網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)與安全

第9章計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

§9.1網(wǎng)絡(luò)安全概述

§9.2網(wǎng)絡(luò)安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)9.1網(wǎng)絡(luò)安全概述9.1.1網(wǎng)絡(luò)面臨的威脅

1、人為的無(wú)意失誤2、人為的惡意攻擊3、網(wǎng)絡(luò)軟件系統(tǒng)的漏洞和后門4、病毒感染5、隱私及機(jī)密資料的存儲(chǔ)和傳輸冒名頂替廢物搜尋身份識(shí)別錯(cuò)誤不安全服務(wù)配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號(hào)進(jìn)入算法考慮不周隨意口令口令破解口令圈套竊聽(tīng)偷竊網(wǎng)絡(luò)安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅9.1.1網(wǎng)絡(luò)安全威脅虛擬專用網(wǎng)防火墻訪問(wèn)控制防病毒入侵檢測(cè)網(wǎng)絡(luò)安全整體框架(形象圖)中國(guó)被黑網(wǎng)站一覽表國(guó)內(nèi)外黑客組織網(wǎng)絡(luò)病毒紅色代碼尼姆達(dá)沖擊波震蕩波ARP病毒病毒性木馬工行密碼盜?。眩涯抉R其它后門工具

安全威脅實(shí)例用戶使用一臺(tái)計(jì)算機(jī)D訪問(wèn)位于網(wǎng)絡(luò)中心服務(wù)器S上的webmail郵件服務(wù)，存在的安全威脅：U在輸入用戶名和口令時(shí)被錄像機(jī)器D上有keylogger程序，記錄了用戶名和口令機(jī)器D上存放用戶名和密碼的內(nèi)存對(duì)其他進(jìn)程可讀，其他進(jìn)程讀取了信息，或這段內(nèi)存沒(méi)有被清0就分配給了別的進(jìn)程，其他進(jìn)程讀取了信息用戶名和密碼被自動(dòng)保存了用戶名和密碼在網(wǎng)絡(luò)上傳輸時(shí)被監(jiān)聽(tīng)（共享介質(zhì)、或arp偽造）機(jī)器D上被設(shè)置了代理，經(jīng)過(guò)代理被監(jiān)聽(tīng)安全威脅實(shí)例（續(xù)）查看郵件時(shí)被錄像機(jī)器D附近的無(wú)線電接收裝置接收到顯示器發(fā)射的信號(hào)并且重現(xiàn)出來(lái)屏幕記錄程序保存了屏幕信息瀏覽郵件時(shí)的臨時(shí)文件被其他用戶打開(kāi)瀏覽器cache了網(wǎng)頁(yè)信息臨時(shí)文件僅僅被簡(jiǎn)單刪除，但是硬盤上還有信息由于DNS攻擊，連接到錯(cuò)誤的站點(diǎn)，泄漏了用戶名和密碼由于網(wǎng)絡(luò)感染了病毒，主干網(wǎng)癱瘓，無(wú)法訪問(wèn)服務(wù)器服務(wù)器被DOS攻擊，無(wú)法提供服務(wù)9.1.2網(wǎng)絡(luò)安全的定義理解角度網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。個(gè)人用戶：防止他人侵犯自己的利益和隱私網(wǎng)絡(luò)運(yùn)行和管理者：保證資源安全、抵制黑客攻擊安全保密部門：過(guò)濾有害信息、避免機(jī)要信息泄露社會(huì)教育和意識(shí)形態(tài)：控制網(wǎng)絡(luò)內(nèi)容9.1.3網(wǎng)絡(luò)安全的的特征（1）保密性confidentiality：信息不泄露露給非授權(quán)權(quán)的用戶、、實(shí)體或過(guò)過(guò)程，或供供其利用的的特性。（2）完整性integrity：數(shù)據(jù)未經(jīng)經(jīng)授權(quán)不不能進(jìn)行行改變的的特性，，即信息息在存儲(chǔ)儲(chǔ)或傳輸輸過(guò)程中中保持不不被修改改、不被被破壞和和丟失的的特性。。（3）可用性availability：可被授權(quán)權(quán)實(shí)體訪訪問(wèn)并按按需求使使用的特特性，即即當(dāng)需要要時(shí)應(yīng)能能存取所所需的信信息。