位和代替在现代分组密码设计中仍然是最基本的变换。3.对称密码体制要求加密、解密双方拥有相同的密钥,其特点是加密速度快、软/硬件容易实现,通常用于传输数据的加密。常用的加密算法有DES、IDEA。对称密码算法根据加密分组间的关联方式一般分为4种:电子密码本(ECB)模式、密文链接(CBC)模式、密文反馈(CFB)模式和输出反馈(OFB)模式。4.非对称密码体制的加密密钥和解密密钥是不同的。非对称密码被用做加密时,使用接收者的公开密钥,接收方用自己的私有密钥解密;用做数字签名时,使用发送方(签名人)的私有密钥加密(或称为签名),接收方(或验证方)收到签名时使用发送方的公开密钥验证。常有的算法有RSA密码算法、Diffie-Hellman密钥交换算法、ELG amal加密算法等。5.加密可以用通信的三个不同层次来实现,即节点加密、链路加密和端到端加密。节点加密是指对源节点到目的节点之间传输的数据进行加密,不对报头加密;链路加密在数据链路层进行,是对相邻节点之间的链路上所传输的数据进行加密,在节点处,传输数据以文明形式存在,侧重于在通信链路上而不考虑信源和信宿;端到端加密是对源端用户到目的端用户的数据提供保护,传输数据在传输过程中始终以密文形式存在。
6.序列密码要求具有良好的伪随机特性。产生密钥流的常见方法有线性同余法、RC4、线性反馈移位寄存器(LFSR)、非线性反馈移位寄存器、有限自动机和混沌密码等。序列密码主要用于军事、外交和其他一些重要领域、公开的加密方案并不多。
7.加密算法:指将明文转换成密文的变换函数,表示为C=Ek(M).8.解密算法:指将密文转换为明文的变换函数,表示为M=DK(C).第3章 信息隐藏技术
1.信息隐藏是将秘密信息隐藏在另一非机密的载体信息中,通过公共信道进行传递。秘密信息引产后,攻击者无法判断载体信息中是否隐藏信息,也无法从载体信息中提取或去除所隐藏的秘密信息。信息隐藏研究的内容包括了隐写术(隐藏算法)、版权标识、隐通道和匿名通信等。
2.隐写术是指把秘密信息潜入到看起来普通的载体信息(尤其是多媒体信息)种,用于存储或通过公共网络进行通信的技术。古代隐写术包括技术性的隐写术、语言学中的隐写术和用于版权保护的隐写术。
3.信息隐藏的目的在于把机密信息隐藏域可以公开的信息载体之中。信息载体可以使任何一种多媒体数据,如音频、视频、图像,甚至文本数据等,被隐藏的机密信息也可以是任何形式。信息隐藏设计两个算法:信息潜入算法和信息提取算法。常见的信息隐藏算法有空间域算法和变换域算法。4.数字水印是在数字化的信息载体(指多媒体作品)中嵌入不明显的记号(包括作品的版权所有者和发行者等),其目的不是为了隐藏火传递这些信息,而是在发现盗版货发生知识产权纠纷时候,用来证明数字作品的真实性。被嵌入的标识与源数据紧密结合并隐藏其中,成为源数据不可分割的一部分,并可以经历一些不破坏资源数据的使用价值的操作而存活下来。
5.隐通道是指系统中利用那些本来不是用于通信的系统资源,绕过强制春去控制进行非法通信的一种机制。根据隐通道的形成,可分为存储隐通道和事件隐通道:根据隐通道是否存在噪音,可分为噪音隐通道和无噪音隐通道;根据隐通道所涉及的同步变量或信息的个数,可分为聚集隐通道和非聚集隐通道。隐通道的主要分析方法有信息流分析方法、非干扰分析方法和共享资源矩阵方法。6.匿名通信是指通过一定了的方法将业务流中的通信关系加以隐藏、使窃听者无法直接获知或退职双方的通信关系或通信双方身份的一种通信技术。匿名通信的重要目的就是隐藏通信双方的身份或通信关系,从而实现对网络用户各个人通信及涉密通信的更好的保护。
7.信息隐藏具有五个特性:安全性,鲁棒性,不可检测性,透明性,自恢复性.第4章 消息认证技术
1.用做消息认证的摘要函数具有单向性、抗碰撞性。单向函数的优良性质,使其成为公共密码、消息压缩的数学基础。
2.消息认证码指使用收、发双方共享的密钥K和长度可变的消息M,输出长度固定的函数值MAC,也称为密码校验和。MAC就是带密钥的消息摘要函数,或称为一种带密钥的数字指纹,它与普通摘要函数(Hash函数)是有本质区别的。3.消息完整性校验的一般准则是将实际的到的信息的数字指纹与原数字指纹进行比对。如果一致,则说明消息是完整的,否则,消息是不完整的。因产生数字指纹不要求具有可逆性,加密函数、摘要函数均可使用,且方法很多。4.MD5和SHA-1算法都是典型的Hash函数,MD5算法的输出长度是128 bit,SHA-1算法的输出长度是160 bit。从抗碰撞性的角度来讲,SHA-1算法更安全。为了抵抗生日攻击,通常建议消息摘要的长度至少应为128 bit。
第5章 密钥管理技术
1.密码系统中依据密钥的重要性可将密钥大体上分为会话密钥、密钥加密密钥和主密钥三大类。主密钥位于密钥层次的最高层,用于对密钥加密密钥、会话密钥或其他下层密钥的保护,一般存在于网络中心、主节点、主处理器中,通过物理或电子隔离的方式受到严格的保护。
2.密钥在大多数情况下用随机数生成器产生,但对具体的密码体制而言,密钥的选取有严格的限制。密钥一般需要保密存储。基于密钥的软保护指密钥先加密后存储。基于硬件的物理保护指密钥存储于与计算机隔离的智能卡、USB盘或其他存储设备中。3.密钥分为网外分配方式和网内分配方式。前者为人工分配,后者是通过计算机网络分配。密钥的分配分为秘密密钥的分配和公开密钥的分配。秘密密钥既可用加密办法由通信双方确定,又可使用KDC集中分配。公开密钥有广播式公开发布、建立公钥目录、带认证的密钥分配、使用数字证书分配等4种形式。
4.密钥共享方案可将主密钥分解为多个子密钥份额,由若干个人分别保管,这些保管的人至少要达到一定数量才能恢复这个共享密钥。基于密钥共享门限思想的会议密钥广播方案能够较好地解决网络通信中信息的多方安全传递问题。5.密钥托管允许授权者监听通信内容和解密密文,但这并不等于用户隐私完全失控,适当的技术手段在监管者和用户之间的权衡是值得研究的。
第6章 数字签名技术 1.判断电子数据真伪的依据是数字签名。数字签名其实就是通过一个单向函数对电子数据计算产生别人无法识别的数字串,这个数字串用来证明电子数据的来源是否真实,内容是否完整。数字签名可以解决电子数据的篡改、冒充、伪造和否认等问题。
2.本章介绍了三种数字签名方案,其中RSA数字签名的安全性是基于大整数因子分解的困难问题,Schnorr数字签名方案和DSA数字签名方案的安全性是基于素数域上离散对数求解的困难问题。其共性是签名过程一定用到签名人的私钥,验证过程一定用到签名人的公钥。
3.为适应特殊的应用需求,各种数字签名方案相继被提出,本章介绍了盲签名、代理签名、签名加密、多重签名、群签名和环签名等基本概念。
4.数字签名应用的公钥基础设施,称为PKI。目前,我国各省市几乎都建立了CA中心,专门为政府部门、企业、社会团体和个人用户提供加密和数字签名服务。
5.iSignature电子签章系统是一套基于Windows平台的应用软件,它可以对Word、Excel、Html文件进行数字签名,即加盖电子印章,只有合法用户才能使用。
第7章 物理安全
1.物理安全是针对计算机网络系统的硬件设施来说的,既包括计算机网络设备、设施、环境等存在的安全威胁,也包括在物理介质上数据存储和传输存在的安全问题。物理安全是计算机网络系统安全的基本保障,是信息安全的基础。2.环境安全是指对系统所在环境(如设备的运行环境需要适当的温度、湿度,尽量少的烟尘,不间断电源保障等)的安全保护。环境安全技术是指确保物理设备安全、可靠运行的技术、要求、措施和规范的总和,主要包括机房安全设计和机房环境安全措施。
3.广义的设备安全包括物理设备的防盗,防止自然灾害或设备本身原因导致的毁坏,防止电磁信息辐射导致的信息的泄漏,防止线路截获导致的信息的毁坏和篡改,抗电磁干扰和电源保护等措施。狭义的设备安全是指用物理手段保障计算机系统或网络系统安全的各种技术。常见的物理设备安全技术有访问控制技术、防复制技术、硬件防辐射技术以及通信线路安全技术。
