密碼學(xué)與網(wǎng)絡(luò)安全知識點(diǎn)歸納總結(jié)

1、網(wǎng)絡(luò)信息安全技術(shù) 學(xué)問點(diǎn)總結(jié) 一,信息安全的含義 1, 信息安全的三個(gè)基本方面 保密性 Confidentiality ；即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者； 完整性 Integrity 數(shù)據(jù)完整性,未被未授權(quán)篡改或者損壞 系統(tǒng)完整性,系統(tǒng)未被非授權(quán)操縱,按既定的功能運(yùn)行 可用性 Availability ；即保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者供應(yīng)服務(wù), 而不要顯現(xiàn) 非授權(quán)者濫用卻對授權(quán)者拒絕服務(wù)的情形； 2, 網(wǎng)絡(luò)安全面臨的威逼： 基本安全威逼： 信息泄露（隱秘性）：竊聽,探測 完整性破壞（完整性）：修改,復(fù)制 拒絕服務(wù)（可用性）：加大負(fù)載,中斷服務(wù) 非法使用（合法性）：侵入運(yùn)算機(jī)系統(tǒng),

2、盜用 潛在的安全威逼 偶發(fā)威逼與有意威逼 偶發(fā)性威逼：指那些不帶預(yù)謀妄圖的威逼,發(fā)出的威逼不帶主觀有意； 有意性威逼：指發(fā)出的威逼帶有主觀有意,它的范疇可以從使用易行的監(jiān) 視工具進(jìn)行任憑的監(jiān)聽和檢測,到使用特別的專用工具進(jìn)行攻擊； 主動(dòng)威逼或被動(dòng)威逼 主動(dòng)威逼： 指對系統(tǒng)中所含信息的篡改, 或?qū)ο到y(tǒng)的狀態(tài)或操作的轉(zhuǎn)變； 如消息 篡改 被動(dòng)威逼： 不對系統(tǒng)中所含信息進(jìn)行直接的任何篡改, 不受轉(zhuǎn)變；如竊聽 3,網(wǎng)絡(luò)安全服務(wù) 而且系統(tǒng)的操作與狀態(tài)也 第 1 頁,共 14 頁在運(yùn)算機(jī)通信網(wǎng)絡(luò)中,系統(tǒng)供應(yīng)的主要的安全防護(hù)措施被稱作安全服務(wù)；安全服務(wù)主 要包括： 認(rèn)證 拜望把握 隱秘性 完整性 不行否認(rèn)性

3、 二,密碼學(xué)概述 1, 密碼學(xué)爭論的目的是數(shù)據(jù)保密； 數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是加密機(jī)制； 2, 密碼學(xué)包括兩部分親熱相關(guān)的內(nèi)容：密碼編制學(xué)和密碼分析學(xué)； 3, 密碼系統(tǒng)包括以下 4 個(gè)方面：明文空間,密文空間,密鑰空間和密碼算法； 4,密碼算法的分類： （ 1）依據(jù)密鑰的特點(diǎn)分類：對稱密碼算法 （又稱傳統(tǒng)密碼算法,隱隱秘鑰算法或單密 鑰算法）和非對稱密鑰算法（又稱公開密鑰算法或雙密鑰算法） 對稱密碼算法（ symmetric cipher ：就是加密密鑰和解密密鑰相同,或?qū)嵸|(zhì)上等同, 即從一個(gè)易于推出另一個(gè)；非對稱密鑰算法（ asymmetric cipher ：加密密鑰和解密密鑰不相 同,

4、從一個(gè)很難推出另一個(gè)；非對稱密鑰算法用一個(gè)密鑰進(jìn)行加密 , 而用另一個(gè)進(jìn)行解密； 其中的加密密鑰可以公開 ,又稱公開密鑰（ publickey ,簡稱公鑰；解密密鑰必需保密,又稱 私人密鑰（ private key ,簡稱私鑰； （ 2）依據(jù)明文的處理方法： 序列密碼； 分組密碼（ block cipher 和流密碼（ stream cipher 又稱 例題 : 簡述公開密鑰密碼機(jī)制原理的特點(diǎn)； 公開密鑰密碼體制是使用具有兩個(gè)密鑰的編碼解碼算法,加密和解密的才能是分開的； 這兩個(gè)密鑰一個(gè)保密, 另一個(gè)公開； 依據(jù)應(yīng)用的需要, 發(fā)送方可以使用接收方的公開密鑰加 密消息, 或使用發(fā)送方的私有密鑰簽

