2 发送方和接受方必须用
安全的方式来获得保密密钥的副本。
常规机密的
安全性取决于密钥的保密性,而不是算法的保密性。
IDEA算法被认为是当今最好最
安全的分组密码算法。
公开密钥加密又叫做非对称加密。 公钥密码体制有两个基本的模型,一种是加密模型,一种是认证模型。 通常公钥加密时候使用一个密钥,在解密时使用不同但相关的密钥。 常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。
RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。
密钥的生存周期是指授权使用该密钥的周期。 在实际中,存储密钥最
安全的方法就是将其放在物理上
安全的地方。 密钥登记包括将产生的密钥与特定的应用绑定在一起。 密钥管理的重要内容就是解决密钥的分发问题。 密钥销毁包括清除一个密钥的所有踪迹。
密钥分发
技术是将密钥发送到数据交换的两方,而其他人无法看到的地方。 数字证书是一条数字签名的消息,它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构,具有一种公共的格式,它将某一个成员的识别符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。 序列号:由证书颁发者分配的本证书的唯一标示符。 认证是防止主动攻击的重要
技术,它对于开放环境中的各种信息系统的
安全有重要作用。 认证是验证一个最终用户或设备的声明身份的过程。
认证主要目的为: 1 验证信息的发送者是真正的,而不是冒充的,这称为信源识别。 2 验证信息的完整性,保证信息在传送过程中未被窜改,重放或延迟等。 认证过程通常涉及加密和密钥交换。
帐户名和口令认证方式是最常用的一种认证方式。
授权是把访问权授予某一个用户,用户组或指定系统的过程。
访问控制是限制系统中的信息只能流到网络中的授权个人或系统。
有关认证使用的
技术主要有:消息认证,身份认证和数字签名。
消息认证的内容包括为:1 证实消息的信源和信宿。2 消息内容是或曾受到偶然或有意的篡改。3 消息的序号和时间性。
消息认证的一般方法为:产生一个附件。
身份认证大致分为3类:
1 个人知道的某种事物。2 个人持证 3 个人特征。
口令或个人识别码机制是被广泛研究和使用的一种身份验证方法,也是最实用的认证系统所依赖的一种机制。 为了使口令更加
安全,可以通过加密口令或修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有S/KEY和令牌口令认证方案。
持证为个人持有物。
数字签名的两种格式:1 经过密码变换的被签名信息整体。2 附加在被签消息之后或某个特定位置上的一段签名图样。 对与一个连接来说,维持认证的唯一办法是同时使用连接完整性服务。
防火墙总体上分为包过滤,应用级网关和代理服务等几大类型。
数据包过滤
技术是在网络层对数据包进行选择。 应用级网关是在网络应用层上建立协议过滤和转发功能。 代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。 防火墙是设置在不同网络或网络
安全域之间的一系列不见的组合。它可以通过检测,限制,更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部的消息,结构和运行情况,以此来实现网络的
安全保护。
防火墙的设计目标是: 1 进出内部网的通信量必须通过防火墙。
2 只有那些在内部网
安全策约中定义了的合法的通信量才能进出防火墙。 3 防火墙自身应该防止渗透。
防火墙能有效的防止外来的入侵,它在网络系统中的作用是:1 控制进出网络的信息流向和信息包。 2 提供使用和流量的日志和审记。 3 隐藏内部IP以及网络结构细节。 4 提供虚拟专用网功能。
通常有两种设计策约:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。
防火墙实现站点
安全策约的
技术:1 服务控制。确定在围墙外面和里面可以访问的
interNET服务类型。2 方向控制。启动特定的服务请求并允许它通过防火墙,这些操作具有方向性。3 用户控制。根据请求访问的用户来确定是或提供该服务。4 行为控制。控制如何使用某种特定的服务。 影响防火墙系统设计,安装和使用的网络策约可以分为两级:高级的网络策约定义允许和禁止的服务以及如何使用服务。 低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。
