【正文】 來(lái)的一致 。 ? 使用單向加密對(duì)信息加密 ， 在理論上加以解密是不可能的 。這一組密鑰中的一個(gè)用于加密，另一個(gè)用于解密。 該加密過(guò)程重復(fù) 16次 ，每次所用的密鑰位排列不同 。 用該加密方法可以一秒鐘之內(nèi)加密大量的信息 。 復(fù)習(xí) 對(duì)稱加密示意圖 1. 對(duì)稱算法 ? 產(chǎn)生一個(gè)對(duì)稱密鑰可以用許多算法 ， RSA算法是最常用的商業(yè)算法 。 其結(jié)構(gòu)如下： HTTP SSL更改密碼說(shuō)明協(xié)議 SSL 握手協(xié)議 TCP IP SSL記錄協(xié)議 SSL協(xié)議棧 SSL 警示協(xié)議 1. SSL記錄協(xié)議 ? SSL記錄協(xié)議可為 SSL連接提供保密性業(yè)務(wù)和消息完整性業(yè)務(wù)。 ? SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法 、 通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作 。 ? 由于封裝了原數(shù)據(jù)報(bào)，新數(shù)據(jù)報(bào)的源地址和目標(biāo)地址都與原數(shù)據(jù)報(bào)不同，從而增加了安全性。 ? 一個(gè) SA可由三個(gè)參數(shù)惟一地表示 安全參數(shù)索引 ， 目標(biāo) IP地址 ， 安全協(xié)議標(biāo)識(shí)符 （ Security Associations） IPSec的實(shí)現(xiàn)還需要維護(hù)兩個(gè)數(shù)據(jù)庫(kù)： ? 安全關(guān)聯(lián)數(shù)據(jù)庫(kù) SAD ? 安全策略數(shù)據(jù)庫(kù) SPD 通信雙方如果要用 IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的算法、密鑰及密鑰的生存期等。 ? 安全協(xié)議有： 1. 認(rèn)證報(bào)頭 AH（ Authentication Header),即認(rèn)證協(xié)議。 IPSec應(yīng)用示例 用戶系統(tǒng) IPSecWANIPSec網(wǎng)絡(luò)設(shè)備 IPLAN IP 報(bào)頭 IPSec 報(bào)頭 安全 IP 負(fù)載 具有 IPSec的用戶系統(tǒng) 具有 IPSec的網(wǎng)絡(luò)設(shè)備 IPSec具有以下意義： ? IPSec用于防火墻和路由器等網(wǎng)絡(luò)設(shè)備中 ， 以提供安全的業(yè)務(wù)流 ， 而在 LAN內(nèi)則可以不必進(jìn)行安全性處理 。 ? 配有 IPSec系統(tǒng)的用戶，通過(guò) ISP獲取安全訪問(wèn)。 其安全性應(yīng)達(dá)到： ? 期望安全的用戶能夠使用基于密碼學(xué)的安全機(jī)制； ? 應(yīng)能同時(shí)適用于 IPv4和 IPv6。 ? 一個(gè)關(guān)聯(lián)就是發(fā)送與接收者之間的一個(gè)單向關(guān)系。 原 IP報(bào)頭 TCP 數(shù)據(jù) ESP報(bào)尾 ESP認(rèn)證數(shù)據(jù) ESP報(bào)頭 加密的 認(rèn)證的 2. AH和 ESP的兩種使用模式 2) 隧道模式 ? 隧道模式用于對(duì)整個(gè) IP數(shù)據(jù)報(bào)的保護(hù)，即給原數(shù)據(jù)報(bào)加一個(gè)新的報(bào)頭（網(wǎng)關(guān)地址）。 6 . 傳輸層安全協(xié)議 SSL SSL協(xié)議概述 ? 