5、名消息, 碼功能； 或兩個(gè)都使用, 以完成某種類型的密碼編碼解 第 2 頁,共 14 頁5,對稱密碼的兩個(gè)基本運(yùn)算 . 代替 Substitution . 置換 permutation 6,密碼分析攻擊的方式 依據(jù)攻擊者所把握的信息 ,可將分組密碼的攻擊分為以下幾類 : 唯密文攻擊 已知明文攻擊 選擇明文攻擊 7,分組密碼的工作模式 1）, Electronic Codebook BookECB 電子密碼本 簡潔和有效 可以并行實(shí)現(xiàn) 不能隱匿明文的模式信息 相同明文 相同密文 同樣信息多次顯現(xiàn)造成泄漏 對明文的主動(dòng)攻擊是可能的 信息塊可被替換,重排,刪除,重放 誤差傳遞：密文塊損壞 僅對應(yīng)明文

6、塊損壞 適合于傳輸短信息 2）, Cipher Block ChainingCBC 密碼分組鏈接 沒有已知的并行實(shí)現(xiàn)算法 能隱匿明文的模式信息 需要共同的初始化向量 IV 相同明文 不同密文 初始化向量 IV 可以用來轉(zhuǎn)變第一塊 對明文的主動(dòng)攻擊是不簡潔的 信息塊不簡潔被替換,重排,刪除,重放 誤差傳遞：密文塊損壞 兩明文塊損壞 安全性好于 ECB 適合于傳輸長度大于 64 位的報(bào)文, 仍可以進(jìn)行用戶鑒別 ,是大多系統(tǒng)的標(biāo)準(zhǔn)如 SSL, IPSec 3）, Cipher FeedBackCFB 密碼反饋 第 3 頁,共 14 頁分組密碼 流密碼 沒有已知的并行實(shí)現(xiàn)算法 隱匿了明文模式 需要共同

7、的移位寄存器初始值 IV 對于不同的消息, IV 必需唯獨(dú) 誤差傳遞：一個(gè)單元損壞影響多個(gè)單元 4）, Output FeedBackOFB 輸出反饋 OFB: 分組密碼 流密碼 沒有已知的并行實(shí)現(xiàn)算法 隱匿了明文模式 需要共同的移位寄存器初始值 IV 誤差傳遞：一個(gè)單元損壞只影響對應(yīng)單元 對明文的主動(dòng)攻擊是可能的 信息塊可被替換,重排,刪除,重放 安全性較 CFB 差 5）, CounterCTR 計(jì)數(shù)器模式 ； 8, Simplified DES 方案,簡稱 S-DES 方案； 加密算法涉及五個(gè)函數(shù)： 1初始置換 IPinitial permutation 2復(fù)合函數(shù) fk1 ,它是由密鑰

8、 K 確定的,具有置換和替代的運(yùn)算； 3轉(zhuǎn)換函數(shù) SW 4復(fù)合函數(shù) fk2 5初始置換 IP 的逆置換 IP-1 密文 =IP-1 （ fk2SWfk1IP 明文 ,明文 =IP-1 （ fk1SWfk2IP 密文 加密密鑰 64 位,其中 56 位有效密鑰； 三,現(xiàn)代常規(guī)分組加密算法 . 1. Triple DES . 2. IDEA . 3. RC5 . 4. RC6 . 5. AES 四, 兩種密碼算法對比 . 對稱密碼算法 運(yùn)算速度快,密鑰短,多種用途（隨機(jī)數(shù)產(chǎn)生, Hash 函數(shù)）,歷史悠久 密鑰治理困難（分發(fā),更換） . 非對稱密碼算法 只需保管私鑰,可以相當(dāng)長的時(shí)間保持不變,需要

