计算机网络安全(姚永雷马力)的定义

1.网络安全的定义：网络安全是指网络系统的软

件、硬件以及系统中存储和传输的数据受到保

护，不因偶然的或者恶意的原因遭到破坏、更

改、泄露，网络系统连续可靠正常的运行，网

络服务不中断。

2.计算机网络是地理上分散的多台自主计算机

互联的集合。

3.怎样保证网络上信息的安全？首先需要自主

计算机系统的安全；其次需要互联的安全，及

连接自主计算机的通信设备、通信链路、网络

软件和通信协议的安全；最后需要各种网络服

务和应用的安全。

4.网络安全的具体含义随着利益双方的变化而

变化：1）从一般用户的角度来说，他们希望

涉及个人隐私或商业利益的信息在网络上传

输时能够保持机密性、完整性和真实性，避免

其他人或对手利用窃听、冒充、篡改、抵赖等

手段侵犯自身利益。2）从网络运行者和管理

者的角度来说，他们希望对网络信息的访问受

到保护和控制，避免出现非法使用、拒绝服务

和网络资源非法占用和非法控制等威胁，制止

和防御网络黑客的攻击。

5.网络安全的属性：1）机密性。保证信息和信

息系统不被非授权的用户、实体或过程所获取

与使用。2）完整性。信息在存取或传输时不

被修改、破坏、或不发生信息包丢失、乱序等。

3）可用性。信息与信息系统可被授权实体正

常访问的特性，即授权实体当需要时能够存取

所需信息。4）可控性。对信息的存取于传播

具有完全的控制能力，可以控制信息的流向和

行为方式。5）真实性。也就是可靠性，指信

息的可用度，包括信息的完整性、准确性和发

送人的身份证实等方面，也就是信息安全性的

基本要素。

6.机密性，完整性和可用性通常被认为是网络安

全的三个基本要素

7.各层次安全问题：物理层：在通信线路上采取

电磁屏蔽、电磁干扰防止。数据链路层：采用

通信保密机进行加密。网络层：使用防火墙技

术处理经过网络的信息。传输层：可以采用端

到端加密，即进程到进程的加密。应用层：主

要是针对用户身份进行认证，并且可以建立安

全的通信信道。8.任何用来保证安全的方法都包含两个因素：1、

发送方对信息进行安全相关的转换2、双方共

享某些秘密信息，并希望这些信息不为攻击者

所知。

9.应对非授权访问所需的安全机制分为两大类：

第一类称为网闸功能第二类称为内部监控10.被动攻击采取的方法是对传输中的信息进行

窃听和监测，主要目标是获得传输的信息。有

两种主要的被动攻击方式：信息收集和流量分

析

11.主动攻击包括对数据流进行篡改或伪造数据

流，可分为四类：伪装、重放、修改消息和拒

绝服务。

12.安全服务是安全属性的具体表述。定义了5

大类：鉴别服务访问控制服务数据保密性

服务数据完整性服务抗否认性服务

13.加密机制：1、对称密钥密码体制，加密和解

密使用相同的秘密密钥2、非对称密钥密码体

制：加密使用公开密钥，解密使用私人密钥14.原始的消息称为明文，而加密后的消息称为密

文。将明文变换成密文，以使非授权用户不能

获取原始消息的过程称为加密；从密文恢复明

文的过程称为解密。

15.实际应用中的加密算法应该尽量满足以下标

准：1、破译密码的代价超出密文信息的价值

2、破译密码的时间超出密文信息的有效生命

期

16.置换：对明文字符按某种规律进行位置的交换

而形成密文的技术称为置换。代换：代换是古

典密码中最基本的处理技巧，在现代密码学中

也得到了广泛应用。代换法是将明文字母用其

他字母、数字或符号替换的一种方法。

17.对密码分为两大类：流密码和分组密码

18.为什么要提出AES：原来分组的标准是DES，

但随着技术的发展不断被攻破，DES的密钥

太短，AES是现在分组采用的标准，在安全

性要求很高的时候不用DES，多用AES

19.加密功能设置有：链路加密、结点加密、端到

端加密。链路加密：对于两个网络结点间的通

