摘要演算法缺點

⑴ 大神們 cisco1921路由器 怎樣設置專線上網。不會設，求具體步驟

路由器基本配置
在本企業網中採用的是CISCO3825的路由器，它通過自己的串列介面serial0/0使用DDN技術接入Internet。其作用主要是在Internet和企業網之間路由數據包。除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），路由器ZZrouter還可用來完成以自身為中心的流量控制和過濾功能並實現一定的安全功能。
其基本配置與接入層交換機的配置類似，配置命令如下：(需說明的是由普通用戶進入特權模式輸入命令enable，由特權模式進入全局配置模式輸入命令config t(全寫為configure terminal))

Router#configure terminal
Router(config)#hostname R1-out
R1-OUT(config)#enable secret cisco
R1-OUT(config)#no ip domain-lookup
R1-OUT(config)#logging synchronous
R1-OUT(config)#line con 0
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#line vty 0 4
R1-OUT(config-line)#password cisco
R1-OUT(config-line)#login
R1-OUT(config-line)#exec-timeout 5 30
R1-OUT(config-line)#exit

主要是對介面FastEthernet0/0以及介面serial0/0的IP地址、子網掩碼的配置。配置命令如下：

R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0
R1-OUT(config-if)#no shutdown
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip address 202.168.1.1
R1-OUT(config-if)#no shutdown

配置靜態路由

在R1-OUT路由器上需要定義兩個路由：到企業內部的靜態路由和到Internet上的預設路由。
R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1
到企業網內部的路由經過路由匯總後形成兩個路由條目如下所示：

R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3
R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4

配置NAT
由於目前IP地址資源非常稀缺，不可能給企業網內部的每台工作站都分配一個公有IP地址，為了解決所有工作站訪問Internet的需要，必須使用NAT（網路地址轉換）技術。
為了接入Internet，本企業網向當地的ISP申請了10個IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配給了serial0/0，202.168.1.2和202.168.1.3分配給兩個經理辦公室。其它就進行NAT轉換。

R1-OUT(config)#interface fastethernet 0/0
R1-OUT(config-if)#ip nat inside
R1-OUT(config-if)#interface serial 0/0
R1-OUT(config-if)#ip nat outside
R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255（定義允許進行NAT轉換的工作站的IP地址范圍）

在路由器上配置訪問控制列表（ACL）

路由器是外網進入企業內網的第一道關卡，是網路防禦的前沿陣地。路由器上的訪問控制列表（ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表（ACL）不僅可以起到控制網路流量、流向的作用，還可以在不增加網路系統軟、硬體投資的情況下完成一般軟、硬體防火牆產品的功能。
由於路由器介於企業內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網路系統安裝了防火牆產品後，仍然有必要對路由器的訪問控制列表（ACL）進行縝密的設計，來對企業內網包括對防火牆本身實施保護。
屏蔽文件共享協議埠2049，遠程執行（rsh）埠512，遠程登錄（rlogin）埠513，遠程命令(rcmd) 埠514，遠程過程調用(sunrpc)埠111。命令如下：

R1-OUT(config)#access-list 101 deny udp any any ep snmp
R1-OUT(config)#access-list 101 deny udp any any ep snmptrap
R1-OUT(config)#access-list 101 deny tcp any any ep telnet
R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽遠程執行（rsh）埠512和遠程命令(rcmd) 埠514
R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽遠程過程調用(sunrpc)埠111
R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽遠程過程調用(sunrpc)埠111
R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享協議埠2049
R1-OUT(config)#access-list 101 permit ip any any
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ip access-group 101 in /acl埠應用

設置只允許來自伺服器的IP地址才能訪問並配置路由器
命令如下：

R1-OUT(config)#line vty 0 4
R1-OUT(config-line)#access-class 2 in/建立訪問控制列表2（ACL2）
R1-OUT(config-line)#exit
R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255
為了支持無類別網路以及全零子網進行如下的配置：
R1-OUT(config)#ip classless
R1-OUT(config)#ip subnet-zero
配置路由器的封裝協議和身份認證
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#encapsulation ppp

Ppp提供了兩種可選的身份驗證方法:口令驗證協議PAP(Password Authentication protocol, PAP)和質詢握手驗證協議CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全，因為CHAP不在線路上發送明文密碼，而是發送經過摘要演算法加工過的隨機序列。
但CHAP對端系統要求很高，需要耗費較多的CPU資源，一般只用在對安全性要求很高的場合。而PAP雖然用戶名和密碼是以明文的形式發送的，但它對端系統要求不高，所以我們普遍採用這種身份驗證機制。
配置命令如下：
首先要建立本地口令資料庫
R1-OUT(config)#username remoteuser password zhangguoyou
R1-OUT(config)#interface serial 0/0
R1-OUT(config-if)#ppp authentication pap
到此路由器的配置就基本上完成了。

⑵ LSB演算法有何優缺點

你中南信安的吧。加分。我給你發實驗報告，給20分最好了，這是我的新ID，沒財富。

綜上所述，LSB有如下缺點：
1) 嵌入消息較大時，所花時間較長。
2) 只能處理簡單的流格式的文件。
3) 為了滿足水印的不可見性，允許嵌入的水印強度較低，對空域的各種操作較為敏感。
4) 基本的LSB演算法抗JPEG壓縮能力弱。
5) 魯棒性差。
LSB演算法有如下優點：
1) 演算法簡單，易於實現，計算速度也快。
2) 在基礎演算法上能夠很快的進行改進，並在脆弱性水印中應用廣泛。
3) 由於能在最低有效位（一般是最後兩位）進行嵌入，故對於256色（8位）的RGB圖像，在3層圖像中均可插入1/8到1/4的消息，總的來說，容量還是足夠大的。

⑶ 防範假冒亢龍男性治療儀網站 提高網路交易安全意識。。

針對計算機網路系統存在的安全性和可靠性問題，本文從網路安全的重要性、理論基礎、具備功能以及解決措施等方面提出一些見解，並且進行了詳細闡述，以使廣大用戶在計算機網路方面增強安全防範意識。

關鍵詞：計算機網路 虛擬專用網技術 加密技術 防火牆

1 引言
隨著計算機網路技術的發展，網路的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網路系統能夠更加可靠地運行，不受外來入侵者干擾和破壞。所以解決好網路的安全性和可靠性問題，是保證網路正常運行的前提和保障。

2 網路安全的重要性
在信息化飛速發展的今天，計算機網路得到了廣泛應用，但隨著網路之間的信息傳輸量的急劇增長，一些機構和部門在得益於網路加快業務運作的同時，其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網路上的信息，竊取用戶的口令、資料庫的信息；還可以篡改資料庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除資料庫內容，摧毀網路節點，釋放計算機病毒等等。這致使數據的安全性和自身的利益受到了嚴重的威脅。

根據美國FBI（美國聯邦調查局）的調查，美國每年因為網路安全造成的經濟損失超過170億美元。75%的公司報告財政損失是由於計算機系統的安全問題造成的。超過50%的安全威脅來自內部。而僅有59%的損失可以定量估算。在中國，針對銀行、證券等金融領域的計算機系統的安全問題所造成的經濟損失金額已高達數億元，針對其他行業的網路安全威脅也時有發生。

由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。所以，計算機網路必須有足夠強的安全措施。無論是在區域網還是在廣域網中，網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網路信息的保密性、完整性和可用性。