9、的數(shù)目較小 運(yùn)算速度慢,密鑰尺寸大,歷史短 五,幾個(gè)概念 . 消息鑒別 （ Message Authentication ：是一個(gè)證明收到的消息來自可信的源點(diǎn)且未被篡 改的過程； . 散列函數(shù) （ Hash Functions：一個(gè)散列函數(shù)以一個(gè)變長的報(bào)文作為輸入, 并產(chǎn)生一個(gè) 定長的散列碼,有時(shí)也稱報(bào)文摘要,作為輸出； . hash 函數(shù)的特點(diǎn)是：已知 M 時(shí),利用 hM 很簡潔運(yùn)算出 h；已知 h 時(shí),要想從 hM 運(yùn)算出 M 確并不很簡潔； . 數(shù)字簽名（ Digital Signature ）：是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù)； . 數(shù)字簽名要預(yù)先使用單向 Hash 函數(shù)進(jìn)行處理的緣

10、由是縮小簽名密文的長度,加快數(shù) 字簽名和驗(yàn)證簽名的運(yùn)算速度； 例題： 為了提高數(shù)字簽名的安全性和效率, 通常是先對明文信息 M 作 哈希 變 換,然后再對變換后的信息進(jìn)行簽名； . 鑒別 Authentication ：真?zhèn)涡裕ㄐ旁?消息完整性） . 認(rèn)證 Certification ：資格審查 基于通信雙方共同擁有的但是不為別人知道的隱秘, 利用運(yùn)算機(jī)強(qiáng)大的運(yùn)算才能, 以該 隱秘作為加密和解密的密鑰的認(rèn)證是共享密鑰認(rèn)證； 身份認(rèn)證是 驗(yàn)證信息發(fā)送者是真的 六,可用來做鑒別的函數(shù)分為三類： ,而不是冒充的, 包括信源, 信宿等的認(rèn)證和識別； . 消息加密函數(shù) Message encryptio

11、n ：用完整信息的密文作為對信息的鑒別； . 消息鑒別碼 MACMessage Authentication Code ：公開函數(shù) +密鑰產(chǎn)生一個(gè)固定長度的 值作為鑒別標(biāo)識 . 散列函數(shù) Hash Function ：是一個(gè)公開的函數(shù),它將任意長的信息映射成一個(gè)固定長 度的信息； 七,消息鑒別碼 MAC使用一個(gè)密鑰生成一個(gè)固定大小的小數(shù)據(jù)塊,并加入到消息中,稱 MAC （ Message AuthenticationCode）, 或密碼校驗(yàn)和； （ cryptographicchecksum）： MAC = CKM . 接收者可以確信消息 M 未被轉(zhuǎn)變； . 接收者可以確信消息來自所聲稱的發(fā)送

12、者； . 假如消息中包含次序碼（如 HDLC,X.25,TCP ）,就接收者可以保證消息的正常次序；MAC 函數(shù)類似于加密函數(shù),但不需要可逆性；因此在數(shù)學(xué)上比加密算法被攻擊的弱點(diǎn) 第 5 頁,共 14 頁要少； 八,數(shù)字簽名算法 . 一般數(shù)字簽名算法 RSA ：建立在大合數(shù)因之分解的困難性上 EIGamal ：有限域上離散對數(shù)問題的難解性 . 不行否認(rèn)的數(shù)字簽名算法 . 群簽名算法（應(yīng)用 : 投標(biāo)） . 盲簽名算法（應(yīng)用 : 電子貨幣 ,電子選舉；盲簽名過程 : 消息 盲變換 簽名 接收者 逆盲變換） . 數(shù)字簽名的作用； 當(dāng)通信雙方發(fā)生了以下情形時(shí),數(shù)字簽名技術(shù)能夠解決引發(fā)的爭端： （ 1）