網(wǎng)網(wǎng)絡(luò)環(huán)境境下拒絕絕服務(wù)、、破壞網(wǎng)網(wǎng)絡(luò)和有有關(guān)系統(tǒng)統(tǒng)的正常常運(yùn)行等等都屬于于對(duì)可用用性的攻攻擊。（4）可控性controllability：對(duì)信息的的傳播及及內(nèi)容具具有控制制能力。。（5）可審查性性：出現(xiàn)的的安全問(wèn)問(wèn)題時(shí)提提供依據(jù)據(jù)與手段段9.1.4影響網(wǎng)絡(luò)絡(luò)安全的的主要因因素（1）網(wǎng)絡(luò)的缺缺陷因特網(wǎng)在在設(shè)計(jì)之之初對(duì)共共享性和和開(kāi)放性性的強(qiáng)調(diào)調(diào)，使得得其在安安全性方方面存在在先天的的不足。。其賴以以生存的的TCP/IP協(xié)議族在在設(shè)計(jì)理理念上更更多的是是考慮該該網(wǎng)絡(luò)不不會(huì)因局局部故障障而影響響信息的的傳輸，，基本沒(méi)沒(méi)有考慮慮安全問(wèn)問(wèn)題，故故缺乏應(yīng)應(yīng)有的安安全機(jī)制制。因此此它在控控制不可可信連接接、分辨辨非法訪訪問(wèn)、辨辨別身份份偽裝等等方面存存在著很很大的缺缺陷，從從而構(gòu)成成了對(duì)網(wǎng)網(wǎng)絡(luò)安全全的重要要隱患。。例如：多多數(shù)底層層協(xié)議為為廣播方方式，多多數(shù)應(yīng)用用層協(xié)議議為明文文傳輸，，缺乏保保密與與認(rèn)證證機(jī)制，，因此容容易遭到到欺騙和和竊聽(tīng)軟件及系系統(tǒng)的““漏洞””及后門門隨著軟件件及網(wǎng)絡(luò)絡(luò)系統(tǒng)規(guī)規(guī)模的不不斷增大大，系統(tǒng)統(tǒng)中的安安全漏洞洞或“后后門”也也不可避避免的存存在，比比如我們們常用的的操作系系統(tǒng)，無(wú)無(wú)論是Windows還是UNIX幾乎都存存在或多多或少的的安全漏漏洞，眾眾多的服服務(wù)器、、瀏覽器器、桌面面軟件等等等都被被發(fā)現(xiàn)存存在很多多安全隱隱患。任任何一個(gè)個(gè)軟件系系統(tǒng)都可可能會(huì)因因?yàn)槌绦蛐騿T的一一個(gè)疏忽忽或設(shè)計(jì)計(jì)中的一一個(gè)缺陷陷等原因因留下漏漏洞。這這也成為為網(wǎng)絡(luò)的的不安全全因素之之一影響網(wǎng)絡(luò)絡(luò)安全的的主要因因素（2）黑客的攻攻擊黑客技術(shù)術(shù)不再是是一種高高深莫測(cè)測(cè)的技術(shù)術(shù)，并逐逐漸被越越來(lái)越多多的人掌掌握。目目前，世世界上有有20多多萬(wàn)個(gè)個(gè)免費(fèi)的的黑客網(wǎng)網(wǎng)站，這這些站點(diǎn)點(diǎn)從系統(tǒng)統(tǒng)漏洞入入手，介介紹網(wǎng)絡(luò)絡(luò)攻擊的的方法和和各種攻攻擊軟件件的使用用，這樣樣，系統(tǒng)統(tǒng)和站點(diǎn)點(diǎn)遭受攻攻擊的可可能性就就變大了了。加上上現(xiàn)在還還缺乏針針對(duì)網(wǎng)絡(luò)絡(luò)犯罪卓卓有成效效的反擊擊和跟蹤蹤手段，，這些都都使得黑黑客攻擊擊具有隱隱蔽性好好，“殺殺傷力””強(qiáng)的特特點(diǎn)，構(gòu)構(gòu)成了網(wǎng)網(wǎng)絡(luò)安全全的主要要威脅。。網(wǎng)絡(luò)普及及，安全全建設(shè)滯滯后網(wǎng)絡(luò)硬件件建設(shè)如如火如荼荼，網(wǎng)絡(luò)絡(luò)管理尤尤其是安安全管理理滯后，，用戶安安全意識(shí)識(shí)不強(qiáng)，，即使應(yīng)應(yīng)用了最最好的安安全設(shè)備備也經(jīng)常常達(dá)不到到預(yù)期效效果9.2網(wǎng)絡(luò)安全全保障體體系安全管理理與審計(jì)計(jì)物理層安安全網(wǎng)絡(luò)層安全傳輸層安安全應(yīng)用層安安全鏈路層物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層表