跳到主要内容
xray.top
博客/本科课程归档/computer-level-exam-network-technology/第六章 网络管理与网络安全
知识小组同库第 14

第六章 网络管理与网络安全

发布 2021/01/05 05:10更新 2025/10/03 10:1388190 阅读
返回知识库首页返回目录抽屉返回所属小组

1. 网络管理

Ÿ  在网络管理中,一般采用网络管理者-网管代理模型。管理者实质上是运行在计算机操作系统之上的一组应用程序,代理位于被管理的设备内部。

Ÿ  一个管理者可以和多个代理之间进行信息交换。

Ÿ  网络管理一般采用集中式网络管理或者分布式网络管理。

Ÿ  集中式网络管理模式和分布式网络管理模式是网络系统在发展过程中自然形成的两种管理模式,它们各有特点,适用于不同的网络系统结构和不同的应用程序。

2. 网络管理资源分类

分为硬件资源和软件资源。

Ÿ  硬件资源是指物理介质、计算机设备和网络互联资源。物理介质通常是物理层设备、如网卡、双绞线等; 计算机设备包括打印机和存储设备及其他计算机外围设备。常用的网络互联设备有中继器、网桥、路由器、网关等;

Ÿ  软件资源主要包括操作系统、应用软件和通信软件。

3. 网络安全管理作用

采用多层防卫手段,将受到侵扰和破坏的概率降到最低、提供迅速检测非法使用和非法入侵初始点的手段,核查跟踪入侵者的活动、提供恢复被破坏的数据和系统的手段,尽量降低损失和提供查获入侵者的手段。

4. 网络故障管理

网络故障管理包括检测故障、隔离故障和纠正故障 3 个方面,应包括典型的功能有维护并检测错误日志、接收错误检测报告并作出响应、跟踪与辨认错误、执行诊断测试、纠正错误。

5. 网络管理的目标

Ÿ  网络管理目标是通过合理的网络配置与安全策略,保证网络安全、可靠、连续与正常运行,当网络出现异常时及时响应并排除故障;通过网络状态监控、资源统计与性能分析,对网络做出及时调整与扩充,以便优化网 络性能 。

 

6. 网管模型

国际标准化组织( ISO)定义的网管模型包括 4 个部分:组织模型、信息模型、通信模型与功能模型。

Ÿ 组织模型描述网管系统的组成部分与结构;

Ÿ 信息模型描述网管系统的对象命名与结构;

Ÿ 通信模型描述网管系统使用的网管协议;

Ÿ 功能模型描述网管系统的主要功能。

7. 网管功能域

Ÿ 网络管理功能模型就是常说的网管功能域。

Ÿ 网管功能域定义的是主要的网管功能,并将这些功能划分为 5 个部分:

① 配置管理(Configuration Management)

② 故障管理(Fault Management)

③ 性能管理(Performance Management)

④ 安全管理(Security Management)

⑤ 记账管理(Accounting Management)

1)  配置管理

Ÿ 配置管理用于实现网络设备的配置与管理,主要是网络设备参数与设备之间的连接关系。

Ÿ 配置管理的主要内容包括:标识网络中的被管对象( 表示网络设备),识别网络拓扑结构( 生成拓扑图),修改设备配置(工作参数、连接关系)。

2)  故障管理

Ÿ 故障管理用于发现与解决网络中的故障,目的是保证网络连续、可靠地运行并提供服务。

Ÿ 故障管理的主要内容包括:故障检测(通过轮询机制或告警信息), 故障记录( 生成故障事件、告警信息或日志),故障诊断(通过诊断测试或故障跟踪),故障恢复(通过设备更换、维修或启用冗余设备)。

3)  性能管理

Ÿ 性能管理用于测试网络运行中的性能指标;

Ÿ 目的是检验网络服务是否达到预定水平,找出已发生的问题或潜在的瓶颈,通过数据分析与统计来建立性能分析模型,以便预先报告网络性能的变化趋势,并为网管决策提供必要的依据。

