安全

Table of Contents

安全术语
常见的安全威胁
Cryptology(密码学)
目录服务
- 什么是 LDAP
Transport Layer Security (TLS)

安全术语

Table 1. **安全术语**
名称	描述
CIA	C(confidentiality) - 数据/信息保密，让不需要看的人不能看到 I(integrity) - 数据/信息准确，未被篡改 A(availability) - 数据/信息可被其拥有者容易获取
Risk	突发时间，或恶意攻击造成数据/信息丢失的可能行
Vulnerability	系统的缺陷，可用来攻击或破坏系统。
Exploit	利用系统漏洞和系统缺陷的软件
Threat	系统缺陷可以被利用的可能性
Hacker	黑客是试图闯入或利用别人系统的人
Attack	尝试破坏系统的行为，

常见的安全威胁

Table 2. **常见的安全威胁**
名称	类型	威胁
viruses(病毒)	恶意软件	通常粘附在一些可执行的软件上，当软件执行时，所有接触到的文件都被感染，病毒会任意复制，进行一些攻击工作
Worms(蠕虫)	恶意软件	类似病毒，但他不需要依附在可执行软件上，蠕虫可以单独存在，通常网络等渠道传输，
Adware(恶意广告)	恶意软件	可视化的恶意软件，通常会收集一些数据，通常是通过正当途径下载。
Spyware(间谍软件)	恶意软件	监控你的屏幕、键盘输入、Web 浏览，并将结果发送到另外一个地方
Trojans(木马)	恶意软件	木马是一种恶意软件，它将自己伪装在做一件事，但实际做的是另一件事。
Ransomware(勒索病毒)	恶意软件	将你的数据或系统锁定起来直到你支付了相应的赔偿金后才解锁
Botnet(僵尸网络)	恶意软件	被一程序感染的计算机网络，该程序接收程序创建者指令，通过互联网上连接的机器，执行一些分布式方法。
Backdoor(后面软件)	恶意软件	通过其它途径进入你系统的恶意软件。
Rootkit	恶意软件	在一个目标系统中非法获取系统的最高控制权限的成套软件工具
Logic bomb	恶意软件	一种有意安装的软件，但在某些特定情况会被触发
DNS Cache Poisoning	网络攻击	通过对 DNS 服务器上的缓存信息进行修改，将 IP 执行错误的地址
Man-in-the-middle	网络攻击	攻击者在两个主机之间，通过监控或破解主机之间传输的数据，以获取相应的信息
Rogue AP	网络攻击	在没有网络管理员允许下，安装在网络上的接入点。
Evil twin	网络攻击	类似于 Rogue AP，它建立了一个类似真实的网络环境，但被攻击者控制
Dos	网络攻击	试图通过访问网络或服务器，让网络或服务器资源耗光，以阻止对合法用户的服务访问。常见有：Ping of Death, Ping flood, SYN flood
DDos	网络攻击	类似 Dos，但请求源来自于一系列分布式系统

Cryptology(密码学)

概念

对称加密

非对称加密

哈希

目录服务

什么是 LDAP

LDAP(Lightweight Directory Access Protocol) is used to access information in directory services like over a network.

Field	描述
dn(distinguished name)	This refers to the name that uniquely identifies an entry in the directory.
dc(domain component)	This refers to each component of the domain. For example www.google.com would be written as DC=www,DC=google,DC=com
ou(organizational unit)	This refers to the organizational unit (or sometimes the user group) that the user is part of. If the user is part of more than one group, you may specify as such, e.g., OU= Lawyer,OU= Judge.
cn(common name)	This refers to the individual object (person’s name; meeting room; recipe name; job title; etc.) for whom/which you are querying.

Field

描述

dn(distinguished name)

This refers to the name that uniquely identifies an entry in the directory.

dc(domain component)

This refers to each component of the domain. For example www.google.com would be written as DC=www,DC=google,DC=com

ou(organizational unit)

This refers to the organizational unit (or sometimes the user group) that the user is part of. If the user is part of more than one group, you may specify as such, e.g., OU= Lawyer,OU= Judge.

cn(common name)

This refers to the individual object (person’s name; meeting room; recipe name; job title; etc.) for whom/which you are querying.

https://en.wikipedia.org/wiki/LDAP_Data_Interchange_Format

Transport Layer Security (TLS)

Transport Layer Security (TLS) 是用于加密网络通信的方法。TLS 是 Secure Sockets Layer(SSL) 的后续版本。

TLS 同时即允许客户端验证服务器的身份，也允许服务器验证客户端的身份（后者为可选）。

TLS 基于证书的概念。一个证书包含多个部分：公钥（public key）、服务器身份（server identity）和证书颁发机构的签名（certificate authority）。对应的私钥绝对不会公开。使用私钥加密的任何数据只能通过公钥解密，反之亦然。

在初始握手期间，当设置加密连接时，客户端和服务器同意一组由服务器和客户端均支持的加密密码，然后它们交换随机数据的位。客户端使用此随机数据生成会话密钥，这是一个将用于更快速的对称加密的密钥，其中相同密钥同时用于加密和解密。为确保此密钥不被泄露，它被发送到使用服务器的公钥（属于服务器证书）加密的服务器。

下图显示了 TLS 握手一个（简化）版本：

TLS handshake.png

客户端通过 ClientHello 消息启动与服务器的连接。作为此消息的一部分，客户端发送 32 字节的随机数字，包括时间戳记以及客户端支持的加密协议和密码的列表。
服务器以 ServerHello 消息响应，包含另一个 32 字节随机数字，其中带有时间戳记以及客户端应使用的加密协议和密码。(服务器也会发送服务器证书，其中由公钥、常规服务器身份信息（如 FQDN）以及来自可信认证颁发机构 (CA) 的签名。此证书还可以包含已对证书签名的所有证书颁发机构（直至根 CA）的公共证书。)
客户端通过检查提供的身份信息是否匹配，以及验证所有签名，检查这些签名是否是由客户端信任的 CA 生成，从而验证服务器证书。如果证书确认，则客户端使用先前交换的随机数字来创建会话密钥。客户端随后使用来自服务器证书的公钥加密此会话密钥，然后使用 ClientKeyExchange 消息将其发送到服务器。
服务器解密会话密钥，然后客户端和服务器均开始使用会话密钥来加密和解密通过连接发送的所有数据。

安全

安全