第8章 操作系统安全
1.漏洞是指系统中存在的弱点或缺点,漏洞的产生主要是由于程序员不正确和不安全编程所引起的。按照漏洞的形成原因,漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。按照漏洞被人掌握的情况,漏洞又可以分为已知漏洞、未知漏洞和0day漏洞。
2.Windows系统的安全性根植于Windows系统的核心层,它为各层次提供一致的安全模型。Windows系统安全模型由登录流程(Login Process,LP)、本地安全授权(Local Security Authority,LSA)、安全帐号管理器(Security Account Manger,SAM)和安全引用监视器(Security Reference Monitor,SRM)组合而成。
3.Windows注册表是一个二进制数据库,在结构上有HKEY_LOCAL_MACHINE、HKEY_CURRENT_CONFIG、HKEY_CURRENT_USER、HKEY_CLASSES_ROOT、HKEY_USERS 5个子树。用户可以通过设定注册表编辑器的键值来保障系统的安全。
4.帐号是Windows网络中的一个重要组成部分,它控制用户对资源的访问。在Windows 2000中有两种主要的帐号类型: 域用户帐号和本地用户帐号。另外,Windows 2000 操作系统中还有内置的用户帐号。内置的用户帐号又分为Administrator 帐号和Guest帐号等。Administrator帐号被赋予在域中和计算机中,具有不受限制的权利。Guest帐号一般被用于在域中或计算机中没有固定帐号的用户临时访问域或计算机,该帐号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。
5.Windows系统的安全策略可以从物理安全.安装事项.管理策略设置方面来考虑.管理策略上有打开审核策略.开启账号策略,开启密码策略,停用Guest账号,限制不必要的用户数量.为系统Administrator账户改名.创建一个陷阱账户,关闭不必要的服务,关闭不必要的端口.设置目录和文件权限,关闭IPC和默认共享,禁止空连接,关闭默认共享等手段及备份数据,使用配置安全工具等.第9章 网络安全协议
1.由于TCP/IP协议在最初设计时是基于一种可信环境的,没有考虑安全性问题,因此它自身存在许多固有的安全缺陷。网络安全协议是为了增强现有TCP/IP网络的安全性而设计和制定的一系列规范和标准。
2.目前已经有众多的网络安全协议,根据TCP/IP分层模型相对应的主要的安全协议有应用层的S-HTTP、PGP,传输层的SSL、TLS,网络层的IPSec以及网络接口层的PPTP、L2TP等。
3.SSL协议是在传输层提供安全保护的协议。SSL协议可提供以下3种基本的安全功能服务: 信息机密、身份认证和信息完整。SSL协议不是一个单独的协议,而是两层协议,最主要的两个SSL子协议是SSL握手协议和SSL记录协议。SSL记录协议收到高层数据后,进行数据分段、压缩、认证、加密,形成SSL记录后送给传输层的TCP进行处理。SSL握手协议的目的是使客户端和服务器建立并保持用于安全通信的状态信息,如SSL 协议版本号、选择压缩方法和密码说明等。
4.IPSec协议由两部分组成,即安全协议部分和密钥协商部分。安全协议部分定义了对通信的各种保护方式;密钥协商部分定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。安全协议部分包括AH和ESP两个安全协议,通过这两个协议为IP协议提供基于无连接的数据完整性和数据机密性,加强IP协议的安全性。密钥协商部分主要是因特网密钥交换协议(IKE),其用于动态建立安全关联(SA),为IPSec的AH 和ESP协议提供密钥交换管理和安全关联管理,同时也为ISAKMP提供密钥管理和安全管理。
第10章 应用层安全技术
1.应用系统的安全技术是指在应用层面上解决信息交换的机密性和完整性,防止在信息交换过程中数据被非法窃听和篡改的技术。2.随着用户对Web服务的依赖性增长,特别是电子商务、电子政务等一系列网络应用服务的快速增长,Web的安全性越来越重要。Web安全技术主要包括Web服务器安全技术、Web应用服务安全技术和Web浏览器安全技术。
3.电子邮件的安全问题备受人们关注,其安全目标包括邮件分发安全、邮件传输安全和邮件用户安全。
4.身份认证是保护信息系统安全的第一道防线,它限制非法用户访问网络资源。常用的身份认证方法包括口令、密钥、记忆卡、智能卡、USB Key和生物特征认证。
5.PKI是能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理的密钥管理平台,是目前网络安全建设的基础与核心。PKI由认证中心(CA)、证书库、密钥备份及恢复系统、证书作废处理系统和应用接口等部分组成。
第11章 网络攻击技术
1.网络攻击的过程分为三个阶段: 信息收集、攻击实施、隐身巩固。
2.信息收集是指通过各种方式获取所需要的信息。网络攻击的信息收集技术主要有网络踩点、网络扫描和网络监听。踩点就是攻击者通过各种途径对所要攻击的目标进行多方面的调查和了解,摸清楚对方最薄弱的环节和守卫最松散的时刻,为下一步入侵提供良好的策略。网络扫描是一种自动检测远程或本地主机安全脆弱点的技术。网络监听是一种监视网络状况、监测网络中数据的技术。3.攻击实施是网络攻击的第二阶段。常见的攻击实施技术有社会工程学攻击、口令攻击、漏洞攻击、欺骗攻击、拒绝服务攻击等。所谓“社会工程学攻击”,就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。4.隐身巩固是网络攻击的第三阶段。网络隐身技术是网络攻击者保护自身安全的手段,而巩固技术则是为了长期占领攻击战果所做的工作。
第12章 网络防御技术
1.网络防御技术分为两大类: 被动防御技术和主动防御技术。被动防御技术是基于特定特征的、静态的、被动式的防御技术,主要有防火墙技术、漏洞扫描技术、入侵检测技术和病毒扫描技术等。主动防御技术是基于自学习和预测技术的主动式防御技术,主要有入侵防御技术、计算机取证技术、蜜罐技术和网络自生存技术等。
2.防火墙是指隔离在本地网络与外界网络之间的一道防御系统,其主要功能有: 限制他人进入内部网络,过滤掉不安全服务和非法用户;防止入侵者接近其他防御设施;限定用户访问特殊站点;为监视Internet的安全提供方便。3.入侵检测技术是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的技术。一个完整的入侵检测过程包括3个阶段: 信息收集、数据分析和入侵响应。
4.计算机取证也称数字取证、电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软、硬件技术,按照符合法律规范的方式,对能够为法庭接受的、足够可靠和有说服性的、存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交认证的过程。计算机取证技术主要包括计算机证据获取技术、计算机证据分析技术、计算机证据保存技术和计算机证据提交技术等。
5.蜜罐是一个资源,它的价值在于它会受到攻击或威胁,这意味着一个蜜罐希望受到探测、攻击和潜在地被利用。蜜罐并不修正任何问题,它们仅为我们提供额外的、有价值的信息。从应用层面上分,蜜罐可以分为产品型蜜罐和研究型蜜罐;从技术层面上分,蜜罐可以分为低交互蜜罐、中交互蜜罐和高交互蜜罐。
第13章 计算机病毒