Ÿ 性能参数包括网络的吞吐率、利用率、响应时间、传输延时等。

Ÿ 性能管理可分为两个部分:性能监控与网络控制。其中,性能监控是指收集网络状态信息,网络控

制是指为改善性能采取的措施。

4)  安全管理

Ÿ 安全管理用于保护网络中的资源的安全,以及网管系统自身的安全性。

Ÿ 安全管理的主要内容包括:控制与维护对网络资源的网管访问权限,安全服务设施的建立、控制与删除,与安全措施有关的信息分发,与安全有关的事件通知,与安全有关的网络操作的记录、维护与查阅等,以及网络防病毒等。

5)  记账管理

Ÿ 记账管理用于监视与记录用户对网络资源的使用,以及计算网络运行成本与用户应交费用

Ÿ 记账管理的主要内容包括:统计网络资源使用情况(通信量、利用率等),确定计费方法(采用包月、计时、按流量等),计算用户账单( 根据资源、时段、费率等),分析网络运营成本与资费变更影响等。

8. 网络管理系统(NMS)

Ÿ 网络管理系统通常简称网管系统,它是用来实现网管功能的软件或硬件系统。

Ÿ 从逻辑结构上来看,网管系统通常包括 3 个部分:管理对象、管理进程与管理协议

① 管理对象(Managed Object) 是经过抽象的网络元素, 对应于网络中具体可以操作的数据;

② 管理进程(Management Process)是负责对网络设备进行管理与监控的软件,它安装在网络中的网管工作站与各种网络设备中。

③ 管理协议(Management Protocol)负责在网管工作站与网络设备的管理进程之间通信,传输信息包括发送的操作命令与返回的操作结果。

9. SNMP 协议

Ÿ  1987 年,IETF 制定了简单网关监控协议( Simple Gateway Monitoring Protocol,SGMP)。SGMP 是一种监控网关或路由器的协议, SNMP 协议在 SGMP 的基础上发展起来。

①  I989 年, IETF 制定 SNMP 第一个版本( snmpv1), 它是一种设计简单、易于实现的协议,但没有考虑安全问题;

②  1993 年,IETF 制定 SNMP 第二个版本( snmpv2),增加了操作类型与支持多种传输层协议,在提高安全性和更有效性地传递管理信息方面加以改进,具体包括提供验证、加密和时间同步机制;

③  1998 年,IETF 制定 SNMP 第 3 个版本( snmpv3),提供了安全性与改进的框架结构。

Ÿ  SNMP 是一种应用层的网络协议, 面向 Internet 的网管协议。

Ÿ  SNMP 在传输层采用支持无连接服务的 UDP 协议, 在传输管理信息之前不需要建立连接。

Ÿ  SNMP 协议采用轮询监控方式,管理器定时向代理请求获得管理信息,并根据返回信息判断是否发生异常。

Ÿ  SNMP 是 TCP/IP 协议族中的重要协议, 它的成功与 TCP/IP 协议是分不开的。

10. CMIP 协议

Ÿ  ISO 制定的是通用管理信息服务(Common Management Information Service, CMIS)与通用管理信息协议(Common Management Information Protocol,CMIP)。

Ÿ  CMIP 是基于 OSI 模型的网络管理协议, 致力于解决异构互联网络中的网络管理问题。

l  CMIS/CMIP建立在 OSI模型的基础上,两者共同提供通用的网管服务。

l  CMIP协议负责实现具体的网管操作,这些操作需使用 CMIS定义的各种服务原语。

l  CMIP是一种应用层的网络协议。

l  CMIP系统包括两个组成部分:CMIP客户机与服务器。

l  CMIP协议釆用委托监控的方式,管理者只需向代理发送监控请求,代理将会自动监视指定的管理对象,并在异常事件发生时向管理者告警。这种监控方式的特点是开销小、反应快。

11. 网络安全服务基本功能

网络安全服务应该提供以下基本保障。

1)   可用性

可用性是指,尽管存在可能的突发事件(例如停电、自然灾害、事故或攻击等)情况下,网络仍然可处于正常运转状态,用户可使用各种网络服务。

2)   机密性

机密性是指,保证网络中的数据不被非法截获或被非授权访问,保护敏感数据和涉及个入隐私信息的安全。

3)   完整性

完整性是指,保证数据在网络中传输、存储的完整,数据没有被修改、插入或删除。

4)   不可否认性

不可否认性是指,确认通信参与者的身份真实性,防止对已发送或已接收的信息否认现象的出现。

5)   可控性

可控性是指,能够控制与限定网络用户对主机系统、网络服务与网络信息资源的访问和使用,防止非授权用户读取、写入、删除数据。

12. 可信计算机系统评估准则(TESEC)

