2021-02-04~05--总结
英语
sufficient [adj] 充分的
There was no sufficient evidence to secure a conviction.
没有足够的证据来定罪。
self-sufficient [adj] 自给自足的,过于自信的
deficient [adj] 不足的,有缺陷的
deficient [n] 缺乏,缺点,缺陷
efficient [adj] 效率高的,能干的
defect [n] 缺点,缺陷
detest [v] 厌恶,讨厌
delight 高兴
plight [n] 困境 = dilema
proficient [adj] 熟练的,精通的 = adept
artificial [adj] 人工的,人造的
artifical mountain 假山
superficial [adj] 表面的,肤浅的
The casual friendliness of many Americans should be interpreted neither as superficial nor as artificial,but as the result of a historically developed cultural tradition.
很多美国人不经意表现的友好不应该被看做是表面或虚假的应酬,而应该看成是文化传统的历史发展的结果。
effective [adj] 有效的,实际的
affect [v] 影响
affection [n] 情感,情绪
effect [n] 影响,效果
potential [adj] 潜在的,可能的
a potential source of conflict 潜在冲突根源
[n] 潜能,潜力
You have so much potential that's going to waste in this pit.
你把你的这种潜能浪费在深渊里。
valid [adj] 有效的,有法律效力的 validate:证明
invalid [adj] 无效的
validate [v] 证明 确认
validity [n] 有效性,合法性
urge [vt] 鼓励,主张,强烈要求,催促
urgent [adj] 急忙的,匆忙的,急迫的
permanent 永恒的,永久的
injure [v] 损害,伤害
injury [n] 伤害
injurious [adj] 有害的
rescue [adj] 拯救,营救
subtle [adj] 微妙的,敏感的
subtlety [n] 精妙,狡猾
rely [v] 依赖,依靠
reliable [adj] 可靠的,可依赖的 trust wortly
reality [n] 可靠性,现实
reliance [n] 依靠,可依靠的人或物
计算机网络
第七章 网络安全
本章的重要内容:
(1)计算机网络面临的安全性威胁和计算机网络安全主要问题
(2)对称密钥密码体制和公钥密码体制的特点
(3)数字签名和鉴别的概念
(4)网络层安全协议IPsec协议族和运输层安全协议SSL/TLS的要点
(5)应用层电子邮件的安全措施
(6)系统安全:防火墙与入侵检测
7.1网络安全问题概述
7.1.1 计算机网络面临的安全性威胁
计算机网络的通信面临两大类威胁,即被动攻击和主动攻击。
被动攻击是指攻击者从网络上窃听他人的通信内容。通常把这类攻击称为截获。在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU不干扰信息流。
主动攻击几种常见的方式:
(1)篡改
攻击者故意篡改网络上传送的报文。这里也包括彻底中断传送的报文,甚至是把完全伪造的报文传送给接收方。这种攻击方式有时也称为更改报文流。
(2)恶意程序
恶意程序(rogue program)的几大类:
- 计算机病毒(computer virus),一种会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或自己的变种复制进去而完成的。
- 计算机蠕虫(computer worm),一种通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动运行的程序。
- 特洛伊木马(Trojan horse),一种程序,它执行的功能并非所声称的功能而是某种恶意功能。
- 逻辑炸弹(logic bomb),一种当运行环境满足某种也顶条件时执行其他特殊功能的程序。如一个编辑程序,平时运行得很好,但当系统时间为13日又为星期五时,它会删去系统中所有的文件,这种程序就是逻辑炸弹。
- 后门入侵(backdoor knocking),是指利用系统实现中的漏洞通过网络入侵系统。
- 流氓软件,一种未经用户允许就在用户计算机安装运行并损害用户利益的软件。
(3)拒绝服务DoS(Denial of Service)
指攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常服务。