示層會(huì)話層審計(jì)與監(jiān)監(jiān)控身份認(rèn)證證數(shù)據(jù)加密密數(shù)字簽名名完整性鑒鑒別端到端加加密訪問(wèn)控制制鏈路加密密物理信道道安全物理隔離離訪問(wèn)控制數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性用戶認(rèn)證防抵賴安全審計(jì)網(wǎng)絡(luò)安全層次次層次模型網(wǎng)絡(luò)安全技術(shù)術(shù)實(shí)現(xiàn)安全目標(biāo)標(biāo)用戶安全服務(wù)可用9.2網(wǎng)絡(luò)安全機(jī)制制安全機(jī)制可分分為兩類：：安全服務(wù)與與安全系統(tǒng)管管理

加密機(jī)制數(shù)字簽名機(jī)制

訪問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證交換機(jī)制防業(yè)務(wù)流分析機(jī)制路由控制機(jī)制公證機(jī)制2、網(wǎng)絡(luò)安全技技術(shù)1、安全機(jī)制數(shù)據(jù)加密技術(shù)物理隔離防火墻技術(shù)入侵檢測(cè)技術(shù)病毒防護(hù)技術(shù)跟蹤審計(jì)技術(shù)9.2.1物理隔離主要分兩種：：雙網(wǎng)隔離計(jì)算算機(jī)物理隔離網(wǎng)閘閘雙網(wǎng)隔離計(jì)算算機(jī)解決每人2臺(tái)臺(tái)計(jì)算機(jī)的問(wèn)問(wèn)題1臺(tái)計(jì)算機(jī)，，可以分時(shí)使使用內(nèi)網(wǎng)或外外網(wǎng)關(guān)鍵部件硬盤網(wǎng)線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標(biāo)主板/電源硬盤*原理切換關(guān)鍵部件件簡(jiǎn)單雙網(wǎng)隔離離計(jì)算機(jī)外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡控制開(kāi)關(guān)復(fù)雜雙網(wǎng)隔離離計(jì)算機(jī)內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共部件控制卡遠(yuǎn)端設(shè)備使用控制卡上上的翻譯功能能將硬盤分為為邏輯上獨(dú)立立的部分充分使用UTP中的8芯，減減少一根網(wǎng)線線物理隔離網(wǎng)閘閘的基本原理理采用數(shù)據(jù)“擺擺渡”的方式式實(shí)現(xiàn)兩個(gè)網(wǎng)網(wǎng)絡(luò)之間的信信息交換在任意時(shí)刻，，物理隔離設(shè)設(shè)備只能與一一個(gè)網(wǎng)絡(luò)的主主機(jī)系統(tǒng)建立立非TCP/IP協(xié)議的數(shù)據(jù)連連接，即當(dāng)它它與外部網(wǎng)絡(luò)絡(luò)相連接時(shí)，，它與內(nèi)部網(wǎng)網(wǎng)絡(luò)的主機(jī)是是斷開(kāi)的，反反之亦然。任何形式的數(shù)數(shù)據(jù)包、信息息傳輸命令和和TCP/IP協(xié)議都不可能能穿透物理隔隔離設(shè)備。物物理隔離設(shè)備備在網(wǎng)絡(luò)的第第7層講數(shù)據(jù)據(jù)還原為原始始數(shù)據(jù)文件，，然后以“擺擺渡文件”形形式傳遞原始始數(shù)據(jù)。物理隔離實(shí)現(xiàn)現(xiàn)基本原理（（1）物理隔離實(shí)現(xiàn)現(xiàn)基本原理（（2）內(nèi)外網(wǎng)模塊連連接相應(yīng)網(wǎng)絡(luò)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的的接收及預(yù)處處理等操作；；交換模塊采用用專用的高速速隔離電子開(kāi)開(kāi)關(guān)實(shí)現(xiàn)與內(nèi)內(nèi)外網(wǎng)模塊的的數(shù)據(jù)交換，，保證任意時(shí)時(shí)刻內(nèi)外網(wǎng)間間沒(méi)有鏈路層層連接；數(shù)據(jù)只能以專專用數(shù)據(jù)塊方方式靜態(tài)地在在內(nèi)外網(wǎng)間通通過(guò)網(wǎng)閘進(jìn)行行“擺渡”，，傳送到網(wǎng)閘閘另一側(cè)；集成多種安全全技術(shù)手段，，采用強(qiáng)制安安全策略，對(duì)對(duì)數(shù)據(jù)內(nèi)容進(jìn)進(jìn)行安全檢測(cè)測(cè)，保障數(shù)據(jù)據(jù)安全、可靠靠的交換。