Ÿ  美国国防部公布了《可信计算机系统评估准则》TCSEC,将计算机系统的安全可信度从低到高分为 D、C、B、A 四类共七个级别:D 级,C1 级,C2 级,B1 级,B2 级,B3 级,A1 级。

Ÿ  (最小保护)D 级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何入只要启动系统就可以访问系统的资源和数据,如 DOS,Windows 的低版本和 DBASE 均是这一类(指不符合安全要求的系统,不能在多用户环境中处理敏感信息)。

Ÿ  (自主保护类)C1 级:具有自主访问控制机制、用户登录时需要进行身份鉴别。

Ÿ  (自主保护类)C2 级:具有审计和验证机制((对 TCB)可信计算机基进行建立和维护操作,防止外部入员修改)。如多用户的 UNIX 和 ORACLE 等系统大多具有 C 类的安全设施。

Ÿ  (强制安全保护类)B1 级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。

Ÿ  B2 级:具有形式化的安全模型,着重强凋实际评价的手段,能够对隐通道进行限制。(主要是对存储隐通道)

Ÿ  B3 级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对时间隐通道的限制。

Ÿ  A1 级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。(其安全功能,依次后面包含前面的)

13. 信息传输安全

信息传输安全是指保证信息在网络传输过程中不被泄露、篡改与伪造。

Ÿ  截获信息。信息从源结点开始传输,中途被攻击者非法截获,目的结点没有接收到该信息,因而造成信息在传输途中丢失。

Ÿ  窃听信息。信息从源结点传输到目的结点,但是中途被攻击者非法窃听。

Ÿ  篡改信息。信息从源结点传输到目的结点的途中被攻击者非法截获,攻击者修改信息或插入欺骗性的信息, 并将篡改后的信息发送给目的结点。

Ÿ  伪造信息。在这种情况下,源结点并没有信息要传送到目的结点。攻击者冒充源结点用户,将伪造的信息发送给目的结点。

14. 网络攻击的分类

网络攻击可以有两种分类方法:主动攻击与被动攻击、服务攻击与非服务攻击。

1)   主动攻击与被动攻击

Ÿ  被动攻击主要以收集信息为目的,信息的合法用户难以察觉这种活动,例如嗔探、漏洞扫描、信息收集等。

Ÿ  主动攻击不但进入对方系统搜集信息,同时要进行破坏活动,例如拒绝服务、信息算改、窃取信息、欺骗攻击等。

Ÿ  无论是主动攻击还是被动攻击,后果的严重程度有所区别,但是都是属于非法入侵的行为。

2)   服务攻击与非服务攻击

Ÿ  服务攻击是指攻击者对 E-mail、FTP、Web 或 DNS 服务器发起攻击,造成服务器工作不正常,甚至造成服务器瘫痪。

Ÿ  非服务攻击不针对某项具体应用服务,而是针对网络设备或通信线路。攻击者可能使用各种方法对网络设备(例如路由器、交换机、网关、防火墙等)与通信线路发起攻击,使得网络设备出现严重阻塞甚至瘫痪,或者造成线路阻塞,最终使网络通信中断。