分布式拒绝服务DDoS也叫网络带宽攻击或连通性攻击。
7.1.2 安全的计算机网络
1. 保密性
对于数据进行加密进行传输,保密性是网络安全通信的最基本的要求,也是对付被动攻击所必须具备的功能。
2. 端点鉴别
鉴别信息的发送方和接收方的真实身份
3. 信息的完整性
需要确认信息的完整性。保证信息的完整性在应对主动攻击时是必不可少的。对于一个能够确认身份,但是信息的完整性遭到了破坏的数据,现在我们并不能保证数据的完整性。
4. 运行的安全性
访问控制(access control)对计算机系统的安全性非常重要。必须对访问网络的权限加以控制,并规定每个用户的访问权限。
7.1.3 数据加密模型
用户A向B发送明文X,但通过加密算法E运算后,就得出密文Y。
密码编码学(cryptography)是密码体制的设计学
密码分析学(cryptanalysis)是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。
如果不论截取者获得了多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论是不可破的。
7.2两类密码体制
7.2.1对称密钥密码体制
所谓对称密钥密码体制,即加密密钥与解密密钥是使用相同的密码体制。
DES的保密性仅取决于对密钥的保密,而算法是公开的。
7.2.2公钥密码体制
公钥密码体制使用不同的加密密钥与解密密钥。
公钥密码体制的产生主要两个方面原因,一是由于对称密钥密码体制的密钥分配问题,二是由于对数字签名的需求。
在公钥密码体制中,**加密密钥PK(public key,即公钥)是向公众公开的,而解密密钥SK(sercret key,即私钥或秘钥)**则需要保密的。
在使用对称秘钥时,由于双方使用同样的密钥,因此在通信信道上可以进行一对一的双向保密通信,每一方既可用于此密钥加密明文,并发送给对方,也可接收密文,用同一密钥对密文解密。这种保密通信仅限于持有此密钥的双方。但在使用公开密钥时,在通信信道上可以是多对一的单向保密通信。
请注意,任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量,而不是简单地取决于加密的体制(公钥密码体制或传统加密体制)。
7.3数字签名
(1)接收者能够核实发送者对报文的签名。也就是说,接收者能够确信该报文的的确是发送者发送的。其他人无法伪造对报文的签名。这叫做报文鉴别。
(2)接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过。这叫做报文的完整性。
(3)发送者事后不能抵赖对报文的签名。这叫做不可否认。
7.4鉴别
鉴别是要验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者,并且所要传送的报文是完整的,没有被他人篡改过。
鉴别可以细分为两种:一种是报文鉴别;另一种是端点鉴别。
7.4.1报文鉴别
1.密码散列函数
散列函数的两个特点:
(1)散列函数的输入长度可以很长,但其输入长度则是固定的,并且较短。散列函数的输出叫做散列值,或更简单些,称为散列。
(2)不同的散列值肯定对应于不同的输入,但不同的输入却可能得出相同的散列值。这就是说,散列函数的输入和输出并非一一对应的,而是多对一的。
密码散列函数实际上是一种单向函数(one-way function)
2.实用的密码散列函数MD5和SHA-1
MD5和SHA-1
3.报文鉴别码
报文鉴别码就是把散列通过密钥进行加密运算生成MAC(Message Authentication Code)报文鉴别码。
7.4.2实体鉴别
重放攻击:入侵者C把A发送给B的数据报截获下来,这个时候C不需要破译这个报文,而是直接把这个由A加密的报文发送给B,使B误认为C就是A;然后B就向伪装成A的C发送许多本来应当发给A的报文。
为了对付重放攻击,可以使用不重数(nonce)。不重数就是一个不重复使用的大随机数,即“一次一数”。
中间人攻击(man-in-the-middle attack):
C冒充给A,发送报文给B,说“我是A”
B发送给A的时候,但是被C给截获了。
C用自己的私钥冒充是A的私钥后面就就是C对A说自己是B,C对B说是自己是A。
7.5密钥分配
密钥管理包括:密钥产生、分配、注入、验证和使用
** 密钥分配(密钥分发)**是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配
7.5.1对称密钥的分配
目前常用的密钥分配方式是设立密钥分配中心KDC(key Distribution Center)。KDC是大家都信任的机构,其任务就是给需要进行秘密通信的用户临时分配一个会话密钥(仅使用一次)。A和B在KDC等级时就已经在KDC的服务器上安装了各自和KDC进行通信的**主密钥(master key)**Ka和Kb。
鉴别服务器AS(Authentication Server)、票据授予服务器TGS(Ticket-Granting Server)
7.5.2公钥的分配
认证中心CA(Certification Authority),它一般由政府出资建立,每个实体都有CA发来的证书(certificate),里面有公钥及其拥有者的标识信息(人名或IP地址)。
7.6互联网使用的安全协议
7.6.1网络层安全协议
1.IPsec协议族概述
(1)IP安全数据报格式的两个协议:鉴别首部AH(Authentication Header)协议和封装安全有效载荷ESP(Encapsulation Security Payload)协议。
(2)有关加密算法的三个协议。
(3)互联网密钥交换IKE(Internet Key Exchange)协议。
第一种工作方式是运输方式(transport mode)。运输方式是在整个运输层报文段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据报。
第二种工作方式是隧道方式(tunnel mode)。隧道方式是在原始的IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成一个IP安全数据报。
通常把数据报的数据部分称为数据报的有效载荷(payload)。
2.安全关联
在发送IP安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,即安全关联SA(Security Association)。这样,传统的互联网中无连接的网络层就变味了具有逻辑连接的一个层。安全关联是从源点到终点的单向连接,它能够提供安全服务。
3.IP安全数据报的格式
4.IPsec的其他构件
安全关联数据库SAD(Security Association Database)
安全策略数据库SPD(Security Policy Database)
互联网密钥交换IKE(Internet Key Exchange)
IKE:
(1)Oakley----是个密钥生成协议
(2)安全密钥交换机制SKEME(Secure Key Exchange Mechanism)----是用于密钥交换的协议。它利用公钥加密来实现密钥交换协议中的实体鉴别。
(3)互联网安全关联和密钥管理协议ISAKMP(Internet Secure Association and Key Management Protocol)
7.6.2运输层安全协议
- 安全套接字层SSL(Secure Socket Layer)
- 运输层安全TLS(Transport Layer Security)
SSL提供的安全服务可归纳为以下三种:
(1)SSL服务器鉴别,允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务器的公钥。
(2)SSL客户鉴别,SSL的可选安全服务,允许服务器证实客户的身份。
(3)加密的SSL会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。
7.6.3应用层安全协议
单向报文的安全问题
PGP(Pretty Good Privacy) 它是一个完整的电子邮件安全软件包,包扣加密、鉴别、电子签名和压缩等技术。
PGP它提供电子邮件的安全性、发送方鉴别和报文完整性。
7.7系统安全:防火墙与入侵检测
7.7.1防火墙
(1)分组过滤路由器是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。过滤规则是基于分组的网络层或运输层首部的信息,例如:源/目的IP地址、源/目的端口、协议类型(TCP或UDP),等等。
(2)应用网关(代理服务器),它在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关。
7.7.2入侵检测系统
入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。
基于特征的IDS维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集,这些规则可能基于单个分组的首部字段值或数据中特定比特串,或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。这些特征和规则通常网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。
基于特征的IDS只检测已知攻击,对于位置攻击则束手无策。基于异常的IDS通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量的某种统计规律不符合正常情况时,则认为可能发生了入侵行为。例如,当攻击者在对内网主机进行ping搜索时,或导致ICMP ping报文突然大量增加,与争产过的统计规律有明显不同。但区分正常流和统计异常流是一个非常困难的事情。至今为止,大多数部署的IDS主要是基于特征的,尽管某些IDS包括了某些基于异常的特性。
7.8一些未来的发展方向(后续有可能拓展一下现在的密码学)
- 1.椭圆曲线密码ECC(Elliptic Curve Cryptography)
- 2.移动安全(Mobile Security)
- 3.量子密码(Quantum Cryptography)
本章的重要概念
- 计算机网络上的通信面临的威胁可分为两大类,即被动攻击(如截获)和主动攻击(如中断、篡改、伪造)。主动攻击的类型有更改报文流、拒绝服务、伪造初始化、恶意程序(病毒、蠕虫、木马、逻辑炸弹、后门入侵、流氓软件)等。
- 计算机网络安全主要有以下一些内容:保密性、安全协议的设计和访问控制。
- 密码编码学是密码体制的设计学,而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。
- 如果不论截取者获得了多少密文,都无法唯一地确定出对应的明文,则这一密码体制称为无条件安全的(或理论上是不可破的)。在无任何限制的条件下,目前几乎所有实用的密码体制均是可破的。如果一个密码体制中的密码不能在一定时间内被可以使用的计算资源破译,则这一密码体制称为在计算上是安全的。
- 对称密钥密码体制是加密密钥与解密密钥相同的密码体制(如数据加密标准DES和高级加密标准AES)。这种加密的保密性仅取决于对密钥的保密,而算法是公开的。
- 公钥密码体制(又称为公开密钥密码体制)使用不同的加密密钥与解密密钥。加密密钥(即公钥)是向公众公开的,而解密密钥(即私钥或秘钥)则是需要保密的。加密算法和解密算法也都是公开的。
- 目前最著名的公钥密码体制是RSA体制,它是基于数论中的大数分解问题的体制。
- 任何加密方法的安全性取决于密钥的长度,以及攻破密文所需要的计算量,而不是简单地取决于加密地体制(公钥密码体制或传统加密体制)。
- 数字签名必须保证能够实现以下三点功能:(1)报文鉴别,即接收者能够核实发送者对报文的签名;(2)报文的完整性,即接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过;(3)不可否认,即发送者事后不能抵赖对报文的签名。
- 鉴别是要验证通信的对方的确所要通信的对象,而不是其他的冒充者。鉴别与授权是不同的概念。
- 报文摘要MD是进行报文鉴别的一种简单方法。目前广泛使用的是SHA-1。
- 密钥管理包括:密钥的产生、分配、注入、验证和使用。密钥分配(或密钥分发)是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前常用的密钥分配方式是设立密钥分配中心KDC。
- 认证中心CA是一个值得信赖的机构,用来将公钥与其对应的实体(人或机器)进行绑定。每个实体都有CA发来的证书,里面有公钥及其拥有者的标识信息(人名或者IP地址)。此证书被CA进行了数字签名。任何用户都可从可信的地方获得认证中心CA的公钥。
- 在网络层可使用 IPsec协议族,IPsec包括鉴别首部协议AH和封装安全有效载荷协议ESP。AH协议提供源点鉴别和数据完整性,但不能保密。而ESP协议提供源点鉴别、数据完整性和保密。IPsec支持IPv4和IPv6。在IPv6中,AH和ESP都是扩展首部的一部分。IPsec数据报的工作方式有运输方式和隧道方式两种。
- 运输层的安全协议有SSL(安全套接字层)和TLS(运输层安全)。SSL最新的版本是SSL3.0,它是保护万维网HTTP通信量所公认的事实上的标准。SSL不仅被所有常用的浏览器和万维网服务器所支持,而且也是TLS的基础。
- PGP是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是把现有的一些加密算法(如RSA公钥加密算法或MD5报文摘要算法)综合在一起而已。
- 防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分目的实施访问控制策略。防火墙里面的网络称为“可信的网络”,而把防火墙外面的网络称为“不可信的网络”。防火墙的功能有两个是阻止(主要的),另一个是允许。
- 防火墙技术分为:网络级防火墙,用来防止整个网络出现外来非法的入侵(属于这类的有分组过滤和授权服务器);应用级防火墙,用来进行访问控制(用应用网关或代理服务器来区分各种应用)。
- 入侵检测系统IDS是在入侵已经开始,但还没有造成危害或在更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。
2021-02-04~05--总结相关推荐
- 2021.02.04 Visual QA论文阅读
目录 [2016][CVPR] Where To Look: Focus Regions for Visual Question Answering [2016][CVPR] Yin and Yang ...