1.计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。传染性是病毒的最基本的特征,此外病毒还具有破坏性、隐蔽性、潜伏性与可触发性、诱惑欺骗性等特性。
2.计算机病毒的感染动作受到触发机制的控制,病毒触发机制还控制了病毒的破坏动作。病毒程序一般由主控模块、感染模块、触发模块和破坏模块组成。其中主控模块在总体上控制病毒程序的运行,协调其他模块的运作。染毒程序运行时,首先运行的是病毒的主控模块。 3.计算机病毒从其发展来看分为4个阶段。早期病毒攻击的目标较单一,病毒传染目标以后的特征比较明显,病毒程序容易被人们分析和解剖。网络时代,病毒与黑客程序结合,传播速度非常快,破坏性更大,传播渠道更多,实时检测更困难。
4.引导型病毒和文件型病毒是典型的DOS时代的病毒,对它们工作机理的研究同样具有重要的意义.宏病毒不感染EXE和COM文件,它是利用Microsoft Word的开放性专门制作的具有病毒特点的宏的集合.宏病毒在1997年非常流行,并且该年成为“宏病毒年”,网页脚本病毒和蠕虫病毒是随着网络的发展而发展起来的,它们往往和木马程序结合在一起侵入主机.5.反病毒技术因病毒的出现而出现.并且必将伴随着病毒的长期存在而长期存在下去.反病毒技术一般有特征值扫描技术.启发式分析技术,完整性验证技术.虚拟机技术,沙箱技术及计算机免疫技术,动态陷阱技术,软件模拟技术,数据挖掘技术,预先扫描技术和安全操作系统技术等.第14章 信息安全法律与法规
1.计算机犯罪是指非法侵入受国家保护的重要计算机信息系统及破坏计算机信息系统并造成严重后果的应受刑法处罚的危害社会的行为。计算机犯罪是一种新的社会犯罪现象,其犯罪技术具有专业性、犯罪手段具有隐蔽性、犯罪后果具有严重的危害性、犯罪空间具有广泛性、犯罪类型具有新颖性、犯罪惩处具有困难性等明显特点。
2.信息安全法律法规在信息时代起着重要的作用。它保护国家信息主权和社会公共利益;规范信息主体的信息活动;保护信息主体的信息权利;协调和解决信息社会产生的矛盾;打击和惩治信息空间的违法行为。
3.从国外来看,信息安全立法的历程也不久远。美国1966年颁布的《联邦计算机系统保护法案》首次将计算机系统纳入法律的保护范畴。1987年颁布的《计算机安全法》是美国关于计算机安全的根本大法。我国1994年2月颁布了《计算机信息系统安全保护条例》,该条例是我国历史上第一个规范计算机信息系统安全管理、惩治侵害计算机安全的违法犯罪的法规,在我国信息安全立法史上具有非常重要的意义。
4.我国在1997年修改《刑法》后,专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪等。
第15章 信息安全解决方案
1.安全体系结构理论与技术主要包括: 安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则的系统的研制(比如安全操作系统、安全数据库系统等)。
2.网络安全研究内容包括网络安全整体解决方案的设计与分析以及网络安全产品的研发等。目前,在市场上比较流行的安全产品有防火墙、安全路由器、虚拟专用网(VPN)、安全服务器、PKI、用户认证产品、安全管理中心、入侵检测系统(IDS)、安全数据库、安全操作系统等。
3.网络安全需求包括物理安全需求、访问控制需求、加密需求与CA系统构建、入侵检测系统需求、安全风险评估系统需求、防病毒系统需求、漏洞扫描需求、电磁泄漏防护需求。网络威胁一般包含边界网络设备安全威胁、信息基础安全平台威胁、内部网络的失误操作行为、源自内部网络的恶意攻击与破坏和网络病毒威胁等。
4.根据网络系统的实际安全需求,结合网络安全体系模型,一般采用防火墙、入侵检测、漏洞扫描、防病毒、VPN、物理隔离等网络安全防护措施。
第三篇:信息安全考点总结
关于QQ、网银、大师、360等讨论题,你们有谁整理出答案来了 hmac是用hash函数做mac的技术 就是分解n啊,不分解n比分解n更难
大家都知道溢出现象一不小心就会发生,所以微软和VC做了预先准备,在临时变量之间设置了缓冲隔离带,万一有溢出,尽可能避免影响到别人,也尽早尽量发现,在debug模式下才有此举,在release模式下隔离带就没有饿了。缓冲区: 网银安全;
1、Ssl加密,https
2、输入银行账号和密码时的控件:特殊机制
3、对抗口令监听的软件(硬件对抗不了)
4、开通网银时的那句话来鉴别这不是钓鱼网
5、手机交易吗
6、U盾
7、有没有可能网站不存口令
8若是不可能,存了口令,认证期间不要在网上传,传的时候hash一下,传hash值,用随机数挑战,随机数和口令hash。
9、网银ssl加密后给服务器
Qq 登陆方面。
重新设你的密保,复杂一点的,QQ密码 也复杂一点,QQ盗号从单纯的“偷窥”、“键盘钩子”木马、“屏幕快照”木马,到聊天记录监视和“网络钓鱼”
输入账号密码的时候可能网吧里面就双黑色的眼睛正盯着你的键盘可能电脑里面还有你看不到的“眼睛”也监控着你的键盘,然后把获取的账号信息发送出去,而这类木马占了QQ盗号木马的99%以上。
将账号密码加密,QQ账号密码信息本地存放,无须注册。不用注册的方式比较安全,不用担心信息在传递过程中出现问题 在加密通道中输入QQ账号密码后自动删除所有临时信息 注意电脑系统的清洁 检测键盘钩子程序和木马
以及打开的qq是不是按照目录下的qq.exe 聊天时可以进行身份认证
确定和你聊天的确实是那个人 所以现在比较高级的就是用二维码登陆⊙.⊙ 手机确认一下
使用qq交换文件的话,服务器会不会有记录? QQ加密外挂 Pkcs5 密钥分发: 1,公钥
CA 2:对称密钥
diffie hellman 文件加密的惨剧: 360加密: 无纸化办公: 单表统计规律: 文件共享
密码学和网络信息安全能帮助我们干什么 通信安全 偷听和保密
分组网络的存储-转发 假冒和抵赖 无纸化支持 办公和电子商务活动 签章、支付安全和抵赖问题 数字签名 系统安全 漏洞、病毒等问题 系统访问安全体现
恶意代码
病毒、木马、攻击程序 数据驱动 黑客
攻击破坏(漏洞,引诱)未授权使用 系统和软件漏洞 NOS 系统软件
系统安全手段
硬件、NOS、系统软件 防火墙 软件、硬件 身份认证 访问控制和授权 kerberos 审计/入侵检测 LOG,IDS 网络管理员 关于签名 手写签名 数字签名
纸版文件 数字文件 手写签名 数字小文件 同一页纸 如何绑定 必须的特性:
不可伪造 不可重用 不可改变 不可抵赖
四种技术手段 加密
鉴别/数字签名 身份
消息来源和真实性 防抵赖 签名和验证 完整性 校验 网络安全模型 系统安全
病毒、木马、漏洞、黑客、攻击等 防火墙、信息过滤和入侵监测等 传输安全 加密防信息泄密
鉴别和认证:消息来源、身份核认、防抵赖等 完整性 * 密码学
加密算法、鉴别和签名算法、安全协议等 * 安全系统
互操作、部署、运行、监控等 密码分析学
目标:恢复密钥或明文 唯密文攻击 只有一些密文 已知明文攻击
知道一些过去的(明文及其密文)作参考和启发 选择密文攻击
有一台解密机(能解密选择的密文)选择明文攻击
缴获有一台加密机(还能加密选择的明文)
Feistel参数特性 分组大小 密钥大小 循环次数
一般仅几轮是不够的,得十几轮才好,如16轮 子钥产生算法 越复杂越好 轮函数Round 关键 其他考虑
速度(尤其是软件实现的速度)便于分析(使用简洁的结构)不是Feistel结构的 AES、IDEA
* 绝大数分组密码属于或类似Feistel结构 多轮
每轮有XOR(或能恢复的操作)轮函数 DES 参数
Feistel体制分组密码
分组大小 64bit,密钥大小 56bit,轮数 16轮 S-Boxes
对DES的争议集中在 密钥空间太小
Key space 从Lucifer的2^128降到DES的2^56 DES Challenge III, 22 hours 15 minutes S盒 S-Boxes S盒的设计准则?
