計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》章節(jié)輔導(dǎo)：網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

　　通過(guò)對(duì)計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》各章節(jié)的學(xué)習(xí)，大家要系統(tǒng)梳理重要知識(shí)點(diǎn)，有針對(duì)性地備考。以下是百分網(wǎng)小編搜索整理的關(guān)于計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》章節(jié)輔導(dǎo)：網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全，供參考學(xué)習(xí)，希望對(duì)大家有所幫助!想了解更多相關(guān)信息請(qǐng)持續(xù)關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

　　本單元概覽

　　一、網(wǎng)絡(luò)管理。

　　二、信息安全技術(shù)概述。

　　三、網(wǎng)絡(luò)安全問(wèn)題與安全策略。

　　四、加密技術(shù)。

　　五、認(rèn)證技術(shù)。

　　六、安全技術(shù)應(yīng)用。

　　七、入侵檢測(cè)與防火墻技術(shù)。

　　八、計(jì)算機(jī)病毒問(wèn)題與防護(hù)。

　　一、網(wǎng)絡(luò)管理

　　1、網(wǎng)絡(luò)管理的基本概念

　　網(wǎng)絡(luò)管理的定義：對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)和控制，包括兩個(gè)任務(wù)：對(duì)運(yùn)行狀態(tài)監(jiān)測(cè)和運(yùn)行狀態(tài)控制。

　　網(wǎng)絡(luò)管理對(duì)象：硬件資源和軟件資源。

　　管理目標(biāo)：網(wǎng)絡(luò)應(yīng)是有效的、可靠的、開(kāi)放性、綜合性，一定安全行、經(jīng)濟(jì)性地提供服務(wù)。

　　2、網(wǎng)絡(luò)管理功能

　　配置管理(基本管理)：包括資源清單管理、資源開(kāi)通以及業(yè)務(wù)開(kāi)通等

　　故障管理：發(fā)現(xiàn)和排除故障，包括檢測(cè)故障、隔離故障、糾正故障。

　　計(jì)費(fèi)管理：主要功能有：計(jì)算網(wǎng)絡(luò)建設(shè)及運(yùn)營(yíng)成本、統(tǒng)計(jì)網(wǎng)絡(luò)包含資源的利用率、聯(lián)機(jī)收集計(jì)費(fèi)數(shù)據(jù)、計(jì)算用戶(hù)應(yīng)支付的網(wǎng)絡(luò)服務(wù)費(fèi)用、賬單管理。

　　性能管理：維護(hù)網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)運(yùn)營(yíng)效率。包括：性能檢測(cè)、性能分析、性能管理控制。

　　安全管理：保護(hù)網(wǎng)絡(luò)中的系統(tǒng)、數(shù)據(jù)以及業(yè)務(wù)

　　3、網(wǎng)絡(luò)管理模型

　　網(wǎng)絡(luò)管理的基本模型：核心是一對(duì)相互通信的系統(tǒng)管理實(shí)體，是采用一種獨(dú)特的方式使兩個(gè)進(jìn)程之間相互作用，即管理進(jìn)程與一個(gè)遠(yuǎn)程系統(tǒng)相互作用來(lái)實(shí)現(xiàn)對(duì)遠(yuǎn)程資源的控制。此種方式管理進(jìn)程擔(dān)當(dāng)管理者角色，而另一個(gè)系統(tǒng)中的對(duì)等實(shí)體擔(dān)當(dāng)代理者角色，前者為網(wǎng)絡(luò)管理者，后者為網(wǎng)管代理。

　　網(wǎng)絡(luò)管理模式：分為集中式和分布式管理模式。集中式是所有的網(wǎng)管代理在管理站的監(jiān)視和控制下協(xié)同工作而實(shí)現(xiàn)集成的網(wǎng)絡(luò)管理;分布式管理將數(shù)據(jù)采集、監(jiān)視以及管理分散開(kāi)來(lái)，可以從網(wǎng)絡(luò)上的所有數(shù)據(jù)源采集數(shù)據(jù)而不必考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。具體實(shí)現(xiàn)是將信息管理和智能判斷分散到網(wǎng)絡(luò)各處，使管理變得更加自動(dòng)。

　　管理者和代理者之間的信息交換可分為：從管理者到代理者的管理操作，從代理者到管理者的事件通知。

　　4、網(wǎng)絡(luò)管理協(xié)議(高層協(xié)議，位于應(yīng)用層) www.Examda.CoM

　　主要協(xié)議有SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)【UDP協(xié)議】和CMIP(公共管理信息協(xié)議)。