物理隔離技術(shù)術(shù)的應(yīng)用涉密網(wǎng)和非涉涉密網(wǎng)之間物理隔離技術(shù)術(shù)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：中斷直接連接接強(qiáng)大的檢查機(jī)機(jī)制最高的安全性性缺點(diǎn)：對(duì)協(xié)議不透明明，對(duì)每一種種協(xié)議都要一一種具體的實(shí)實(shí)現(xiàn)效率低9.2.2防火墻技術(shù)防火墻的概念和功能能1、防火墻的概概念：防火火墻是設(shè)置在在不同網(wǎng)絡(luò)或或網(wǎng)絡(luò)安全域域之間的一系系列部件的組組合，它是建建立在兩個(gè)網(wǎng)網(wǎng)絡(luò)或網(wǎng)絡(luò)安安全域邊界上上的實(shí)現(xiàn)安全全策略和網(wǎng)絡(luò)絡(luò)通信監(jiān)控的的系統(tǒng)或系統(tǒng)統(tǒng)集，它強(qiáng)制執(zhí)行對(duì)對(duì)內(nèi)部網(wǎng)絡(luò)（（如校園網(wǎng)））和外部網(wǎng)絡(luò)絡(luò)（如Internet）的訪問(wèn)控制制，是不同網(wǎng)網(wǎng)絡(luò)或網(wǎng)絡(luò)安安全域之間的的唯一出入口口，并通過(guò)建建立一整套規(guī)規(guī)則和策略來(lái)來(lái)監(jiān)測(cè)、限制制、轉(zhuǎn)換跨越越防火墻的數(shù)數(shù)據(jù)流，實(shí)現(xiàn)現(xiàn)保護(hù)內(nèi)部網(wǎng)網(wǎng)絡(luò)的目的。。9.2.2防火墻技術(shù)術(shù)防火墻的概念和功功能強(qiáng)化網(wǎng)絡(luò)安安全策略對(duì)網(wǎng)絡(luò)存取取和訪問(wèn)進(jìn)進(jìn)行監(jiān)控審審計(jì)防止易受攻攻擊的服務(wù)務(wù)防止內(nèi)部信信息的外泄泄2、防火墻的功能防火墻的類型總體分為兩兩大類：包包過(guò)濾型防防火墻、應(yīng)應(yīng)用代理型型防火墻包過(guò)濾型：：分包傳輸包具有特定信息（數(shù)據(jù)源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等）優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，缺點(diǎn)是無(wú)法識(shí)別惡意侵入應(yīng)用代理型型：代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。優(yōu)點(diǎn)是安全性高，缺點(diǎn)是影響系統(tǒng)整體性能不能防范繞繞過(guò)防火墻墻的攻擊不能防止數(shù)數(shù)據(jù)驅(qū)動(dòng)式式攻擊。難以避免來(lái)來(lái)自內(nèi)部的的攻擊。防火墻的缺陷一般的防火火墻不能防防止受到病病毒感染的的軟件或文文件的傳輸輸。9.2.3網(wǎng)絡(luò)病毒防防護(hù)網(wǎng)絡(luò)病毒病毒是一種種寄生在普普通程序中中、且能夠夠?qū)⒆陨韽?fù)復(fù)制到其他他程序、并并通過(guò)執(zhí)行行某些操作作，破壞系系統(tǒng)或干擾擾系統(tǒng)運(yùn)行行的“壞””程序。