3 網路安全的理論基礎
國際標准化組織（ISO）曾建議計算機安全的定義為：「計算機系統要保護其硬體、數據不被偶然或故意地泄露、更改和破壞。」為了幫助計算機用戶區分和解決計算機網路安全問題，美國國防部公布了「桔皮書」（orange book，正式名稱為「可信計算機系統標准評估准則」 ），對多用戶計算機系統安全級別的劃分進行了規定。

桔皮書將計算機安全由低到高分為四類七級：D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級，C1和C2級是具備最低安全限度的等級，B1和B2級是具有中等安全保護能力的等級，B3和A1屬於最高安全等級。

D1級：計算機安全的最低一級，不要求用戶進行用戶登錄和密碼保護，任何人都可以使用，整個系統是不可信任的，硬體軟體都易被侵襲。

C1級：自主安全保護級，要求硬體有一定的安全級（如計算機帶鎖），用戶必須通過登錄認證方可使用系統，並建立了訪問許可許可權機制。

C2級：受控存取保護級，比C1級增加了幾個特性：引進了受控訪問環境，進一步限制了用戶執行某些系統指令；授權分級使系統管理員給用戶分組，授予他們訪問某些程序和分級目錄的許可權；採用系統審計，跟蹤記錄所有安全事件及系統管理員工作。

B1級：標記安全保護級，對網路上每個對象都予實施保護；支持多級安全，對網路、應用程序工作站實施不同的安全策略；對象必須在訪問控制之下，不允許擁有者自己改變所屬資源的許可權。

B2級：結構化保護級，對網路和計算機系統中所有對象都加以定義，給一個標簽；為工作站、終端等設備分配不同的安全級別；按最小特權原則取消權力無限大的特權用戶。

B3級：安全域級，要求用戶工作站或終端必須通過信任的途徑連接到網路系統內部的主機上；採用硬體來保護系統的數據存儲區；根據最小特權原則，增加了系統安全員，將系統管理員、系統操作員和系統安全員的職責分離，將人為因素對計算機安全的威脅減至最小。

A1級：驗證設計級，是計算機安全級中最高一級，本級包括了以上各級別的所有措施，並附加了一個安全系統的受監視設計；合格的個體必須經過分析並通過這一設計；所有構成系統的部件的來源都必須有安全保證；還規定了將安全計算機系統運送到現場安裝所必須遵守的程序。

在網路的具體設計過程中，應根據網路總體規劃中提出的各項技術規范、設備類型、性能要求以及經費等，綜合考慮來確定一個比較合理、性能較高的網路安全級別，從而實現網路的安全性和可靠性。

4 網路安全應具備的功能
為了能更好地適應信息技術的發展，計算機網路應用系統必須具備以下功能：

（1）訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。

（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。

（3）攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，並採取響應的行動（如斷開網路連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。

（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。

（7）多層防禦：攻擊者在突破第一道防線後，延緩或阻斷其到達攻擊目標。

（8） 設立安全監控中心：為信息系統提供安全體系管理、監控、保護及緊急情況服務。

5 網路系統安全綜合解決措施
要想實現網路安全功能，應對網路系統進行全方位防範，從而制定出比較合理的網路安全體系結構。下面就網路系統的安全問題，提出一些防範措施。

5.1物理安全
物理安全可以分為兩個方面：一是人為對網路的損害；二是網路對使用者的危害。

最常見的是施工人員由於對地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標志牌加以防範；未採用結構化布線的網路經常會出現使用者對電纜的損壞，這就需要盡量採用結構化布線來安裝網路；人為或自然災害的影響，需在規劃設計時加以考慮。

網路對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網路的絕緣、接地和屏蔽工作做好。

5.2訪問控制安全
訪問控制識別並驗證用戶，將用戶限制在已授權的活動和資源范圍之內。網路的訪問控制安全可以從以下幾個方面考慮。

（1）口令

網路安全系統的最外層防線就是網路用戶的登錄，在注冊過程中，系統會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統。

（2）網路資源屬主、屬性和訪問許可權

網路資源主要包括共享文件、共享列印機、網路通信設備等網路用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執行等。訪問許可權主要體現在用戶對網路資源的可用程度上。利用指定網路資源的屬主、屬性和訪問許可權可以有效地在應用級控制網路系統的安全性。

（3）網路安全監視

網路監視通稱為「網管」，它的作用主要是對整個網路的運行進行動態地監視並及時處理各種事件。通過網路監視可以簡單明了地找出並解決網路上的安全問題，如定位網路故障點、捉住IP盜用者、控制網路訪問范圍等。

（4）審計和跟蹤

網路的審計和跟蹤包括對網路資源的使用、網路故障、系統記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統統記錄到文件中；二是對記錄進行分析和統計，從而找出問題所在。

5.3數據傳輸安全
傳輸安全要求保護網路上被傳輸的信息，以防止被動地和主動地侵犯。對數據傳輸安全可以採取如下措施：

（1）加密與數字簽名

任何良好的安全系統必須包括加密！這已成為既定的事實。網路上的加密可以分為三層：第一層為數據鏈路層加密，即將數據在線路傳輸前後分別對其進行加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是傳輸層的加密，使數據在網路傳輸期間保持加密狀態；第三層是應用層上的加密，讓網路應用程序對數據進行加密和解密。當然可以對這三層進行綜合加密，以增強信息的安全性和可靠性。

數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法，它主要通過加密演算法和證實協議而實現。

（2）防火牆

防火牆（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網路或網路安全域之間的一系列部件的組合。它能通過監測、限制、更改跨越防火牆的數據流，盡可能地檢測網路內外信息、結構和運行狀況，以此來實現網路的安全保護。

（3）User Name/Password認證

該種認證方式是最常用的一種認證方式，用於操作系統登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監聽和解密。

（4）使用摘要演算法的認證

Radius（遠程撥號認證協議）、OSPF（開放路由協議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要演算法（MD5）進行認證，但摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網路上傳輸。市場上主要採用的摘要演算法主要有MD5和SHA-1。

（5）基於PKI的認證

使用PKI（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

（6）虛擬專用網路（VPN）技術

VPN技術主要提供在公網上的安全的雙向通訊，採用透明的加密方案以保證數據的完整性和保密性。

VPN技術的工作原理：VPN系統可使分布在不同地方的專用網路在不可信任的公共網路上實現安全通信，它採用復雜的演算法來加密傳輸的信息，使得敏感的數據不會被竊聽。其處理過程大體是這樣：

① 要保護的主機發送明文信息到連接公共網路的VPN設備；

② VPN設備根據網管設置的規則，確定是否需要對數據進行加密或讓數據直接通過。

③ 對需要加密的數據，VPN設備對整個數據包進行加密和附上數字簽名。

④ VPN設備加上新的數據報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數。

⑤ VPN設備對加密後的數據、鑒別包以及源IP地址、目標VPN設備的IP地址進行重新封裝，重新封裝後的數據包通過虛擬通道在公網上傳輸。

⑥ 當數據包到達目標VPN設備時，數據包被解封裝，數字簽名被核對無誤後，數據包被解密。

綜上所述，對於計算機網路傳輸的安全問題，我們必須要做到以下幾點。第一，應嚴格限制上網用戶所訪問的系統信息和資源，這一功能可通過在訪問伺服器上設置NetScreen防火牆來實現。第二，應加強對上網用戶的身份認證，使用RADIUS等專用身份驗證伺服器。一方面，可以實現對上網用戶帳號的統一管理；另一方面，在身份驗證過程中採用加密的手段，避免用戶口令泄露的可能性。第三，在數據傳輸過程中採用加密技術，防止數據被非法竊取。一種方法是使用PGP for Business Security對數據加密。另一種方法是採用NetScreen防火牆所提供的VPN技術。VPN在提供網間數據加密的同時，也提供了針對單機用戶的加密客戶端軟體，即採用軟體加密的技術來保證數據傳輸的安全性。

參考文獻
[1] 蔡皖東.計算機網路技術.西安電子科技大學出版社, 1998.