13、否認(rèn),發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文； （ 2）偽造,接收方自己偽造一份報(bào)文,并聲稱它來自發(fā)送方； （ 3）冒充,網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文； （ 4）篡改,接收方對收到的信息進(jìn)行篡改； . 數(shù)字簽名通過如下的流程進(jìn)行： 1 接受散列算法對原始報(bào)文進(jìn)行運(yùn)算,得到一個(gè)固定長度的數(shù)字串,稱為報(bào)文摘要 Message Digest ,不同的報(bào)文所得到的報(bào)文摘要各異, 是惟一的； 在數(shù)學(xué)上保證, 只要改動(dòng)報(bào)文中任何一位, 原先的值不相符,這樣就保證了報(bào)文的不行更換性； 但對相同的報(bào)文它的報(bào)文摘要卻 重新運(yùn)算出的報(bào)文摘要值就會與 2 發(fā)送方用目己的私有密鑰對摘要進(jìn)行加密來形成數(shù)字簽名；

14、 3 這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方； 4 接收方第一對接收到的原始報(bào)文用同樣的算法運(yùn)算出新的報(bào)文摘要, 再用發(fā)送方的 公開密鑰對報(bào)文附件的數(shù)字簽名進(jìn)行解密, 比較兩個(gè)報(bào)文摘要, 假如值相同, 接收方就 能確認(rèn)該數(shù)字簽名是發(fā)送方的,否就就認(rèn)為收到的報(bào)文是偽造的或者中途被篡改； PKI 九,公開密鑰基礎(chǔ)設(shè)施 . PKI 是一個(gè)用公鑰概念與技術(shù)來實(shí)施和供應(yīng)安全服務(wù)的普適性基礎(chǔ)設(shè)施 . . PKI 是一種標(biāo)準(zhǔn)的密鑰治理平臺,它能夠?yàn)槿烤W(wǎng)絡(luò)應(yīng)用透亮地供應(yīng)接受加密和數(shù)據(jù) 簽名等密碼服務(wù)所必需的密鑰和證書治理； .數(shù)字證書（ Digital Certificate ）是由權(quán)威機(jī)構(gòu) C

15、A 發(fā)行的一種權(quán)威性的電子文檔,是用 于證明網(wǎng)絡(luò)某一用戶的身份以及其公開密鑰的合法性等； 十, PKI 基本組件 . 注冊機(jī)構(gòu) RA 第 6 頁,共 14 頁. 認(rèn)證機(jī)構(gòu) CA . 證書庫 CR . 密鑰備份及復(fù)原系統(tǒng) . 證書作廢處理系統(tǒng) . PKI 應(yīng)用接口系統(tǒng)（透亮性,可擴(kuò)展性,支持多種用戶,互操作性） 十一, PKI 供應(yīng)的基本服務(wù) . 鑒別 接受數(shù)字簽名技術(shù),簽名作用于相應(yīng)的數(shù)據(jù)之上 . 被鑒別的數(shù)據(jù) 數(shù)據(jù)源鑒別服務(wù) . 用戶發(fā)送的遠(yuǎn)程請求 身份鑒別服務(wù) . 遠(yuǎn)程設(shè)備生成的 challenge 信息 身份鑒別 . 完整性 PKI 接受了兩種技術(shù) 數(shù)字簽名：既可以是實(shí)體認(rèn)證,也可以是數(shù)

16、據(jù)完整性 MAC 消息認(rèn)證碼 ：如 DES-CBC-MAC 或者 HMAC-MD5 . 保密性 用公鑰分發(fā)隨隱秘鑰,然后用隨隱秘鑰對數(shù)據(jù)加密 . 不行否認(rèn) 發(fā)送方的不行否認(rèn) 數(shù)字簽名 接受方的不行否認(rèn) 收條 + 數(shù)字簽名 .常規(guī)加密密鑰的支配方案有集中式密鑰支配方案和分散式密鑰支配方案； 十二,拜望把握的幾個(gè)概念 拜望把握 的目的是為了限制拜望主體對拜望客體的拜望權(quán)限； 拜望把握是指確定用戶權(quán)限以及實(shí)施拜望權(quán)限的過程； 類組織成組,以防止拜望把握表過于龐大； . 拜望把握策略 Access Control Policy: 為了簡化治理, 通常對拜望者分 拜望把握策略在系統(tǒng)安全策略級上表示授權(quán)；