安全套接層協(xié)議 SSL是在 Inter上提供一種保證私密性的安全協(xié)議 。 應(yīng)用層安全實(shí)現(xiàn) 對(duì)特定應(yīng)用程序來(lái)說(shuō) ， 其安全業(yè)務(wù)可在應(yīng)用程序內(nèi)部實(shí)現(xiàn) ， 這種方法的優(yōu)點(diǎn)是安全業(yè)務(wù)可按應(yīng)用程序的特定需要來(lái)定制 。 ? 雙方必須小心翼翼地保護(hù)密鑰，不讓外人得知。 ? RC4是由 Rivest 在 1987年開(kāi)發(fā)的 ， 是一種流式的密文 ， 即實(shí)時(shí)的把信息加密成一個(gè)整體 ， 密鑰的長(zhǎng)度也是可變的 。 （ 備注 NAT） 3. 數(shù)據(jù)加密標(biāo)準(zhǔn) ? DES最著名的對(duì)稱加密技術(shù) ， 是 IBM于 70年代為國(guó)家標(biāo)準(zhǔn)局研制的數(shù)據(jù)加密標(biāo)準(zhǔn) 。 ? DES對(duì)于推動(dòng)密碼理論的發(fā)展和應(yīng)用起了重大的作用 。 ? 優(yōu)點(diǎn)：由于公鑰是公開(kāi)的 ， 而私鑰則由用戶自己保存 ， 所以對(duì)于非對(duì)稱密鑰來(lái)說(shuō) ，其密鑰管理相對(duì)比較簡(jiǎn)單 。 （ Hash encryption） ? HASH算法 HASH加密使用復(fù)雜的數(shù)字算法來(lái)實(shí)現(xiàn)有效的加密 。 ? 另一方面 ， 當(dāng)發(fā)送的信息變得對(duì)其不利時(shí) ， 發(fā)送方就可能謊稱從未發(fā)過(guò)這個(gè)信息 。 數(shù)字簽名有一定的處理速度 ， 能夠滿足所有的應(yīng)用需求 。 3） 發(fā)送者將該會(huì)話密鑰和信息進(jìn)行一次單向加密得到一個(gè) HASH值 。 這種加密提供了數(shù)據(jù)的保密性 。 ? 這兩種協(xié)議都允許自發(fā)的進(jìn)行商業(yè)交易 ， Secure HTTP和 SSL都使用對(duì)稱加密 ， 非對(duì)稱加密和單向加密 ， 并使用單向加密的方法對(duì)所有的數(shù)據(jù)包簽名 。雖然大多數(shù)的密鑰嘗試都是失敗的 ， 但最終有一個(gè)密鑰讓破譯者得到原文 ， 這個(gè)過(guò)程稱為密鑰的窮盡搜索 。 （ 3） 如果訪問(wèn)是授權(quán)的 ， 安全性系統(tǒng)構(gòu)造一個(gè)存取令牌 ，并將它傳回到 Win 32的 WinLogin進(jìn)程 。 認(rèn)證方法 ? 生物特征認(rèn)證 指紋： 唯一地識(shí)別一個(gè)人 手?。?讀取整個(gè)手而不是僅僅手指的特征 。如果雇員離開(kāi)公司，則管理員應(yīng)及時(shí)把他的賬戶消除， （ 5）可以限制用戶的登錄時(shí)間，如只有在工作時(shí)間可登錄。不創(chuàng)建 guest賬號(hào)。其認(rèn)證手段得到廣泛應(yīng)用。 第 2階段：用戶從 TGS獲取服務(wù)許可票據(jù) ， 即票據(jù)許可服務(wù)交換 。 ? TGS用與 AS共享的密鑰 Kt解密票據(jù)后 ， 知道 C已從 AS處得到與自己會(huì)話的會(huì)話密鑰 Kctgs， 票據(jù)在這里的含義事實(shí)上是 “ 使用密鑰的人就是C” 。 V對(duì)從認(rèn)證符得到的時(shí)戳加 1， 再由與 C共享的密鑰加密后發(fā)給 C， C解讀后對(duì)增加的時(shí)戳加以驗(yàn)證 ， 從而相信增加時(shí)戳的的確是 V。 