[2] 杜飛龍. Internet原理與應用.人民郵電出版社, 1997.

[3] 胡道元.信息網路系統集成技術.清華大學出版社, 1995.

[4] 楊明福.計算機網路.電子工業出版社, 1998.5.

[5] 袁保宗.網際網路及其應用.吉林大學出版社, 2000.

[6] 隋紅建等.計算機網路與通信.北京大學出版社, 1996.

[7] 周明天等.TCP/IP網路原理與應用. 清華大學出版社, 1993.

[8] 計算機學報. 1998-2001.

[9] 網路報. 1997-2001.

[10] 電腦報. 1996-2001.

⑷ 如何用python玩轉TF-IDF之尋找相似文章並生成摘要

應用1：關鍵詞自動生成

核心思想是對於某個文檔中的某個詞，計算其在這個文檔中的標准化TF值，然後計算這個詞在整個語料庫中的標准化IDF值。在這里，標准化是說對原始的計算公式進行了一些變換以取得更好的衡量效果，並避免某些極端情況的出現。這個詞的TF-IDF值便等於TF*IDF。對於這個文檔中的所有詞計算它們的TF-IDF值，並按照由高到低的順序進行排序，由此我們便可以提取我們想要的數量的關鍵詞。

TF-IDF的優點是快捷迅速，結果相對來說比較符合實際情況。缺點是當一篇文檔中的兩個詞的IDF值相同的時候，出現次數少的那個詞有可能更為重要。再者，TF-IDF演算法無法體現我詞的位置信息，出現位置靠前的詞與出現位置靠後的詞，都被視為重要性相同，這是不正確的。存在的解決辦法是對文章的第一段和每段的第一句話給予比較大的權重。

應用2：計算文本相似度

明白了對於每個詞，如何計算它的TF-IDF值。那麼計算文本相似度也輕而易舉。我們已經計算了文章中每個詞的TF-IDF值，那麼我們便可以將文章表徵為詞的TF-IDF數值向量。要計算兩個文本的相似度，只需要計算餘弦即可，餘弦值越大，兩個文本便越相似。

應用3：自動摘要

2007年，美國學者的論文<A Survey on Automatic Text Summarization>總結了目前的自動摘要演算法，其中很重要的一種就是詞頻統計。這種方法最早出自1958年IBM公司一位科學家的論文<The Automatic Creation of Literature Abstracts>。這位科學家認為，文章的信息都包含在句子中，有的句子包含的信息多，有的句子包含的信息少。自動摘要就是找出那些包含信息最多的句子。那麼句子的信息量怎麼衡量呢？論文中採用了關鍵詞來衡量。如果包含的關鍵詞越多，就說明這個句子越重要，這位科學家提出用Cluster的來表示關鍵詞的聚集。所謂簇，就是包含多個關鍵詞的句子片段。

以第一個圖為例，其中的cluster一共有7個詞，其中4個是關鍵詞。因此它的重要性分值就等於(4*4)/7=2.3。然後，找出包含cluster重要性分值最高的句子（比如5句），把它們合在一起，就構成了這篇文章的自動摘要。具體實現可以參見<Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social Media Sites>（O'Reilly, 2011）一書的第8章，Python代碼見github。這種演算法後來被簡化，不再區分cluster，只考慮句子包含的關鍵詞。偽代碼如下。

Summarizer(originalText,maxSummarySize):
//計算文本的詞頻，生成一個列表，比如[(10,'the'),(3,'language'),(8,'code')...]
wordFrequences=getWordCounts(originalText)
//過濾掉停用詞，列表變成[(3,'language'),(8,'code')...]
contentWordFrequences=filtStopWords(wordFrequences)
//按照詞頻的大小進行排序，形成的列表為['code','language'...]
contentWordsSortbyFreq=sortByFreqThenDropFreq(contentWordFrequences)
//將文章分成句子
sentences=getSentences(originalText)
//選擇關鍵詞首先出現的句子
setSummarySentences={}
:
firstMatchingSentence=search(sentences,word)
setSummarySentences.add(firstMatchingSentence)
ifsetSummarySentences.size()=maxSummarySize:
break
//將選中的句子按照出現順序，組成摘要
summary=""
foreachsentenceinsentences:
:
summary=summary+""+sentence
returnsummary

類似的演算法已經被寫成了工具，比如基於Java的Classifier4J庫的SimpleSummariser模塊、基於C語言的OTS庫、以及基於classifier4J的C#實現和python實現。

⑸ WEB應用及資料庫安全關鍵技術有哪些

一.虛擬網技術虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。由以上運行機制帶來的網路安全的好處是顯而易見的：信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是，虛擬網技術也帶來了新的安全問題：執行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象。基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。基於MAC的VLAN不能防止MAC欺騙攻擊。乙太網從本質上基於廣播機制，但應用了交換器和VLAN技術後，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。但是，採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。網路層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善，因此，在網路層發現的安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。二.防火牆枝術網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.1、使用Firewall的益處保護脆弱的服務通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。控制對系統的訪問Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。集中的安全管理Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運用於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。記錄和統計網路利用數據以及非法使用數據Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。2、 設置Firewall的要素網路策略影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務，低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。服務訪問策略服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。Firewall設計策略Firewall設計策略基於特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。通常採用第二種類型的設計策略。3、 Firewall的基本分類包過濾型包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.網路地址轉換(NAT)是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.代理型代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。監測型監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。4、 建設Firewall的原則分析安全和服務需求以下問題有助於分析安全和服務需求：√ 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。√ 增加的需要，如加密或拔號接入支持。√ 提供以上服務和訪問的風險。√ 提供網路安全控制的同時，對系統應用服務犧牲的代價。策略的靈活性Internet相關的網路安全策略總的來說，應該保持一定的靈活性，主要有以下原因：√ Internet自身發展非常快，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。√ 機構面臨的風險並非是靜態的，機構職能轉變、網路設置改變都有可能改變風險。遠程用戶認證策略√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。√ PPP/SLIP連接必須通過Firewall認證。√ 對遠程用戶進行認證方法培訓。撥入/撥出策略√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。√ 外部撥入用戶必須通過Firewall的認證。Information Server策略√ 公共信息伺服器的安全必須集成到Firewall中。√ 必須對公共信息伺服器進行嚴格的安全控制，否則將成為系統安全的缺口。√ 為Information server定義折中的安全策略允許提供公共服務。√ 對公共信息服務和商業信息(如email)講行安全策略區分。Firewall系統的基本特徵√ Firewall必須支持．「禁止任何服務除非被明確允許」的設計策略。√ Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。√ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。√ Firewall必須支持增強的認證機制。√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。√ IP過濾描述語言應該靈活，界面友好，並支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。√ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理伺服器。√ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。√ Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，並且將Information server同內部網隔離。√ Firewall可支持對撥號接入的集中管理和過濾。√ Firewall應支持對交通、可疑活動的日誌記錄。√ 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。√ Firewall的設計應該是可理解和管理的。√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。5、選擇防火牆的要點(1) 安全性：即是否通過了嚴格的入侵測試。(2) 抗攻擊能力：對典型攻擊的防禦能力(3) 性能：是否能夠提供足夠的網路吞吐能力(4) 自我完備能力：自身的安全性，Fail-close(5) 可管理能力：是否支持SNMP網管(6) VPN支持(7) 認證和加密特性(8) 服務的類型和原理(9)網路地址轉換能力三.病毒防護技術病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1 ) 通過FTP，電子郵件傳播。(2) 通過軟盤、光碟、磁帶傳播。(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。(4) 通過群件系統傳播。病毒防護的主要技術如下：(1) 阻止病毒的傳播。在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。(2) 檢查和清除病毒。使用防病毒軟體檢查和清除病毒。(3) 病毒資料庫的升級。病毒資料庫應不斷更新，並下發到桌面系統。(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。四.入侵檢測技術利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：(1) 入侵者可尋找防火牆背後可能敞開的後門。(2) 入侵者可能就在防火牆內。(3) 由於性能的限制，防火焰通常不能提供實時的入侵檢測能力。入侵檢測系統是近年出現的新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統可分為兩類：√ 基於主機√ 基於網路基於主機的入侵檢測系統用於保護關鍵應用的伺服器，實時監視可疑的連接、系統日誌檢查，非法訪問的闖入等，並且提供對典型應用的監視如Web伺服器應用。基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息，其基本模型如右圖示：上述模型由四個部分組成：(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵，結果傳送給Countermeasure部分。(3) countermeasure執行規定的動作。(4) Storage保存分析結果及相關數據。基於主機的安全監控系統具備如下特點：(1) 精確，可以精確地判斷入侵事件。(2) 高級，可以判斷應用層的入侵事件。(3) 對入侵時間立即進行反應。(4) 針對不同操作系統特點。(5) 佔用主機寶貴資源。基於網路的安全監控系統具備如下特點：(1) 能夠監視經過本網段的任何活動。(2) 實時網路監視。(3) 監視粒度更細致。(4) 精確度較差。(5) 防入侵欺騙的能力較差。(6) 交換網路環境難於配置。基於主機及網路的入侵監控系統通常均可配置為分布式模式：(1) 在需要監視的伺服器上安裝監視模塊(agent)，分別向管理伺服器報告及上傳證據，提供跨平台的入侵監視解決方案。(2) 在需要監視的網路路徑上，放置監視模塊(sensor),分別向管理伺服器報告及上傳證據，提供跨網路的入侵監視解決方案。選擇入侵監視系統的要點是：(1) 協議分析及檢測能力。(2) 解碼效率(速度)。(3) 自身安全的完備性。(4) 精確度及完整度，防欺騙能力。(5) 模式更新速度。五.安全掃描技術網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。安全掃描工具通常也分為基於伺服器和基於網路的掃描器。基於伺服器的掃描器主要掃描伺服器相關的安全漏洞，如password文件，目錄和文件許可權，共享文件系統，敏感服務，軟體，系統漏洞等，並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞，並可設定模擬攻擊，以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面：(1) 速度。在網路內進行安全掃描非常耗時。(2) 網路拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。(3) 能夠發現的漏洞數量。(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。(5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，並給出相應的改進建議。安全掃描器不能實時監視網路上的入侵，但是能夠測試和評價系統的安全性，並及時發現安全漏洞。六. 認證和數宇簽名技術認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。認證技術將應用到企業網路中的以下方面：(1) 路由器認證，路由器和交換機之間的認證。(2) 操作系統認證。操作系統對用戶的認證。(3) 網管系統對網管設備之間的認證。(4) VPN網關設備之間的認證。(5) 撥號訪問伺服器與客戶間的認證。(6) 應用伺服器(如Web Server)與客戶的認證。(7) 電子郵件通訊雙方的認證。數字簽名技術主要用於：(1) 基於PKI認證體系的認證過程。(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。UserName/Password認證該種認證方式是最常用的一種認證方式，用於操作系統登錄、telnet、rlogin等，但由於此種認證方式過程不加密，即password容易被監聽和解密。使用摘要演算法的認證Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要演算法(MD5)進行認證，由於摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。基於PKI的認證使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

⑹ 密碼學中有幾種、他們的原理和區別,優缺點是什麼

傳統密碼學：Autokey密碼 ，置換密碼 ，二字母組代替密碼 (by Charles Wheatstone) ，多字母替換密碼 ，希爾密碼 ，維吉尼亞密碼 ，替換密碼 ，凱撒密碼 ，ROT13 ，仿射密碼 ，Atbash密碼 ，換位密碼 ，Scytale
，Grille密碼 ，VIC密碼 (一種復雜的手工密碼，在五十年代早期被至少一名蘇聯間諜使用過，在當時是十分安全的) 現代加密：加密散列函數 (消息摘要演算法，MD演算法)加密散列函數
消息認證碼
Keyed-hash message authentication code
EMAC (NESSIE selection MAC)
HMAC (NESSIE selection MAC; ISO/IEC 9797-1, FIPS and IETF RFC)
TTMAC 也稱 Two-Track-MAC (NESSIE selection MAC; K.U.Leuven (Belgium) & debis AG (Germany))
UMAC (NESSIE selection MAC; Intel, UNevada Reno, IBM, Technion, & UCal Davis)
MD5 (系列消息摘要演算法之一，由MIT的Ron Rivest教授提出; 128位摘要)
公/私鑰加密演算法(也稱 非對稱性密鑰演算法)公/私鑰簽名演算法秘密鑰演算法 (也稱 對稱性密鑰演算法)

⑺ 我在工作中的3大優缺點

1、良好的組織能力。經過多年的中層幹部經歷錘煉，特別在負責政教工作期間，多次組織學校大型活動，如藝術節、六一兒童節、學生文明禮儀教育等活動，每次活動都有條不紊地開展，展示了組織魄力。自2009年轉任支部書記後，開始獨擋一面分管黨務，一年一度的黨員生活會、師德教育活動，我都能未雨綢繆，安排具體，措施得力，更展示了在組織技巧上風范。

2、靈活的溝通、協調指揮能力。善於溝通、巧於溝通，協調八方，調動全體，運籌得當是一個領導必備的素質。在任校長助理期間，分管後勤工作，面對的是一批年齡大、資格老、個性強的工作人員，工作難度大。溝通、協調非常關鍵。

3、硬實的工作能力。在各級活動中多次獲獎，榮獲國家級「雙龍杯」書畫賽輔導銀獎、丹江口市體音美術個人基本功比賽第二名等。在工作中，我始終以身作則，模範帶頭，律已以嚴，待人以寬，個人威信高，工作說服力強，辦事效率高，有扎實的群眾基礎。 人無完人，金無足赤。我對個人缺點也有清醒認識，有待今後竭力改正。