　　SNMP：有兩部分組成，SNMP管理者和SNMP代理者。網(wǎng)絡(luò)管理者通過(guò)SNMP協(xié)議收集代理所記錄的信息。收集方法有：輪詢(xún)和基于中斷的方法。

　　所謂輪詢(xún)：代理軟件不斷收集統(tǒng)計(jì)數(shù)據(jù)，并把數(shù)據(jù)記錄到一個(gè)管理信息庫(kù)(MIB)中，網(wǎng)管通過(guò)代理的MIB發(fā)出查詢(xún)信號(hào)得到這些信息。這種方法的缺點(diǎn)在于信息的實(shí)時(shí)性差。而基于中斷的方法可立即通知網(wǎng)絡(luò)管理工作站，實(shí)時(shí)性強(qiáng)。

　　CMIP：公共管理協(xié)議主要針對(duì)OSI模型的傳輸環(huán)境設(shè)立的。管理進(jìn)程事先對(duì)事件分類(lèi)，根據(jù)事件發(fā)生時(shí)對(duì)網(wǎng)絡(luò)服務(wù)影響的大小來(lái)劃分事件的嚴(yán)重等級(jí)，再產(chǎn)生相應(yīng)故障處理方案。CMIP的所有功能都要映射到應(yīng)用層的相關(guān)協(xié)議上實(shí)現(xiàn)。管理聯(lián)系的建立、釋放和撤銷(xiāo)是通過(guò)聯(lián)系控制協(xié)議(ACP)實(shí)現(xiàn)的。操作和事件報(bào)告時(shí)通過(guò)遠(yuǎn)程操作協(xié)議(ROP)實(shí)現(xiàn)的。

　　二、信息安全技術(shù)概述

　　1、安全信息的概念

　　信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)、可靠、正常運(yùn)行，信息服務(wù)不中斷。

　　主要有以下目標(biāo)：

　　真實(shí)性：鑒別偽造來(lái)源的信息。

　　保密性：信息不被偷聽(tīng)。

　　完整性：數(shù)據(jù)的一致性防止數(shù)據(jù)非法篡改。

　　可用性：合法用戶(hù)的合法使用不被拒絕。

　　不可抵賴(lài)性：建立責(zé)任機(jī)制，防止用戶(hù)否認(rèn)其行為。

　　可控制性：信息傳播及內(nèi)容具有控制能力。

　　可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。

　　2、信息安全策略

　　主要從三個(gè)方面體現(xiàn)：先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證，嚴(yán)格的安全管理，嚴(yán)格的法律、法規(guī)。

　　3、信息安全性等級(jí)

　　美國(guó)國(guó)防部可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(TCSEC):又稱(chēng)為橘皮書(shū),將網(wǎng)絡(luò)安全性等級(jí)劃分為A、B、C、D共4類(lèi),其中A類(lèi)安全等級(jí)最高，D類(lèi)安全等級(jí)最低。【C2級(jí)軟件：UNIX,NETWARE,XENIX,Windows NT等】

　　我國(guó)的信息安全系統(tǒng)安全保護(hù)分為5個(gè)等級(jí)：

　　自主保護(hù)級(jí)：會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成一定影響。

　　指導(dǎo)保護(hù)級(jí)：會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成一定傷害。

　　監(jiān)督保護(hù)級(jí)：會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成較大傷害

　　強(qiáng)制保護(hù)級(jí)：會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成嚴(yán)重傷害

　　專(zhuān)控保護(hù)級(jí)：會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息核心子系統(tǒng)，造成特別嚴(yán)重傷害

　　三、網(wǎng)絡(luò)安全問(wèn)題與安全策略

　　1、網(wǎng)絡(luò)安全的概念

　　網(wǎng)絡(luò)安全是指系統(tǒng)部件、程序、數(shù)據(jù)的安全性，通過(guò)網(wǎng)絡(luò)信息存儲(chǔ)、傳輸、和使用過(guò)程體現(xiàn)。也就是保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或設(shè)備，使其避免受非授權(quán)使用或訪問(wèn)。內(nèi)容包括：保護(hù)信息和資源、保護(hù)客戶(hù)機(jī)和用戶(hù)、保證私有性。

