计算机网络安全(姚永雷马力)的定义
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.网络安全的定义:网络安全是指网络系统的软
件、硬件以及系统中存储和传输的数据受到保
护,不因偶然的或者恶意的原因遭到破坏、更
改、泄露,网络系统连续可靠正常的运行,网
络服务不中断。
2.计算机网络是地理上分散的多台自主计算机
互联的集合。
3.怎样保证网络上信息的安全?首先需要自主
计算机系统的安全;其次需要互联的安全,及
连接自主计算机的通信设备、通信链路、网络
软件和通信协议的安全;最后需要各种网络服
务和应用的安全。
4.网络安全的具体含义随着利益双方的变化而
变化:1)从一般用户的角度来说,他们希望
涉及个人隐私或商业利益的信息在网络上传
输时能够保持机密性、完整性和真实性,避免
其他人或对手利用窃听、冒充、篡改、抵赖等
手段侵犯自身利益。2)从网络运行者和管理
者的角度来说,他们希望对网络信息的访问受
到保护和控制,避免出现非法使用、拒绝服务
和网络资源非法占用和非法控制等威胁,制止
和防御网络黑客的攻击。
5.网络安全的属性:1)机密性。保证信息和信
息系统不被非授权的用户、实体或过程所获取
与使用。2)完整性。信息在存取或传输时不
被修改、破坏、或不发生信息包丢失、乱序等。
3)可用性。信息与信息系统可被授权实体正
常访问的特性,即授权实体当需要时能够存取
所需信息。4)可控性。对信息的存取于传播
具有完全的控制能力,可以控制信息的流向和
行为方式。5)真实性。也就是可靠性,指信
息的可用度,包括信息的完整性、准确性和发
送人的身份证实等方面,也就是信息安全性的
基本要素。
6.机密性,完整性和可用性通常被认为是网络安
全的三个基本要素
7.各层次安全问题:物理层:在通信线路上采取
电磁屏蔽、电磁干扰防止。数据链路层:采用
通信保密机进行加密。网络层:使用防火墙技
术处理经过网络的信息。传输层:可以采用端
到端加密,即进程到进程的加密。应用层:主
要是针对用户身份进行认证,并且可以建立安
全的通信信道。8.任何用来保证安全的方法都包含两个因素:1、
发送方对信息进行安全相关的转换2、双方共
享某些秘密信息,并希望这些信息不为攻击者
所知。
9.应对非授权访问所需的安全机制分为两大类:
第一类称为网闸功能第二类称为内部监控10.被动攻击采取的方法是对传输中的信息进行
窃听和监测,主要目标是获得传输的信息。有
两种主要的被动攻击方式:信息收集和流量分
析
11.主动攻击包括对数据流进行篡改或伪造数据
流,可分为四类:伪装、重放、修改消息和拒
绝服务。
12.安全服务是安全属性的具体表述。定义了5
大类:鉴别服务访问控制服务数据保密性
服务数据完整性服务抗否认性服务
13.加密机制:1、对称密钥密码体制,加密和解
密使用相同的秘密密钥2、非对称密钥密码体
制:加密使用公开密钥,解密使用私人密钥14.原始的消息称为明文,而加密后的消息称为密
文。将明文变换成密文,以使非授权用户不能
获取原始消息的过程称为加密;从密文恢复明
文的过程称为解密。
15.实际应用中的加密算法应该尽量满足以下标
准:1、破译密码的代价超出密文信息的价值
2、破译密码的时间超出密文信息的有效生命
期
16.置换:对明文字符按某种规律进行位置的交换
而形成密文的技术称为置换。代换:代换是古
典密码中最基本的处理技巧,在现代密码学中
也得到了广泛应用。代换法是将明文字母用其
他字母、数字或符号替换的一种方法。
17.对密码分为两大类:流密码和分组密码
18.为什么要提出AES:原来分组的标准是DES,
但随着技术的发展不断被攻破,DES的密钥
太短,AES是现在分组采用的标准,在安全
性要求很高的时候不用DES,多用AES
