网络安全词汇表

3DES

请参见 Triple-DES（三重 DES）。

AES

Advanced Encryption Standard（高级加密标准）。一种对称的块数据加密技术。美国政府在 2000 年 10 月采用该种算法的 Rijndael 变体作为其加密标准。AES 从而取代了 DES 成为政府的加密标准。

asymmetric key cryptography（非对称密钥密码学）

一种加密系统，消息的发送者和接收者使用不同的密钥对消息进行加密和解密。非对称密钥用于为对称密钥加密建立一个安全信道。Diffie-Hellman algorithm（Diffie-Hellman 算法）就是一种非对称密钥协议。该加密系统与 symmetric key cryptography（对称密钥密码学）相对。

authentication header（验证头）

为 IP 包提供验证和完整性而不提供保密性的扩展头。

bidirectional tunnel（双向隧道）

可以双向传输包的隧道。

Blowfish

一种对称块加密算法，它采用 32 位到 448 位的可变长度密钥。其作者 Bruce Schneier 声称 Blowfish 已针对密钥不经常更改的应用程序进行优化。

broadcast address（广播地址）

IPv4 网络地址，其主机部分的所有位全为 0 (10.50.0.0) 或全为 1 (10.50.255.255)。从本地网络上的计算机发送到广播地址的包将被传送到该网络中的所有计算机。

certificate authority, CA（证书颁发机构）

可信任的第三方组织或公司，可以颁发用于创建数字签名和公钥/私钥对的数字证书。CA 保证被授予唯一证书的个人的身份。

certificate revocation list, CRL（证书撤销列表）

已由 CA 撤销的公钥证书的列表。CRL 存储在 CRL 数据库中，该数据库通过 IKE 进行维护。

chain of trust（信任链）

在 X.509 证书中，证书颁发机构保证从 trust anchor（信任锚）到用户证书在内的证书可以提供不间断的验证链。

packet（包）

请参见 IP packet（IP 包）。

DES

Data Encryption Standard（数据加密标准）。一种对称密钥加密方法，开发于 1975 年，1981 年由 ANSI 标准化为 ANSI X.3.92。DES 使用 56 位密钥。

digital signature（数字签名）

附加到以电子方式传输的消息的数字代码，可唯一地标识发送者。

distinguished name, DN（标识名）

一种使用普通字符串表示共享信息的标准化方法。标识名用在 LDAP 和 X.509 证书以及其他技术中。有关更多信息，请参见 A String Representation of Distinguished Names（标识名的字符串表示）。

domain of interpretation, DOI（系统解释域）

DOI 定义数据格式、网络通信流量交换类型和安全相关信息的命名约定。安全策略、加密算法和加密模式都属于安全相关信息。

DSA

Digital Signature Algorithm（数字签名算法）。一种公钥算法，采用大小可变（512 位到 4096 位）的密钥。美国政府标准 DSS 可达 1024 位。DSA 的输入依赖于 SHA-1。

Diffie-Hellman algorithm（Diffie-Hellman 算法）

也称为“公钥”密码学。Diffie 和 Hellman 于 1976 年开发的非对称密钥一致性协议。使用该协议，两个用户可以在以前没有任何密钥的情况下通过不安全的介质交换密钥。IKE 协议需要使用 Diffie-Hellman。

dynamic packet filter（动态包过滤器）

请参见 stateful packet filter（有状态包过滤器）。

ECDSA

Elliptic Curve Digital Signature Algorithm（椭圆曲线数字签名算法）。一种基于椭圆曲线数学运算的公钥算法。在生成相同长度的签名时，所需的 ECDSA 密钥大小明显小于 DSA 公钥大小。

