2010年計(jì)算機(jī)等級(jí)考試三級(jí)網(wǎng)絡(luò)技術(shù)總結(jié)筆記(6)

　　密碼系統(tǒng)通常從3個(gè)獨(dú)立的方面進(jìn)行分類(lèi)：

　　1 按將明文轉(zhuǎn)化為密文的操作類(lèi)型分為：置換密碼和易位密碼。

　　2 按明文的處理方法可分為：分組密碼(塊密碼)和序列密碼(流密碼)。

　　3 按密鑰的使用個(gè)數(shù)分為：對(duì)稱(chēng)密碼體制和非對(duì)稱(chēng)密碼體制。

　　置換密碼和易位密碼

　　所有加密算法都是建立在兩個(gè)通用原則之上：置換和易位。

　　分組密碼(塊密碼)和序列密碼(流密碼)

　　對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密

　　如果發(fā)送方使用的加密密鑰和接受方使用的解密密鑰相同，或從其中一個(gè)密鑰易于的出另一個(gè)密鑰，這樣的系統(tǒng)叫做對(duì)稱(chēng)的，單密鑰或常規(guī)密碼系統(tǒng)。如果發(fā)送放使用的加密密鑰和接受方使用的解密密鑰不相同，從其中一個(gè)密鑰難以推出另一個(gè)密鑰，這樣的系統(tǒng)就叫做不對(duì)稱(chēng)的，雙密鑰或公鑰加密系統(tǒng)。

　　數(shù)據(jù)加密技術(shù)可以分為3類(lèi)：對(duì)稱(chēng)型加密，不對(duì)稱(chēng)型加密和不可逆加密。

　　對(duì)稱(chēng)加密使用單個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密或解密。

　　不對(duì)稱(chēng)加密算法其特點(diǎn)是有兩個(gè)密鑰，只有兩者搭配使用才能完成加密和解密的全過(guò)程。不對(duì)稱(chēng)加密的另一用法稱(chēng)為“數(shù)字簽名”。

　　不可逆加密算法的特征是加密過(guò)程不需要密鑰，并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密，只有同樣輸入的輸入數(shù)據(jù)經(jīng)過(guò)同樣的不可逆算法才能得到同樣的加密數(shù)據(jù)。

　　從通信網(wǎng)絡(luò)的傳輸方面，數(shù)據(jù)加密技術(shù)可以分為3類(lèi)：鏈路加密方式，節(jié)點(diǎn)到節(jié)點(diǎn)方式和端到端方式。

　　鏈路加密方式是一般網(wǎng)絡(luò)通信安全主要采用的方式。

　　節(jié)點(diǎn)到節(jié)點(diǎn)加密方式是為了解決在節(jié)點(diǎn)中數(shù)據(jù)是明文的缺點(diǎn)，在中間節(jié)點(diǎn)里裝有加，解密的保護(hù)裝置，由這個(gè)裝置來(lái)完成一個(gè)密鑰向另一個(gè)密鑰的變換。

　　在端到端加密方式中，由發(fā)送方加密的數(shù)據(jù)在沒(méi)有到達(dá)最終目的節(jié)點(diǎn)之前是不被解密的。

　　鏈路加密方式和端到端加密方式的區(qū)別

　　試圖發(fā)現(xiàn)明文或密鑰的過(guò)程叫做密碼分析。

　　加密方案是安全的兩種情形：

　　算法實(shí)際進(jìn)行的置換和轉(zhuǎn)換由保密密鑰決定。

　　密文由保密密鑰和明文決定。

　　對(duì)稱(chēng)加密體制的模型的組成部分

　　對(duì)稱(chēng)加密有兩個(gè)安全要求：

　　1需要強(qiáng)大的加密算法。

　　2發(fā)送方和接受方必須用安全的方式來(lái)獲得保密密鑰的副本，必須保證密鑰的安全。

　　對(duì)稱(chēng)加密機(jī)制的安全性取決于密鑰的保密性，而不是算法的保密性。

　　對(duì)稱(chēng)加密算法有: DES; TDEA (或稱(chēng)3DES);RC-5; IDEA等。IDEA算法被認(rèn)為是當(dāng)今最好最安全的分組密碼算法。