網(wǎng)絡(luò)傳播途途徑:文件下載(瀏覽或FTP下載)電子郵件(郵件附件)9.2.3網(wǎng)絡(luò)病毒防防護(hù)網(wǎng)絡(luò)病毒的特點(diǎn)點(diǎn)1、傳染方式式多2、傳染速度度快3、清除難度度大4、破壞性強(qiáng)強(qiáng)5、針對(duì)性強(qiáng)強(qiáng)6、激發(fā)形式式多樣9.2,3網(wǎng)絡(luò)病毒防防護(hù)常見(jiàn)的網(wǎng)絡(luò)病毒毒1、電子郵件件病毒2、Java程序病毒3、ActiveX病毒毒4、網(wǎng)網(wǎng)頁(yè)頁(yè)病病毒毒9.2.3網(wǎng)絡(luò)絡(luò)病病毒毒防防護(hù)護(hù)9.2.3網(wǎng)絡(luò)絡(luò)病病毒毒的的防防治治以網(wǎng)網(wǎng)為為本本，，多多層層防防御御，，有有選選擇擇地地加加載載保保護(hù)護(hù)計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的網(wǎng)網(wǎng)絡(luò)絡(luò)防防病病毒毒產(chǎn)產(chǎn)品品病毒防范計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治1、盡量少用超級(jí)用戶登錄2、嚴(yán)格控制用戶的網(wǎng)絡(luò)使用權(quán)限3、對(duì)某些頻繁使用或非常重要的文件屬性加以控制，以免被病毒傳染4、對(duì)遠(yuǎn)程工作站的登錄權(quán)限嚴(yán)格限制9.2.4入侵檢測(cè)測(cè)技術(shù)（（第二二防線））入侵者常常用手段段1、信息息收集2、對(duì)系系統(tǒng)安全全薄弱點(diǎn)點(diǎn)的探測(cè)測(cè)3、網(wǎng)絡(luò)絡(luò)攻擊SNMP、TraceRout程序、Whois服務(wù)、DNS服務(wù)、Finger協(xié)議、Ping實(shí)用程序序利用自編編的程序序利用公開(kāi)開(kāi)的工具具目標(biāo)系統(tǒng)統(tǒng)中安裝裝探測(cè)軟軟件在受損系系統(tǒng)中獲獲得訪問(wèn)問(wèn)權(quán)9.2.4入侵檢測(cè)測(cè)技術(shù)（（第二防防線）入侵防范范措施選用安全全的密碼碼，并經(jīng)經(jīng)常修改改密碼；；應(yīng)及時(shí)取取消調(diào)離離或停止止工作的的雇員帳帳號(hào)，及及無(wú)用帳帳號(hào)；實(shí)施存取取控制措措施；確保數(shù)據(jù)據(jù)的安全全性和完完整性；；原有數(shù)數(shù)據(jù)要和和現(xiàn)行數(shù)數(shù)據(jù)保持持完全一一致。安裝防火火墻或入入侵檢測(cè)測(cè)系統(tǒng)，，及時(shí)發(fā)發(fā)現(xiàn)并阻阻止入侵侵行為。。個(gè)人其它它防范措措施：：使用不不同密碼碼、不透透露個(gè)人人信息9.2.5訪問(wèn)控制制（1））廣義的訪訪問(wèn)控制制功能包包括鑒別別、授權(quán)權(quán)和記賬賬等鑒別（Authentication）：：辨別用戶戶是誰(shuí)的的過(guò)程。。授權(quán)（Authorization）對(duì)完成認(rèn)認(rèn)證過(guò)程程的用戶戶授予相相應(yīng)權(quán)限限，解決決用戶能能做什么么的問(wèn)題題。在一一些訪問(wèn)問(wèn)控制的的實(shí)現(xiàn)中中，認(rèn)證證和授權(quán)權(quán)是統(tǒng)一一在一起起的記賬（Accounting）；統(tǒng)計(jì)用戶戶做過(guò)什什么的過(guò)過(guò)程，通通常使用用消耗的的系統(tǒng)時(shí)時(shí)間、接接收和發(fā)發(fā)送的數(shù)數(shù)據(jù)量來(lái)來(lái)量度。。Tacacs、、Tacacs+、Radius等技術(shù)能能實(shí)現(xiàn)這這三種功功能。9.2.5訪問(wèn)控制制（2））RADIUS協(xié)議針對(duì)遠(yuǎn)程程用戶Radius（（RemoteAuthenticationDialinUserservice））協(xié)議，，采用用分布布式的的Client/Server結(jié)構(gòu)完完成密密碼的的集中中管理理和其其他訪訪問(wèn)控控制功功能；；網(wǎng)絡(luò)絡(luò)用戶戶（Client））通過(guò)網(wǎng)網(wǎng)絡(luò)訪訪問(wèn)服服務(wù)器器（NAS）訪問(wèn)網(wǎng)網(wǎng)絡(luò)，，NAS同時(shí)作作為Radius結(jié)構(gòu)的的客戶戶端，，認(rèn)證證、授授權(quán)和和計(jì)帳帳的3A功能通通過(guò)NAS和安全全服務(wù)務(wù)器（（SecutityServer）或Radius服務(wù)器器之間間的Radius協(xié)議過(guò)過(guò)程完完成，，而用用戶的的控制制功能能在NAS實(shí)現(xiàn)。。