信链路，链路加密能为传输的数据提供安全保

证。链路加密将加密功能设置在通信链路两

端，所有消息在被传输之前进行加密，传输路

径上的每一个结点接收到消息后首先进行加

密，然后使用下一个链路的密钥对消息进行加

密，再进行传输。依次进行，直至达目的地结

点加密：和链路相似。不同在于，结点加密不

允许消息在网络结点以明文形式存在，它先把

收到的消息进行解密，然后采用另一个不同的

密钥进行加密端到端加密：在两端系统中进

行，由发送方主机加密数据，密文经由网络传

送到接收方主机，接收方主机使用与源主机共

享的密钥对密文进行解密

20.密匙的分配有几种方法：1）密匙由A选择，

并亲自交给B。2）第三方C选择密匙后亲自

交给A和B。3）如果A和B以前或最近使用

过某密匙，其中一方可以用它加密一个新密匙

后再发给另一方。4）A和B与第三方C均有

秘密渠道，则C可以将一密匙分别秘密发送

给A和B。

21.公钥密码的两种基本用途是用来进行加密和

认证。

22.公钥密码体制主要有两类：一类是基于大整数

因子分解问题的最典型的代表是RSA；另一

类是基于离散对数问题的，例如椭圆曲线公钥

密码体制。

23.密钥的管理的核心问题是：确保使用中的密钥

能安全可靠。

24.公钥的几种分配方法：广播式公钥分发、目录

式公钥分发、公钥授权、公钥证书。

25.在公开的网络环境下，传输的数据可能遭到下

述几种攻击：1）泄密。消息的内容被泄露给

没有合法权限的任何人和过程。2）通信业务

量分析。分析通信双方的通信模式。3）伪造。

攻击者假冒真实发送方的身份，向网络中插入

一条信息或者假冒接收方发送一个消息确认。

4）篡改。分为三种情形：内容篡改、序号篡

改修改、时间篡改。5）行为抵赖。发送方否

认发送过某信息，或者接收方否认接收到某信

息。26.消息鉴别是指信息接收方对收到的信息进行

的验证，检验内容包括两个方面：1）真实性。

信息发送者是真正的而不是冒充的。2）完整

性。消息在传送和存储的过程中未被篡改过。

27.鉴别函数分为三类：1）基于消息加密。以整

个消息的密文作为鉴别符。2）基于消息鉴别

码（MAC）。利用公开函数+密钥产生的一个

固定长度的值作为鉴别符，并与信息一同发给

接收方，实现对消息的验证。3）基于散列函

数。利用公开函数将任意长的信息映射为定长

的散列值并以该散列值作为鉴别符。

28.一个数字签名体制是一个五元组（M，A，K，

S，V），其中：M是所有可能消息的集合即消

息空间。A是所有可能的签名组成的一个有限

集成为签名空间。K是所有密钥组成的集合，

成为密钥空间。S是签名算法的集合。V是验

证算法的集合。

29.在基于公钥密码的签名体制中，签名算法必须

使用签名人的私钥，而验证算法则只使用签名

人的公钥。

30.数字签名具有消息鉴别的功能。

31.RSA密码体制既可以用于加密，又可以用于

签名。

32.数字签名标准（DSS）使用安全散列算法

（SHA），给出了一种公钥方法，但只提供数

字签名功能，不能用于加密或密钥分配。33.认证协议：单项认证、双向认证。1）单向认

证是指通信双方中，只有一方对另一方进行认

证。具体包含三个步骤：应答方B通过网络

发送一个挑战；发起方A回送一个对挑战的

响应；应答方B检查此响应然后再进行通信。

2）双向认证是一个重要的应用领域指通信双

方相互验证对方的身份。可以采用对称密码技

术实现也可以采用公钥密码技术实现。

34.PKI是基于公钥密码技术，支持公钥管理，提

供真实性、保密性、完整性以及可追究性安全

服务，具有普遍性的安全基础设施。PKI的核

心技术围绕建立在公钥密码算法之上的数字

证书的申请、颁发、使用与撤销等整个生命周

期进行展开，主要目的就是用来安全、便捷、

高效的分发公钥。