encapsulating security payload, ESP（封装安全有效负荷）

为包提供完整性和保密性的扩展头。ESP 是 IP 安全体系结构 (IPsec) 的五个组件之一。

encapsulation（封装）

在第一个包中放置头和有效负荷的过程，随后将第一个包放置在第二个包的有效负荷中。

firewall（防火墙）

将组织的专用网络或内联网与 Internet 隔离，从而防止它受到外部侵入的任何设备或软件。防火墙可以包括包过滤、代理服务器和 NAT（network address translation，网络地址转换）。

hash value（散列值）

一个从文本字符串生成的数字。使用散列函数可以确保已传输的消息未被篡改。MD5 和 SHA-1 都属于单向散列函数。

HMAC

用于进行消息验证的加密散列方法。HMAC 是密钥验证算法。HMAC 与重复加密散列函数（例如 MD5 或 SHA-1）以及机密共享密钥配合使用。HMAC 的加密能力取决于底层散列函数的特性。

ICMP echo request packet（ICMP 回显请求包）

发送到 Internet 上的计算机以要求响应的包。此类包通常称为 "ping" 包。

IKE

Internet Key Exchange（Internet 密钥交换）。IKE 用于自动为 IPsec 安全关联 (Security Association, SA) 提供经过验证的加密材料。

Internet Protocol, IP（Internet 协议）

在 Internet 上将数据从一台计算机发送到另一台计算机所用的方法或协议。

IP

请参见 Internet Protocol, IP（Internet 协议）、IPv4 和 IPv6。

IP packet（IP 包）

通过 IP 传输的信息包。IP 包包含头和数据。头包括包的源地址和目标地址。头中的其他字段有助于标识和重新组合目标中包附带的数据。

IP header（IP 头）

唯一标识 Internet 包的二十字节数据。该头包括包的源地址和目标地址。头中存在一个选项，该选项允许添加更多字节。

IP in IP encapsulation（IP-in-IP 封装）

封装在 IP 包中的 IP 包的隧道传送机制。

IP link（IP 链路）

通信工具或介质，节点可以通过它在链路层上进行通信。链路层是紧邻 IPv4/IPv6 层的下一层。例如以太网（简单或桥接）或 ATM 网络。可以将一个或多个 IPv4 子网号或前缀指定给一个 IP 链路。不能将一个子网号或前缀指定给多个 IP 链路。在 ATM LANE 中，一个 IP 链路便是一个仿真 LAN。在使用 ARP 时，ARP 协议的范围是单个 IP 链路。

IPsec

IP security（IP 安全性）。为 IP 包提供保护的安全体系结构。

IP stack（IP 栈）

TCP/IP 经常被称为“栈”。这是指数据交换的客户机端和服务器端的所有数据传送时所经过的各层（TCP 层、IP 层，有时还经过其他层）。

IPv4

Internet 协议版本 4IPv4 有时称为 IP。此版本支持 32 位地址空间。

IPv6

Internet 协议版本 6IPv6 支持 128 位地址空间。

key management（密钥管理）

管理安全关联 (security association, SA) 的方式。

keystore name（密钥库名称）

管理员为 network interface card, NIC（网络接口卡）上的存储区域（或密钥库）指定的名称。密钥库名称也称为令牌或令牌 ID。

label（标签）

1. IKEv2 规则的关键字，如果 auth_method 为 preshared，其值必须与预先共享密钥文件中 label 关键字的值匹配。

2. 创建 IKEv2 证书时使用的关键字。此值便于在密钥库中找到证书的所有部分（私钥、公钥和公钥证书）。

3. 对象或流程的敏感级别的强制访问控制 (mandatory access control, MAC) 指示。Confidential（机密）和 Top Secret（绝密）是标签样例。有标签的网络传输包含 MAC 标签。

4. IKEv1 规则的关键字，其值用于获取此规则。

link-local address（链路本地地址）

在 IPv6 中，用于在单个链路上寻址以实现诸如自动配置地址目的的标识。缺省情况下，链路本地地址是从系统的 MAC 地址创建的。

link layer（链路层）

紧邻 IPv4/IPv6 的下一层。

marker（标记器）

1. diffserv 体系结构和 IPQoS 中的一个模块，它使用指示包转发方式的值标记 IP 包的 DS 字段。在 IPQoS 实现中，标记器模块是 dscpmk。

2. IPQoS 实现中的一个模块，它使用用户优先级值标记以太网包的虚拟 LAN 标记。用户优先级值指示使用 VLAN 设备在网络中转发包的方式。此模块称为 dlcosmk。

MD5

一种重复加密散列函数，用于进行消息验证（包含数字签名）。该函数于 1991 年由 Rivest 开发。

message authentication code, MAC（消息验证代码）

MAC 可确保数据的完整性，并验证数据的来源。MAC 不能防止窃听。

multicast address（多播地址）

以特定方式标识一组接口的 IPv6 地址。发送到多播地址的包将被传送到组中的所有接口。IPv6 多播地址与 IPv4 广播地址具有类似的功能。

multihomed host（多宿主主机）

具有多个物理接口且不执行包转发的系统。多宿主主机可以运行路由协议。

NAT

请参见 network address translation, NAT（网络地址转换）。

network address translation, NAT（网络地址转换）

将一个网络中使用的 IP 地址转换为另一个网络中已知的不同 IP 地址的过程。用于限制所需的全局 IP 地址的数目。

network interface card, NIC（网络接口卡）

作为网络接口的网络适配卡。一些 NIC 可以具有多个物理接口，如 igb 卡。

packet（包）

通过通信线路作为一个单位传输的一组信息。包含 IP header（IP 头）以及 payload（有效负荷）。

packet filter（包过滤器）

一种防火墙功能，可以配置为允许或禁止指定的包通过防火墙。

packet header（包头）

请参见 IP header（IP 头）。

payload（有效负荷）

通过包传输的数据。有效负荷不包括将包传输到其目标所需的头信息。

perfect forward secrecy, PFS（完全正向保密）

在 PFS 中，不能使用保护数据传输的密钥派生其他密钥。此外，也不能使用保护数据传输的密钥的源派生其他密钥。因此，PFS 可防止解密以前记录的通信。

PFS 仅适用于经过验证的密钥交换。另请参见 Diffie-Hellman algorithm（Diffie-Hellman 算法）。

physical interface（物理接口）

系统与链路的连接。此连接通常作为设备驱动程序以及网络接口卡 (network interface card, NIC) 实现。一些 NIC 可以具有多个连接点，例如 igb。

PKI

Public Key Infrastructure（公钥基础结构）。由数字证书、证书颁发机构和其他注册机构组成的系统，用于检验和验证 Internet 事务中涉及的各方的有效性。

proxy server（代理服务器）

位于客户机应用程序（如 Web 浏览器）和另一个服务器之间的服务器。用于过滤请求－例如，阻止对某些 Web 站点的访问。

public key cryptography（公钥密码学）

一种加密系统，它使用两种不同的密钥。公钥对所有用户公开。私钥只对消息接收者公开。IKE 为 IPsec 提供公钥。

replay attack（重放攻击）

在 IPsec 中，侵入者捕获了包的攻击。存储的包稍后将替换或重复原先的包。为了避免遭到此类攻击，可以在包中包含一个字段，并使该字段在包的保护密钥的生命周期内递增。

