(9)安全策略的组成:威严的法律、先进的技术、严格的管理(10)安全管理原则:多人负责原则、任期有限原则、职责分离原则
8、加密技术
(1)几个相关概念:需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文,这种变换叫做加密,加密的逆过程称为解密;对明文进行加密所采用的一组规则称为加密算法,对密文解密时采用的一组规则称为解密算法;加密算法和解密算法通常是在一组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密钥叫做解密密钥;密码编码学是加密所用,密码分析学(分析、穷举一般要尝试所有可能的一半)是解密所用,都是密码学范畴。
(2)密码系统分类:按将明文转化为密文的操作类型分为:代换或置换密码和易位密码。按密钥的使用个数分为:对称密码体制和非对称密码体制。
(3)数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。①对称加密使用单个密钥对数据进行加密或解密,又称单密钥加密、常规密码加密、或保密密钥加密,如DES算法。②不对称加密算法其特点是有两个密钥,只有两者搭配使用才能完成加密和解密的全过程。不对称加密的另一用法称为“数字签名”,常用的是RSA算法和数字签名算法DSA。③不可逆加密算法即单向散列算法,特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。
(4)加密方案是安全的两种情形:一是破译密文的成本超过了加密信息本身的价值;二是破译秘闻所要的时间超过了信息的有效期。
(5)对称加密体制的模型的组成部分:明文、加密算法、密钥、密文、解密算法。对称加密又称为常规加密、单密钥加密、保密密钥加密,有两个安全要求:①需要强大的加密算法;②发送方和接受方必须用安全的方式来获得保密密钥的副本,必须保证密钥的安全。其安全性取决于密钥的保密性,而不是算法的保密性。
(6)数据加密标准:DES,算法本身被称为数据加密算法DEA,密钥长度56位(106次/秒,10h可破),分组长度64位。
(7)其他常见对称加密算法:三重DES:密钥长度128位;AES:密钥128/192/256位,分组长度128位;Blowfish算法:可变密钥长度分组算法;RC-5:参数可变的分组算法。
(8)公钥加密又叫做非对称加密,是建立在数学函数基础上的一种加密方法,而不是建立在位方式的操作上的。公钥加密算法的适用公钥密码体制有两个密钥:公钥和私钥。常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥,私钥总是保密的。
RSA算法基于大因数分解;第一个用于数据加密和数字签名的算法,但安全性未能在理论上证明;
其他公钥加密算法:ElGamal算法(基于离散对数)、背包加密算法;公钥加密涉及高次幂运算,加密速度一般较慢,占空间大。
(9)密钥分发技术:通常KDC技术用于保密密钥分发,CA用于公钥和保密密钥的分发。
10、认证是防止主动攻击的重要技术,是验证一个最终用户或设备的声明身份的过程。认证主要目的:验证信息的发送者是真正的,而不是冒充的,
这称为信源识别;验证信息的完整性,认证使用的技术主要有:消息认证,身份认证和数字签名。
(1)消息认证是意定的接收者能够检验收到的消息是否真实的方法,又称完整性校验。消息认证的内容包括为:①证实消息的信源和信宿;②消息内容是否完整,是否曾受到偶然或有意的篡改;③消息的序号和时间性是否正确。消息认证模式:单向认证、双向认证;认证函数:信息加密函数、信息认证码、散列函数(MD5,SHA-1等)
(2)数字签名应该满足:收方能确认发方签名但不能伪造;发方发出后就不能否认发过;收方收到后不能否认,即收报认证;第三者可以确认收发双方的消息传送但不能伪造。数字签名没有提供消息内容的机密性,最常用的数字签名算法有RSA算法和数字签名标准算法DSS。
(3)身份认证大致分为3类:①口令认证;②持证认证 ;③生物识别。 账户名/口令认证方法是被广泛使用的一种身份验证方法,比如一次性口令方案,常见的有S/Key和令牌口令认证方案。持证是个人所有物,比如磁卡等;生物识别指指纹、虹膜、脸像、掌纹、声音、签名、笔迹、手纹步态等生物特征。常用的身份认证协议:一次一密机制(s/key);X.509认证协议;Kerberos协议。
11、安全技术应用:
(1)电子邮件的安全:PGP、S/MIME;