陷门? trapdoors by NSA(?)“Form surprise to suspicion”
从惊喜(甚至能够抵御很后来才发现的各种攻击)到怀疑(n年前就如此厉害的NSA现在究竟有多厉害)DES总结
DES算法对个人用户仍值得信赖 DES算法本身没有大的缺陷 对DES攻击方法复杂度为2^47 DES使用的2^56密钥空间不够大,蛮力攻击目前已能够奏效(DES Challenges III),所以关键场合不能使用了 DES已经不再是推荐标准
DES还是AES,或者RC4、RC5、IDEA、BF Free/Open DES模块仍广泛存在 保护和延续DES投资 对DES的改造
使用现存的软件硬件在强度上提高
AES(=Rijndael)算法
基本参数
分组大小128bits,被分为4组×4字节处理 密钥典型128、192、256bits 非Feistel结构 设计出发点
安全,抵抗已知的攻击方法
代码紧凑,速度够快,适合软硬件实现 结构简单/简明/简 对称算法的应用: 7.1 密码功能的设置
7.2 传输保密性
7.3 密钥分配
7.4 随机数
↓ ↓ ↓
7.a 案例分析
随机数的用途
用做会话密钥 [需保密] 用来产生公钥 [需保密] 如产生RSA密钥时素数p和q 鉴别方案中用来避免重放攻击 nonce [不需保密] 每次使用不同的随机数
很多挑战-应答协议里的挑战值 [不需保密] salt in /etc/passwd etc [不需保密] *
非对称算法
密钥:K =(Kd,Ke)
加密:E(P,Ke)= C 解密:D(C,Kd)= P 要求:从Ke
Kd 安全不仅依赖于密钥的保密,也依赖于随机数的质量
Kd 称为私钥,Ke 称为公钥
公钥加密算法: 加密(如果有人要给该用户A发送消息P)
他先获得该用户的公开钥Ke
加密
传输
解密
D(C,Kd)=P
C = E(P,Ke)
除非拥有Kd,象该用户A,否则不能解开
RSA算法参数建立: 找素数
选取两个512bit的随机素数p,q 计算模n 和Euler 函数φ(n)n =pq φ(n)=(p-1)(q-1)找ed≡1 mod φ(n)选取数e,用扩展Euclid 算法求数d 发布
发布(e,n),这是公钥ke d 保密,(d, n)是私钥 kd
RSA加解密:
加密
明文分组m 做为整数须小于n
解密
m = cd mod n RSA的正确性 证明
依据Euler 定理,在mod n 的含义下
cd=(me)d=med
c = me mod n
mod n
=mkφ(n)+1
mod n
=(mφ(n))km1
mod n =m
mod n // 据Euler定理
RSA计算实例:
选p=7,q=17 则n=pq=119 且φ(n)=(p-1)(q-1)=6×16=96 取e=5 则d=77(5×77 =385 =4×96 +1≡1 mod 96)公钥(5,119),私钥(77,119)
加密m =19 则c =me mod n= 195 mod 119 = 66 mod 119
解密c =66 m =cd mod n = 6677mod 119 =19 mod 119 程序功能:
用p和q为素数,则n=pq且f(n)=(p-1)(q-1)e为加密指数,则求得解密指数d满足ed=1 mod f(n)加密明文x,则得密文y=x^e mod n 解密密文y,则得解密明文x2=y^d mod n 注意:e必须和fn互素 用法:pqex
e 和(p-1)(q-1)互素
x 小于pq 模幂乘:
97221 % 2003
(都在模2003意义下)
972
21= 97128+64+16+8+4+1
= 97128 9764 9716 978 974 971
依次计算971、972、974、978、一直平方下去即可,并保持模2003 如果某次方在1 式出现,则累乘
累积开始是1 *
乘法次数O(log2Y)攻击RSA
9716… 97128 枚举
枚举所有可能明文m,用e加密和c比较 枚举所有可能的私钥d(已知明文)
数学方法
分解n=pq,就可以计算φ(n),就可从e 求得d
不分解n,而直接求φ(n),再求d
不求φ(n),直接求d
对RSA的理解
形式简单,易于理解,研究深入支持广泛 既能用来加密,可以用来加密回话密钥,又可签名
它的对称性使它可以可以用来加/解密,同时也可以用来做签名/验证。
安全性的模糊(疑为等价于因子分解的难度)随机素数产生并不容易
运算量大,速度受局限,尤其在嵌入式设备中 对称短发和公钥算法的比较 安全性 速度
典型相差1000倍
密钥管理
对称算法需要额外安全信道
公钥:证书中心CA 混合密码体制
公钥算法用于签名和认证
用公钥算法传输会话密钥
用会话密钥/ 对称算法加密批量(bulk)数据
公钥算法太慢
公钥的分配方法:
临时索要公钥/自由的扩散/PGP的公钥环 2.公开的目录服务(在线方式)3.公钥授权(在线中心方式)4.通过证书中心CA(离线中心方式
公钥授权:在线中心 有在线中心帮助的公钥交换
A 以带时间戳的信息向中心请求B 的当前公钥
中心用私钥PRauth签署的消息回复A,包括:
原始请求和原始时间戳,B 的公钥PUb,A 用B 的公钥加密:将自己的身份IDa 和会话标识号N1包含在加密的消息里 B 也如法取得A 的公钥
B 用A 的公钥加密:N1 和N2 A 用B 的公钥加密N2,以最后确认会话
在线中心容易成为单点故障和性能瓶颈
Certificate Authentication
CA是受信任的权威机构,有一对公钥私钥。
每个用户自己产生一对公钥和私钥,并把公钥提交给CA申请证书。CA以某种可靠的方式核对申请人的身份及其公钥,并用自己的私钥“签发”证书。
证书主要内容:用户公钥,持有人和签发人的信息,用途,有效期间,签名等。
证书在需要通信时临时交换,并用CA的公钥验证。
有了经CA签名保证的用户公钥,则可进行下一步的身份验证和交换会话密钥等。
Diffie-Hellman密钥
目的:使两用户能安全的交换密码,以便在后续的通信中用改密码对消息加密
算法的有效性是建立在计算离散对数是很困难这件事的基础上 步骤
随机 交换y 算k 选取大素数q 和它的一个生成元g,这些参数公开 A选择随机数Xa,B选择随机数Xb
A 计算Ya =g^Xa mod q,B 计算Yb =g^Xb mod q
交换Ya,Yb
A 计算K =Yb^Xa mod q,B 计算K' =Ya^Xb mod q
事实上,K =K'
举例 q=97,g=5
A选Xa=36,B选Xb=58,则
Ya=5^36%97=50,Yb=5^58%97=44 交换50,44 A算K=44^36%97=75,B算K’=50^58%97=75 分析(别人怎么计算K?)
