网络Tips20-005

1.OSI七层模型从下至上的七个层次分别是物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

TCP/IP参考模型有四层划分法，从下至上的四个层次分别是网络接口层、互联网层、传输层、应用层。

TCP/IP参考模型有五层划分法，从下至上的五个层次分别是物理层、数据链路层、网络层、传输层、应用层。

TCP/IP参考模型不管是四层划分法还是五层划分法，都不包含OSI模型中的会话层和表示层。

2.密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。 AES的基本要求是，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现.不包含56位

3.所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。这种加密系统又称为对称密钥系统。适合直接对大量明文直接加密，效率比公钥加密高。

以下加密算法中，适合对大量的原文消息进行加密传输的是：RC5

对称加密算法有: DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES

非对称加密算法：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA

4.DES算法：加密前，对明文进行分组，每组64位数据，对每一个64位的数据进行加密，产生一组64位的密文，最后把各组的密文串接起来，得出整个密文，其中密钥为64位（实际56位，有8位用于校验）

对称性:DES使用同一个密钥进行加密和解密,这意味着发送方和接收方需要共享相同的密钥,并且保持密钥的机密性。对称加密（共享密钥）

非对称加密（如RSA）使用一对密钥（公钥和私钥），而DES仅使用单一密钥。因此，DES属于对称密码体系，而非非对称密码体系。

3DES是三重数据加密算法通称。它相当于是对每个数据块应用三次DES加密算法（第一次和第三次密钥一样，所以认为密钥长度是112位。）

5.某Web网站向CA申请了数字证书。用户登录该网站时，通过验证（CA的签名） ，可确认该数字证书的有效性，从而（验证该网站的真伪）。

6.利用报文摘要算法生成报文摘要的目的是（防止发送的报文被篡改  ）。

报文摘要算法生成报文摘要信息。该信息简要描述了一份较长信息或文件，可以看作是一份长文件的数字自问，并且可以用于创建数字签名。对于特定的文件而言，摘要信息是唯一的，不同的文件必将产生不同的信息摘要，常见的算法MD5和SHA算法，他们可以用来保护数据完整性，防止在报文在发送过程中被篡改

MD5既不是对称加密也不是非对称加密，它是一种消息摘要算法（哈希函数）

7.报文摘要算法MD5已经获得广泛的应用。它可对任意长度的报文进行运算，得出128位的MD5报文摘要代码。另一种标准是安全散列算法SHA，和MD5相似，但码长为160位，SHA比MD5更安全，但计算的效率不如MD5。

SHA-1是一种将不同长度的输入信息转换成（ 160位 ）位固定长度摘要的算法。

MD5是( 摘要  )算法，对任意长度的输入计算得到的结果长度为( 128位  )位。

8.在Kerberos认证系统中，用户首先向认证服务器AS申请初始票据，然后从票据授权服务器TGS获得会话密钥。

9.两个用户分别从两个CA中取得各自证书后，接下，两个CA要相互交换CA的公钥去验证对方身份。

用户 A、B 分别在I1 和 I 2两个 CA 处取得了各自的证书，下面（ I1 、 I2互换公钥 ）是 A、B 互信的必要条件。

10.数字证书是对用户公钥的认证，确保公钥可信任性，采用CA的私钥进行了签名，

数字证书中包含有用户的公钥；如果甲乙用户需要互相信任，则可以相互交换数字证书。

用户不能自行修改证书中的内容，也无需加密保存。

甲、乙两个用户均向同一CA申请了数字证书，数字证书中包含（用户公钥的 ）。

数字证书:甲、乙用户如需互信，可相互交换数字证书。

11.SSL安全套接层协议，实现安全传输。与HTTP结合，形成HTTPS协议，默认端口号为443。

与HTTP相比, HTTPS 协议将传输的内容进行加密，更加安全。 HTTPS 基于（  SSL）安全协议，其默认端口是（ 443 ）

12.传输层安全性协议TLS及其前身安全套接层SSL是一种安全协议，目的是为互联网通信提供安全及数据完整性保障

（ TLS）是替代SSL协议的一种安全协议。

13.PGP 不是一种完全的非对称加密体系，它是个混合加密算法，它是由一个对称加密算法 （IDEA）、一个非对称加密算法（RSA）、 一个单向散列算法（MD5）组成。其中MD5验证报文完整性。

PGP是一种用于电子邮件加密的工具，可提供数据加密和数字签名服务，使用（IDEA  ）进行数据加密，使用（ MD5 ）进行数据完整性验证。

14.防火墙的基本功能是包过滤，能对进出防火墙的数据包包头（包括源地址、目的地址和协议）进行分析处理，但对于数据包的有效载荷一般无法分析处理。

15.国密即国家密码局认定的国产密码算法，即商用密码。

SM1，对称加密算法，加密强度为128位，采用硬件实现。

SM2，国家密码管理局公布的公钥算法，其加密强度为256位。

SM3，密码杂凑算法，杂凑值长度为32字节，和SM2算法同期公布。主要用于数字签名及验证、消息认证码生成及验证、随机数生成等

SM4，对称加密算法，随WAPI标准一起公布，可使用软件实现，加密强度为128位

在我国商用密码算法体系中，（SM3  ）属于摘要算法。

16.入侵检测是对已经产生的入侵行为进行分析和检测的功能，及时发现并处理，从而减少入侵带来的危害.

作用：进出网络的信息进行实时的监测与比对，及时发现攻击行为

17.RSA采用大素数算法保障数据传输的安全性。

RSA加密算法的安全性依赖于（ 大整数分解 ）问题的困难性。

18.在华为防火墙中，每个安全区域都有一个安全级别，用1-100表示，数字越大，代表这个区域越可信。

默认情况下，LOCAL区域安全级别100、Trust区域为85，DMZ为50，Untrust区域为5。

安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。

在防火墙域间流动中，属于outbound方向的数据流的是（ DMZ区域到Untrust区域的数据流）

19.一次性密钥、序列号和时间戳都是对付重放攻击的有效手段，Kerberos系统采用一次性密钥和时间戳来防止重放攻击。

20.IDS的基本原理是通过分析网络行为（访问方式、访问量、与历史访问规律的差异等）判断网络是否被攻击及何种攻击。

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS是一类重要的安全技术，其实现安全的基本思想是（通过网络行为判断是否安全 ），与其它网络安全技术相比，IDS的最大特点是（能发现内部误操作 ）。