之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路 ， 而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái) （ 如 Inter， ATM， Frame Relay等 ） 之上的邏輯網(wǎng)絡(luò) ， 用戶數(shù)據(jù)在邏輯鏈路中傳輸 。 常見(jiàn)的 VPN協(xié)議有 PPTP和 IPSec。 與點(diǎn)對(duì)點(diǎn)加密技術(shù)相比 ， IPSec的安全性更高 。 網(wǎng)絡(luò)病毒防治技術(shù) ? 網(wǎng)絡(luò)病毒的特點(diǎn) Matrix 病毒 Matrix在 2023年 8月發(fā)源于德國(guó) ， 它具有網(wǎng)絡(luò)蠕蟲(chóng)的特性 ， 利用 Inter和 LAN進(jìn)行傳播 。 其最大的特點(diǎn)是通過(guò) Email和 IRC快速傳播 。 l 擴(kuò)散面廣：由于病毒在網(wǎng)絡(luò)中擴(kuò)散非?？?， 擴(kuò)散范圍很大 ， 不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī) ， 還能在瞬間通過(guò)遠(yuǎn)程工作站將病毒傳播到千里之外 。 2. 對(duì)新病毒的反應(yīng)能力 對(duì)新病毒的反應(yīng)能力是考察一個(gè)防病毒工具好壞的重要方面 。 在安裝時(shí)如果能夠自動(dòng)區(qū)分服務(wù)器與客戶端 ， 并安裝相應(yīng)的軟件 ， 這對(duì)管理員是一件十分方便的事 。 因防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會(huì)帶來(lái)很多的問(wèn)題 。 6. 管理方便 ， 易于操作 對(duì)防病毒軟件的參數(shù)設(shè)置以及從系統(tǒng)整體角度出發(fā)對(duì)各臺(tái)計(jì)算機(jī)上進(jìn)行的設(shè)置 。 網(wǎng)絡(luò)病毒防治技術(shù) 3. 病毒實(shí)時(shí)監(jiān)測(cè)能力 病毒通過(guò)郵件和網(wǎng)頁(yè)傳播的途徑具有一定的實(shí)時(shí)性 ，用戶無(wú)法人為地了解可能感染的時(shí)間 。 l 難于徹底清除：?jiǎn)螜C(jī)上的計(jì)算機(jī)病毒有時(shí)可通過(guò)刪除帶毒文件 、 低級(jí)格式化硬盤(pán)等措施將病毒徹底清除 。 一旦用戶打開(kāi)附件 ， 病毒便進(jìn)行感染：搜索 outlook地址簿 、 IRC連接 、 發(fā)送帶有病毒的郵件 、 通過(guò) IRC感染其它用戶等等 。 當(dāng)接收者打開(kāi)附件 ， 該病毒便在網(wǎng)絡(luò)系統(tǒng)內(nèi)安裝文件到 c:\windows目錄下 ， 然后將系統(tǒng)內(nèi)的 ， 把 。 ? IPSec的另一個(gè)優(yōu)點(diǎn)是其安全機(jī)制被松散地結(jié)合在密鑰管理系統(tǒng)中 ， 因此如果將來(lái)出現(xiàn)了更新更強(qiáng)大的密碼算法就可直接用于這一體系結(jié)構(gòu) ， 而無(wú)需對(duì)安全機(jī)制進(jìn)行修改 。 如果不能保證其安全性 ， 黑客就可以假扮用戶以獲取網(wǎng)絡(luò)信息 ， 這樣就會(huì)對(duì)網(wǎng)絡(luò)安全造成威脅 。 ? VPN協(xié)議可以處理數(shù)據(jù)包 ， 并對(duì)其有效負(fù)載加密 ， 把數(shù)據(jù)包發(fā)送到目的地址 。 OTP的主要思路是： 在登錄過(guò)程中加入不確定因素 ， 使每次登錄過(guò)程中傳送的信息都不相同 ， 以提高登錄過(guò)程安全性 。