缺點：

1、情況不太穩定，要根據情緒或者思維而定主要體現在偶而會對語境的反應不夠迅速，准確此外對話題的提出和承接表現不佳，經常無話可說一部分原因是在有壓力的情況下缺乏自信，另一方面也與知識儲備不足，話題缺乏營養有關。

2、處事低調，導致做決定的時候用的時間比較多。

3、工作時間觀念差，勞逸結合的科學工作方法不得當。

(7)摘要演算法缺點擴展閱讀

回答注意事項：

1、原則上所有的面試問題都是展示個人的魅力的機會。

2、回答這種問題不能太實在有什麼說什麼拖延等是絕對不能說的。

3、千萬不能回答的很敷衍隨意一般需要說兩到三個點。

4、不要回答說什麼追求完美這種沒有營養的東西。

⑻ 網路安全技術的使用益處

保護脆弱的服務
通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。
例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運用於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Finger和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。 網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務，低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：
允許任何服務除非被明確禁止；
禁止任何服務除非被明確允許。
通常採用第二種類型的設計策略。 虛擬補丁
虛擬補丁也成VPatch，旨在通過控制受影響的應用程序的輸入或輸出，來改變或消除漏洞。這些漏洞給入侵者敞開了大門，資料庫廠商會定期推出資料庫漏洞補丁，由於資料庫打補丁工作的復雜性和對應用穩定性的考慮，大多數企業無法及時更新補丁。資料庫防火牆提供了虛擬補丁功能，在資料庫外的網路層創建了一個安全層，在用戶在無需補丁情況下，完成資料庫漏洞防護。DBFirewall支持22類，460個以上虛擬補丁。
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以包為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些包是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
網路地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不需要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型
防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。 分析安全和服務需求
以下問題有助於分析安全和服務需求：
√ 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。
√ 增加的需要，如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網路安全控制的同時，對系統應用服務犧牲的代價。
策略的靈活性
Internet相關的網路安全策略總的來說，應該保持一定的靈活性，主要有以下原因：
√ Internet自身發展非常快，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的，機構職能轉變、網路設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√公共信息伺服器的安全必須集成到Firewall中。
√ 必須對公共信息伺服器進行嚴格的安全控制，否則將成為系統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall系統的基本特徵
√ Firewall必須支持．「禁止任何服務除非被明確允許」的設計策略。
√ Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。
√ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機制。
√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。
√ IP過濾描述語言應該靈活，界面友好，並支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理伺服器。
√ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。
√ Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日誌記錄。
√ 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。 (1) 安全性：即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力：對典型攻擊的防禦能力
(3) 性能：是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力 病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為：
(1 ) 通過FTP，電子郵件傳播。
(2) 通過軟盤、光碟、磁帶傳播。
(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。
(4) 通過群件系統傳播。
病毒防護的主要技術如下：
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新，並下發到桌面系統。
(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。 利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：
(1) 入侵者可尋找防火牆背後可能敞開的後門。
(2) 入侵者可能就在防火牆內。
(3) 由於性能的限制，防火牆通常不能提供實時的入侵檢測能力。
入侵檢測系統是新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類：
√ 基於主機
√ 基於網路
基於主機的入侵檢測系統用於保護關鍵應用的伺服器，實時監視可疑的連接、系統日誌檢查，非法訪問的闖入等，並且提供對典型應用的監視如Web伺服器應用。
基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息，其基本模型如右圖示：
上述模型由四個部分組成：
(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵，結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控系統具備如下特點：
(1) 精確，可以精確地判斷入侵事件。
(2) 高級，可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作系統特點。
(5) 佔用主機寶貴資源。
基於網路的安全監控系統具備如下特點：
(1) 能夠監視經過本網段的任何活動。
(2) 實時網路監視。
(3) 監視粒度更細致。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網路環境難於配置。
基於主機及網路的入侵監控系統通常均可配置為分布式模式：
(1) 在需要監視的伺服器上安裝監視模塊(agent)，分別向管理伺服器報告及上傳證據，提供跨平台的入侵監視解決方案。
(2) 在需要監視的網路路徑上，放置監視模塊(sensor),分別向管理伺服器報告及上傳證據，提供跨網路的入侵監視解決方案。
選擇入侵監視系統的要點是：
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度，防欺騙能力。
(5) 模式更新速度。 網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
基於伺服器的掃描器主要掃描伺服器相關的安全漏洞，如password文件，目錄和文件許可權，共享文件系統，敏感服務，軟體，系統漏洞等，並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。
基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞，並可設定模擬攻擊，以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面：
(1) 速度。在網路內進行安全掃描非常耗時。
(2) 網路拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。
(5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，並給出相應的改進建議。
安全掃描器不能實時監視網路上的入侵，但是能夠測試和評價系統的安全性，並及時發現安全漏洞。 認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網路中的以下方面：
(1) 路由器認證，路由器和交換機之間的認證。
(2) 操作系統認證。操作系統對用戶的認證。
(3) 網管系統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於：
(1) 基於PKI認證體系的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式，用於操作系統登錄、telnet、rlogin等，但由於此種認證方式過程不加密，即password容易被監聽和解密。
使用摘要演算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要演算法(MD5)進行認證，由於摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。
該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。 1、 企業對VPN 技術的需求
企業總部和各分支機構之間採用internet網路進行連接，由於internet是公用網路，因此，必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。
因為VPN利用了公共網路，所以其最大的弱點在於缺乏足夠的安全性。企業網路接入到internet，暴露出兩個主要危險：
來自internet的未經授權的對企業內部網的存取。
當企業通過INTERNET進行通訊時，信息可能受到竊聽和非法修改。
完整的集成化的企業范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數據的完整性和保密性。
企業網路的全面安全要求保證：
保密-通訊過程不被竊聽。
通訊主體真實性確認-網路上的計算機不被假冒。
2、數字簽名
數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基於私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。
並且，如果消息隨數字簽名一同發送，對消息的任何修改在驗證數字簽名時都將會被發現。
通訊雙方通過Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰，並使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。
類 型 技 術 用 途
基本會話密鑰 DES 加密通訊
加密密鑰 Deff-Hellman 生成會話密鑰
認證密鑰 RSA 驗證加密密鑰
基於此種加密模式，需要管理的密鑰數目與通訊者的數量為線性關系。而其它的加密模式需要管理的密鑰數目與通訊者數目的平方成正比。
3、IPSEC
IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數廠商所支持，預計在1998年將確定為IETF標准，是VPN實現的Internet標准。
IPSec主要提供IP網路層上的加密通訊能力。該標准為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(Security Association)。
Ipsec包含兩個部分：
(1) IP security Protocol proper，定義Ipsec報文格式。
(2) ISAKMP/Oakley，負責加密通訊協商。
Ipsec提供了兩種加密通訊手段：
Ipsec Tunnel：整個IP封裝在Ipsec報文。提供Ipsec-gateway之間的通訊。
Ipsec transport：對IP包內的數據進行加密，使用原來的源地址和目的地址。
Ipsec Tunnel不要求修改已配備好的設備和應用，網路黑客戶不能看到實際的的通訊源地址和目的地址，並且能夠提供專用網路通過Internet加密傳輸的通道，因此，絕大多數均使用該模式。
ISAKMP/Oakley使用X.509數字證書，因此，使VPN能夠容易地擴大到企業級。(易於管理)。
在為遠程撥號服務的Client端，也能夠實現Ipsec的客戶端，為撥號用戶提供加密網路通訊。
由於Ipsec即將成為Internet標准，因此不同廠家提供的防火牆(VPN)產品可以實現互通。 由於應用系統的復雜性，有關應用平台的安全問題是整個安全體系中最復雜的部分。下面的幾個部分列出了在Internet/Intranet中主要的應用平台服務的安全問題及相關技術。
1、域名服務
Internet域名服務為Internet/Intranet應用提供了極大的靈活性。幾乎所有的網路應用均利用域名服務。
但是，域名服務通常為hacker提供了入侵網路的有用信息，如伺服器的IP、操作系統信息、推導出可能的網路結構等。
同時，新發現的針對BIND-NDS實現的安全漏洞也開始發現，而絕大多數的域名系統均存在類似的問題。如由於DNS查詢使用無連接的UDP協議，利用可預測的查詢ID可欺騙域名伺服器給出錯誤的主機名-IP對應關系。
因此，在利用域名服務時，應該注意到以上的安全問題。主要的措施有：
(1) 內部網和外部網使用不同的域名伺服器，隱藏內部網路信息。
(2) 域名伺服器及域名查找應用安裝相應的安全補丁。
(3) 對付Denial-of-Service攻擊，應設計備份域名伺服器。
2、Web Server應用安全
Web Server是企業對外宣傳、開展業務的重要基地。由於其重要性，成為Hacker攻擊的首選目標之一。
Web Server經常成為Internet用戶訪問公司內部資源的通道之一，如Web server通過中間件訪問主機系統，通過資料庫連接部件訪問資料庫，利用CGI訪問本地文件系統或網路系統中其它資源。
但Web伺服器越來越復雜，其被發現的安全漏洞越來越多。為了防止Web伺服器成為攻擊的犧牲品或成為進入內部網路的跳板，我們需要給予更多的關心：
(1) Web伺服器置於防火牆保護之下。
(2) 在Web伺服器上安裝實時安全監控軟體。
(3) 在通往Web伺服器的網路路徑上安裝基於網路的實時入侵監控系統。
(4) 經常審查Web伺服器配置情況及運行日誌。
(5) 運行新的應用前，先進行安全測試。如新的CGI應用。
(6) 認證過程採用加密通訊或使用X.509證書模式。
(7) 小心設置Web伺服器的訪問控製表。
3、電子郵件系統安全
電子郵件系統也是網路與外部必須開放的服務系統。由於電子郵件系統的復雜性，其被發現的安全漏洞非常多，並且危害很大。
加強電子郵件系統的安全性，通常有如下辦法：
(1) 設置一台位於停火區的電子郵件伺服器作為內外電子郵件通訊的中轉站(或利用防火牆的電子郵件中轉功能)。所有出入的電子郵件均通過該中轉站中轉。
(2) 同樣為該伺服器安裝實施監控系統。
(3) 該郵件伺服器作為專門的應用伺服器，不運行任何其它業務(切斷與內部網的通訊)。
(4) 升級到最新的安全版本。
4、 操作系統安全
市場上幾乎所有的操作系統均已發現有安全漏洞，並且越流行的操作系統發現的問題越多。對操作系統的安全，除了不斷地增加安全補丁外，還需要：
(1) 檢查系統設置(敏感數據的存放方式，訪問控制，口令選擇/更新)。
(2) 基於系統的安全監控系統。