(2)网络层安全:IPSec,包括身份认证头AH协议和ESP协议; (3)Web安全:网络级(IP安全,IPSec)、传输级(SSL安全套接层,运输层安全)、应用级(SET)
12、两大最广泛的安全威胁:入侵者和病毒。
13、防火墙:为了保障网络安全,防止外部网对内部网的侵犯,常在内外网间设置防火墙。
(1)分类:数据包过滤,应用级网关、电路级网关、堡垒主机。
(2)防火墙的设计目标是:进出内部网的通信量必须通过防火墙,只有那些在内部网安全策略中定义了的合法的通信量才能进出防火墙,防火墙自身应该能够防止渗透。
(3)防火墙的优缺点:
优点:保护脆弱的服务、控制对系统的访问、集中的安全管理、增强的保密性、记录和统计网络使用数据以及非法使用数据、策略执行。
缺点:无法阻止绕过防火墙的攻击;无法阻止来自内部的威胁;无法防止病毒感染程序或文件的传输。
(4)防火墙通常有两种设计策略:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。
(5)防火墙实现站点安全策略的技术:服务控制、方向控制、用户控制、行为控制。
14、病毒:共性:破坏、可自我复制;
常见病毒分类:宏病毒、电子邮件病毒、特洛伊木马、计算机蠕虫。病毒防治:检测、标识、清除。
第八章 网络应用技术
1、IP组播技术:允许一个或多个发送方发送单一数据包到多个接收方的网络传输方式,不论组成员多少,数据源只发一次,采用组播地址寻址,只向需要的主机和网络发包。(1)特点:使用组地址,组播网中拥有惟一的组播地址;动态组成员;低层硬件支持;(2)技术基础:D类IP,前四位为1110,后面28位为组播地址;(3)相关协议:IP组播组管理协议(IGMP)、IP组播路由协议(域内(密集模式、稀疏模式)或域间组播路由协议)。
使用较多的域内协议:DVMRP、MOSPF、PIM; 域间协议:MBGP、MSDP 2、P2P网络:(Peer to Peer)通过直接交换来共享资源和服务、采用非集中式,各结点地位平等,兼作服务器和客户机。(1)分类:①集中式拓扑结构的P2P网络,以Napster为代表,有中心服务器,只保留索引信息,包括服务器的各实体对等;②分布式非结构化拓扑结构的P2P网络:以
Gnutella、Maza等为代表,无中心服务器,都是对等点,扩展性差;③分布式结构化拓扑结构的P2P网络:以Pastry等为代表,基于分布式散列表(DHT)的分布式发现和路由算法;④ 混合式结构的P2P网络:结点分为:用户结点、搜索结点、索引结点。以Skype、Kazaa、eDonkey、BitTorent、PPlive为代表。(2)应用:分布式科学计算;文件共享;协同工作;分布式搜索引擎;流媒体直播。
3、即时通信(IM)系统:实时信息交互和用户状态追踪。(1)附加功能:音视频聊天、应用共享、文件传输、文件共享、游戏邀请、远程助理、白板等;(2)基础通信模式:P2P通信模式(文件传输)、中转通信模式等(传输文本消息);(3)代表性软件:腾讯QQ、网易泡泡、新浪UC、MSN N Messenger、Yahoo Messenger等;(4)通信协议:SIP(由用户代理、代理服务器、重定向服务器、注册服务器组成,请求消息包含请求行,响应消息包含状态行)、SIMPLE(对SIP协议的扩展)、XMPP(C/S通信模式、分布式网络、简单的客户端、XML的数据格式);
4、IPTV系统:互联网协议电视或网络电视,交互性和实时性。(1)基本业务:视频点播VOD、直播电视(组播方式)、时移电视(点播方式);(2)基本技术形态:视频数字化、传输IP化、播放流媒体化;(3)系统组成:节目采集、存储与服务、节目传送、用户终端设备、相关软件;(4)关键技术:媒体内容分发技术、数字版权管理技术(数据加密、版权保护、数字水印、签名技术)、IPTV运营支撑管理系统。
5、VoIP:即IP电话,利用IP网络实现语音通信,基于IP网络的语音传输技术;
(1)实现方法:PC-to-PC、PC-to-Phone、Phone-to-Phone等; (2)系统组成:终端设备、网关、多点控制单元、网守;
(3)代表软件:Kazaa公司的Skype,其融合了VoIP和P2P技术。 6、网络搜索技术: (1)搜索引擎组成部分:搜索器、索引器、检索器、用户接口;(2)Google:
成立于98年;主要技术:①网页采集技术-分布式爬行系统;②页面等级技术;③超文本匹配分析技术;(3)百度:成立于99年,主要技术:①智能化可扩展搜索技术;②超级链接分析技术;③智能化中文语言处理技术;④分布式结构优先化算法技术。
( 完 )