别人看到了Ya和Yb,但需要计算Xa或Xb,即要算离散对数 Ya=g^Xa mod q,或Yb=g^Xb mod q.b ElGamal加密 准备
1素数p,Zp*中本原元g,公开参数 2私钥a,公钥b=ga mod p 加密
1对明文1<=m<=p-1,选随机数k 2密文(c1, c2)c1=gk mod p, c2=mbk mod p 解密
1m=c2(c1a)-1=mbk((gk)a)-1
=m(ga)k(g-ka)
=m mod p C2和c1a 先求模再相处 ElGamal加密基于离散对数难题 缺点 需要随机数
密文长度加倍
背景循环群: 从Zp* 到EC 点加群
认证和加密不同。
消息认证是验证消息完整性的一种机制,能发现对消息的篡改或假冒。
使用对称算法可产生消息鉴别码MAC 使用公钥算法可对消息进行签名
身份认证是鉴别通信对方的身份是否属实。
Hash函数是一个单向的消息摘要函数,在产生MAC、签名中有重要用途。认证函数: 对称加密
2.公钥加密
3.消息认证码(MAC)
4.散列函数(Hash)
认证需要给密文添加结构特征 公钥加密认证方法:
A可以先使用自己的私钥加密消息(这是数字签名),再用B的公钥加密,这样可以提供认证。亦需要给明文消息添加结构特征 消息认证码mac
利用密钥来生成一个固定长度的短数据块,并将该数据附在消息之后(假定双方共享密钥)
发送方利用密钥从明文产生一个固定长度的短数据块(MAC),和消息一起传输。
接收方考察是否一致,以判断MAC和/或消息是否被改动过。
MAC:CBC模式最后一个分组 MAC函数
计算明文M在密钥K的作用下的特征码 M || MAC(M, K)
验证时,判断明文M 和MAC 码是否一致
HMACK:带key的HASH函数
利用HASH函数从报文和密钥产生MAC码
先计算特征,再把特征加密的思想,或 直接把散列函数和Key结合得MAC
HMAC = HashKey(Message)
一种实现,比如
HMAC = Hash(Key || Message)HMACK的含义和用途 HASH函数定义:
对于任意给定的报文,产生固定长度的摘要信息是消息认证的一种变形,输入是大小可变的消息M,输出固定大小的散列码H(M),与MAC不同,HACH并不使用密钥,它仅是输入消息的函数,是所有消息位的函数。
Hash函数强调单向性和抗冲突特性
单向性质:给定h,要找x 使H(x)=h 是困难的
弱抗碰撞特性:
对于给定的y,找x,使H(x)=H(y)是困难的
强抗碰撞特性(生日攻击):
* 如果碰撞则意味着数字签名容易被伪造/欺骗 Hash函数的用途总结下先
Hash函数的用途总结下先 给明文增加结构特征以保护密文 产生MAC码(HMAC)找x 和y,使H(x)=H(y)是困难的 数字签名前HASH代表参与 从口令衍生密钥 挑战-应答认证协议中 也用来产生随机数 PKCS5用口令到K
数字签名:
是一种认证机制,使得消息的产生者可以添加一个起签名作用的码字。通过计算消息的散列值并用产生者的私钥加密散列值来生成签名。签名保证了消息的来源个完整性。
两种模式: 1私钥签名:
输入
报文明文、私钥
m^d = s 输出
报文明文、报文密文(签名)
(m, s)
验证
不可伪造 不可改变
2散列签名 讨论
s^e =? M 私钥(其实是公钥)的管理: 和身份绑定、更新等 签名过程太慢: 启用散列函数
改进
对报文的散列值用私钥加密得到和n 等宽的签名值
使用证书的鉴别过程:例如ssl A要和B通信,A要弄清楚B是否是他所期望的真的B
A->B:A向B请求证书 A<-B:B的证书
A
:A检查B的证书是否是A所信任的中心签发的 A->B:A给B一个随机报文,让B签个名来看看 B
:B签名,在签名之前可施加自己的影响成分 A<-B:B的签名
A
:检验是否通过了B的证书里的公钥的验证
第四篇:国际技术贸易期末考点
一、单选10×2
二、多选5×2
三、简答2×10
四、计算3×10
五、案例1×20
客观题
1、技术的分类
(1)按技术形态划分:软件技术和硬件技术
(2)按公开程度划分:公开技术、半公开技术和秘密技术
(3)按是否属于工业产权划分:工业产权技术和非工业产权技术(4)按技术的功能划分:产品技术、生产技术和管理技术(5)按技术水平划分:尖端技术、成熟技术和落后技术
2、知识产权的性质、类型
性质:
(1)客体的独特性。无形性、创造性、可复制性和可传播性(2)绝对性和支配性(3)法律授予性
(4)法律效力的时效性。地域性、时间性 类型:
《建立世界知识产权组织公约》:
1、与文学、艺术和科学作品有关的权利;
2、表演艺术家的演出、唱片和广播节目;
3、人类一切活动领域内的发明;
4、科学发现;
5、工业品外观设计;
6、商标、服务标记以及商业名称和标志;
7、制止不正当竞争的权利;
8、以及在工业、科学、文学或艺术领域里由于智力活动而产生的一切其他权利。《与贸易有关的知识产权协议》:
1、版权及相关权利;
2、商标;
3、地理标志;
4、工业品外观设计;
5、专利;
6、集成电路布图设计;
7、未披露信息的保护。
3、国际技术通行规则适用原则
选择性适用,对于国际组织制定的具有普遍性和非限制性的规则、通则以及长期实践中形成的习惯和做法,在国家法律没有明确规定的情况下,有关当事人有自愿选择适用的权利。一旦当事人确认并加以引用就对当事人有约束力。
强制性适用,凡以国家名义缔结或参加、加入的国际公约,该国际条约具有强制适用性,作为国际条约成员国的当事人应严格遵守。特别是国内法规定与国际公约有矛盾时,国际公约的效力高于国内法。
限制性适用,有两种适用的除外:一是国家在缔结或者参加国际条约时声明保留的条款;而是国家明令限制的。
4、可行性研究各阶段的任务
(一)机会研究(opportunity study)
指分析研究引进技术的可能性和鉴别投资机会。投资机会研究的精确度一般为70%。
①收集有关资料②进行行情分析③选择优势地区、优势行业和优势资源④选择适用技术、技术产品、引进方式和合作伙伴
(二)初步可行性研究(pre-feasibility study)
是机会研究认为可行的基础上对项目进行的估算和进一步论证,从中筛选出2—3个较优方案。初步可行性研究的精度要求达到80%。
①技术选择②市场需求③工程条件④社会因素⑤政治法律⑥资金筹措⑦粗略的经济分析
注:在我国编制项目建议书就相当于初步可行性研究。根据我国技术引进项目的审批程序,只有在项目建议书批准以后,才能进行详细可行性研究,同外商进行技术交流和非正式询价及初步洽谈,但在此阶段技术引进方不得签署任何对外承担义务的合同。
(三)详细可行性研究(detailed feasibility study)
是初步可行性研究的继续和深入,是在已获得批准的项目建议书的基础上,对项目的各要素进行认真、全面的调查和详细的预测分析,进行综合评价。详细可行性研究的精度一般应为90%。
1、市场分析——是决定项目实施与否的关键
2、技术分析
(1)技术的性质——资本密集还是劳动密集,技术所处的生命周期发展阶段;(2)技术的来源——国内采购还是从国外进口;
(3)技术的生产能力——主要考虑其产品的数量和质量;(4)获得技术的方式——许可贸易、购买或其他方式;(5)所需要的费用;
(6)设备应包括生产、辅助和服务设备以及备件和工具,应考虑设备的配套。
3、财务和经济分析
(四)编制评价报告(evaluation report)
即编制可行性研究报告,此报告应对项目的必要性、可行性和效应性三个方面全面论述。可行性研究报告的具体内容:(1)总说明
(2)承办企业的基本情况与条件(3)物料供应规划(4)厂址选择(5)技术与设备
(6)生产组织、劳动定员和人员培训计划(7)环境污染的防治(8)项目实施的综合计划(9)资金的概算和来源(10)经济分析
5、比价方法
(1)直观法(简易比较法)。是把各输出方的报价折算为同一基础进行比较。(2)类比法
①横向比较:与国际市场上类似价格进行比较 ②纵向比较:与历年类似转让价格进行比较
③直接比较:以同一技术输出方与其他引进方所确定的该项技术的价格进行比较 ④间接比较:与其他类似技术的价格进行比较 ⑤总体比较:同类项目之间总的规模效应的比较
⑥单体比较:把综合性项目分解成单一项目进行比较
(3)经济效益评价法。将输出方的报价与技术引进项目获利能力进行比较,测算引进费在引进方利润中所占份额的大小。
6、技术贸易合同的构成部分
一、合同首部
(一)合同名称
应标明许可的技术名称和许可的性质。
(二)合同号码
是识别合同的特定符号,标明技术许可方和被许可方的国别代号或公司代号、合同签订的年份和合同的序列。“1983CPIC002SR”
(三)签约日期
