发布时间 : 星期六 文章2011计算机等考三级网络基本概念与名词解释更新完毕开始阅读
322. 公钥加密系统的模型:一个公钥加密方案由明文、加密算法、公开密钥和私有密钥对、密文、解密算法组成。一个实体的非对称密钥对中只由该实体使用的密钥称私有密钥,私有密钥是保密的;一个实体的非对称密钥对中能够被公开的密钥称为公开密钥。这两个密钥相关但不相同。
323. 在公开密钥算法中,用公开的密钥进行加密,用私有密钥进行解密的过程,称为加密。而用私有密钥进行加密,用公开密钥进行解密的过程系为认证。
324. 公钥密码系统的用途一般包括:加密/解密、数字鉴名、密钥交换。
325. 数字信封:使用对称密钥密码加密大量数据,然后使用公钥算法加密会话密钥的过程称为数字信封,关于数字信封的具体情况,请参考下文(电子商务)。
326. RAS公钥密码算法:RAS算法是建立地大数分解和素数检测的理论基础上的,是一种分组密码体制。它的思路是:两个大素数相乘在计算上是容易实现的,但将它们的乘积分解为两个大素数的因子的计算时却相当巨大,甚至在计算机上也是不可实现的。所谓素数检测,是指判断给定的一个整数是否为素数。RAS的安全性基于数论中大整数的素因子分解的困难性。
327. RAS密钥的产生过程:
a.独立地选取两个互异的大素数p和q(保密)。
b.计算n=p×q(公开),则欧拉函数值ф(n)=(p-1)(q-1)(保密)
c.随机选取整数e,使得1ф(n)并且gcd(ф(n),e)=1(公开)
d.计算d,d=e-1mod(ф(n))保密。
RAS私有密钥由{d,n},公开密钥由{e,n}组成
328. RAS的加密/解密过程
37
加密过程:把要求加密的明文信息M数字化,分块,其加密过程是:
C=Me(mod n)
解密过程:M=Cd(mod n)
329. 认证技术:认证也称为鉴别,它是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致,或某个通信事件是否有效的过程,用以确保数据的真实性,防止对手对系统进行主动攻击,如伪装、篡改等。认证包括实体认证和消息认证两部分。
330. 实体认证:验证信息的发送者是真实的,包括信源、信宿等的认证和识别。
331. 消息认证:验证消息的完整性,验证数据在传送或存储过程中未被篡改、重放或延迟。
332. 认证方法:包括使用报文加密方法认证、使用消息鉴别码认证、使用哈希函数认证等方式。
333. 报文加密方法认证:该方法是以整个报文的密文作为报文的认证码(它包括使用对称加密方法在报文中包含错误校验码和序列号、时间戳等)和使用公钥加密方法认证(发送者使用私有密钥加密,接收方使用公钥解密)两种方法。
334. 使用消息鉴别码进行认证:消息鉴别码(MAC)也称为密码校验值,是对数据单元进行加密变换所得到的信息。它由MAC=C(K,M)生成,其中M是变长的报文,K是仅由收发双方共享的密钥,生成的MAC是定长的认证码,发送者在发送消息时,将计算好的认证码附加到消息的末尾发送,接收方根据接收到的消息,计算出鉴别码,并与附在消息后面的认证码进行比较。
335. 哈希函数认证:哈希函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数。以h表示哈希函数,则有H=h(M)。其中H称为M的哈希码,有时也称为杂凑码、数字指纹、消息摘要等。哈希函数与MAC的区别是,哈希函数的输入是消息本身,没有密钥参与。
38
336. 数字鉴名:是用来防目通信双方互相攻击的一种认证机制,是防止发送方或接收方抵赖的认证机制,它满足以下几个条件:首先,鉴名者事后不能否认自己的鉴名,其次,除鉴名者之外的其它任何人均不能伪造鉴名,也不能对接收或发送的消息进行篡改、伪造或冒充;第三,接收者可以确认收发双方之间的数据传送。数据鉴名一般采用RAS加密算法,发送方使用私钥对消息进行加密,接收方使用公钥进行解密并确认发送者的身份。
337. 防火墙:是在内部网络和外部网络之间设置的一道安全屏障,是在网络信息通过时对它们实施防问控制策略的一个或一组系统。
338. 防火墙的特点:位置:防火墙是内外通信的唯一途径,所有从内到外或从外到内的通信量都必须经过防火墙,否则,防火墙将无法起到保护作用;功能:防火墙是用户制订的安全策略的完整体现。只有经过既定的本地安全策略证实的通信流,才可以完成通信;防攻击:防火墙本身对于渗透是免疫的,也就是说,防火墙本身应该是一个安全、可靠、防攻击的可信任系统,它自身应有足够的强度和可靠性以抵御外界对防火墙的任何攻击。
339. 防火墙的类型:分组过滤路由器、应用层网关、电路层网关、混合型防火墙。
340. 防火墙的作用:可以有效的记录和统计网络的使用情况;能有效地过滤、筛选和屏蔽一切有害的服务和信息;可加强对网络系统的防问,能执行强化网络的安全策略;能够隔开网络中的一个网段和咖一个网段,防止一个网段的问题传播到整个网络。
341. 防火墙的不足:不能对付来自内部的攻击;对网络病毒的攻击能通常无能为力;可能会阻塞许多用户所希望的防问服务;不能保护内部网络的后门威胁;数据驱动攻击经常会对防火墙造成威胁。
342. 虚拟专用网络(VPN):是利用不可靠的公用互联网络作为信息传输介质,通过附加的安全通道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从而实现对敏感信息的安全传输。
343. VPN的建立可以基于下列协议:点对点隧道协议(PPTP);第二层隧道协议(L2TP);IP安全协议(Ipsec)
39
344. VPN可以提供的功能:防火墙功能、认证、加密、隧道化;
345. VPN的技术特点:信息的安全性、方便的扩充性、方便的管理、显著的成本效益。
346. VPN的关键技术:安全隧道技术、用户认证技术、访问控制技术。
347. VPN的类型:防火墙VPN;路由器/专用VPN、操作系统附带VPN。
348. 入侵检测技术:入侵是指有关破坏资源的完整性、机密性及可用性的活动。入侵检测是检测和识别系统中未授权的或异常的现象。
349. 入侵的类型:尝试闯入、伪装攻击、安全控制系统渗透、泄漏、恶意使用。
350. 入侵检测的作用:如果能够迅速地检测到一个入侵行为,就可以在进入系统损坏或数据丢失之前识别入侵者并驱逐它;一个有效的入侵检测系统可以作为一个阻碍物,用来防止入侵;入侵检测可以用来收集有关入侵技术的信息,从而用来改进和加强抗入侵能力。
351. 入侵检测的原理:异常检测原理和误用入侵检测原理。
352. 入侵的检测方法:统计异常检测法、基于规则的检测(异常检测和渗透识别)。
353. 计算机病毒(略)
354. 网络管理:是对计算机网络的配置、运行状态和计费等进行管理。它提供了监控、协调和测试各种网络资源以及网络运行情况的手段,还可提供安全管理和计费等功能。
355. 网络管理的体系结构:网络管理的体系结构是网络管理各组成部分之间的关系。它主要有集中式网络管理系统、分布式网络管理系统和集中与分布相结合式网络管理系统。
356. 网络管理模型:包括反映网络管理功能的功能模型、反映网络管理实体之间通信方法的组织模型和反映被管对象的管理信息组织方法的信息模型。
40