网络安全中混合加密的优缺点

① 网络安全技术机制主要有哪些

建议楼主去非黑客论坛看看 里面有很多值得学习的地方

有三种网络安全机制。 概述：
随着TCP/IP协议群在互联网上的广泛采用，信息技术与网络技术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网信息和数据的安全，要大力发展基于信息网络的安全技术。

信息与网络安全技术的目标

由于互联网的开放性、连通性和自由性，用户在享受各类共有信息资源的同事，也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者的控制。具体要达到：保密性、完整性、可用性、可控性等目标。

网络安全体系结构

国际标准化组织（ISO）在开放系统互联参考模型（OSI/RM）的基础上，于1989年制定了在OSI环境下解决网络安全的规则：安全体系结构。它扩充了基本参考模型，加入了安全问题的各个方面，为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。OSI安全体系包含七个层次：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有：

1、加密机制

衡量一个加密技术的可靠性，主要取决于解密过程的难度，而这取决于密钥的长度和算法。

1）对称密钥加密体制对称密钥加密技术使用相同的密钥对数据进行加密和解密，发送者和接收者用相同的密钥。对称密钥加密技术的典型算法是DES（Data Encryption Standard数据加密标准）。DES的密钥长度为56bit，其加密算法是公开的，其保密性仅取决于对密钥的保密。优点是：加密处理简单，加密解密速度快。缺点是：密钥管理困难。

2）非对称密钥加密体制非对称密钥加密系统，又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。

（1）非对称加密系统的关键是寻找对应的公钥和私钥，并运用某种数学方法使得加密过程成为一个不可逆过程，即用公钥加密的信息只能用与该公钥配对的私钥才能解密；反之亦然。

（2）非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律，其安全性是基于大数分解的困难性。

优点：（1）解决了密钥管理问题，通过特有的密钥发放体制，使得当用户数大幅度增加时，密钥也不会向外扩散；（2）由于密钥已事先分配，不需要在通信过程中传输密钥，安全性大大提高；（3）具有很高的加密强度。

缺点：加密、解密的速度较慢。

2、安全认证机制

在电子商务活动中，为保证商务、交易及支付活动的真实可靠，需要有一种机制来验证活动中各方的真实身份。安全认证是维持电子商务活动正常进行的保证，它涉及到安全管理、加密处理、PKI及认证管理等重要问题。目前已经有一套完整的技术解决方案可以应用。采用国际通用的PKI技术、X.509证书标准和X.500信息发布标准等技术标准可以安全发放证书，进行安全认证。当然，认证机制还需要法律法规支持。安全认证需要的法律问题包括信用立法、电子签名法、电子交易法、认证管理法律等。

1）数字摘要

数字摘要采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要，并在传输信息时将之加入文件一同送给接收方；接收方收到文件后，用相同的方法进行变换运算得到另一个摘要；然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。

2）数字信封

数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。具体方法是：信息发送方采用对称密钥来加密信息，然后再用接收方的公钥来加密此对称密钥（这部分称为数字信封），再将它和信息一起发送给接收方；接收方先用相应的私钥打开数字信封，得到对称密钥，然后使用对称密钥再解开信息。

3）数字签名

数字签名是指发送方以电子形式签名一个消息或文件，表示签名人对该消息或文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术，可以在保证数据完整性的同时保证数据的真实性。

4）数字时间戳

数字时间戳服务（DTS）是提供电子文件发表时间认证的网络安全服务。它由专门的机构（DTS）提供。

5）数字证书

数字证书（Digital ID）含有证书持有者的有关信息，是在网络上证明证书持有者身份的数字标识，它由权威的认证中心（CA）颁发。CA是一个专门验证交易各方身份的权威机构，它向涉及交易的实体颁发数字证书。数字证书由CA做了数字签名，任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。

在电子商务中，数字证书主要有客户证书、商家证书两种。客户证书用于证明电子商务活动中客户端的身份，一般安装在客户浏览器上。商家证书签发给向客户提供服务的商家，一般安装在商家的服务器中，用于向客户证明商家的合法身份。

3、访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。下面我们分述几种常见的访问控制策略。

1）入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，以及用户入网时间和入网地点。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。只有通过各道关卡，该用户才能顺利入网。