　　安全的目的：

　　對(duì)網(wǎng)絡(luò)系統(tǒng)而言主要有信息的存儲(chǔ)安全和信息的傳輸安全。

　　信息的存儲(chǔ)安全通過(guò)設(shè)置訪問(wèn)權(quán)限、身份識(shí)別、局部隔離等措施來(lái)保證

　　傳輸安全則需要預(yù)防：網(wǎng)上信息的監(jiān)聽(tīng)、用戶(hù)身份的假冒、網(wǎng)絡(luò)信息的篡改、對(duì)發(fā)出信息的否認(rèn)、對(duì)信息進(jìn)行重放(對(duì)信息不破譯，直接把信息再次向服務(wù)器發(fā)送)。

　　安全措施：

　　社會(huì)法律政策、企業(yè)規(guī)章以及網(wǎng)絡(luò)安全教育;技術(shù)方面措施(如防火墻技術(shù)、防病毒、信息加密等);審計(jì)與管理措施，包括技術(shù)與社會(huì)措施(如實(shí)時(shí)監(jiān)控、漏洞檢查等)

　　2、OSI安全框架

　　OSI安全框架關(guān)注三個(gè)方面：安全攻擊、安全機(jī)制和安全服務(wù)。

　　(1)安全攻擊

　　被動(dòng)攻擊：特性是對(duì)傳輸進(jìn)行偷聽(tīng)和監(jiān)測(cè)，攻擊的目標(biāo)是獲得傳輸信息。被動(dòng)攻擊不涉及信息更改，比較難檢測(cè)。例如信息內(nèi)容泄露、流量分析。所以重點(diǎn)是預(yù)防。

　　主動(dòng)攻擊：對(duì)數(shù)據(jù)流進(jìn)行篡改或偽造數(shù)據(jù)流，分為偽裝、重放、消息篡改、分布式拒絕服務(wù)。與被動(dòng)攻擊相反，可以預(yù)防，難于檢測(cè)，所以重點(diǎn)是檢測(cè)。

　　從網(wǎng)絡(luò)高層分：服務(wù)攻擊和非服務(wù)攻擊：服務(wù)攻擊是針對(duì)某種特定網(wǎng)絡(luò)的攻擊，如E-MAIL、ftp等;非服務(wù)攻擊不針對(duì)具體應(yīng)用服務(wù)，是基于網(wǎng)絡(luò)層等底層協(xié)議進(jìn)行的。如源路由攻擊和地址欺騙等。非服務(wù)攻擊相對(duì)服務(wù)攻擊而言，往往利用協(xié)議或操作系統(tǒng)漏洞達(dá)到攻擊的目的，更為隱蔽。

　　(2)安全機(jī)制：用來(lái)保護(hù)系統(tǒng)免受偵聽(tīng)、組織安全攻擊及回復(fù)系統(tǒng)機(jī)制。分為兩類(lèi)：特定協(xié)議層實(shí)現(xiàn)的和不屬于任何的協(xié)議層或安全服務(wù)。X.800區(qū)分加密機(jī)制為可逆和不可逆�？赡婕用軝C(jī)制是一種簡(jiǎn)單的加密算法，是數(shù)據(jù)可以加密和解密。不可逆加密機(jī)制包括Hash算法、消息認(rèn)證碼，用于數(shù)字千米和消息認(rèn)證應(yīng)用。

　　(3)安全服務(wù)

　　指加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸安全性的一種服務(wù)，目的在于利用一種或多種安全機(jī)制阻止安全攻擊。X.800將其定義為通信開(kāi)放系統(tǒng)協(xié)議層提供的服務(wù)，保證數(shù)據(jù)傳輸有足夠的安全性。

　　3、網(wǎng)絡(luò)安全模型

　　通信一方通過(guò)Internet將消息傳送給另一方，通信雙方必須協(xié)調(diào)工作共同完成消息的交換�？梢酝ㄟ^(guò)定義Internet上源到宿的路由以及通信的主體共同使用的通信協(xié)議(如TCP/IP)來(lái)建立邏輯信息通道。

　　任何保護(hù)信息安全的方法都包含2個(gè)方面：

　　對(duì)發(fā)送信息的相關(guān)安全變換。如消息加密。

　　雙方共享某些秘密消息，并希望這些消息不為攻擊者所知。如加密密鑰。

　　為實(shí)現(xiàn)安全傳輸，必須有可信的第三方。例如第三方負(fù)責(zé)將秘密信息分配給通信雙方，而對(duì)攻擊者保密;或者當(dāng)通信雙方關(guān)于信息傳輸?shù)恼鎸?shí)性發(fā)生爭(zhēng)執(zhí)時(shí)，由第三方來(lái)仲裁。