⑼ 關於計算機密碼學的問題，全部回答的我的分就全送給他~~

1. 使消息保密的技術和科學叫密碼編碼學，目的在於加密消息，安全地發送消息，避免被竊聽； 破譯密文的科學和研究是密碼分析學，目的在於破解加密的密文，研究破解的技術。 2. 逐次試用每個准備好的密鑰進行解密，直至有意義的信息出現，即暴力猜解法。 3. 單向散列函數就是把可變輸入長度串（預映射，pre-image）轉換成固定長度（經常更短）輸出串（散列值）的一種函數。 4.消息摘要用於數據認證和保證數據完整性。 5.以自己的可能的口令文件與單向函數加密後生成的口令文件進行匹配。 6.密碼產品屬於雙重用途產品。 7. 數字簽名（Digital Signature）採用公開密鑰加密技術。 數字簽名的原理是：利用Hash函數計算數據消息摘要；利用發送方的私鑰加密該摘要；將該加密的摘要與原文一起發送，接收方對其進行驗證，判斷其真偽； 數字簽名的作用是：防止對電文的否認與抵賴，發現攻擊者對電文的非法篡改；保護數據完整性。 8. DES 指數字加密標准（Data Encryption Standard，DES） DES演算法將信息分成64比特的分組，並使用56比特長度的密鑰。輪數是16。 9. 公鑰演算法：公開密鑰加密演算法展現了密碼應用中的一種嶄新的思想，公開密鑰加密演算法採用非對稱加密演算法，即加密密鑰和解密密鑰不同。因此在採用加密技術進行通信的過程中，不僅加密演算法本身可以公開，甚至加密用的密鑰也可以公開（為此加密密鑰也被稱為公鑰）。 公開密鑰演算法RSA，A.Shamir和L.Adleman於1977年提出的。RSA的取名就來自於發明者姓的第一個字母。RSA演算法使用模運算和大數分解，演算法的部分理論基於數學中的數論。 10. 11.替代密碼加密，就是隱藏明文，將明文中的字元替換成另外的字元，接受者對密文進行逆替換就能恢復出明文來。 密碼體制是一個五元組（M C K E D）M：明文的有限組合。C：密文的有限集合。K：一切可能密鑰構成的有限集合。E：加密演算法。D：解密演算法。E(M,K1)=C D(C,K2)=M 12. 隱寫術就是將秘密消息隱藏在其它消息中。 13. 校驗位用於對計算機系統內部及系統之間所傳輸的成組數據位進行錯誤檢查。 14. S盒是DES演算法的核心，即代替函數。 15. 分組密碼是將明文消息編碼表示後的數字（簡稱明文數字）序列，劃分成長度為n的組（可看成長度為n的矢量），每組分別在密鑰的控制下變換成等長的輸出數字（簡稱密文數字）序列. 分組密碼的優點是：明文信息良好的擴展性，對插入的敏感性，不需要密鑰同步，較強的適用性，適合作為加密標准。 分組密碼的缺點是：加密速度慢，錯誤擴散和傳播。 16. 異或就是「相同為0，不同為1」（針對二進制按位來講） 17. AES的原型是square演算法。由Rijndael數據結構構成。 AES的基本要求是，採用對稱分組密碼體制，密鑰長度的最少支持為128、192、256，分組長度128位，演算法應易於各種硬體和軟體實現。 18. Message-digest Algorithm 5（信息-摘要演算法），用於確保信息傳輸完整一致。它的作用是讓大容量信息在用數字簽名軟體簽署私人密鑰前被"壓縮"成一種保密的格式（就是把一個任意長度的位元組串變換成一定長的大整數）。 19. SHA是安全散列演算法。 定義：接收一段明文，然後以一種不可逆的方式將它轉換成一段（通常更小）密文，也可以簡單的理解為取一串輸入碼（稱為預映射或信息），並把它們轉化為長度較短、位數固定的輸出序列即散列值（也稱為信息摘要或信息認證代碼）的過程。 20. 生日攻擊的原理是找到兩條能產生相同散列結果的明文，利用概率來指導散列沖突的發現。