15. DDoS 攻击的特征主要有以下几点:

Ÿ  被攻击主机上可能有大量等待应答的 TCP 连接。

Ÿ  网络中充斥着大量的无用数据包,并且数据包的源地址是伪造的。

Ÿ  大量无用数据包造成网络拥塞,使得网络工作不正常,甚至瘫痪。

Ÿ  被攻击主机可能在攻击发起之后的短短几秒钟后就处于瘫痪状态。

Ÿ  攻击服务器与傀儡机都是在不知情的情况下参与攻击行动,而真正的攻击者早已消失。

16. 对称加密与非对称加密

Ÿ 常用的加密技术可以分为两类: 对称加密(Symmetric Cryptography) 与非对称加密(Asymmetric Cryptography)。

Ÿ 在传统的对称密码系统中,加密用的密钥与解密用的密钥相同,密钥在通信中需要严格保密。

Ÿ 在非对称加密系统中,加密用的公钥与解密用的私钥不同,加密用的公钥可以向大家公开,而解​密用的私钥需要保密。

17. 典型的对称加密算法

1)   数据加密标准

数据加密标准(Data Encryption Standard,DES)是最典型的对称加密算法,它是由 IBM 公同提出、经 ISO

认定的国际标准。

2)   DES

DES 是一种典型的分组密码,它将数据分解成固定大小的分组,以分组为单位进行加密或解密。DES 每次处理一个 64 位的明文分组,并且每次生成一个 64 位的密文分组。DES 算法采用 64 位密钥长度,其中 8 位用于奇偶校

验,用户可使用其余的 56 位。

3)   3 重 DES

3 重 DES(triple DES,3DES)是针对 DES 安全问题的改进方案。

4)   高级加密标准

Ÿ  高级加密标准(Advanced Encryption Standard,AES)是后来出现的一种对称加密算法。

Ÿ  AES 将数据分解成固定大小的分组,以分组为单位进行加密或解密。

Ÿ  AES 的主要参数是:分组长度、密钥长度与计算轮数。分组长度与密钥长度可以是 32 位的整数倍,范围是128〜256位。AES规定分组长度为 128位,密钥长度可以为128、192或256位,根据密钥长度分别称为:

AES-128、AES-192或AES-256。

5)   其他对称加密算法主要包括 IDEA、Blowfish、RC2、RC4、RC5、CAST 等。

18. 公钥密码基本特征

Ÿ  公钥密码的基本特征是加密密钥与解密密钥不同,并且无法由加密密钥推导出解密密钥。

Ÿ  公钥密码技术提供了两个密钥:公钥与私钥。其中,公钥是可以公开的密钥;私钥是需要严格保密的密钥。

Ÿ  公钥密码技术使用的加密与解密算法公开。公钥密码的加密与解密算法是基于数学函数,而不是像对称密码那样地基于位模式的简单操作。

Ÿ  公钥密码的出现对保密性、密钥分发与认证等都有深远的影响。

19. 公钥密码的应用领域

公钥密码技术

主要应用领域

RSA

数据加密、数字签名与密钥交换

EGG

数据加密、数字签名与密钥交换

DSS

数字签名

ElGamal

数字签名

Diffie-Heilman

密钥交换

20. 典型的非对称加密算法

1)   RSA

Ÿ  1977年,Ron Rivest、Adi Shamir与Leonard Adleman 设计了一种加密算法,并用3 人的姓氏首字母命

名该算法。

Ÿ  RSA 的理论基础是寻找大素数相对容易,而分解两个大素数的积在计算上不可行。

Ÿ  RSA 算法的安全性建立在大素数分解极其困难的基础上。

2)   椭圆曲线密码(ECC)

Ÿ  1985 年,椭圆曲线密码由 Neal Koblitz 和 Victor Miller 分别提出;

Ÿ  其安全性建立在求解椭圆曲线离散对数的困难性上。

Ÿ  在同等密钥长度的情况下,ECC 算法的安全性要远高于RSA 算法等。

3)   其他非对称加密算法主要包括 DSS、ElGamal 与 Diffie-Hellman 等。

21.  公钥基础设施( PKI)

Ÿ PKI 是利用公钥加密和数字签名技术建立的安全服务基础设施,以保证网络环境中数据的秘密性、完整性与不可抵赖性。

Ÿ  PKI 是一种针对电子商务、电子政务应用,利用非对称加密体系,提供安全服务的通用性网络安全基础设施。

Ÿ  PKI 系统对用户是透明的,用户获得加密和数字签名服务时,无须知道 PKI 是如何管理证书与密钥。

Ÿ  PKI 建立的安全通信信任平台与密钥管理体系,能够为所有网络应用提供加密与数字签名服务,实现 PKI

系统的关键是密钥的管理。

Ÿ  PKI 的主要任务是确定用户可信任的合法身份。这个信任关系是通过公钥证书来实现。公钥证书就是用户身份与所持有公钥的结合,这是由可信任的第 3 方权威机构(认证中心)来确认。