　　安全服務(wù)主要包含4個(gè)方面：安全傳輸、信息保密、分配和共享秘密信息、通信協(xié)議。

　　由程序引起的威脅有2種：信息訪問(wèn)威脅和服務(wù)威脅

　　四、加密技術(shù)

　　1、密碼學(xué)基本術(shù)語(yǔ)

　　明文：原始消息;密文：加密后的消息;加密：從明文到密文的變換過(guò)程;解密：從密文到明文的變換過(guò)程;密碼編碼學(xué)：研究各種加密方案的學(xué)科;密碼體制或密碼：加密方案;密碼分析學(xué)：研究破譯密碼獲得消息的學(xué)科;密碼學(xué)：密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱(chēng)。

　　(1)密碼編碼學(xué)特征

　　轉(zhuǎn)換明文為密文的運(yùn)算類(lèi)型：所有加密算法都給予兩個(gè)原理代換和置換。

　　所用密鑰數(shù)：發(fā)送方和接收方使用相同密鑰，為對(duì)稱(chēng)密碼、單鑰密碼或傳統(tǒng)密碼;如果雙方使用不同密鑰，稱(chēng)為非對(duì)稱(chēng)密碼、雙鑰密碼或公鑰密碼。

　　處理明文的方法：加密算法分為分組密碼和流密碼。分組密碼每次處理一個(gè)輸入分組，相應(yīng)輸出一個(gè)輸出分組;流密碼則連續(xù)地處理輸入元素，每次輸出一個(gè)元素。

　　(2) 密碼分析學(xué)

　　攻擊密碼體制一般有兩種方法：密碼分析攻擊和窮舉攻擊。

　　密碼分析學(xué)的攻擊主要依賴(lài)于算法的性質(zhì)和明文的一般特征或某些明密文對(duì)。由此推導(dǎo)出密鑰

　　窮舉攻擊：攻擊者對(duì)一條密文嘗試所有可能的密鑰。

　　基于加密信息的攻擊類(lèi)型有：唯密文攻擊，已知明文攻擊，選擇密文攻擊，選擇明文攻擊，選擇文本攻擊。

　　一般說(shuō)來(lái)，加密算法起碼要經(jīng)受得住明文攻擊。

　　(3)無(wú)條件安全與計(jì)算上的安全

　　無(wú)論有多少可使用的密文，都不足以唯一地確定由該體制產(chǎn)生密文所對(duì)應(yīng)的明文，也就是說(shuō)，無(wú)論花多少時(shí)間，攻擊者都無(wú)法將密文解密。除一次一密外，所有加密算法都不是無(wú)條件安全的，加密算法的使用者應(yīng)盡量滿足以下標(biāo)準(zhǔn)：破譯密碼的代價(jià)超出密文信息的代價(jià);破譯密碼的時(shí)間超出密文信息的有效生命期。

　　(4)代換與置換技術(shù)

　　對(duì)稱(chēng)加密用到的兩種技巧。

　　代換法：將明文字母替換成其他字母、數(shù)字或符號(hào)的方法。

　　置換法：通過(guò)置換而形成新的隊(duì)列。

　　2、對(duì)稱(chēng)密碼

　　(1)對(duì)稱(chēng)密碼模型

　　5個(gè)基本成分：

　　明文：作為算法的輸入

　　加密算法：對(duì)明文進(jìn)行各種代換和置換

　　密鑰：加密算法的輸入，不同于明文

　　密文：算法的輸出

　　解密算法：加密算法的逆。

　　籠統(tǒng)說(shuō)，加密算法根據(jù)輸入的信息X和密鑰K生成密文Y。

　　(2)數(shù)據(jù)加密標(biāo)準(zhǔn)

　　廣泛使用的加密體制是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),采用64位的分組長(zhǎng)度和56位密鑰長(zhǎng)度。