⑽ md5 演算法程序+詳細注釋，高分求教！

MD5加密演算法簡介

一、綜述
MD5的全稱是message-digest algorithm 5（信息-摘要演算法），在90年代初由mit laboratory for computer science和rsa data security inc的ronald l. rivest開發出來，經md2、md3和md4發展而來。它的作用是讓大容量信息在用數字簽名軟體簽署私人密匙前被"壓縮"成一種保密的格式（就是把一 個任意長度的位元組串變換成一定長的大整數）。不管是md2、md4還是md5，它們都需要獲得一個隨機長度的信息並產生一個128位的信息摘要。雖然這些 演算法的結構或多或少有些相似，但md2的設計與md4和md5完全不同，那是因為md2是為8位機器做過設計優化的，而md4和md5卻是面向32位的電 腦。這三個演算法的描述和c語言源代碼在internet rfcs 1321中有詳細的描述（http://www.ietf.org/rfc/rfc1321.txt），這是一份最權威的文檔，由ronald l. rivest在1992年8月向ieft提交。

rivest在1989年開發出md2演算法。在這個演算法中，首先對信 息進行數據補位，使信息的位元組長度是16的倍數。然後，以一個16位的檢驗和追加到信息末尾。並且根據這個新產生的信息計算出散列值。後來，rogier 和chauvaud發現如果忽略了檢驗和將產生md2沖突。md2演算法的加密後結果是唯一的--既沒有重復。
為了加強演算法的安全性， rivest在1990年又開發出md4演算法。md4演算法同樣需要填補信息以確保信息的位元組長度加上448後能被512整除（信息位元組長度mod 512 = 448）。然後，一個以64位二進製表示的信息的最初長度被添加進來。信息被處理成512位damg?rd/merkle迭代結構的區塊，而且每個區塊要 通過三個不同步驟的處理。den boer和bosselaers以及其他人很快的發現了攻擊md4版本中第一步和第三步的漏洞。dobbertin向大家演示了如何利用一部普通的個人電 腦在幾分鍾內找到md4完整版本中的沖突（這個沖突實際上是一種漏洞，它將導致對不同的內容進行加密卻可能得到相同的加密後結果）。毫無疑問，md4就此 被淘汰掉了。
盡管md4演算法在安全上有個這么大的漏洞，但它對在其後才被開發出來的好幾種信息安全加密演算法的出現卻有著不可忽視的引導作用。除了md5以外，其中比較有名的還有sha-1、ripe-md以及haval等。
一年以後，即1991年，rivest開發出技術上更為趨近成熟的md5演算法。它在md4的基礎上增加了"安全-帶子"（safety-belts）的 概念。雖然md5比md4稍微慢一些，但卻更為安全。這個演算法很明顯的由四個和md4設計有少許不同的步驟組成。在md5演算法中，信息-摘要的大小和填充 的必要條件與md4完全相同。den boer和bosselaers曾發現md5演算法中的假沖突（pseudo-collisions），但除此之外就沒有其他被發現的加密後結果了。
van oorschot和wiener曾經考慮過一個在散列中暴力搜尋沖突的函數（brute-force hash function），而且他們猜測一個被設計專門用來搜索md5沖突的機器（這台機器在1994年的製造成本大約是一百萬美元）可以平均每24天就找到一 個沖突。但單從1991年到2001年這10年間，竟沒有出現替代md5演算法的md6或被叫做其他什麼名字的新演算法這一點，我們就可以看出這個瑕疵並沒有 太多的影響md5的安全性。上面所有這些都不足以成為md5的在實際應用中的問題。並且，由於md5演算法的使用不需要支付任何版權費用的，所以在一般的情 況下（非絕密應用領域。但即便是應用在絕密領域內，md5也不失為一種非常優秀的中間技術），md5怎麼都應該算得上是非常安全的了。

二、演算法的應用

md5的典型應用是對一段信息（message）產生信息摘要（message-digest），以防止被篡改。比如，在unix下有很多軟體在下載的時候都有一個文件名相同，文件擴展名為.md5的文件，在這個文件中通常只有一行文本，大致結構如：
md5 (tanajiya.tar.gz) =
這就是tanajiya.tar.gz文件的數字簽名。md5將整個文件當作一個大文本信息，通過其不可逆的字元串變換演算法，產生了這個唯一的md5信 息摘要。如果在以後傳播這個文件的過程中，無論文件的內容發生了任何形式的改變（包括人為修改或者下載過程中線路不穩定引起的傳輸錯誤等），只要你對這個 文件重新計算md5時就會發現信息摘要不相同，由此可以確定你得到的只是一個不正確的文件。如果再有一個第三方的認證機構，用md5還可以防止文件作者的 "抵賴"，這就是所謂的數字簽名應用。
md5還廣泛用於加密和解密技術上。比如在unix系統中用戶的密碼就是以md5（或其它類似的算 法）經加密後存儲在文件系統中。當用戶登錄的時候，系統把用戶輸入的密碼計算成md5值，然後再去和保存在文件系統中的md5值進行比較，進而確定輸入的 密碼是否正確。通過這樣的步驟，系統在並不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統的合法性。這不但可以避免用戶的密碼被具有系統管理員許可權的 用戶知道，而且還在一定程度上增加了密碼被破解的難度。
正是因為這個原因，現在被黑客使用最多的一種破譯密碼的方法就是一種被稱為"跑字 典"的方法。有兩種方法得到字典，一種是日常搜集的用做密碼的字元串表，另一種是用排列組合方法生成的，先用md5程序計算出這些字典項的md5值，然後 再用目標的md5值在這個字典中檢索。我們假設密碼的最大長度為8位位元組（8 bytes），同時密碼只能是字母和數字，共26+26+10=62個字元，排列組合出的字典的項數則是p(62,1)+p(62,2)….+p (62,8)，那也已經是一個很天文的數字了，存儲這個字典就需要tb級的磁碟陣列，而且這種方法還有一個前提，就是能獲得目標賬戶的密碼md5值的情況 下才可以。這種加密技術被廣泛的應用於unix系統中，這也是為什麼unix系統比一般操作系統更為堅固一個重要原因。

三、演算法描述

對md5演算法簡要的敘述可以為：md5以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經過了一系列的處理後，演算法的輸出由四個32位分組組成，將這四個32位分組級聯後將生成一個128位散列值。
在md5演算法中，首先需要對信息進行填充，使其位元組長度對512求余的結果等於448。因此，信息的位元組長度（bits length）將被擴展至n*512+448，即n*64+56個位元組（bytes），n為一個正整數。填充的方法如下，在信息的後面填充一個1和無數個 0，直到滿足上面的條件時才停止用0對信息的填充。然後，在在這個結果後面附加一個以64位二進製表示的填充前信息長度。經過這兩步的處理，現在的信息字 節長度=n*512+448+64=(n+1)*512，即長度恰好是512的整數倍。這樣做的原因是為滿足後面處理中對信息長度的要求。
md5中有四個32位被稱作鏈接變數（chaining variable）的整數參數，他們分別為：a=0x01234567，b=0x89abcdef，c=0xfedcba98，d=0x76543210。
當設置好這四個鏈接變數後，就開始進入演算法的四輪循環運算。循環的次數是信息中512位信息分組的數目。
將上面四個鏈接變數復制到另外四個變數中：a到a，b到b，c到c，d到d。
主循環有四輪（md4隻有三輪），每輪循環都很相似。第一輪進行16次操作。每次操作對a、b、c和d中的其中三個作一次非線性函數運算，然後將所得結 果加上第四個變數，文本的一個子分組和一個常數。再將所得結果向右環移一個不定的數，並加上a、b、c或d中之一。最後用該結果取代a、b、c或d中之 一。
以一下是每次操作中用到的四個非線性函數（每輪一個）。

f(x,y,z) =(x&y)|((~x)&z)
g(x,y,z) =(x&z)|(y&(~z))
h(x,y,z) =x^y^z
i(x,y,z)=y^(x|(~z))
（&是與，|是或，~是非，^是異或）