訪問(wèn)控控制（（3））TACAS協(xié)議TACACS（（TerminalAccessControllerAccessControlSystem--終端訪訪問(wèn)控控制系系統(tǒng)））是歷歷史上上用于于UNIX系統(tǒng)的的認(rèn)證證協(xié)議議，它它使遠(yuǎn)遠(yuǎn)程訪訪問(wèn)服服務(wù)器器將用用戶的的登錄錄信息息發(fā)送送到認(rèn)認(rèn)證服服務(wù)器器以確確定用用戶是是否可可以訪訪問(wèn)給給定系系統(tǒng)。。TACACS對(duì)數(shù)據(jù)據(jù)并不不加密密，因因此它它的安安全性性要差差一些些，針針對(duì)這這種情情況，，又設(shè)設(shè)計(jì)了了TACACS+和RADIUS協(xié)議。。訪問(wèn)控控制（（4））TACACS+協(xié)議由Cisco公司提出，，在此協(xié)議議中，當(dāng)用用戶試圖登登錄時(shí)，NAS將詢問(wèn)安全全服務(wù)做什什么，安全全服務(wù)器通通常知NAS輸入用戶名名和密碼，，然后，發(fā)發(fā)送接受或或拒絕響應(yīng)應(yīng)信息給NAS。用戶登錄進(jìn)進(jìn)入之后，，對(duì)于每一一條用戶輸輸入的命令令，NAS都將提請(qǐng)安安全服務(wù)器器進(jìn)行授權(quán)權(quán)。訪問(wèn)問(wèn)控控制制（（5））TACACS+協(xié)議議的的應(yīng)應(yīng)用用9.2.6數(shù)據(jù)據(jù)加加密密概概述述9.2.6數(shù)據(jù)據(jù)加加密密技技術(shù)術(shù)（（最最后后防防線線））數(shù)據(jù)據(jù)加加密密就就是是按按照照確確定定的的密密碼碼算算法法將將敏敏感感的的明明文文數(shù)數(shù)據(jù)據(jù)變變換換成成難難以以識(shí)識(shí)別別的的密密文文數(shù)數(shù)據(jù)據(jù)，，通通過(guò)過(guò)使使用用不不同同的的密密鑰鑰，，可可用用同同一一加加密密算算法法將將同同一一明明文文加加密密成成不不同同的的密密文文。。只有有指指定定的的用用戶戶和和網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備才才能能解解譯譯加加密密數(shù)數(shù)據(jù)據(jù)，，從從根根本本上上解解決決網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的兩兩大大主主要要需需求求，，即即網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)的的可可用用性性和和信信息息的的完完整整性性。。9.2.6密碼碼技技術(shù)術(shù)的的基基本本概概念念9.2.6數(shù)據(jù)據(jù)加加密密技技術(shù)術(shù)（（最最后后防防線線））密碼碼技技術(shù)術(shù)是是網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息安安全全與與保保密密的的核核心心和和關(guān)關(guān)鍵鍵。。通通過(guò)過(guò)密密碼碼技技術(shù)術(shù)的的變變換換或或編編碼碼，，可可以以將將機(jī)機(jī)密密、、敏敏感感的的消消息息變變換換成成難難以以讀讀懂懂的的亂亂碼碼型型文文字字，，以以此此達(dá)達(dá)到到兩兩個(gè)個(gè)目目的的：：其一一，，使使不不知知道道如如何何解解密密的的““黑黑客客””不不可可能能從從其其截截獲獲的的亂亂碼碼中中得得到到任任何何有有意意義義的的信信息息其二二，，使使““黑黑客客””不不可可能能偽偽造造或或篡篡改改任任何何亂亂碼碼型型的的信信息息。。9.2.6常用用數(shù)數(shù)據(jù)據(jù)加加密密方方法法9.2.6數(shù)據(jù)