　　(3)其他對(duì)稱(chēng)加密算法：三重DES、高級(jí)加密標(biāo)準(zhǔn)AES、Blowfish算法、RC5算法。

　　3、公鑰密碼

　　是基于數(shù)學(xué)函數(shù)的算法而非基于置換和代換技術(shù)。是非對(duì)稱(chēng)的，使用兩個(gè)獨(dú)立的密鑰。

　　(1)公鑰密碼體制

　　公鑰算法依賴(lài)于一個(gè)加密密鑰和一個(gè)與之相關(guān)但不相同的解密密鑰。重要特點(diǎn)是：根據(jù)密碼算法和加密密鑰來(lái)確定解密密鑰在計(jì)算上是不可行的。

　　通信各方均可訪問(wèn)公鑰，而私鑰是通信方在本地產(chǎn)生的，只要系統(tǒng)控制了私鑰，那么他的通信就是安全的，在任何時(shí)刻，系統(tǒng)可以改變其私鑰，并公布相應(yīng)的公鑰代替原來(lái)的公鑰。

　　(2)公鑰密碼體制的應(yīng)用

　　應(yīng)用分3種：

　　加密/解密：發(fā)送方用接收方的公鑰對(duì)消息加密。

　　數(shù)字簽名：發(fā)送方用其私鑰對(duì)“消息”簽名。

　　密鑰交換：通信雙方交換會(huì)話密鑰。

　　(3)RSA算法

　　RSA既能用于加密，又能用于數(shù)字簽名的算法。

　　RSA是一種分組密碼，明文和密文均是0至n-1之間的整數(shù)，通常n是1024位二進(jìn)制數(shù)或309位十進(jìn)制數(shù)。

　　明文以分組為單位加密，每個(gè)分組的二進(jìn)制值均小于n。分組的大小必須小于或等于log2n位。

　　選取密鑰的過(guò)程：選取兩個(gè)大質(zhì)數(shù)p和q，質(zhì)數(shù)值越大，破解RSA越困難。計(jì)算n=pq和z=(p-1)(q-1)。選擇小于n的數(shù)e，并和z沒(méi)有公約數(shù)(e與z互質(zhì))。找到數(shù)d，滿足ed-1被z整除。公鑰數(shù)對(duì)(n，e)，私鑰數(shù)對(duì)(n，d)。公開(kāi)公鑰。

　　加密過(guò)程：密文=明文的e次方再余n。

　　解密過(guò)程：明文=密文的d次方再余n。

　　(4)還有其他的常用公鑰加密算法如elgamal體制(采用離散對(duì)數(shù)的公鑰體質(zhì))，背包公鑰(速度快易解密)。

　　4、密鑰管理

　　(1)密鑰的分發(fā)

　　對(duì)稱(chēng)密碼學(xué)的缺點(diǎn)是通信雙方事先對(duì)密鑰達(dá)成一致。一般通過(guò)密鑰分發(fā)中心(KDC)，KDC是一個(gè)獨(dú)立的可信網(wǎng)絡(luò)實(shí)體，是一個(gè)服務(wù)器。每個(gè)用戶(hù)可通過(guò)秘密密鑰同KDC通信。

　　如果A和B都是KDC的用戶(hù)，A與B通信，A通過(guò)秘密密鑰與KDC通信得到R,B也得到R;則A和B可通過(guò)R通信。

　　(2)密鑰的認(rèn)證

　　認(rèn)證中心(CA)驗(yàn)證一個(gè)公共密鑰是否屬于一個(gè)特殊的實(shí)體。認(rèn)證中心負(fù)責(zé)將公共密鑰和特定實(shí)體進(jìn)行綁定，CA的工作就是證明身份和發(fā)放證書(shū)。

　　五、認(rèn)證技術(shù);消息認(rèn)證、數(shù)字簽名、身份認(rèn)證。

　　1、消息認(rèn)證(驗(yàn)證消息是否來(lái)自發(fā)送方并未經(jīng)修改)

　　(1)消息認(rèn)證的概念：

　　接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法，又稱(chēng)消息完整性校驗(yàn)。

　　認(rèn)證的內(nèi)容包括：消息的信源信宿、內(nèi)容是否篡改，消息的序號(hào)和時(shí)間是否正確等。

　　認(rèn)證只在通信雙方之間進(jìn)行，不允許第三者進(jìn)行上述認(rèn)證。

　　(2)消息認(rèn)證的方法：

　　消息來(lái)源認(rèn)證：A、通信雙方事先約定發(fā)送消息的數(shù)據(jù)加密密鑰，接收者只要證實(shí)發(fā)送來(lái)的消息是否能用該密鑰還原成明文就能鑒定發(fā)送者。B、事先約定各自發(fā)送消息所使用的通行字，發(fā)送者消息中含有加密的通行字，接收者驗(yàn)證是否含有通行字即可，通行字是可變的。