17、是對拜望如何把握 ,如何作出拜望決 定的高層指南；幾個(gè)拜望把握策略： 自主拜望把握（ discretionary policies, 基于身份的拜望把握 IBACIdentity Based Access Control windowsNT 的拜望把握策略 強(qiáng)制拜望把握 mandatory policies, 基于規(guī)章的拜望把握 RBAC （Rule Based Access Control ） 基于角色的拜望把握 role-based policies 十三,自主 /強(qiáng)制拜望的問題 . 自主拜望把握 配置的粒度小 第 7 頁,共 14 頁配置的工作量大,效率低 . 強(qiáng)制拜望把握 配置的粒度大

18、 缺乏靈敏性 十四,角色與組的概念 每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián),角色中所屬的用戶可以有權(quán)執(zhí)行這些操 作； A role can be defined as a set of actions and responsibilities associated with a particular working activity. . 角色與組的區(qū)分 組：一組用戶的集合； 角色：一組用戶的集合 物； + 一組操作權(quán)限的集合與現(xiàn)代的商業(yè)環(huán)境相結(jié)合的產(chǎn) . 基于角色的拜望把握是一個(gè)復(fù)合的規(guī)章, 可以被認(rèn)為是 IBAC 和 RBAC 的變體； 一個(gè) 身份被支配給一個(gè)被授權(quán)的組； . 起源于 UN

19、IX 系統(tǒng)或別的操作系統(tǒng)中組的概念 9, 實(shí)現(xiàn)身份鑒別的途徑 ,. 三種途徑之一或他們的組合 （ 1）所知（ Knowledge ） : 密碼,口令 （ 2）全部（ Possesses身 : 份證,護(hù)照,信用卡,鑰匙 （ 3）個(gè)人特點(diǎn)：指紋,筆跡,聲紋,手型,血型,視網(wǎng)膜,虹膜, DNA 以及個(gè)人動(dòng)作 方面的一些特點(diǎn) 十五,Kerberos 鑒別協(xié)議小結(jié) 三個(gè)功能： 認(rèn)證 Authentication ,清算 Accounting,審計(jì) AuditKerberos 針對分布式環(huán)境, 客戶在登錄時(shí), 需要認(rèn)證； 用戶必需獲得由認(rèn)證服務(wù)器 發(fā)行的許可證, 才能使用目標(biāo)服務(wù)器上的服務(wù)； 清算 Acc

20、ounting ,審計(jì) Audit ； . 特點(diǎn) 基于口令的鑒別協(xié)議 它供應(yīng)了三個(gè)功能： 認(rèn)證 Authentication , 利用對稱密碼技術(shù)建立起來的鑒別協(xié)議 可伸縮性 可適用于分布式網(wǎng)絡(luò)環(huán)境 環(huán)境特點(diǎn) . User-to-server authentication 十六, IPSec 的應(yīng)用方式 IPSec 協(xié)議中負(fù)責(zé)對 IP 數(shù)據(jù)報(bào)加密的部分封裝安全負(fù)載（ ESP） IPSec 和 IP 協(xié)議以及 VPN 的關(guān)系是什么？ IP 協(xié)議無法對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)供應(yīng)完整性和隱秘性保密, 無法對通信雙方身份進(jìn)行 第 8 頁,共 14 頁認(rèn)證；這些安全問題之所以會顯現(xiàn),根本緣由在于 IPSec

21、是一種由 IETF 設(shè)計(jì)的端到端的確保 IP 協(xié)議沒有接受安全機(jī)制； IP 層通信安全的機(jī)制； 不是一個(gè)單獨(dú)的協(xié)議, 而是一組協(xié)議； IPSec 是隨著 IPv6 的制定而產(chǎn)生的,后來也增加了對 IPv4 的支持；在前者 中是必需支持的,在后者中是可選的； IPSec 作為一個(gè)第三層隧道協(xié)議實(shí)現(xiàn)了 VPN 通信,可以為 IP 網(wǎng)絡(luò)通信供應(yīng)透亮的 安全服務(wù), 免遭竊聽和篡改,保證數(shù)據(jù)的完整性和隱秘性,有效抵抗網(wǎng)絡(luò)攻擊,同時(shí)保持易 用性； . 端到端（ end-end:主機(jī)到主機(jī)的安全通信 . 端到路由（ end-router: 主機(jī)到路由設(shè)備之間的安全通信 . 路由到路由（ router-rou