19.加密功能设置有:链路加密、结点加密、端到
端加密。链路加密:对于两个网络结点间的通
信链路,链路加密能为传输的数据提供安全保
证。链路加密将加密功能设置在通信链路两
端,所有消息在被传输之前进行加密,传输路
径上的每一个结点接收到消息后首先进行加
密,然后使用下一个链路的密钥对消息进行加
密,再进行传输。依次进行,直至达目的地结
点加密:和链路相似。不同在于,结点加密不
允许消息在网络结点以明文形式存在,它先把
收到的消息进行解密,然后采用另一个不同的
密钥进行加密端到端加密:在两端系统中进
行,由发送方主机加密数据,密文经由网络传
送到接收方主机,接收方主机使用与源主机共
享的密钥对密文进行解密
20.密匙的分配有几种方法:1)密匙由A选择,
并亲自交给B。2)第三方C选择密匙后亲自
交给A和B。3)如果A和B以前或最近使用
过某密匙,其中一方可以用它加密一个新密匙
后再发给另一方。4)A和B与第三方C均有
秘密渠道,则C可以将一密匙分别秘密发送
给A和B。
21.公钥密码的两种基本用途是用来进行加密和
认证。
22.公钥密码体制主要有两类:一类是基于大整数
因子分解问题的最典型的代表是RSA;另一
类是基于离散对数问题的,例如椭圆曲线公钥
密码体制。
23.密钥的管理的核心问题是:确保使用中的密钥
能安全可靠。
24.公钥的几种分配方法:广播式公钥分发、目录
式公钥分发、公钥授权、公钥证书。
25.在公开的网络环境下,传输的数据可能遭到下
述几种攻击:1)泄密。消息的内容被泄露给
没有合法权限的任何人和过程。2)通信业务
量分析。分析通信双方的通信模式。3)伪造。
攻击者假冒真实发送方的身份,向网络中插入
一条信息或者假冒接收方发送一个消息确认。
4)篡改。分为三种情形:内容篡改、序号篡
改修改、时间篡改。5)行为抵赖。发送方否
认发送过某信息,或者接收方否认接收到某信
息。26.消息鉴别是指信息接收方对收到的信息进行
的验证,检验内容包括两个方面:1)真实性。
信息发送者是真正的而不是冒充的。2)完整
性。消息在传送和存储的过程中未被篡改过。
27.鉴别函数分为三类:1)基于消息加密。以整
个消息的密文作为鉴别符。2)基于消息鉴别
码(MAC)。利用公开函数+密钥产生的一个
固定长度的值作为鉴别符,并与信息一同发给
接收方,实现对消息的验证。3)基于散列函
数。利用公开函数将任意长的信息映射为定长
的散列值并以该散列值作为鉴别符。
28.一个数字签名体制是一个五元组(M,A,K,
S,V),其中:M是所有可能消息的集合即消
息空间。A是所有可能的签名组成的一个有限
集成为签名空间。K是所有密钥组成的集合,
成为密钥空间。S是签名算法的集合。V是验
证算法的集合。
29.在基于公钥密码的签名体制中,签名算法必须
使用签名人的私钥,而验证算法则只使用签名
人的公钥。
30.数字签名具有消息鉴别的功能。
31.RSA密码体制既可以用于加密,又可以用于
签名。
32.数字签名标准(DSS)使用安全散列算法
(SHA),给出了一种公钥方法,但只提供数
字签名功能,不能用于加密或密钥分配。33.认证协议:单项认证、双向认证。1)单向认
证是指通信双方中,只有一方对另一方进行认
证。具体包含三个步骤:应答方B通过网络
发送一个挑战;发起方A回送一个对挑战的
响应;应答方B检查此响应然后再进行通信。
2)双向认证是一个重要的应用领域指通信双
方相互验证对方的身份。可以采用对称密码技
术实现也可以采用公钥密码技术实现。
34.PKI是基于公钥密码技术,支持公钥管理,提
供真实性、保密性、完整性以及可追究性安全
服务,具有普遍性的安全基础设施。PKI的核
心技术围绕建立在公钥密码算法之上的数字
证书的申请、颁发、使用与撤销等整个生命周
期进行展开,主要目的就是用来安全、便捷、
高效的分发公钥。