　　認(rèn)證信息的完整性：基本途徑有兩條：采用消息認(rèn)證碼和采用篡改檢測(cè)碼。

　　認(rèn)證消息的序號(hào)和時(shí)間：目的是阻止消息的重放攻擊，常用的方法是流水作業(yè)號(hào)、隨機(jī)數(shù)認(rèn)證法和時(shí)間戳等。

　　(3)消息認(rèn)證模式

　　單向認(rèn)證：?jiǎn)蜗蛲ㄐ�，接收者�?yàn)證發(fā)送者的身份和消息的完整性

　　雙向認(rèn)證：雙向通信，接收者驗(yàn)證發(fā)送者的身份和消息的完整性，同時(shí)發(fā)送者確認(rèn)接收者是真實(shí)的。

　　(4)認(rèn)證函數(shù):分為3類(lèi)：

　　信息加密函數(shù)MEF：用完整信息的密文作為對(duì)信息的認(rèn)證。

　　信息認(rèn)證碼MAC：是對(duì)信源消息的一個(gè)編碼函數(shù)。消息認(rèn)證碼的安全性取決于兩點(diǎn)：采用的加密算法;待加密數(shù)據(jù)塊的生成方法。

　　散列函數(shù)HASH Function：將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息。

　　2、數(shù)字簽名(通信雙方真實(shí)性檢驗(yàn))

　　(1)數(shù)字簽名的需求：消息認(rèn)證來(lái)保護(hù)通信雙方免受第三方的攻擊，但無(wú)法防止通信雙方的相互攻擊。解決方案是是數(shù)字簽名，是筆跡簽名的模擬。具有如下性質(zhì)：

　　能證實(shí)作者簽名和簽名的日期和時(shí)間、簽名時(shí)必須能對(duì)內(nèi)容進(jìn)行鑒別、必須能被第三方證實(shí)以解決爭(zhēng)端。

　　基于公鑰密碼體制、私鑰密碼體制、公證系統(tǒng)都可以獲得數(shù)字簽名。常用的公鑰數(shù)字簽名算法包括：RSA算法和數(shù)字簽名標(biāo)準(zhǔn)算法(DSS)。

　　(2)數(shù)字簽名的創(chuàng)建

　　數(shù)字簽名是一個(gè)加密的消息摘要，附加在消息后面。步驟是：甲創(chuàng)建公鑰/私鑰對(duì);將公鑰發(fā)送給乙;消息作為單項(xiàng)散列函數(shù)輸入，散列函數(shù)的輸出為消息摘要;甲用私鑰加密消息摘要，得到數(shù)字簽名。

　　數(shù)字簽名的驗(yàn)證：發(fā)送的數(shù)據(jù)是消息與數(shù)字簽名的組合。乙將計(jì)算出來(lái)的消息摘要與甲解密后的消息相匹配，則證明消息的完整性并驗(yàn)證了消息的發(fā)送者是甲。

　　3、身份認(rèn)證(用戶(hù)身份是否合法)

　　又稱(chēng)身份識(shí)別。是通信和數(shù)據(jù)系統(tǒng)中正確識(shí)別通信用戶(hù)或終端身份的重要途徑。

　　常用的方法有：口令認(rèn)證、持證認(rèn)證和生物識(shí)別。

　　口令認(rèn)證：口令由數(shù)字、字母組成的字符串，有時(shí)也有特殊字符、控制字符等。

　　持證認(rèn)證：一種個(gè)人持有物，類(lèi)似鑰匙。

　　生物識(shí)別：依據(jù)人類(lèi)自身所固有的生理或行為特征，包括指紋識(shí)別、掌紋識(shí)別等

　　常用的身份認(rèn)證協(xié)議有：

　　一次一密制：每次根據(jù)信息產(chǎn)生口令。

　　X.509認(rèn)證協(xié)議：利用公鑰密碼技術(shù)對(duì)X.500(對(duì)分布式網(wǎng)絡(luò)中存儲(chǔ)用戶(hù)信息的數(shù)據(jù)庫(kù)所提供的目錄檢索服務(wù)的協(xié)議標(biāo)準(zhǔn))的服務(wù)所提供的認(rèn)證服務(wù)的協(xié)議標(biāo)準(zhǔn)。

　　Kerberos認(rèn)證協(xié)議：基于對(duì)稱(chēng)密鑰體制，與網(wǎng)絡(luò)上的每個(gè)實(shí)體共享一個(gè)不同的密鑰，通過(guò)是否知道密鑰驗(yàn)證身份。

　　六、安全技術(shù)應(yīng)用

　　1、安全電子郵件

　　加密技術(shù)用在網(wǎng)絡(luò)安全方面通常有兩種形式：面向網(wǎng)絡(luò)的服務(wù)和面向應(yīng)用的服務(wù)。

　　(1)PGP(面向個(gè)人、團(tuán)體)

　　安全電子郵件加密方案。由5種服務(wù)組成：鑒別、機(jī)密性、壓縮、電子郵件的兼容性和分段。PGP有4種類(lèi)型的密鑰：一次性會(huì)話的常規(guī)密鑰、公開(kāi)密鑰、私有密鑰和基于口令短語(yǔ)的常規(guī)密鑰。

　　(2)S/MIME(面向商業(yè)組織)

　　基于RSA數(shù)據(jù)安全技術(shù)的Internet電子郵件格式標(biāo)準(zhǔn)的安全擴(kuò)充。功能有：(1)加密的數(shù)據(jù)：由加密內(nèi)容和加密密鑰組成。(2)簽名的數(shù)據(jù)：使用簽名者的私鑰對(duì)摘要進(jìn)行加密形成數(shù)字簽名。(3)透明簽名的數(shù)據(jù)：簽名的數(shù)據(jù)形成了內(nèi)容的數(shù)字簽名。(4)簽名并加密的數(shù)據(jù)：加密的數(shù)據(jù)可被簽名、簽名或透明的數(shù)據(jù)可加密。

　　2、網(wǎng)絡(luò)層安全---IPSEC

　　IP安全協(xié)議(稱(chēng)為IPSEC)是在網(wǎng)絡(luò)層提供安全的一組協(xié)議，專(zhuān)門(mén)用于Ipv6，但也可用于Ipv4。主要有兩個(gè)主要協(xié)議：身份認(rèn)證頭(AH)協(xié)議和封裝安全負(fù)載(ESP)協(xié)議。

　　AH協(xié)議提供源身份認(rèn)證和數(shù)據(jù)完整性，但沒(méi)有提供秘密性;而ESP協(xié)議提供了數(shù)據(jù)完整性、身份認(rèn)證和秘密性。

　　源主機(jī)在向目的主機(jī)發(fā)送安全數(shù)據(jù)報(bào)之前，源主機(jī)和網(wǎng)絡(luò)主機(jī)進(jìn)行握手并建立網(wǎng)絡(luò)層邏輯連接，該邏輯通道稱(chēng)為安全協(xié)定(SA)。SA定義的邏輯連接是單工的;如果要雙向傳輸，需要建立兩個(gè)邏輯連接。

　　IP數(shù)據(jù)報(bào)格式：IP頭+ AH頭+TCP或UDP數(shù)據(jù)段以及IP頭+ ESP頭+TCP或UDP數(shù)據(jù)段+ESP尾+ESP身份認(rèn)證。

　　3、WEB安全

　　Web面臨的威脅：Web服務(wù)器安全威脅、Web瀏覽器安全威脅、瀏覽器與服務(wù)器之間的網(wǎng)絡(luò)通信量安全威脅。

　　Web流量安全性方法

　　網(wǎng)絡(luò)級(jí)：使用IPSec，使用IP安全性。

　　傳輸級(jí)：使用安全套接層，在TCP上實(shí)現(xiàn)安全性。

　　應(yīng)用級(jí)：如安全的電子交易(SET)，與應(yīng)用相關(guān)的安全服務(wù)被嵌入到特定的應(yīng)用程序中。

　　七、入侵檢測(cè)技術(shù)與防火墻

　　1、入侵檢測(cè)技術(shù)

　　入侵者分為3類(lèi)：假冒者(外部人員，未經(jīng)授權(quán)使用計(jì)算機(jī)資源的人)、非法者(內(nèi)部人員，越權(quán)訪問(wèn)的人)、秘密用戶(hù)(奪取超級(jí)控制并利用控制逃避審計(jì)或抑制審計(jì)的人)

