3.4.3手写签名与数字签名的区别:
一是手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;
二是手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
3.4.6数字签名与消息认证的区别:
消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时,这种方式对防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
3.5.1PKI的基本概念:
PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。 特点:①节省费用
②互操作性 ③开放性
④一致的解决方案 ⑤可验证性 ⑥可选择性
3.5.2PKI认证技术的组成:
主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。 ①认证机构CA ②证书库 ③证书撤销
④密钥备份和恢复 ⑤自动更新密钥 ⑥密钥历史档案 ⑦交叉认证 ⑧不可否认性 ⑨时间戳 ⑩客户端软件
3.6 PGP和GnuPG是两个常用的公钥加密软件,PGP软件由于采用了专利算法受到美国政府的软件出口限制,GnuPG作为PGP的代替软件,属于开源免费软件,可以自由使用。
课后题:
1、简述信息加密技术对于保障信息安全的重要作用。
2、简述加密技术的基本原理,并指出有哪些常用的加密体制及其代表算法。
信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。加密体制的分类:从原理上可分为两大类:即单钥或对称密码体制(代表算法:DES算法,IDEA算法)和双钥或非对称密码体制(代表算法:RSA算示,ElGamal算法)。
3、试分析古典密码对于构造现代密码有哪些启示?(P64)
4、选择凯撒(Caesar)密码系统的密钥k=6。若明文为caesar,密文是什么。密文应为:
11 / 29
igkygx
5、DES加密过程有几个基本步骤?试分析其安全性能。
加密过程可表示为:DES(m)IP-1?T16?T15……T2?T1?IP(m) DES:
输入------64bit明文数据------初始置换IP------乘积变换(在密钥控制下16次迭代)------逆初始置换IP-1------64bit密文数据
RSA算法的安全性建立在数论中的“大数分解和素数检测”的理论基础上。
6、在本章RSA例子的基础上,试给出m=student的加解密过程。(P72) 7、RSA签名方法与RSA加密方法对密钥的使用有什么不同?(P74)
RSA加密方法是在多个密钥中选用一部分密钥作为加密密钥,另一些作为解密密钥。RSA签名方法:如有k1/k2/k3三个密钥,可将k1作为A的签名私密钥,k2作为B的签名私密钥,k3作为公开的验证签名用密钥,实现这种多签名体制,需要一个可信赖中心对A和B分配秘密签名密钥。
8、试简述解决网络数据加密的三种方式。(P75) 常见的网络数据加密方式有:
a) 链路加密:对网络中两个相邻节点之间传输的数据进行加密保护。 b) 节点加密:指在信息传输路过的节点处进行解密和加密。 c) 端到端加密:指对一对用户之间的数据连续的提供保护。 9、认证的目的是什么,试简述其相互间的区别。(P77)
认证的三个目的:一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;二是身份认证,即验证消息的收发者是否持有正确的身份认证符;三是消息的序号和操作时间等的认证,其目的是防止消息重放或延迟等攻击。 10、什么是PKI?其用途有哪些?(P83)
PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。 11、简述PKI的功能模块组成。 主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。 ①认证机构CA ②证书库 ③证书撤销
④密钥备份和恢复 ⑤自动更新密钥 ⑥密钥历史档案 ⑦交叉认证 ⑧不可否认性 ⑨时间戳 ⑩客户端软件
12、通过学习,你认为密码技术在网络安全实践中还有哪些应用领域?举例说明。(P76)
12 / 29
第4章、防火墙技术
4.1.1防火墙的基本概念:
是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
4.1.2防火墙的主要功能:
1. 2. 3. 4. 5.
过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务
记录通过防火墙的信息和内容 对网络攻击检测和告警
4.1.3防火墙的局限性:
①网络的安全性通常是以网络服务的开放性和灵活性为代价
②防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
4.2防火墙的体系结构:
双重宿主主机体系结构;
屏蔽主机体系结构;
13 / 29
屏蔽子网体系结构。
4.3防火墙可以分为网络层防火墙和应用层防火墙,
这两类防火墙的具体实现技术主要有 包过滤技术、 代理服务技术、 状态检测技术和 NAT技术等。
4.3.1包过滤技术的工作原理(P110):
工作在网络层,通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合,来确定是否允许该数据包通过。
14 / 29
4.3.1包过滤技术的缺陷:
①?? 不能彻底防止地址欺骗 ②?? 无法执行某些安全策略 ③?? 安全性较差 ④?? 一些应用协议不适合于数据包过滤⑤管理功能弱 4.3.2代理服务技术
是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
4.3.2代理服务技术的工作原理(P116):
所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进行下一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。
4.3.2代理技术的优点:
1、代理易于配置
2、代理能生成各项记录
3、代理能灵活、完全地控制进出流量、内容 4、代理能过滤数据内容
5、代理能为用户提供透明的加密机制 6、代理可以方便地与其它安全手段集成。 4.3.2代理技术的缺点:
①代理速度较路由器慢 ②代理对用户不透明
③对每项服务代理可能要求不同的服务器 ④代理服务不能保证免受所有协议弱点的限制 ⑤代理不能改进底层协议的安全性。
4.3.3状态检测技术的工作原理(P119):
也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安
15 / 29
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库自学考试计算机网络安全整理资料 - 图文(3)在线全文阅读。
相关推荐: