密码学与网络安全知识点总结

密码学与网络安全知识点总结内容摘要：

. • PKI 是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。 •数字证书（ Digital Certificate）是由权威机构 CA 发行的一种权威性的电子文档，是用于证明网络某一用户的身份以及其公开密钥的合法性等。 十 、 PKI 基本组件 • 注册机构 RA • 认证机构 CA • 证书库 CR • 密钥备份及恢复系统 • 证书作废处理系统 • PKI 应用接口系统（透明性、可扩展性、支持多种用户、互操作性） 十一 、 PKI 提供的基本服务 • 鉴别 – 采用数字签名技术，签名作用于相应的数据之上 • 被鉴别的数据 ——数据源鉴别服务 • 用户发送的远程请求 ——身份鉴别服务 • 远程设备生成的 challenge 信息 ——身份鉴别 • 完整性 – PKI 采用了两种技术  数字签名：既可以是实体认证，也可以是数据完整性  MAC(消息认证码 )：如 DESCBCMAC 或者 HMACMD5 • 保密性 – 用公钥分发随机密钥，然后用随机密钥对数据加密 • 不可否认  发送方的不可否认 —— 数字签名  接受方的不可否认 —— 收条 + 数字签名 •常规加密密钥的分配方案有集中式密钥分配方案和分散式密钥分配方案。 十二 、访问控制的几个概念 访问控制 的目的是为了限制访问主体对访问客体的访问权限。 访问控制是指确定用户权限以及实施访问权限的过程。 为了简化管理，通常对访问者 分类组织成组 ，以避免访问控制表过于庞大。 • 访问控制策略 (Access Control Policy): 访问控制策略在系统安全策略级上表示授权。 是对访问如何控制 ,如何作出访问决定的高层指南。 几个访问控制策略：  自主访问控制（ discretionary policies), 基于身份的访问控制 IBAC(Identity Based Access Control) windowsNT 的访问控制策略  强制访问控制 (mandatory policies), 基于规则的访问控制 RBAC（ Rule Based Access Control）  基于角色的访问控制 (rolebased policies) 十三 、自主 /强制访问的问题 • 自主访问控制  配置的粒度小  配置的工作量大，效率低 • 强制访问控制  配置的粒度大  缺乏灵活性 十四 、角色与组的概念 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作。 A role can be defined as a set of actions and responsibilities associated with a particular working activity. • 角色与组的区别  组：一组用户的集合；  角色：一组用户的集合 + 一 组操作权限的集合与现代的商业环境相结合的产物。 • 基于角色的访问控制是一个复合的规则，可以被认为是 IBAC 和 RBAC 的变体。 一个身份被分配给一个被授权的组。 • 起源于 UNIX 系统或别的操作系统中组的概念 实现身份鉴别的途径 ,• 三种途径之一或他们的组合 （ 1）所知（ Knowledge） :密码、口令 （ 2）所有（ Possesses):身份证、护照、信用卡、钥匙 （ 3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、 DNA 以及个人动作方面的一些特征 十五 、 Kerberos 鉴别协议小结 (三个功能：认证 Authentication、清算 Accounting、审计 Audit) Kerberos 针对分布式环境，客户在登录时，需要认证。 用户必须获得由认证服务器发行的许可证，才能使用目标服务器上的服务。 它提供了三个功能： 认证 Authentication、清算 Accounting、审计 Audit。 • 特点  基于口令的鉴别协议  利用对称密码技术建立起来的鉴别协议  可伸缩性 ——可适用于分布式网络环境  环境特点 • Usertoserver authentication 十六 、 IPSec 的应用方式 ． IPSec 协议中负责对 IP 数据报加密的部分封装安全负载（ ESP） ． IPSec 和 IP 协议以及 VPN 的关系是什么。 IP 协议无法对网络上传输的数据提供完整性和机密性保密，无法对通信双方身份进行 认证。 这些安全问题之所以会出现，根本原因在于 IP 协议没有采用安全机制。 IPSec 是一种由 IETF 设计的端到端的确保 IP 层通信安全的机制。 不是一个单独的协议，而是一组协议。 IPSec 是随着 IPv6 的制定而产生的，后来也增加了对 IPv4 的支持。 在前者中是必须支持的，在后者中是可选的。 IPSec 作为一个第三层隧道协 议实现了 VPN 通信，可以为 IP 网络通信提供透明的安全服务，免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。 • 端到端（ endend):主机到主机的安全通信 • 端到路由（ endrouter):主机到路由设备之间的安全通信 • 路由到路由（ routerrou。