router（路由器）

通常具有多个接口、运行路由协议并转发包的系统。如果只有一个接口的系统是 PPP 链路的端点，则可以将该系统配置为路由器。

router advertisement（路由器通告）

路由器通告其存在以及各种链路和 Internet 参数的过程，要么是定期进行通告，要么是作为对路由器请求消息的响应进行通告。

router discovery（路由器搜索）

主机查找驻留在已连接链路上的路由器的过程。

router solicitation（路由器请求）

主机请求路由器以立即（而非下一个预定时间）生成路由器通告的过程。

RSA

获取数字签名和公钥密码系统的方法。该方法于 1978 年首次由其开发者 Rivest、Shamir 和 Adleman 介绍。

SADB

Security Associations Database（安全关联数据库）。指定密钥和加密算法的表。在数据的安全传输中会使用这些密钥和算法。

security association, SA（安全关联）

指定从一个主机到另一个主机的安全属性的关联。

security parameter index, SPI（安全参数索引）

指定安全关联数据库 (security associations database, SADB) 中接收者应该用来对收到的包进行解密的行的一个整数。

security policy database, SPD（安全策略数据库）

指定应用于包的保护级别的数据库。SPD 对 IP 通信流量进行过滤，以确定一个包是应该被废弃、应该以明文方式进行传递还是应该用 IPsec 进行保护。

SHA-1

Secure Hashing Algorithm（安全散列算法）。该算法可以针对长度小于 2⁶⁴ 的任何输入进行运算，以生成消息摘要。SHA-1 算法是 DSA 的输入。

smurf attack（smurf 攻击）

使用从远程位置定向到一个 IP broadcast address（广播地址）或多个广播地址的 ICMP 回显请求包以造成严重的网络拥塞或故障。

sniff（探查）

在计算机网络中窃听－通常作为自动化程序的一部分，以便从线路中筛选出信息，如明文口令。

spoof（电子欺骗）

使用一个 IP 地址（该地址指示消息来自受信任主机）向计算机发送消息，以获取对该计算机的未经授权的访问。要进行 IP 电子欺骗，黑客必须先使用各种方法查找受信任主机的 IP 地址，然后修改包头以便使这些包看起来像是来自该主机。

stateful packet filter（有状态包过滤器）

可以监视活动连接的状态和使用获取的信息确定允许哪些网络包通过 packet filter（包过滤器）的 firewall（防火墙）。通过跟踪和匹配请求与回复，有状态包过滤器可以筛选出与请求不匹配的回复。

stream control transport protocol, SCTP（流控制传输协议）

以与 TCP 类似的方式提供面向连接的通信的传输层协议。此外，SCTP 还支持连接多宿主，即连接的端点之一可以具有多个 IP 地址。

symmetric key cryptography（对称密钥密码学）

一种加密系统，其中消息的发送者和接收者共享一个公用密钥。此公用密钥用于对消息进行加密和解密。对称密钥用于对在 IPsec 中大量传输的数据进行加密。AES 是一个对称密钥的示例。

TCP/IP

TCP/IP（Transmission Control Protocol/Internet Protocol，传输控制协议/Internet 协议）是 Internet 的基本通信语言或协议。它还可以在专用网络（内联网或外联网）中用作通信协议。

Triple-DES（三重 DES）

Triple-Data Encryption Standard（三重数据加密标准）。一种对称密钥加密方法。三重 DES 要求密钥长度为 168 位。三重 DES 也写作 3DES。

trust anchor（信任锚）

在 X.509 证书中，来自证书颁发机构的根证书。从根证书到最终证书在内的证书可以建立一个信任链。

tunnel（隧道）

packet（包）在封装期间采用的路径。请参见 encapsulation（封装）。

在 IPsec 中，已配置的隧道是点对点接口。使用隧道，可以将一个 IP 包封装到另一个 IP 包中。

virtual LAN (VLAN) device（虚拟 LAN 设备）

在 IP 协议栈的以太网（数据链路）级别上提供通信流量转发的网络接口。

virtual network（虚拟网络）

软件和硬件网络资源以及作为单个软件项同时管理的功能组合。内部 虚拟网络将网络资源整合到单个系统，有时称为“网络集成 (network in a box)”。

virtual network interface, VNIC（虚拟网络接口）

提供虚拟网络连通性（不论是否是在物理网络接口上配置的）的伪接口。容器（如专用 IP 区域）在 VNIC 上配置以形成虚拟网络。

virtual private network, VPN（虚拟专用网络）

单个安全逻辑网络，使用跨公共网络（如 Internet）的隧道进行传输。