- 2021.02.04——用爬虫爬取nga ow区1-10页的帖子并生成词云图
前言 最近在学习爬虫的相关知识,思考做一个案例,平常nga ow区逛的也挺多,就爬取一下前10页帖子的标题,并以此生成词云图吧! 查阅相关链接 词云的简单实现 爬取网站多页数据实现方法 静态爬取方法 ...
- 【每日一知】带你走近5nm芯片 (2021.02.05 )
[每日一知]带你走近5nm芯片 (2021.02.05 ) [每日一知]带你走近5nm芯片 (2021.02.05 ) ==一.简介== ==二.优势== ==三.现状== ============= ...
- 【财经期刊FM-Radio|2021年04月14日】
title: [财经期刊FM-Radio|2021年04月14日] 微信公众号: 张良信息咨询服务工作室 [今日热点新闻一览↓↓] 美债收益率回落,特斯拉涨超8%力挺标普创新高,比特币首破6.3万美元 ...
- Go 中 time.Parse 报错:year/month/day hour/minute/second out of range 时间格式化为什么是 2006-01-02 15:04:05?
1. 问题现象 在使用 Go 语言的 time.Parse 解析时间时遇到以下错误: func main() {timeParse, err := time.Parse("2006-11-0 ...
- 【364天】跃迁之路——程序员高效学习方法论探索系列(实验阶段122-2018.02.04)...
实验说明 从2017.10.6起,开启这个系列,目标只有一个:通过探索新的学习方法,用2年的时间,实现2.5倍速的成长,获得普通程序员>= 5年的技术水平. 实验期2年(2017.10.06 - ...
- 【R】【课程笔记】04+05 数据预处理+收益率计算
本文是课程<数据科学与金融计算>第4-5章的学习笔记,主要介绍金融数据处理.收益率计算和R与C++调用,用于知识点总结和代码练习,Q&A为问题及解决方案. 往期回顾: 博文 内容 ...
- golangci-lint 自定义linter核心代码 用于检查错误使用gtime.Time.Format() 例如gtime.Time.Format(“2006-01-02 15:04:05“)
gtime.Time对象通过Format方法来实现自定义格式的时间日期转换,该方法与标准库time.Time的Format方法冲突.在gtime.Time对象中,通过Layout方法实现标准库time ...
- Golang神奇的2006-01-02 15:04:05
原文地址: https://www.jianshu.com/p/c7f7fbb16932 热身 在讲这个问题之前,先来看一道代码题: package mainimport ("fmt&quo ...
- Go 的时间格式化为什么是 2006-01-02 15:04:05?
阅读本文大概需要 5 分钟. 大家好,我是 polarisxu. 没有什么是完美的!而且,有些东西,有些人认为好,有些人认为很糟糕.Go 也是如此.喜欢 Go 语言的朋友,大概率对其中某些地方不喜欢. ...
最新文章
- php面向对象程序设计,PHP面向对象程序设计类的定义与用法简单示例
- C#中面向对象初使用-实现问好窗体程序
- C++面试题-面向对象-多态性与虚函数
- 算法学习--二叉查找树
- 你使用过哪些数据分析的方法?
- Python爬虫_宅男福利?妹纸勿点__一蓑烟雨任平生
- 高等数学学习指导_学习A-Level应该如何选课?
- Lync 2010升级到Lync 2013 之Lync 2010 planning tool 的使用!
- 解决在onedrive里无法打开onenote笔记本的问题
- JAVA期末考广东科技学院,我是叩丁狼广州Java老学员,我来说说自己的故事
- Unity 编辑器下运行没有声音
- 单片机实现模块化编程:思维+实例+系统教程(实用程度令人发指)
- matlab 求全波整流信号的傅里叶系数
- Android的鼠标事件流向
- 小程序(十六)小程序仿微信聊天页面及功能
- 操作系统实验六、系统内存使用统计
- 【Git】Git命令大全
- Mysql的插件下载流程
- C#模拟QQ项目源代码
- 跨平台应用开发进阶(二十九) :uni-app 实现Android原生APP-云打包集成神策详细教程