第3章安全性知识..doc

安全性知识： 知识点分散 数据安全与必威体育官网网址： 密码技术的发展：随机性假设，计算假设（有效时间内求函数容易，求反函数难），物理假设。 加密机制： 对称：加密数据快，适合大批量数据加密； DES美国数据加密标准，56位密钥； 3DES：源端-加密-解密-加密，目标端-解密-加密-解密， 国际数据加密算法（IDEA)：128位密钥 非对称：公钥+私钥，适合少量数据加密。 PKI与数字签名： PKI功能：认证，机密性，完整性，抗抵赖性； 数字签名：Hash签名，生成定长（128位）字段，即摘要；DSS签名；RSA签名； 数字签名原理： 生成摘要 用私钥对摘要加密形成数字签名 把加密后的数字签名加在原文后 将原文和数字签名发送 接受者对原文生成新的摘要 用公钥对摘要解密 将新摘要与源摘要对比； 数字签名分类： 对整体 / 对压缩信息； 确定的 / 随机的 数字信封： 采用私钥+公钥密码体制； 基本原理： 用对称密钥加密原文； 将对称密钥用对方的公钥加密后传送； 接收方用自己的私钥解密信封； 取出对称密钥后解密原文。 PGP： PGP证书：版本号、公钥、信息、数字签名、有效期、首选的对称加密算法…… X.509证书：版本号、序列号、算法标识、有效期、发行商、主体名、公钥、数字签名 计算机网络安全： 网络安全机制： 主要伪装：欺骗，非法存取，否认抵赖，拒绝服务，截取破译，身份攻击，阻塞通讯； 主要机制：标识与验证，网络访问控制，加密，信息完整性，认证和审计； 网络安全防范体系： 木桶原则：木桶装水量取决于最矮的木板； 整体性原则：防范--检查--恢复； 安全性评价与平衡原则：具体问题具体标准； 标准化与一致性原则： 技术与管理相结合原则： 统筹规划，分步实施原则： 等级性原则：分级管理、操作； 动态发展原则：安全性是发展的，管理等要随时适应； 易操作性原则： 单点登录技术SSO： 利用Kerberos机制： 优点：安全性高，透明性高，可扩展性好； 缺点：服务器不验证用户真实性；集中式管理，严重依赖AS和TGS；密钥管理复杂；服务器与用户公用密码；KDC是单一故障点；密钥要保存在客户端；若密钥应用加密功能则不能保护网络流量。 外壳脚本机制： 常规特征 终端用户管理灵活； 应用管理灵活； 移动用户管理； 加密和认证； 访问控制； 可靠性和性能。 集中式认证服务： AAA（Authentication认证，Authorization授权，Accounting计费）： 缩短了用户建立和维护的时间； 需要较少的安全管理培训； 易于审计； 方便用户的使用； 访问信息的扩散更加快捷； 增强了安全性； 易于扩展； RADIUS（Remote Authentication Dial In User Service）： 访问请求；访问接受；访问拒绝；记账请求；记账响应；访问询问；状态服务器；状态客户机； 只提供基本的记账与监控功能；适用与远程访问，而不适用于主机及其应用系统；连接参数基于用户的而不是基于设备的； TACACS（Terminal Access Controller Access-Control System）： 对某些操作、地址、服务合协议的允许合拒绝； 设置用户特权级别； 调用输入输出包过滤； 设置访问控制列表； 分配特定的网络地址； Diameter： 基本协议：建立在RADIUS基础上的对等的模式，并有补充和增强 协议扩展 无线设备的安全性： 认证：WAPI； 机密：SSL，WTLS； 恶意代码合病毒： 防火墙：对边界控制来保护网络。 网络级防火墙：过滤型的 应用级防火墙： 双穴主机网关：一台主机，两块网卡； 屏蔽主机网关； 屏蔽子网关：外网与内网间有一个独立网络； 应用代理服务器； 入侵检测： 入侵检测技术： 特征检测：建立数据库，将进入的数据与库中数据比较，符合则放行； 异常检测： 检测方法： 特征检测： 统计检测：操作模型，方差，多元模型，马尔科夫过程模型，时间序列分析；可以智能学习统计结果来判断入侵； 专家系统：根据专家系统数据库的数据来判断入侵； 性能：传感器-检测，控制台-管理 分割事件流：事件拆分； 使用外围网络传感器： 入侵检测产品： 基于网络的入侵检测DIDS： 基于主机的入侵检测HIDS： 发展方向： 分布式： 智能化： 全面的安全防御方案： 虚拟专用网VPN： GRE： 主要用于源路由和终路由之间所形成的隧道； 隧道通常是点到点的； 可以不使用全局唯一的地址空间； 管理费用高，隧道规模数量大； L2TP：强制性的，更安全，适合比较固定的用户 用户通过Modem与NAS建立连接； 用户通过NAS的L2TP接入服务器身份认证； 在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态的建