　　入侵檢測(cè)技術(shù)分為兩種：

　　統(tǒng)計(jì)異常檢測(cè)：收集一段時(shí)間的合法用戶(hù)的行為，然后統(tǒng)計(jì)測(cè)試觀測(cè)其行為，判斷是否違法。從閾值檢測(cè)和基于輪廓兩個(gè)方面。

　　基于規(guī)則檢測(cè)：包括異常檢測(cè)和滲透規(guī)則兩個(gè)方面。

　　2、防火墻特性

　　防火墻設(shè)計(jì)目標(biāo)：所有由外道內(nèi)或由內(nèi)到外必須經(jīng)過(guò)防火墻，只有被授權(quán)的通信才能通過(guò)防火墻。

　　用來(lái)控制訪問(wèn)和執(zhí)行站點(diǎn)安全策略的4種常用技術(shù)：

　　服務(wù)控制(確定可以訪問(wèn)的Internet服務(wù)類(lèi)型)、方向控制(決定哪些特定方向上服務(wù)請(qǐng)求可以被發(fā)起并通過(guò)防火墻)、用戶(hù)控制(根據(jù)哪個(gè)用戶(hù)嘗試訪問(wèn)服務(wù)來(lái)控制對(duì)一個(gè)服務(wù)的訪問(wèn))和行為控制(控制怎樣使用特定的服務(wù))。

　　防火墻的功能：

　　防火墻定義了單個(gè)阻塞點(diǎn)，將未授權(quán)的用戶(hù)隔離在被保護(hù)的網(wǎng)絡(luò)之外。不能放撥號(hào)上網(wǎng)。

　　提供了安全與監(jiān)視有關(guān)事件的場(chǎng)所

　　是一些與安全無(wú)關(guān)的Internet功能的方便平臺(tái)

　　可用作IPSEC(網(wǎng)絡(luò)層安全)平臺(tái)。

　　3、防火墻的分類(lèi)

　　常用的防火墻有包過(guò)濾路由器、應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)。

　　包過(guò)濾路由器：根據(jù)一套規(guī)則對(duì)收到的IP數(shù)據(jù)報(bào)進(jìn)行處理，決定轉(zhuǎn)發(fā)還是丟棄。

　　應(yīng)用級(jí)網(wǎng)關(guān)：也稱(chēng)代理服務(wù)器，在應(yīng)用級(jí)的通信中扮演著一個(gè)消息傳遞者的角色。

　　電路級(jí)網(wǎng)關(guān)：是一個(gè)獨(dú)立系統(tǒng)，或說(shuō)它是某項(xiàng)具體功能，也可由應(yīng)用級(jí)網(wǎng)關(guān)在某個(gè)應(yīng)用中執(zhí)行，但不允許建立一個(gè)端到端的直接TCP連接，由網(wǎng)關(guān)建立兩個(gè)鏈接，一個(gè)是網(wǎng)關(guān)到網(wǎng)內(nèi)的TCP用戶(hù)，一個(gè)是網(wǎng)關(guān)到外部TCP用戶(hù)，網(wǎng)關(guān)僅是一個(gè)中繼作用。

　　堡壘主機(jī)：作為應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)的服務(wù)平臺(tái)。

【計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》章節(jié)輔導(dǎo)：網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全】相關(guān)文章：

計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)章節(jié)輔導(dǎo)：因特網(wǎng)基礎(chǔ)10-12

計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)輔導(dǎo)：網(wǎng)絡(luò)安全技術(shù)08-20

計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)章節(jié)習(xí)題及答案06-24

計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)輔導(dǎo)知識(shí)07-15

計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》考點(diǎn)輔導(dǎo)：網(wǎng)絡(luò)安全問(wèn)題與安全策略08-16

2016計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)輔導(dǎo)：VoIP08-31

計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》章節(jié)練習(xí)題與答案09-23

計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)輔導(dǎo)：網(wǎng)絡(luò)應(yīng)用技術(shù)08-25

計(jì)算機(jī)等考三級(jí)網(wǎng)絡(luò)技術(shù)輔導(dǎo)：網(wǎng)絡(luò)應(yīng)用技術(shù)10-02

2015計(jì)算機(jī)三級(jí)《網(wǎng)絡(luò)技術(shù)》復(fù)習(xí)重點(diǎn)：網(wǎng)絡(luò)管理05-14