22、ter: 路由設(shè)備之間的安全通信,常用于在兩個(gè)網(wǎng)絡(luò)之間建立虛 擬私有網(wǎng)（ VPN ）； 十七, IPSec 的運(yùn)行模式 傳輸模式 隧道模式 十八, IPSec 供應(yīng)的服務(wù) IPSec 在 IP 層供應(yīng)安全服務(wù), 使得系統(tǒng)可以選擇所需要的安全協(xié)議, 確定該服務(wù)所用的 算法,并供應(yīng)安全服務(wù)所需任何加密密鑰； 拜望把握 AH ESP僅加密） ESP加密 +鑒別 無連接完整性 數(shù)據(jù)源鑒別 拒絕重放分組 隱秘性 有限通信量的隱秘 性 十九, VPN1, VPN 的基本概念 VPN 是 Virtual Private Network 的縮寫,是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干 網(wǎng),特別是 Inter

23、net 連接而成的規(guī)律上的虛擬子網(wǎng)； Virtual 是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的； 立一個(gè)規(guī)律上的專用通道, 盡管沒有自己的專用線路, VPN 就是利用公共網(wǎng)絡(luò)資源和設(shè)備建 但它卻可以供應(yīng)和專用網(wǎng)絡(luò)同樣的功 第 9 頁,共 14 頁能； Private 表示 VPN 是被特定企業(yè)或用戶私有的,公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以 使用；在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證,保證了傳輸內(nèi)容的完整性和隱秘性； 2. VPN 使用的主要技術(shù)； 1）隧道（封裝）技術(shù) 是目前實(shí)現(xiàn)不同 VPN 用戶業(yè)務(wù)區(qū)分的基本方式；一個(gè) VPN 可抽 象為一個(gè)沒有自環(huán)的連通圖, 每個(gè)頂點(diǎn)代表一個(gè) VPN 端點(diǎn)（用

24、戶數(shù)據(jù)進(jìn)入或離開 VPN 的設(shè) 備端口）,相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對應(yīng)端點(diǎn)的規(guī)律通道,即隧道； 隧道以疊加在 IP 主干網(wǎng)上的方式運(yùn)行；需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)確定的封裝處理, 從信源的一個(gè) VPN 端點(diǎn)進(jìn)入 VPN ,經(jīng)相關(guān)隧道穿越 VPN （物理上穿越擔(dān)憂全的互聯(lián)網(wǎng)） , 到達(dá)信宿的另一個(gè) VPN 端點(diǎn), 再經(jīng)過相應(yīng)解封裝處理, 便得到原始數(shù)據(jù)； （不僅指定傳送的 路徑,在中轉(zhuǎn)節(jié)點(diǎn)也不會解析原始數(shù)據(jù)） 2） 當(dāng)用戶數(shù)據(jù)需要跨過多個(gè)運(yùn)營商的網(wǎng)絡(luò)時(shí),在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù) 據(jù)分組需要被解封裝和再次封裝, 可能會造成數(shù)據(jù)泄露, 這就需要用到 加密技術(shù)和密鑰治理 技術(shù) ；目前主要的密

25、鑰交換和治理標(biāo)準(zhǔn)有 SKIP 和 ISAKMP （安全聯(lián)盟和密鑰治理協(xié)議） ； 3） 對于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的 VPN ,在隧道建立之前需要確認(rèn)拜望者身份, 是否可以建立要求的隧道, 如可以, 系統(tǒng)仍需依據(jù)拜望者身份實(shí)施資源拜望把握； 這需要訪 問者與設(shè)備的 身份認(rèn)證技術(shù)和拜望把握技術(shù) ； 3.其次層隧道協(xié)議和第三層隧道協(xié)議 （ 1）其次層隧道協(xié)議是在數(shù)據(jù)鏈路層進(jìn)行的,先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 包中,再 把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中, 這種經(jīng)過兩層封裝的數(shù)據(jù)包由其次層協(xié)議進(jìn)行傳輸； 其次層 隧道協(xié)議有以下幾種： L2F , PPTP, L2TP ； （ 2）第三層隧道協(xié)議是在網(wǎng)絡(luò)層