22. 数字签名

Ÿ 在网络环境中,通常使用数字签名来模拟日常生活中的亲笔签名。

l  数字签名将信息发送人的身份与信息传送相结合,以保证信息在传输过程中的完整性,并提供信息发送者的身份认证,防止信息发送人抵赖行为的发生。

Ÿ 利用非对称加密(例如 RSA 算法) 进行数字签名是最常用的方法。

Ÿ  非对称加密算法(例如 RSA 算法)效率比较低,并对加密的信息块长度有一定的限制。在使用非对称加密算法进行数字签名前,通常先使用单向散列函数或哈希函数(Hashing Function 签名信息进行计算,生成信息摘要,并对信息摘要进行签名。

Ÿ  目前,广泛应用的数字签名算法是消息摘要(Message Digest5,MD5)。它是 Rivest 于 1994 年发表的一种单向散列算法,可对任意长度的数据生成 128 位的散列值,也叫作不可逆指纹。

Ÿ  MD5 算法没有对数据进行加密或修改,只是生成一个用于判断数据完整性与真实性的散列值。

Ÿ  因此,利用数字签名可验证数据在传输过程中是否被篡改,同时确认发送放的身份,防止信息交互中的抵赖现象发生。

23. TCP/IP 协议安全机制

Ÿ  在主机-网络层(数据链路层对应它的一部分)中,主要的安全协议包括 PPTP、L2TP 与 UF 等。

Ÿ  在互联层(或网络层)中,最主要的安全机制是 IPSec 的两个组成协议,即认证头部(AH)与封装安全有效载荷(ESP)。

Ÿ  在传输层中,主要的安全协议包括 SSL、SSH 与 SOCKS 等。

Ÿ  在应用层中,针对不同网络服务或应用的安全机制比较多,例如用于增强 Web 安全的 S-HTTP、用于保障邮件安全的 S/MIME、用于电子商务安全交易的 SET 等。

Ÿ  S/MIME 主要支持功能有:加密的数据、签名的数据、透明签名的数据、签名并加密的数据。

24. IPSec

Ÿ  IPSec 主要包括 3 个组成部分:认证头(Authentication Header,AH)、封装安全负载(Encapsulating Security Payload,ESP)与密钥管理协议。

Ÿ  其中,AH 协议可提供数据源身份认证、数据完整性认证,以及可选的抗重放数据包功能;

Ÿ  ESP 协议可提供 AH 协议的所有功能与数据加密服务;

Ÿ  密钥管理协议用于通信双方之间协商安全参数,例如工作模式、认证或加密算法、密钥与生存期等。

Ÿ  实际上,AH 与 ESP 协议都是网络层的安全协议,而密钥管理协议是应用层的安全协议。

25. 安全套接层(SSL)协议

Ÿ  SSL 协议使用非对称加密体制和数字证书技术,可保护信息传输的秘密性和完整性。SSL 是国际上最早应用于电子商务的一种网络安全协议。

Ÿ 同期, Microsoft 公司开发了类似的 PCT 协议。鉴于 SSL 与 PCT 不兼容的现状, IETF 发布了传输层协议( Transport Layer Security, TLS),希望推动传输层安全协议的标准化。

26. SSL 协议特点

Ÿ SSL 可用于 HTTP、FTP、TELNET 等, 但是目前主要应用于 HTTP 协议, 为基于 Web 服务的各种网络应用中的客户机与服务器之间的用户身份认证与安全数据传输提供服务。

Ÿ SSL 处于端系统的应用层与传输层之间, 在 TCP 之上建立一个加密的安全通道,为 TCP 协议的数据传输提供安全保障。

Ÿ 当 HTTP 协议使用 SSL 时, HTTP 请求、应答报文格式与处理方法不变。不同之处在于: 应用进程产生的报文通过 SSL 加密后, 再通过 TCP 连接传输; 在接收方的 TCP 软件将加密的报文传送给 SSL 解密后,再发送给应用层的 HTTP 协议。

