2010年计算机等级考试三级网络技术总结笔记(6)

　　密码系统通常从3个独立的方面进行分类：

　　1 按将明文转化为密文的操作类型分为：置换密码和易位密码。

　　2 按明文的处理方法可分为：分组密码(块密码)和序列密码(流密码)。

　　3 按密钥的使用个数分为：对称密码体制和非对称密码体制。

　　置换密码和易位密码

　　所有加密算法都是建立在两个通用原则之上：置换和易位。

　　分组密码(块密码)和序列密码(流密码)

　　对称加密和非对称加密

　　如果发送方使用的加密密钥和接受方使用的解密密钥相同，或从其中一个密钥易于的出另一个密钥，这样的系统叫做对称的，单密钥或常规密码系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统就叫做不对称的，双密钥或公钥加密系统。

　　数据加密技术可以分为3类：对称型加密，不对称型加密和不可逆加密。

　　对称加密使用单个密钥对数据进行加密或解密。

　　不对称加密算法其特点是有两个密钥，只有两者搭配使用才能完成加密和解密的全过程。不对称加密的另一用法称为“数字签名”。

　　不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。

　　从通信网络的传输方面，数据加密技术可以分为3类：链路加密方式，节点到节点方式和端到端方式。

　　链路加密方式是一般网络通信安全主要采用的方式。

　　节点到节点加密方式是为了解决在节点中数据是明文的缺点，在中间节点里装有加，解密的保护装置，由这个装置来完成一个密钥向另一个密钥的变换。

　　在端到端加密方式中，由发送方加密的数据在没有到达最终目的节点之前是不被解密的。

　　链路加密方式和端到端加密方式的区别

　　试图发现明文或密钥的过程叫做密码分析。

　　加密方案是安全的两种情形：

　　算法实际进行的置换和转换由保密密钥决定。

　　密文由保密密钥和明文决定。

　　对称加密体制的模型的组成部分

　　对称加密有两个安全要求：

　　1需要强大的加密算法。

　　2发送方和接受方必须用安全的方式来获得保密密钥的副本，必须保证密钥的安全。

　　对称加密机制的安全性取决于密钥的保密性，而不是算法的保密性。

　　对称加密算法有: DES; TDEA (或称3DES);RC-5; IDEA等。IDEA算法被认为是当今最好最安全的分组密码算法。

　　公开密钥加密又叫做非对称加密。是建立在数学函数基础上的一种加密方法,而不是建立在位方式的操作上的。

　　公钥加密算法的适用

　　公钥密码体制有两个密钥：公钥和私钥。公钥密码体制有基本的模型，一种是加密模型，一种是认证模型。

　　公钥加密体制的模型的组成部分

　　常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。私钥总是保密的。

　　RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。

　　密钥的生存周期是指授权使用该密钥的周期。密钥的生存周期的经历的阶段

　　在实际中，存储密钥最安全的方法就是将其放在物理上安全的地方。

　　密钥分发技术是将密钥发送到数据交换的两方，而其他人无法看到的地方。

　　证书权威机构(CA)是用户团体可信任的第三方。

　　数字证书是一条数字签名的消息，它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构，具有一种公共的格式，它将某一个成员的识别符和一个公钥值绑定在一起。

　　认证是防止主动攻击的重要技术，它对于开放环境中的各种信息系统的安全有重要作用。认证是验证一个最终用户或设备的声明身份的过程。

　　认证主要目的为：

　　1 验证信息的发送者是真正的，而不是冒充的，这称为信源识别。

　　2 验证信息的完整性，保证信息在传送过程中未被窜改，重放或延迟等。

　　认证过程通常涉及加密和密钥交换。帐户名和口令认证方式是最常用的一种认证方式。

　　授权是把访问权授予某一个用户，用户组或指定系统的过程。访问控制是限制系统中的信息只能流到网络中的授权个人或系统。

　　有关认证使用的技术主要有：消息认证，身份认证和数字签名。

　　消息认证是意定的接收者能够检验收到的消息是否真实的方法。又称完整性校验。

　　消息认证的内容包括为：

　　1 证实消息的信源和信宿。

　　2 消息内容是或曾受到偶然或有意的篡改。

　　3 消息的序号和时间性。

　　消息认证的方法一般是利用安全单向散列函数生成消息摘要。

　　安全单向散列函数必须具有以下属性：它必须一致，必须是随机的，必须唯一，必须是单向的，必须易于实现高速计算。

　　常用的散列函数有:消息摘要4(MD4)算法.消息摘要5(MD5)算法.安全散列算法(SHA).

　　身份认证大致分为3类：

　　1 个人知道的某种事物。

　　2 个人持证

　　3 个人特征。

　　口令或个人识别码机制是被广泛研究和使用的一种身份验证方法，也是最实用的认证系统所依赖的一种机制。

　　为了使口令更加安全，可以通过加密口令或修改加密方法来提供更强健的方法，这就是一次性口令方案，常见的有S/KEY和令牌口令认证方案。

　　持证为个人持有物。

　　数字签名

　　数字签名没有提供消息内容的机密性.

　　加密技术应用于网络安全通常有两种形式，既面向网络和面向应用程序服务。

　　面向网络服务的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送，认证网络路由及其其他网络协议所需的信息，从而保证网络的连通性和可用性不受侵害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。

　　面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。

　　身份认证协议

　　电子邮件的安全

　　PGP

　　S/MIME

　　Web安全

　　安全问题

　　WEB站点的访问控制的级别：

　　1 IP地址限制。

　　2 用户验证。

　　3 WEB权限。

　　4 硬盘分区权限。

　　Web的通信安全

　　防火墙总体上分为数据包过滤，应用级网关和代理服务等几大类型。

　　数据包过滤技术是在网络层对数据包进行选择。它通常安装路由器上。

　　应用级网关是在网络应用层上建立协议过滤和转发功能。它通常安装在专用工作站系统上。

　　防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。它可以通过检测，限制，更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的消息，结构和运行情况，以此来实现网络的安全保护。

　　防火墙的设计目标是：

　　1进出内部网的通信量必须通过防火墙.

　　2只有那些在内部网安全策略中定义了的合法的通信量才能进出防火墙.

　　3防火墙自身应该能够防止渗透.

　　防火墙的优点：

　　防火墙的缺点：

　　防火墙的功能：

　　防火墙通常有两种设计策略：允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。

　　防火墙的设计策略包括网络策略和服务访问策略。

　　影响防火墙系统设计，安装和使用的网络策略可以分为两级：

　　高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述了防火墙如何限制和过滤在高级策约中定义的服务。

　　防火墙实现站点安全策略的技术：

　　1服务控制。确定在围墙外面和里面可以访问的因特网服务类型。

　　2方向控制。启动特定的服务请求并允许它通过防火墙，这些操作具有方向性。

　　3 用户控制。根据请求访问的用户来确定是或提供该服务。

　　4 行为控制。控制如何使用某种特定的服务。