　　公開(kāi)密鑰加密又叫做非對(duì)稱(chēng)加密。是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上的一種加密方法,而不是建立在位方式的操作上的。

　　公鑰加密算法的適用

　　公鑰密碼體制有兩個(gè)密鑰：公鑰和私鑰。公鑰密碼體制有基本的模型，一種是加密模型，一種是認(rèn)證模型。

　　公鑰加密體制的模型的組成部分

　　常規(guī)加密使用的密鑰叫做保密密鑰。公鑰加密使用的密鑰對(duì)叫做公鑰或私鑰。私鑰總是保密的。

　　RSA體制被認(rèn)為是現(xiàn)在理論上最為成熟完善的一種公鑰密碼體制。

　　密鑰的生存周期是指授權(quán)使用該密鑰的周期。密鑰的生存周期的經(jīng)歷的階段

　　在實(shí)際中，存儲(chǔ)密鑰最安全的方法就是將其放在物理上安全的地方。

　　密鑰分發(fā)技術(shù)是將密鑰發(fā)送到數(shù)據(jù)交換的兩方，而其他人無(wú)法看到的地方。

　　證書(shū)權(quán)威機(jī)構(gòu)(CA)是用戶(hù)團(tuán)體可信任的第三方。

　　數(shù)字證書(shū)是一條數(shù)字簽名的消息，它通常用與證明某個(gè)實(shí)體的公鑰的有效性。數(shù)字證書(shū)是一個(gè)數(shù)字結(jié)構(gòu)，具有一種公共的格式，它將某一個(gè)成員的識(shí)別符和一個(gè)公鑰值綁定在一起。

　　認(rèn)證是防止主動(dòng)攻擊的重要技術(shù)，它對(duì)于開(kāi)放環(huán)境中的各種信息系統(tǒng)的安全有重要作用。認(rèn)證是驗(yàn)證一個(gè)最終用戶(hù)或設(shè)備的聲明身份的過(guò)程。

　　認(rèn)證主要目的為：

　　1 驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱(chēng)為信源識(shí)別。

　　2 驗(yàn)證信息的完整性，保證信息在傳送過(guò)程中未被竄改，重放或延遲等。

　　認(rèn)證過(guò)程通常涉及加密和密鑰交換。帳戶(hù)名和口令認(rèn)證方式是最常用的一種認(rèn)證方式。

　　授權(quán)是把訪問(wèn)權(quán)授予某一個(gè)用戶(hù)，用戶(hù)組或指定系統(tǒng)的過(guò)程。訪問(wèn)控制是限制系統(tǒng)中的信息只能流到網(wǎng)絡(luò)中的授權(quán)個(gè)人或系統(tǒng)。

　　有關(guān)認(rèn)證使用的技術(shù)主要有：消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。

　　消息認(rèn)證是意定的接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法。又稱(chēng)完整性校驗(yàn)。

　　消息認(rèn)證的內(nèi)容包括為：

　　1 證實(shí)消息的信源和信宿。

　　2 消息內(nèi)容是或曾受到偶然或有意的篡改。

　　3 消息的序號(hào)和時(shí)間性。

　　消息認(rèn)證的方法一般是利用安全單向散列函數(shù)生成消息摘要。

　　安全單向散列函數(shù)必須具有以下屬性：它必須一致，必須是隨機(jī)的，必須唯一，必須是單向的，必須易于實(shí)現(xiàn)高速計(jì)算。

　　常用的散列函數(shù)有:消息摘要4(MD4)算法.消息摘要5(MD5)算法.安全散列算法(SHA).