這四個函數的說明：如果x、y和z的對應位是獨立和均勻的，那麼結果的每一位也應是獨立和均勻的。
f是一個逐位運算的函數。即，如果x，那麼y，否則z。函數h是逐位奇偶操作符。

假設mj表示消息的第j個子分組（從0到15），
<< ff(a,b,c,d,mj,s,ti) 表示 a=b+((a+(f(b,c,d)+mj+ti)
<< gg(a,b,c,d,mj,s,ti) 表示 a=b+((a+(g(b,c,d)+mj+ti)
<< hh(a,b,c,d,mj,s,ti) 表示 a=b+((a+(h(b,c,d)+mj+ti)
<< ii(a,b,c,d,mj,s,ti) 表示 a=b+((a+(i(b,c,d)+mj+ti)
<< 這四輪（64步）是：

第一輪

ff(a,b,c,d,m0,7,0xd76aa478)
ff(d,a,b,c,m1,12,0xe8c7b756)
ff(c,d,a,b,m2,17,0x242070db)
ff(b,c,d,a,m3,22,0xc1bdceee)
ff(a,b,c,d,m4,7,0xf57c0faf)
ff(d,a,b,c,m5,12,0x4787c62a)
ff(c,d,a,b,m6,17,0xa8304613)
ff(b,c,d,a,m7,22,0xfd469501)
ff(a,b,c,d,m8,7,0x698098d8)
ff(d,a,b,c,m9,12,0x8b44f7af)
ff(c,d,a,b,m10,17,0xffff5bb1)
ff(b,c,d,a,m11,22,0x895cd7be)
ff(a,b,c,d,m12,7,0x6b901122)
ff(d,a,b,c,m13,12,0xfd987193)
ff(c,d,a,b,m14,17,0xa679438e)
ff(b,c,d,a,m15,22,0x49b40821)

第二輪

gg(a,b,c,d,m1,5,0xf61e2562)
gg(d,a,b,c,m6,9,0xc040b340)
gg(c,d,a,b,m11,14,0x265e5a51)
gg(b,c,d,a,m0,20,0xe9b6c7aa)
gg(a,b,c,d,m5,5,0xd62f105d)
gg(d,a,b,c,m10,9,0x02441453)
gg(c,d,a,b,m15,14,0xd8a1e681)
gg(b,c,d,a,m4,20,0xe7d3fbc8)
gg(a,b,c,d,m9,5,0x21e1cde6)
gg(d,a,b,c,m14,9,0xc33707d6)
gg(c,d,a,b,m3,14,0xf4d50d87)
gg(b,c,d,a,m8,20,0x455a14ed)
gg(a,b,c,d,m13,5,0xa9e3e905)
gg(d,a,b,c,m2,9,0xfcefa3f8)
gg(c,d,a,b,m7,14,0x676f02d9)
gg(b,c,d,a,m12,20,0x8d2a4c8a)

第三輪

hh(a,b,c,d,m5,4,0xfffa3942)
hh(d,a,b,c,m8,11,0x8771f681)
hh(c,d,a,b,m11,16,0x6d9d6122)
hh(b,c,d,a,m14,23,0xfde5380c)
hh(a,b,c,d,m1,4,0xa4beea44)
hh(d,a,b,c,m4,11,0x4bdecfa9)
hh(c,d,a,b,m7,16,0xf6bb4b60)
hh(b,c,d,a,m10,23,0xbebfbc70)
hh(a,b,c,d,m13,4,0x289b7ec6)
hh(d,a,b,c,m0,11,0xeaa127fa)
hh(c,d,a,b,m3,16,0xd4ef3085)
hh(b,c,d,a,m6,23,0x04881d05)
hh(a,b,c,d,m9,4,0xd9d4d039)
hh(d,a,b,c,m12,11,0xe6db99e5)
hh(c,d,a,b,m15,16,0x1fa27cf8)
hh(b,c,d,a,m2,23,0xc4ac5665)

第四輪

ii(a,b,c,d,m0,6,0xf4292244)
ii(d,a,b,c,m7,10,0x432aff97)
ii(c,d,a,b,m14,15,0xab9423a7)
ii(b,c,d,a,m5,21,0xfc93a039)
ii(a,b,c,d,m12,6,0x655b59c3)
ii(d,a,b,c,m3,10,0x8f0ccc92)
ii(c,d,a,b,m10,15,0xffeff47d)
ii(b,c,d,a,m1,21,0x85845dd1)
ii(a,b,c,d,m8,6,0x6fa87e4f)
ii(d,a,b,c,m15,10,0xfe2ce6e0)
ii(c,d,a,b,m6,15,0xa3014314)
ii(b,c,d,a,m13,21,0x4e0811a1)
ii(a,b,c,d,m4,6,0xf7537e82)
ii(d,a,b,c,m11,10,0xbd3af235)
ii(c,d,a,b,m2,15,0x2ad7d2bb)
ii(b,c,d,a,m9,21,0xeb86d391)

常數ti可以如下選擇：
在第i步中，ti是4294967296*abs(sin(i))的整數部分，i的單位是弧度。(4294967296等於2的32次方)
所有這些完成之後，將a、b、c、d分別加上a、b、c、d。然後用下一分組數據繼續運行演算法，最後的輸出是a、b、c和d的級聯。
當你按照我上面所說的方法實現md5演算法以後，你可以用以下幾個信息對你做出來的程序作一個簡單的測試，看看程序有沒有錯誤。

md5 ("") =
md5 ("a") =
md5 ("abc") =
md5 ("message digest") =
md5 ("abcdefghijklmnopqrstuvwxyz") =
md5 ("") =
md5 ("1234567890") =

如果你用上面的信息分別對你做的md5演算法實例做測試，最後得出的結論和標准答案完全一樣，那我就要在這里象你道一聲祝賀了。要知道，我的程序在第一次編譯成功的時候是沒有得出和上面相同的結果的。

四、MD5的安全性

md5相對md4所作的改進：

1. 增加了第四輪；

2. 每一步均有唯一的加法常數；

3. 為減弱第二輪中函數g的對稱性從(x&y)|(x&z)|(y&z)變為(x&z)|(y&(~z))；

4. 第一步加上了上一步的結果，這將引起更快的雪崩效應；

5. 改變了第二輪和第三輪中訪問消息子分組的次序，使其更不相似；

6. 近似優化了每一輪中的循環左移位移量以實現更快的雪崩效應。各輪的位移量互不相同。