Ÿ 当 Web 系统釆用 SSL 时, Web 服务器的默认端口号从 80 变换为 443,Web 浏览器使用 https 代替常用的 http。

l  SSL 主要包含两个协议:SSL 握手协议( SSL Handshake Protocol)与 SSL 记录协议( SSL Record Protocol),SSL 握手协议实现双方的加密算法协商与密钥传递; SSL 记录协议定义 SSL 数据传输格式, 实现对数据的加密与解密操作。

27. PGP 协议

Ÿ  PGP 协议于 1995 年开发, 包括电子邮件的加密、身份认证、数字签名等安全功能。

Ÿ  PGP 用来保证数据在传输过程中的安全, 它的设计思想与数字信封是一致的。

Ÿ  PGP 数字签名能够保证邮件的完整性、身份认证与不可抵赖性, 数据加密可以保证邮件内容的机密性。

Ÿ  它主要由 5 种服务组成:鉴别、机密性、压缩、电子邮件的兼容性和分段,支持多语种安装平台。

Ÿ  数字签名使用 DSS/SHA 或 RSA/SHA 算法,报文加密采用 CAST 或 IDEA,或使用 Diffie-Hellman 的 3DES 或

RSA 算法。

Ÿ  PGP 也提供了公共密钥认证机制,但是这个机制完全不同于通用的认证中心(CA)。PGP 公共密钥通过委托网站进行认证,它也可以通过互联网上的 PGP 公共密钥服务器发布。

28. 电子支付安全(SET)协议

Ÿ 电子商务是以 Internet 环境为基础,在计算机系统支持下进行的商务活动。

Ÿ 电子商务是基于浏览器/Web 服务器工作模式, 实现网上购物和在线支付的一种新型商业运营模式。

Ÿ SET 使用了对称加密与非对称加密体系, 以及数字信封、数字签名、信息摘要技术与双重签名技术,以保证信息在 Web 环境中传输和处理的安全性。

29. 防火墙主要功能

Ÿ 检查所有从外部网络进入内部网络的数据包。

Ÿ 检查所有从内部网络流出到外部网络的数据包。

Ÿ 执行安全策略,限制所有不符合安全策略要求的数据包通过。

Ÿ 具有防攻击能力,保证自身安全性的能力。

30. 网络防火墙构成

常用防火墙有 3 种:包过滤路由器、应用级网关和电路级网关。

1)  包过滤路由器

Ÿ  包过滤路由器依据一套规则对收到的 IP 包进行处理,决定是转发还是丢弃。

Ÿ 包过滤路由器也称为屏蔽路由器( Screening  Router), 它是被保护的内部网络与外部网络之间的第一道防线。

Ÿ 包过滤规则通常基于部分或全部报头内容。

Ÿ 路由器按照设置的分组过滤规则( 即访问控制表),检查每个分组的源地址、目的地址,决定该分组是否应该转发。例如,对于 TCP 报头信息,可以是源地址、目的地址、协议类型、IP 选项、源端口号、目的端口号、TCPACK 标识等。

Ÿ  包过滤路由器只工作于传输层也可以工作于应用层。

Ÿ  应用级网关也叫代理服务器,它在应用级的通信中扮演着一个消息传递者的角色。应用级网关不足之处在于它在每次连接中有多余的处理开销,处理数据时开销较大。

Ÿ  电路级网关不允许一个端到端的直接 TCP 连接。

31. 入侵检测系统的基本功能

①  监控、分析用户和系统的行为;

②  检查系统的配置和漏洞;

③  评估重要的系统和数据文件的完整性;

④  对异常行为的统计分析,识别攻击类型,并向网络管理入员报警;

⑤  对操作系统进行审计、跟踪管理,识别违反授权的用户活动;

32. 网络蠕虫

Ÿ 网络蠕虫的权威定义是:一种无须用户干预、依靠自身复制能力、自动通过网络进行传播的恶意代码。

Ÿ 具有以下几个特点:冲击力度大,已导致很多部门的网络遭到严重破坏;大量通过垃圾邮件群发, 利用系统漏洞快速传播。

33. 蠕虫和病毒的区别

主要表现在以下几个方面:

Ÿ  蠕虫是独立的程序,而病毒是寄生到其他程序中的一段程序。

Ÿ  蠕虫是通过漏洞进行传播,而病毒是通过复制自身到宿主文件来实现传播。

Ÿ  蠕虫感染计算机,而病毒感染的是文件系统。

Ÿ  蠕虫会造成网络拥塞甚至瘫痪,而病毒破坏计算机的文件系统。

Ÿ  防范蠕虫可通过及时修复漏洞的方法,而防治病毒需要依靠杀毒软件来查杀。

34. 认证中心(Certification   Authority,CA)

Ÿ  为了解决公共密钥可能会遭受第 3方的主动攻击,在实际当中引入了一个可信媒介--- 认证中心。

Ÿ  认证中心(Certification  Authority,CA)验证一个公共密钥是否属于一个特殊实体。

Ÿ  认证中心负责将公共密钥和特定实体进行绑定,它的工作是证明身份的真实性和发放证书,

Ÿ  国际电信联盟(ITU)和 IETF 制定了认证中心的标准。

Ÿ  CA 具有以下作用:

①  CA 验证实体(个入、路由器等)的身份。

②  一旦 CA 验证了实体的身份,CA 就可以产生一个证书,将这个公共密钥和身份进行绑定。

35. 信息存储安全措施

信息存储安全措施至少要包括 3 类:

①  社会的法律政策、企业的规章制度及网络安全教育;

②  技术方面的措施,如防火墙技术、防病毒、信息加密、身份确认以及授权即设置访问权限等;

③  审计与管理措施,包括技术与社会措施。主要有实时监控、提供安全策略改变的能力以及对安全系统实施漏洞检查等。

36. Caesar 密码加密

Ÿ  Caesar 密码加密方法为,对每一个字母用它之后的第 3 个字母来代换,明文空间和密文空间都是 26 个英文字母的集合。

Ÿ  Caesar 密钥取值范围为 1-25,最大的可能取值是 25。

37.密文攻击

Ÿ  唯密文攻击指的是在仅知已加密文字的情况下进行穷举攻击。

Ÿ  已知明文攻击指攻击者掌握了某段明文和对应密文,推断加密方式,从而破解后段密文的攻击方式。

Ÿ  选择明文攻击是指攻击者不仅已知加密算法和密文,而且还能够通过某种方式让发送者在发送的信息中插入一段由他选择的信息。

Ÿ  选择密文攻击的密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻击的加密算法解密,透过未知的密钥获得解密后的明文。

38. 背包加密算法

背包加密算法是一种公钥加密算法,该算法中背包的物品总重量是公开的,所有可能的物品也是公开的,但是背包中的物品却是保密的,它是一个 NP 难度问题。目前大多数一次背包体制均被破译了,一次背包已不安全了。

39. Blowfish 算法

Ÿ  Blowfish 算法是由 Bruce  Schneier 设计的一种对称分组密码;

Ÿ  Blowfish 是一个可变密钥长度的分组密码算法,分组长度为 64 位;

Ÿ  Blowfish 算法所有的运算都是 32 位字的加法和异或,仅有的另一个运算是每轮的四个查表。

40. RC5 算法

Ÿ  RC5 算法是 Ron Rivest 设计的一种堆成加密算法,它是参数可变的分组密码算法;

Ÿ  3 个可变的参数是:分组大小、密钥大小和加密轮数。

Ÿ  在此算法中使用了 3 种运算:异或、加和循环。

41.X.509 公共密钥证书

Ÿ  在 X.509 公共密钥证书中,主题名是实体的身份,其公钥与证书相关,以 DN 格式表示;

Ÿ  版本字段是 X.509 说明书的版本号;

Ÿ  合法时期表示证书有效期的起止时间;

Ÿ  发行者名是签发证书CA身份,以 DN格式[RFC-2253]表示。

42.数字版权管理

数字版权管理主要采用的技术为数字水印、版权保护、数字签名和数据加密。

上一篇

第五章 新型网络应用

更新 2025/10/03 10:13

下一篇

第十一章 网络管理技术

更新 2025/10/03 10:13