26、進(jìn)行的,把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成 的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸；第三層隧道協(xié)議有以下幾種： 的三種類型及使用的場合 （ 1） Access VPN （遠(yuǎn)程接入網(wǎng)） IPSec, GRE ； 即所謂移動(dòng) VPN ,通常所說的移動(dòng) VPN 就是指 Access VPN；它適用于企業(yè)內(nèi)部人 員流淌頻繁和遠(yuǎn)程辦公的情形,出差員工或在家辦公的員工利用當(dāng)?shù)?ISP 就可以和企業(yè)的 VPN 網(wǎng)關(guān)建立私有的隧道連接； 通過撥入當(dāng)?shù)氐?ISP 進(jìn)入 Internet 再連接企業(yè)的 VPN 網(wǎng)關(guān), 在用戶和 VPN 網(wǎng)關(guān)之間建立一個(gè)安全的 “隧道”,通過該隧道安全地拜望遠(yuǎn)程的內(nèi)部網(wǎng) （節(jié) 省通信費(fèi)

27、用,又保證了安全性） ；撥入方式包括撥號, ISDN ,ADSL 等,唯獨(dú)的要求就是能 夠使用合法 IP 地址拜望 Internet ； （ 2） Intranet VPN （內(nèi)聯(lián)網(wǎng)） 第 10 頁,共 14 頁假如要進(jìn)行企業(yè)內(nèi)部異地分支結(jié)構(gòu)的互聯(lián),可以使用 Intranet VPN 的方式,即所謂 的網(wǎng)關(guān)對網(wǎng)關(guān) VPN ；在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的 VPN 隧道,兩端的內(nèi)部 網(wǎng)絡(luò)可以通過該 VPN 隧道安全地進(jìn)行通信； （ 3） Extranet VPN （外聯(lián)網(wǎng)） 假如一個(gè)企業(yè)期望將客戶, 供應(yīng)商, 合作伙伴連接到企業(yè)內(nèi)部網(wǎng), 可以使用 Extranet VPN ；其實(shí)也是一

28、種網(wǎng)關(guān)對網(wǎng)關(guān)的 安全配置； VPN ,但它需要有不同協(xié)議和設(shè)備之間的協(xié)作和不同的 二十,防火墻（防火墻技術(shù)和應(yīng)用應(yīng)當(dāng)好好看看） . 定義：防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間,執(zhí)行拜望把握策略的一個(gè)或一組系統(tǒng),是 一類防范措施的總稱 . . 防火墻的體系結(jié)構(gòu) 包過濾型防火墻 （ Package Filtering 雙宿 /多宿主機(jī)模式 Dual-Homed /Multi-Homed Host Firewall 屏蔽主機(jī)模式 Screened Host Firewall 屏蔽子網(wǎng)模式 Screened Subnet mode；有一臺主機(jī)和兩臺路由器組成, 兩臺路 由器分別連接到內(nèi)部網(wǎng)絡(luò)和 Intern

29、et ； 其他模式 . 防火墻的幾個(gè)基本功能 1 隔離不同的網(wǎng)絡(luò),限制安全問題的擴(kuò)散,對安全集中治理,簡化了安全治理的復(fù)雜 程度； 2 防火墻可以便利地記錄網(wǎng)絡(luò)上的各種非法活動(dòng),監(jiān)視網(wǎng)絡(luò)的安全性,遇到緊急情形 報(bào)警； 3 防火墻可以作為部署 NAT 的地點(diǎn),利用 NAT 技術(shù),將有限的 IP 地址動(dòng)態(tài)或靜態(tài)地 與內(nèi)部的 IP 地址對應(yīng)起來,用來緩解地址空間短缺的問題或者隱匿內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)； 4 防火墻是審計(jì)和記錄 Internet 使用費(fèi)用的一個(gè)正確地點(diǎn)； 5 防火墻也可以作為 IPSec 的平臺； 6 內(nèi)容把握功能；依據(jù)數(shù)據(jù)內(nèi)容進(jìn)行把握,比如防火墻可以從電子郵件中過濾掉垃圾 郵件,可以過濾掉