对用户名和口令进行验证是防止非法访问的首道防线。用户登录时，首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证输入的口令，否则，用户将被拒之网络之外。用户口令是用户入网的关键所在。为保证口令的安全性，口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

2）网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3）目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在月录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（MOdify）、文件查找权限（FileScan）、存取控制权限（AccessControl）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络信息传输的安全性将变得十分重要。

② 网络安全机制包括些什么

网络安全机制包括接入管理、安全监视和安全恢复三个方面。

接入管理主要处理好身份管理和接入控制，以控制信息资源的使用；安全监视主要功能有安全报警设置以及检查跟踪；安全恢复主要是及时恢复因网络故障而丢失的信息。

接入或访问控制是保证网络安全的重要手段，它通过一组机制控制不同级别的主体对目标资源的不同授权访问，在对主体认证之后实施网络资源的安全管理使用。

网络安全的类型

（1）系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩溃和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

（2）网络信息安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

（3）信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上自由传输的信息失控。

（4）信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

③ 网络安全的关键技术有哪些

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：
执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。
但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：
允许任何服务除非被明确禁止；
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求：
√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。
√ 增加的需要，如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时，对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：
√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。
√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性：即是否通过了严格的入侵测试。
(2) 抗攻击能力：对典型攻击的防御能力
(3) 性能：是否能够提供足够的网络吞吐能力
(4) 自我完备能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。
我们将病毒的途径分为：
(1 ) 通过FTP，电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播，主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下：
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新，并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类：
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：
上述模型由四个部分组成：
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点：
(1) 精确，可以精确地判断入侵事件。
(2) 高级，可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点：
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式：
(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是：
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度，防欺骗能力。
(5) 模式更新速度。

五.安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面：
(1) 路由器认证，路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于：
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

④ wifi强加密和混合加密哪个更好

其实这两个方式均比较好，此类加密被破解，主要是路由器使用者人为造成的原因，比如使用简单的数字、字母作为密码，或者连接了安装有所谓wifi万能钥匙之类的软件泄密。
因此，使用此两类的任何一种加密方式，密码使用数字字母符号结合，杜绝安装有wifi万能钥匙之类的设备给予连接密码，那么这个网络还是十分安全的

⑤ 无线路由器WPA-PSK/WPA2-PSK，WPA/WPA2，WEP加密有什么区别

一、主体不同

1、WPA-PSK/WPA2-PSK：WEP预分配共享密钥的认证方式，在加密方式和密钥的验证方式上作了修改，使其安全性更高。

2、WPA/WPA2：Wi-Fi 联盟对采用 IEEE802.11i安全增强功能的产品的认证计划。是基于WPA的一种新的加密方式。

3、WEP：有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式。

二、加密方式不同

1、WPA-PSK/WPA2-PSK：客户的认证仍采用验正用户是否使用事先分配的正确密钥。

2、WPA/WPA2：用了更为安全的算法。CCMP取代了WPA的MIC、AES取代了WPA的TKIP。

3、WEP：使用了rsa数据安全性公司开发的rc4 ping算法。如果无线基站支持MAC过滤，推荐你连同WEP一起使用这个特性。

三、特点不同

1、WPA-PSK/WPA2-PSK：预先分配的密钥仅仅用于认证过程，而不用于数据加密过程，因此不会导致像WEP密钥那样严重的安全问题。

2、WPA/WPA2：其口令长度为 20 个以上的随机字符，或者使用 McAfee 无线安全或者 Witopia Secure MyWiFi 等托管的 RADIUS 服务。

3、WEP：WEP 系统要求钥匙得用十六进制格式指定，有些用户会选择在有限的 0-9 A-F 的十六进制字符集中可以拼成英文词的钥匙。

⑥ 网络现代加密技术分几种

１ 数据加密原理

１．１数据加密

在计算机上实现的数据加密，其加密或解密变换是由密钥控制实现的。密钥（Ｋｅｙｗｏｒｄ）是用户按照一种密码体制随机选取，它通常是一随机字符串，是控制明文和密文变换的唯一参数。
例：明文为字符串：
ＡＳ ＫＩＮＧＦＩＳＨＥＲＳ ＣＡＴＣＨ ＦＩＲＥ

（为简便起见，假定所处理的数据字符仅为大写字母和空格符）。
假定密钥为字符串： ＥＬＩＯＴ

加密算法为：
（１）将明文划分成多个密钥字符串长度大小的块（空格符以″＋″表示）
ＡＳ＋ＫＩ ＮＧＦＩＳ ＨＥＲＳ＋ ＣＡＴＣＨ ＋ＦＩＲＥ
（２）用００～２６范围的整数取代明文的每个字符，空格符＝００，Ａ＝０１，．．．，Ｚ＝２６：
０１１９００１１０９ １４０７０６０９１９ ０８０５１８１９００ ０３０１２００３０８ ０００６０９１８０５
（３） 与步骤２一样对密钥的每个字符进行取代：
０５１２０９１５２０
（４） 对明文的每个块，将其每个字符用对应的整数编码与密钥中相应位置的字符的整数编码的和模２７后的值取代：
（５） 将步骤４的结果中的整数编码再用其等价字符替换：
ＦＤＩＺＢ ＳＳＯＸＬ ＭＱ＋ＧＴ ＨＭＢＲＡ ＥＲＲＦＹ

理想的情况是采用的加密模式使得攻击者为了破解所付出的代价应远远超过其所获得的利益。实际上，该目的适用于所有的安全性措施。这种加密模式的可接受的最终目标是：即使是该模式的发明者也无法通过相匹配的明文和密文获得密钥，从而也无法破解密文。

１．２数字签名

密码技术除了提供信息的加密解密外，还提供对信息来源的鉴别、保证信息的完整和不可否认等功能，而这三种功能都是通过数字签名实现。

数字签名是涉及签名信息和签名人私匙的计算结果。首先，签名人的软件对发送信息进行散列函数运算后，生成信息摘要（ｍｅｓｓａｇｅ ｄｉｇｅｓｔ）－－这段信息所特有的长度固定的信息表示，然后，软件使用签名人的私匙对摘要进行解密，将结果连同信息和签名人的数字证书一同传送给预定的接收者。而接收者的软件会对收到的信息生成信息摘要（使用同样的散列函数），并使用签名人的公匙对签名人生成的摘要进行解密。接收者的软件也可以加以配置，验证签名人证书的真伪，确保证书是由可信赖的ＣＡ颁发，而且没有被ＣＡ吊销。如两个摘要一样，就表明接收者成功核实了数字签名。

２ 加密体制及比较

根据密钥类型不同将现代密码技术分为两类：一类是对称加密（秘密钥匙加密）系统，另一类是公开密钥加密（非对称加密）系统。

２．１对称密码加密系统

对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，保持钥匙的秘密。

对称密码系统的安全性依赖于以下两个因素。第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性。因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用，适合于大规模生产。

对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于具有ｎ个用户的网络，需要ｎ（ｎ－１）／２个密钥，在用户群不是很大的情况下，对称加密系统是有效的。但是对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成了大问题。对称加密算法另一个缺点是不能实现数字签名。

对称加密系统最着名的是美国数据加密标准ＤＥＳ、ＡＥＳ（高级加密标准）和欧洲数据加密标准ＩＤＥＡ。１９７７年美国国家标准局正式公布实施了美国的数据加密标准ＤＥＳ，公开它的加密算法，并批准用于非机密单位和商业上的保密通信。ＤＥＳ成为全世界使用最广泛的加密标准。

但是，经过２０多年的使用，已经发现ＤＥＳ很多不足之处，对ＤＥＳ的破解方法也日趋有效。ＡＥＳ将会替代ＤＥＳ成为新一代加密标准。ＤＥＳ具有这样的特性，其解密算法与加密算法相同，除了密钥Ｋｅｙ的施加顺序相反以外。

２．２ 公钥密码加密系统

公开密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。由于加密钥匙是公开的，密钥的分配和管理就很简单，比如对于具有ｎ个用户的网络，仅需要２ｎ个密钥。公开密钥加密系统还能够很容易地实现数字签名。因此，最适合于电子商务应用需要。在实际应用中，公开密钥加密系统并没有完全取代对称密钥加密系统，这是因为公开密钥加密系统是基于尖端的数学难题，计算非常复杂，它的安全性更高，但它实现速度却远赶不上对称密钥加密系统。在实际应用中可利用二者的各自优点，采用对称加密系统加密文件，采用公开密钥加密系统加密″加密文件″的密钥（会话密钥），这就是混合加密系统，它较好地解决了运算速度问题和密钥分配管理问题。

根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统（代表性的有ＲＳＡ）、椭圆曲线离散对数系统（ＥＣＣ）和离散对数系统（代表性的有ＤＳＡ）。

当前最着名、应用最广泛的公钥系统ＲＳＡ是由Ｒｉｖｅｔ、Ｓｈａｍｉｒ、Ａｄｅｌｍａｎ提出的（简称为ＲＳＡ系统），它加密算法使用了两个非常大的素数来产生公钥和私钥。现实中加密算法都基于ＲＳＡ加密算法。ｐｇｐ算法（以及大多数基于ＲＳＡ算法的加密方法）使用公钥来加密一个对称加密算法的密钥，然后再利用一个快速的对称加密算法来加密数据。这个对称算法的密钥是随机产生的，是保密的，因此，得到这个密钥的唯一方法就是使用私钥来解密。

ＲＳＡ方法的优点主要在于原理简单，易于使用。随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展（可以使用成千上万台机器同时进行大整数分解），作为ＲＳＡ加解密安全保障的大整数要求越来越大。为了保证ＲＳＡ使用的安全性，其密钥的位数一直在增加，比如，目前一般认为ＲＳＡ需要１０２４位以上的字长才有安全保障。但是，密钥长度的增加导致了其加解密的速度大为降低，硬件实现也变得越来越难以忍受，这对使用ＲＳＡ的应用带来了很重的负担，对进行大量安全交易的电子商务更是如此，从而使得其应用范围越来越受到制约。

ＤＳＡ（ＤａｔａＳｉｇｎａｔｕｒｅＡｌｇｏｒｉｔｈｍ）是基于离散对数问题的数字签名标准，它仅提供数字签名，不提供数据加密功能。它也是一个″非确定性的″数字签名算法，对于一个报文Ｍ，它的签名依赖于随机数ｒ ?熏 这样，相同的报文就可能会具有不同的签名。另外，在使用相同的模数时，ＤＳＡ比ＲＳＡ更慢（两者产生签名的速度相同，但验证签名时ＤＳＡ比ＲＳＡ慢１０到４０倍）。
２．３ 椭圆曲线加密算法ＥＣＣ技术优势

安全性更高、算法实现性能更好的公钥系统椭圆曲线加密算法ＥＣＣ（ＥｌｌｉｐｔｉｃＣｕｒｖｅＣｒｙｐｔｏｇｒａｐｈｙ）基于离散对数的计算困难性。

⑦ WPA2-PSK 和 Mixed WPA/WPA2-PSK 两个模式有啥区别

区别：

WPA/WPA2是一种最安全的加密类型，不过由于此加密类型需要安装Radius服务器，因此，一般普通用户都用不到，只有企业用户为了无线加密更安全才会使用此种加密方式，在设备连接无线WIFI时需要Radius服务器认证，而且还需要输入Radius密码。

WPA-PSK/WPA2-PSK是我们现在经常设置的加密类型，这种加密类型安全性能高，而且设置也相当简单，不过需要注意的是它有AES和TKIP两种加密算法。

TKIP：Temporal Key Integrity Protocol（临时密钥完整性协议），这是一种旧的加密标准。

AES：Advanced Encryption Standard（高级加密标准），安全性比 TKIP 好，推荐使用。

使用AES加密算法不仅安全性能更高，而且由于其采用的是最新技术，因此，在无线网络传输速率上面也要比TKIP更快。

拓展资料：

WPA（Wi-Fi Protected Access）加密方式目前有四种认证方式：WPA、WPA-PSK、WPA2、WPA2-PSK。采用的加密算法有二种：AES（Advanced Encryption Standard高级加密算法）和TKIP（Temporal Key Integrity Protocol临时密钥完整性协议）。

• WPA

  WPA是用来替代WEP的。WPA继承了WEP的基本原理而又弥补了WEP的缺点：WPA加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥；WPA中还增加了防止数据中途被篡改的功能和认证功能。

• WPA-PSK（预先共享密钥Wi-Fi保护访问

  WPA-PSK适用于个人或普通家庭网络，使用预先共享密钥，秘钥设置的密码越长，安全性越高。WPA-PSK只能使用TKIP加密方式。

• WPA2（WPA第二版）

  WPA2是WPA的增强型版本，与WPA相比，WPA2新增了支持AES的加密方式。

• WPA2-PSK

  WPA-PSK类似，适用于个人或普通家庭网络，使用预先共享密钥，支持TKIP和AES两种加密方式。

一般在我们家庭无线路由器设置页面上，选择使用WPA-PSK或WPA2-PSK认证类型即可，对应设置的共享密码尽可能长些，并且在经过一段时间之后更换共享密码，确保家庭无线网络的安全。

⑧ 无线网络加密方式该如何选择

打开无线路由器的设置页面就可以看?到无线安全（家庭网络）设置。那么应该选择哪一项呢？目前，无线网络加密方式一般有三种：WEP、WPA以及WPA-PSK,下面来简单介绍一下它们各自的特点。 一、WEP安全加密方式 WEP的全称是：802.11 Wired Equivalent Privacy，它是无线网络第一个安全协议，WEP特性里使用了一种称为rc4 prng的算法。所有客户端和无线接入点都会以一个共享的密钥进行加密，密钥越长，就越安全。WEP的缺点是：使用的是静态的密钥非动态密钥，很容易被黑客破解。二、WPA安全加密方式 WPA的全称是：Wi-Fi Protected Access，作为WEP的升级版，在安全性上有了很大的改进，主要体现在身份认证、加密机制和数据包检查等方面。WPA的优点是：使用了动态的密钥。缺点是：完整的WPA设置是比较复杂的，由于操作过程比较困难（微软针对这些设置过程还专门开设了一门认证课程），一般用户很难设置。WPA-PSK加密方式 来源：姚恺[点击放大]三、WPA-PSK安全加密方式 由于WPA操作复杂，因此在家庭网络中经常采用的是WPA的简化版：WPA－PSK WPA-PSK可以看成是一个认证机制，只要求一个单一的密码进入每个无线局域网节点（例如无线路由器），只要密码正确，就可以使用无线网络。加密机制和WPA是相同的。两者的区别是：WPA-PSK认证被简化为只要一个简单的密码，而不需要设置复杂的身份证明等信息。WPA-PSK的缺点是：同WEP一样也会受到黑客的破解。但是因为密钥是动态的，其安全性比WEP要强很多。

⑨ 单钥和双钥加密相关定义

密钥体系 如果以密钥为标准，可将密码系统分为单钥密码（又称为对称密码或私钥密码）体系和双钥密码（又称为非对称密码或公钥密码）体系。哦，对了，所谓密钥差不多可以理解成密码。

在单钥体制下，加密密钥和解密密钥是一样的，或实质上是等同的，这种情况下，密钥就经过安全的密钥信道由发方传给收方。
单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是1977年美国国家标准局颁布的DES算法。单钥密码的优点是：安全性高。加解密速度快。缺点是：1）随着网络规模的扩大，密钥的管理成为一个难点；2）无法解决消息确认问题；3）缺乏自动检测密钥泄露的能力。

而在双钥体制下，加密密钥与解密密钥是不同的，此时根本就不需要安全信道来传送密钥，而只需利用本地密钥发生器产生解密密钥即可。双钥密码是：1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。由于双钥密码体制的加密和解密不同，且能公开加密密钥，而仅需保密解密密钥，所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是：1977年由Rivest，Shamir和Ad1eman人提出的RSA密码体制。双钥密码的缺点
是：双钥密码算法一般比较复杂，加解密速度慢。

因此，网络中的加密普遍采用双钥和单钥密码相结合的混合加密体制，即加解密时采用单钥密码，密钥传送则采用双钥密码。这样既解决了密钥管理的困难，又解决了加解密速度的问题。目前看来，这种方法好象也只能这样了。

⑩ 单钥密码体制和双钥密码体制有什么区别

1 单钥密码体制的加密密钥和解密密钥相同，从一个可以推出另外一个；双钥密码体制的原理是加密密钥与解密密钥不同，从一个难以推出另一个。
2 单钥密码体制基于代替和换位方法；双钥密码算法基于数学问题求解的困难性。
3 单钥密码体制是对称密码体制；双钥密码体制是非对称密码体制。