　　身份認(rèn)證大致分為3類(lèi)：

　　1 個(gè)人知道的某種事物。

　　2 個(gè)人持證

　　3 個(gè)人特征。

　　口令或個(gè)人識(shí)別碼機(jī)制是被廣泛研究和使用的一種身份驗(yàn)證方法，也是最實(shí)用的認(rèn)證系統(tǒng)所依賴(lài)的一種機(jī)制。

　　為了使口令更加安全，可以通過(guò)加密口令或修改加密方法來(lái)提供更強(qiáng)健的方法，這就是一次性口令方案，常見(jiàn)的有S/KEY和令牌口令認(rèn)證方案。

　　持證為個(gè)人持有物。

　　數(shù)字簽名

　　數(shù)字簽名沒(méi)有提供消息內(nèi)容的機(jī)密性.

　　加密技術(shù)應(yīng)用于網(wǎng)絡(luò)安全通常有兩種形式，既面向網(wǎng)絡(luò)和面向應(yīng)用程序服務(wù)。

　　面向網(wǎng)絡(luò)服務(wù)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送，認(rèn)證網(wǎng)絡(luò)路由及其其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受侵害。在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò)應(yīng)用層的用戶(hù)通常是透明的。

　　面向網(wǎng)絡(luò)應(yīng)用程序服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法。

　　身份認(rèn)證協(xié)議

　　電子郵件的安全

　　PGP

　　S/MIME

　　Web安全

　　安全問(wèn)題

　　WEB站點(diǎn)的訪問(wèn)控制的級(jí)別：

　　1 IP地址限制。

　　2 用戶(hù)驗(yàn)證。

　　3 WEB權(quán)限。

　　4 硬盤(pán)分區(qū)權(quán)限。

　　Web的通信安全

　　防火墻總體上分為數(shù)據(jù)包過(guò)濾，應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)等幾大類(lèi)型。

　　數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇。它通常安裝路由器上。

　　應(yīng)用級(jí)網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它通常安裝在專(zhuān)用工作站系統(tǒng)上。

　　防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可以通過(guò)檢測(cè)，限制，更改跨越防火墻的數(shù)據(jù)流，盡可能的對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的消息，結(jié)構(gòu)和運(yùn)行情況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

　　防火墻的設(shè)計(jì)目標(biāo)是：

　　1進(jìn)出內(nèi)部網(wǎng)的通信量必須通過(guò)防火墻.

　　2只有那些在內(nèi)部網(wǎng)安全策略中定義了的合法的通信量才能進(jìn)出防火墻.

　　3防火墻自身應(yīng)該能夠防止?jié)B透.

　　防火墻的優(yōu)點(diǎn)：

　　防火墻的缺點(diǎn)：

　　防火墻的功能：

　　防火墻通常有兩種設(shè)計(jì)策略：允許所有服務(wù)除非被明確禁止;禁止所有服務(wù)除非被明確允許。

　　防火墻的設(shè)計(jì)策略包括網(wǎng)絡(luò)策略和服務(wù)訪問(wèn)策略。

　　影響防火墻系統(tǒng)設(shè)計(jì)，安裝和使用的網(wǎng)絡(luò)策略可以分為兩級(jí)：

　　高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述了防火墻如何限制和過(guò)濾在高級(jí)策約中定義的服務(wù)。

　　防火墻實(shí)現(xiàn)站點(diǎn)安全策略的技術(shù)：

　　1服務(wù)控制。確定在圍墻外面和里面可以訪問(wèn)的因特網(wǎng)服務(wù)類(lèi)型。

　　2方向控制。啟動(dòng)特定的服務(wù)請(qǐng)求并允許它通過(guò)防火墻，這些操作具有方向性。

　　3 用戶(hù)控制。根據(jù)請(qǐng)求訪問(wèn)的用戶(hù)來(lái)確定是或提供該服務(wù)。

　　4 行為控制�？刂迫绾问褂媚撤N特定的服務(wù)。