30、內(nèi)部用戶拜望外部服務(wù)的圖片信息； 現(xiàn)； . 包過濾防火墻的過濾原理 只有代理服務(wù)器和先進(jìn)的過濾才能實(shí) 包過濾防火墻也稱分組過濾路由器,又叫網(wǎng)絡(luò)層防火墻,由于它是工作在網(wǎng)絡(luò)層； 路由 器便是一個(gè)網(wǎng)絡(luò)層防火墻, 由于包過濾是路由器的固有屬性； 它一般是通過檢查單個(gè)包的地 址,協(xié)議,端口等信息來準(zhǔn)備是否答應(yīng)此數(shù)據(jù)包通過,有靜態(tài)和動(dòng)態(tài)兩種過濾方式； 第 11 頁,共 14 頁這種防火墻可以供應(yīng)內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容, 把判 斷的信息同規(guī)章表進(jìn)行比較,在規(guī)章表中定義了各種規(guī)章來說明是否同意或拒絕包的通過； 包過濾防火墻檢查每一條規(guī)章直至發(fā)覺包中的信息與某規(guī)章相符；假如沒有一條規(guī)

31、章能符 合,防火墻就會使用默認(rèn)規(guī)章（丟棄該包） 是雙向的； 二十一,入侵檢測 .什么是 IDS ,它有哪些基本功能？ ；在制定數(shù)據(jù)包過濾規(guī)章時(shí),確定要留意數(shù)據(jù)包 入侵檢測系統(tǒng) IDS,它從運(yùn)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的如干關(guān)鍵點(diǎn)收集信息,并分析這些信息, 檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到突擊的跡象； 入侵檢測被認(rèn)為是防火墻之后的 其次道安全閘門； 1）監(jiān)測并分析用戶和系統(tǒng)的活動(dòng), 查找非法用戶和合法用戶的越權(quán)操作； 2）核查系統(tǒng)配置和漏洞并提示治理員修補(bǔ)漏洞； 3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； 4）識別已知的攻擊行為,統(tǒng)計(jì)分析反常行為； 5）操作系統(tǒng)日志治理,并識別違反安全策略的用戶活動(dòng)等

32、； . IDS 的物理實(shí)現(xiàn)不同,按檢測的監(jiān)控位置劃分,入侵檢測系統(tǒng)可分為基于主機(jī)的入侵 檢測系統(tǒng),基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 和分布式入侵檢測系統(tǒng)； . IDS 通常使用兩種基本的分析方法來分析大事, 檢測入侵行為, 即反常檢測 （ Anomaly Detection ）和誤用檢測（ Misuse Detection ）； .一般可將入侵檢測系統(tǒng)分為三大模塊：即入侵?jǐn)?shù)據(jù)提取模塊,入侵?jǐn)?shù)據(jù)分析模塊和入 侵大事響應(yīng)模塊； 反常檢測假定全部入侵行為都是與正常行為不同的 ,假如建立系統(tǒng)正常行為的軌跡（特 征文件 Profiles）,那么理論上可以通過統(tǒng)計(jì)那些不同于我們已建立的特點(diǎn)文件的全部系統(tǒng)狀 態(tài)的數(shù)量,來識別入侵妄圖,即把全部與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑妄圖； 誤用探測 （基于學(xué)問 Knowledge based檢測） 假定全部入侵行為和手段 及其變種 都能 夠表達(dá)為一種模式或特點(diǎn), 那么全部已知的入侵方法都可以用匹配的方法發(fā)覺； 由于很大一 部分的入侵是利用了系統(tǒng)的脆弱性, 通過分析入侵過程的特點(diǎn), 條件, 排列以及大事間關(guān)系 能具體描述入侵行為的跡象； . 什么是 基于主機(jī)的 IDS ,