1、签约日期是履行审批程序的一个起算日期;
2、签约日期与合同适用法律有密切关系。
(四)签约地点
1、发生争议时是推定合同适用法律的依据之一;
2、有些国家征收印花税,也将签约地点作为征税的依据。
(五)当事人双方的法定名称和法定地址
二、序文
(一)说明当事人的职业背景
“鉴于许可方已在某国取得了**工艺方法的专利„„”
(二)说明许可方拥有的权利
“鉴于许可方是**工艺方法专利的持有者,并有权进行许可„„”
(三)说明被许可方的愿望
“鉴于被许可方希望利用许可方的工艺方法专利制造和销售产品,并在许可的地域内获得对该工艺方法专利的独占使用权”
(四)说明当事人双方的态度
“双方授权代表通过友好协商,同意就以下条款签订本合同”
三、合同主体
合同主体包括双方当事人权利、义务的各项具体规定,以条款的形式分别叙述,是整个合同的核心部分。共性条款之一:定义条款
四、合同尾部
(一)合同的生效
“本合同于*年*月*日在中国*市经双方代表签字确认,并需经双方政府批准,以最后批准一方的批准日期为本合同生效日期。彼此应以电传及时通知对方并用信件确认。”
(二)合同的有效期限
考虑合同有效期要注意的问题:
1、技术被许可方掌握所需要的时间
2、要考虑所转让技术的生命周期
3、工业产权技术的法律保护期限
4、注意法律、法规对合同有效期的规定
(三)合同的续展
合同续展需经原审批合同机关的批准
(四)合同的终止
(五)合同文字及签署
合同中必须明确合同正本应使用哪一国的文字;两种文本具有同等效力时,应注意翻译的正确性;要规定当两种文字发生矛盾时,以其中哪一种文字为准。
(六)合同附件
要对合同附件的地位予以明确“所有合同附件均为合同正文不可分割的组成部分,与合同正文具有同等法律效力。”
7、发明专利、实用新型专利
(1)实用新型保护客体范围小于发明(2)实用新型的创造性要求低于发明(3)实用新型专利的保护期短于发明
(4)实用新型专利的审批过程比发明专利简单
8、专利的性质
(1)发明人对专利发明的独占使用权;(2)取得了专利权的发明;
(3)表示某项专利的文件,如专利证书与专利说明书等。
9、专利权的含义和特点
含义:是以技术发明为对象,其所有人所依法享有的财产独占权,是一种具有财产性质的权利。专利权这种财产权与一般财产权不同,它是一种无形的财产权。
特点:(1)合法性;(2)排他性(专有性)①一个国家的专利机关对相同内容的技术发明只授予一项专利权②被授予专利权的单位或个人具有独占使用权;(3)地域性;(4)时间性;(5)实施性
10、专有技术的特点
(1)具有实用性
(2)是以保密为条件的事实上的独占权(3)具有可传授性和可转让性(4)具有非独占性(5)无时效性和地域性
11、专利和专有技术的区别和联系
(一)专有技术和专利的联系
①专有技术和专利都是非物质形态的知识,通常共处于实施一项技术所需的知识总体中,即实施一项技术仅有专利技术是不能完全实施的,必须同时具有专有技术,才能使一项技术得以顺利实施。
②在技术贸易中,一项技术转让合同往往同时包括专有技术与专利技术许可两项内容,他们相互依存,共同完成一项技术转让交易。
(二)专有技术和专利的区别 ①专有技术是不受专利法保护的;
②专有技术是保密的,而专利则是公开的; ③专有技术无地域性和保护期限
④专有技术可以通过文字、图样来表现,也可以是人们头脑中掌握的知识技能,而专利必须通过书面说明书来体现;
⑤专有技术的内容比专利广泛;
⑥专有技术的内容具有动态性,而专利技术的范围是固定的。
(三)专有技术未申请取得专利的原因
(1)不符合取得专利的条件(技术所有人不能取得专利权)
①不在主题范围;②不符合专利性:新颖性、创造性、实用性
(2)本可以取得专利,但因某些原因专有技术拥有人不员申请专利(技术所有人不愿申请专利)
①申请专利时有意保留;②发明人不申请专利
竞争对手难以仿制、竞争对手无法掌握、利益被侵犯时较难发现或较难制止、技术生命周期较短
(3)在某项发明申请取得专利实施过程中积累获得的补充技术(4)作为专有技术的管理技术和商务技术
12、商标的类型
(1)按商标使用的对象可分为商品商标和服务商标;
(2)按是否注册分为注册商标和未注册商标;(3)按商标使用的主体分为单个商标和集体商标;
(4)按商标的使用功能可分为联合商标、防御商标和证明商标;(5)按商标的知名度可分为普通商标和驰名商标;
(6)从商标的构成可分为文字商标、图形商标和组合商标。
13、商标权的特点
(1)独占性(2)时间性(3)地域性
14、计算机软件的类型
(一)系统软件。系统软件主要是通过操作系统控制计算机的内部功能,同时也监控如监视器、打印机和存储设备等外部设备。
(1)作业系统(2)翻译程序(3)连接程序(4)载入程序(5)公用程序(6)程序语言(7)资料库管理系统(8)监督程序
(二)应用软件。应用软件指挥计算机执行用户所给的命令,包括替用户处理数据的任何程序。
(三)网络软件。网络软件协调连接在网内的计算机之间的通信。
15、技术咨询或技术服务中委托方的责任
(1)委托方应依照合同约定为服务提供工作条件,完成配合事项。(2)委托方应接受工作成果并支付报酬。
(3)依合同约定,委托方还可能负有下列义务:技术培训合同的委托方不得擅自将要求保密的培训内容引用、发表和提供给第三方。技术辅助服务合同的委托方在验收时,如发现工作成果不符合合同要求和规定的技术指标,应当在约定的期限内及时通知对方返工或改进等。
16、我国成套设备引进过程中存在的问题
(一)重复引进
重复引进主要表现在时间上的重复引进和地域上的重复引进。
(二)重引进,轻消化
(三)引进来源过于集中
目前我国最主要的技术贸易伙伴仍然集中在欧盟、美国、日本和香港等地,一旦贸易伙伴对我国进行出口管制,将影响到我国产业技术及社会的全面发展。
(四)技术输出方的问题
①通过外商直接投资引进技术效果尚有待改进。
虽然利用外商直接投资已经成为我国技术引进的最主要方式,而且这一方式确实也满足了目前我国技术引进中的许多需要,但是这种引进方式仍有以下弊端:一是引进的技术整体水平不高,二是跨国公司技术转让与我国技术引进在动机上并不一致,三是跨国公司封锁核心技术的散播,四是投资产业仍以劳动密集型产业为主。②技术输出国的官方出口管制。目前,世界各国对我国都存在不同程度上的技术出口管制,尤其是美国对华出口持不信任态度,管制最为严格。这些管制政策都会阻碍我国对先进技术和关键设备的引进。
17、技术资本化的形式
(一)技术入股
是指不把技术作为商品出售,而是作为资金、实物一样的投资列入企业注册资金中,投资者与企业在合同规定的期限内共担风险、共享利润分成。技术入股是最常见的技术资本化方式。
(二)技术抵押
是指技术既不作为商品进行流通,也不作为技术投资和入股,而是在技术可以作为资本的前提下,以拥有先进技术作为财产保证,取得贷款或组建风险企业。
(三)补偿贸易 是在信贷基础上,一方向另一方输出技术,然后在一定时期用产品和双方商定的商品清偿贷款的一种贸易方式。实质是一种技术商品信贷关系。
18、从技术供方和技术购方看技术费的构成
(一)从供方角度考虑技术使用费的构成
1、技术转让的直接成本(Transfer Costs)
是指技术许可方为进行一项具体的技术许可交易而花费的实际费用,不包括技术开发成本。直接成本包括:(1)技术资料费用(2)技术服务费(3)谈判过程的差旅费和管理费(4)特别设计费(5)有关的法律费用(6)其他与执行技术合同相关费用
2、沉入成本(Sunk Costs)或开发成本
是指研究和开发这项技术的成本,包括所投入的人力、财力和物力。开发成本在确定技术使用费时一般只能分摊一部分的原因:
(1)技术开发者在自己使用新技术生产和销售时,开发费用已逐步分摊到产品上,并且还可以继续为其带来经济效益;
(2)技术的开发费用不能由其中的一个技术被许可方全部承担。
3、机会成本(Opportunity Costs)
是指技术许可方因为转让技术而失去在被许可方所在国或地区部分销售市场或其技术的再转让受到限制等而导致的利润损失。
技术许可方的机会成本包括:
(1)由于转让技术而使自己产品的市场份额缩小造成的损失;
(2)技术被许可方有可能对引进的技术进行发展和改进,从而缩短了原技术的寿命,从而给技术许可方造成的损失;
(3)如果技术被许可方限制技术许可方将技术再转让给第三方从而给技术许可方造成的损失;(4)技术在进行转让时,可能发生技术泄密而造成技术许可方的损失。
(二)从受方角度考虑技术使用费的构成
1、自主开发拟引进技术的成本
2、对使用新技术所产生的新增利润的估算(1)由于生产成本降低而产生的新增利润
(2)由于提高产品性能和质量导致售价提高而增加的利润(3)由于提高产品的年产量而增加的利润
19、技术使用费的支付方式
(1)总付(2)提成支付(3)入门费加提成支付
20、总付的特点
(1)技术使用费总额在合同生效后不能改变;
(2)技术受方未来利用引进技术的效果如何,与技术使用费金额无关。
21、限制性商业惯例的特点
(一)非法性
(二)限制性规定或行为具有隐蔽性
(三)限制性商业惯例受到法律法规的明确管制
(四)限制性商业惯例实施的主体是企业
(五)限制性商业惯例来源于垄断
22、税收管辖权的划分
(1)税收管辖权基本上属于技术或资本输出国——西欧诸国实行
(2)税收管辖权属于技术输入国,输出国放弃税收管辖权——法国等少数几个国家,且有条件(如纳税后全部收入要汇回本国)
(3)技术输出国和技术输入国共同行使税收管辖权(税收抵免法)——国际上普遍采用
23、双重征税的影响和解决办法
影响:
(一)双重征税阻碍了国际技术贸易的发展
(二)双重征税加重了被许可方的经济负担
(三)双重征税削弱了技术许可方的竞争力
(四)双重征税诱发了国际避税和国际逃税行为的发生 解决办法:
1、自然抵免(全额抵免)
在技术输出国和技术输入国的所得税率完全相同的情况下,技术输出国允许该进行跨国经营的居民把已经向输入国政府缴纳的所得税全额抵免,不再向技术输出国缴纳所得税。
2、申请抵免
当技术输出国所得税率高于技术输入国所得税率时,可申请抵免,经本国税务部门核准后可办理一次性抵免(一年一次)。
3、最高限额抵免
当技术输出国的所得税率比技术输入国的所得税率低时,该国居民向本国政府申请抵免的最高限额只能是其国外所得按本国税率计算的那一部分税款。
4、费用扣除法
是指跨国纳税人将其国外已缴纳的所得税作为已开支费用,从其总所得收入中扣除,汇回本国,按本国所得税率进行纳税。
24、包税条款
目前在经济合同的签订环节,缔约双方通常对交易行为应负担的税费进行书面约定,即由非纳税义人负担缴纳税款的情形的条款
简答
1、国际技术贸易的特点
(1)所有权的垄断性(2)技术信息的不对称性(3)交易价格的不确定性(4)技术价值的时效性
(5)涉及问题和法律的广泛性(6)政府干预程度的强硬性
2、许可方进行专利许可的原因有哪些
(1)专利权人为发明人个人时,往往缺乏实施的条件,只得通过专利许可让具备条件的企业去实施;(2)专利权人自己虽然有实施的能力,但由于产品市场广阔。单靠自己实施不能满足市场需求,因而希望在自己制造销售产品的同时,有更多人实施其专利,这样能使专利权人获得额外的使用费收入;(3)因生产经营领域不同,有些专利权人不打算自己直接实施其专利而希望许可他人实施;(4)专利权人想通过交叉许可与他人交换专利使用权,以取得和使用他人的专利。
3、国际技术服务的特点
(1)利用专门机构和专门人才,可以在更短时间内找到更好、更有成效的解决实际技术问题的建议和办法。同时,与依靠自己的人才和技术装备解决问题相比,节省大量投资和费用。
(2)技术服务中所提供的技术通常不是获得工业产权的专利技术和需要保密的专有技术,因而其所得报酬要比许可合同中的价格低。
(3)用技术服务解决本企业的问题,可不受本企业种种因素的影响,更加公正、客观地解决问题。(4)在各种技术服务活动中可以学到许多专门知识和技巧。
4、发展中国家管制限制性商业惯例的立法特点
(一)发展中国家制定针对性强的专门技术转让单行法规
(二)这些法律的管制程序更明确和具体
(三)在对限制性商业行为的界定上以列举方式为主
(四)采用发展标准认定限制性商业惯例
(五)设立专门的行政管理机构并赋予它一定的自主权
计算
1、比价
例1:某技术输出方A的报价为80万美元,分四年付清,每年年初支付20万美元;另一输出方B的报价采取入门费加提成的方法,先付入门费10万美元,其余按销售额提成,每年年末支付,预计每年提成金额为10万美元,提成年限与合同期相同。假定合同期(n)均为七年,年利率(i)为10%,试比较两者的报价。解:A的报价为:
n
i3124t0123总(1i)(1i)(1i)(1i)(1i)t0 2020202069.75(万美元)1.11.211.331B的报价为: n
i入门费t总(1i)t1 1010101010101058.66(万美元)101.11.211.3311.461.611.771.95 从报价来看,B公司的报价低一些。
例2:引进方和上例中的B公司谈判,假定引进方目前每年生产产品成本为10万美元,引进B公司技术后每年单位成本可降低5美元,如年产量10万件,每年可增加利润50万美元,B公司的报价是否合理呢?
解:技术输出方:每年可分得金额10万美元,输出方输出技术7年共可获得技术转让费(按现值)为58.69万美元。
技术引进方:每年可获得新增利润50万美元,7年共可获得(按现值)
n50 P总t(1i)t1PAAAAAPB
505050505050501.11.211.311.461.611.771.95243.(万美元)358.69/243.3=24.1%
按照惯例,这一比率在10%~30%之间。因此,B公司的报价是合理的。
2、新增利润、入门费和提成率的转换
例一:技术输入方原希望不付入门费,以6%的提成率支付,但输出方要求入门费30万美元,则应降低提成率为多少?假设提成期内总销售产品为3万台,每台产品的净销售价为2000美元。解:入门费相当于提成率:(30÷3÷2000)×100%=0.5%
所以,提成率应从6%降为5.5% 例二:我国一家企业在引进技术之前,每件产品的生产成本为9美元,利用引进的技术后可以使每件产品的生产成本降为6.5美元。如果产品的销售价格仍是11美元,年产量仍保持1万件,合同为普通许可,期限为6年。问:如果技术许可方要求技术被许可方,以销售额为提成基础按提成率R为5%来支付技术使用费,问技术被许可方是否可以接受?
新增利润(C0-C1)QN(9-6.5)1615万美元销售额PQN111666万美元则5%LSLP得LSLP22%计算结果标明许可方的报价是在合理范围之内,所以可以接受对方的报价。15100%663、已知一定的提成率计算LSLP,被许可方是否可以接受报价
利润分配率(LSLP)=(技术使用费/受方利润)×100% 使用费总额=LSLP×受方利润
注:
联合国工业发展组织(UNIDO)分析,LSLP在16%~27%之间。
1972年国际许可贸易执行人挪威会议上,多数国家代表认为LSLP为20%。美国有关法院的判例中LSLP在10%~30%之间。
4、双重征税的抵免
例1: 居住在某国的居民在某一纳税期间,来自本国的所得8000美元,来自外国所得为2000美元,全部所得合计为10000美元,在本国税率和外国税率均为30%情况下,则其在国外缴纳的所得税为:2000*30%=600美元
如在居住国可以得到全额抵免,纳税额具体计算为:(8000+2000)*30%-(2000*30%)=2400美元
例2:某居民国内所得8000美元,国外所得2000美元。国内税率40%,国外税率30%,则该居民向本国缴税额度为:(8000+2000)*40%-2000*30%=3400美元
例3:某居民国内所得8000美元,国外所得2000美元。国内税率20%,国外税率50%,则该居民向本国缴税额度为:(8000+2000)*20%-2000*20%=1600美元
例4:美国一公司从日本取得10000美元技术使用费,美国所得税率为48%,日本所得税率为20%,则该公司在美国应纳所得税额为:10000*(1-20%)*48%=3840美元
该公司纳税总计:2000+3840=5840美元
案例 1、2002年,H公司将其对《A》唱盘合法享有的录音制作者权转让给了J出版社。J出版社获得这项权利后,出版了《A》唱盘。
一年之后,J发现在市场上有《B》唱盘出售,其中有15首歌的曲名和内容均与《A》唱盘相同。J委托相关的技术鉴定机构对《B》唱盘的这些歌曲做音源鉴定。结果表明来自同一音源,据此可以断定《B》唱盘的这部分内容复制自《A》唱盘。由于《B》唱盘上印有Y音像出版社的名称和版号,内圈印有属于音像复制企业N公司的识别码。出版社便起诉Y音像出版社和N公司。
庭审过程中,N公司承认《B》唱盘确实是受Y音像出版社的委托而复制的,共计复制3万张。但是,N公司认为自己在整个过程中的操作室合乎规范的,并无过错,不应承担侵权责任。N公司向法院提交了由Y音像出版社加盖公章、并由该社社长签名的《录音录像制品复制委托书》以及《销售委托书》。
Y出版社辩称:虽然唱盘上印有该社的名称和编码,但这是被他人盗用的;Y从未出版,也从未委托N公司复制涉案唱盘;N公司提交的《录音录像制品复制委托书》以及《销售委托书》都不是真实的。但Y未能提供相应的证据,也不主张对N公司提供的证据做司法鉴定。问题:(1)J出版社为什么可以起诉Y音像出版社和N公司侵权?
因为原录音制作权人H公司将其权利转让给了J出版社、权利的受让人,不仅获得有关各项权利的独占使用权,而且是这些权利的所有人,有权允许或禁止他人使用这些权利,并且在这些权利受到侵犯时能够以自己的名义提起诉讼
(2)Y音像出版社是否应该承担责任?
Y音像出版社应承担侵权责任。因为Y出版社发行的《B》唱盘中有15首歌的曲名和内容均与《A》唱
盘相同,而且J出版社的鉴定结果表明两者来自同一音源,N公司提交的《录音录像制品复制委托书》以及《销售委托书》,Y出版社未能提供证明其是伪造的证据,Y出版社未取得录音制作权人J出版社的许可擅自出版唱盘侵犯了J出版社的权利故应承担责任。(3)N公司是否应该承担责任?
N公司由于疏于审查也应该承担责任。因为法律要求音像复制企业也要承担相应的合理审查义务,N公司只提交了《录音录像制品复制委托书》以及《销售委托书》,不能证明其已经尽了合理审查义务
2、我国某地引进了一条填补国内空白的一种新型包装材料的生产线。这种包装材料具有很多优点,在国外被誉为“包装皇后”,有着广泛的用途。该项目引进的设备和技术在世界上同类装置中处于领先水平。整个项目筹建工作只用了一年多时间,工程质量、产品质量和工厂规模都达到国际先进水平。该技术是靠贷款购买的,可行性研究报告根据国际市场近年的资料,预测了今后产品的国际市场价格。此外,报告还落实了原料来源和产品销路:原料由我国香港的一家外贸公司以向外招标的方式采购,产品出口部分包销给外商。最后可行性研究报告得出结论:项目建成后只要4年就可以还本付息,经济效益理想。此报告还分析了产品内销问题,认为国际市场产量不大,我国市场此类包装材料供给不足,内销问题不大。但实际由于国际市场产品价格大幅下降,而原料价格下降幅度却不大。此项目本该盈利,却变得无利可图。试分析:
(1)评价该企业的可行性研究报告。
该可行性研究报告预测了今后产品的国际市场价格,找到了原料来源和产品销路,得出了相关结论,结构较完整和全面
不足之处,可行性报告主要是在市场研究这一环节出现了较大失误,同时缺乏不确定性分析、对市场的预测过于理想化,导致实际市场价格和可行性研究报告预测的价格相差较大,产品销路出现问题
①国际市场变动不能仅仅根据今年的市场情况简单推断,除非供求状况以及投入产出的市场价格较为稳定,②国际市场竞争激烈以及原材料价格波动频繁的情况下不能从今年市场情形推断的出项目值得建设的结论,③市场研究不仅要了解市场的需求,还要了解未来市场供求和竞争对手的优缺点。
(2)为什么该项目会出现问题?
①新产品的需求不能用国外的需求预测来类推国内的需求②新产品本身被需求者接受也需要时间③通过香港公司采购原材料需要使用大量外汇,且存在原材料供应的风险,容易影响正常生产
第五篇:信息安全测评期末总结
信息安全工程与测评实践报告
(总结报告)
姓 名 班 级 学 号 完成日期
一、实验目的
1. 使用各种工具对目标网页进行漏洞扫描和渗透测试。
2. 了解扫描原来,熟悉扫描操作,掌握各种工具的特点和不足。3. 学会在不同场合使用最适合的工具。
二、实验工具
本学期的实验中,我使用了多种不同风格扫描工具,其中包括了Nmap、PortScan、X-Scan、SuperScan等端口扫描工具,Wireshark等抓包软件以及百度杀毒这种针对本机的保护软件。
三、实验内容
实验中,我更倾向于扫描目标网站的端口信息,其中,我最为喜欢的是Nmap扫描工具,它的功能应当是我所使用的扫描工具中最为强大的,可以使用不同的命令使用不同的扫描方式以得到自己所需要的扫描结果。它的主界面如下所示:
在该图片中,我已经使用了 –sS –sU –T4 –top-ports 61.135.169.125 命令对IP地址61.135.169.125进行端口扫描,也得出了该IP的2个开放端口80和443,以及它们所提供的服务即它们的作用。同时,这个命令中,-sS表示使用TCP SYN方式扫描TCP端口,-sU表示扫描UDP端口。-T4指定扫描过程使用的时序,可以使用的时序共有6个级别即0-5,级别越高,扫描速度越快,但是也容易被防火墙或IDS检测到并屏蔽掉。另外,61.135.169.125即百度。
而在我使用的扫描工具中,有一款老而弥坚的,那就是PortScan,在使用它同样对百度网站进行扫描的过程中,它的操作比Nmap简单了很多。
这是它的主界面:
很明显,这款工具还有其他一些功能,但我们在这里只要使用它的端口扫描功能,也就是Scan Ports标签下的内容。很明显的看出来,只需要输入目标IP就能对其进行扫描。另外提一句,PortScan的默认扫描端口是从1到65535。扫描结果是这样的:
同样可以扫描出2个开放的端口即80和443。然而在实际使用中,我也明显的发现了它的不足,它的扫描速度相对于Nmap而言差距是十分明显的,而且扫描结果的惊喜程度上是远逊于Nmap的。
在实验使用的所有端口扫描工具中,Nmap的表现无疑是十分突出的,但是还有一款扫描工具也是十分的强大,那就是X-Scan。
X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
在实际使用中,它给出的风险评估等级报告是最震撼我的,它把扫描的结果直接进行了分析,并给出了结果,令人一眼就能看懂,下面是我对我自己的电脑进行扫描获得的扫描报告:
而这只是详尽的报告中的一部分,因而我认为,X-Scan是一款十分值得推荐的工具,它强大的性能、多种多样的功能以及详尽的报告分析都决定了它将成为收人欢迎的扫描工具,也更适合网络安全管理员使用。
另外,SuperScan也是一款性能强大的扫描工具,但是它的主界面的确是有点复杂了:
幸好在执行简单的扫描任务时,所需要使用到的模块并不太多,只要IP、Scan type模块就可以了,在无视其他模块的情况下,它的操作还是毕竟简单的。就同样对百度进行扫描而言,在IP模块输入IP地址后,再在Scan type模块下改变扫描模式到All list ports from 1 65535。最后单击Start也就可以开始扫描了,当然了,这只是这款软件的简单使用,在今后若有需要也应当对它进行更深入的了解和学习。
总而言之,SuperScan功能强大,但是,在扫描的时候,一定要考虑到网络的承受能力和对目标计算机的影响。
最后在这里介绍下对百度杀毒的使用感觉,总而言之就是傻瓜式操作,它只会告诉你存在什么危险,并提供选择是否解决这个问题。虽然这十分的方便,也非常适合电脑小白的使用,也能完成它应当完成的任务,但是对于我们这些从事或者正在学习这方面的人而言,是不适合的,我们应当去了解而非傻瓜式的解决。
这也就说明上面这些扫描工具的强大性,毕竟它们还能对本机进行扫描,能加深对自己电脑的了解,并及时了解存在的安全隐患并通过自己的努力去解决这些安全隐患,也能完善自己在这方面的技巧。
四、实验总结
在使用过这么多的扫描软件完成作业之后,我也用他们对自己的电脑进行了扫描,主要是使用X-Scan,通过它给出的风险评估报告上看到的结果真的是吓了我一跳,平常使用360安全卫士等进行扫描时给出的结果总是不存在风险,但是通过专业扫描软件的所扫描出来的危险因素真是多到吓人。这也展现了这些扫描软件的强大之处,然而我们应当使用它们进行安全测试,防范于未然,而非将它们当作一种工具手段。也就是正确的使用它们。
点击咨询 