请参见 Triple-DES(三重 DES)。
Advanced Encryption Standard(高级加密标准)。一种对称的块数据加密技术。美国政府在 2000 年 10 月采用该种算法的 Rijndael 变体作为其加密标准。AES 从而取代了 DES 成为政府的加密标准。
一种加密系统,消息的发送者和接收者使用不同的密钥对消息进行加密和解密。非对称密钥用于为对称密钥加密建立一个安全信道。Diffie-Hellman algorithm(Diffie-Hellman 算法)就是一种非对称密钥协议。该加密系统与 symmetric key cryptography(对称密钥密码学)相对。
IPv4 网络地址,其主机部分的所有位全为 0 (10.50.0.0) 或全为 1 (10.50.255.255)。从本地网络上的计算机发送到广播地址的包将被传送到该网络中的所有计算机。
在 X.509 证书中,证书颁发机构保证从 trust anchor(信任锚)到用户证书在内的证书可以提供不间断的验证链。
请参见 IP packet(IP 包)。
Data Encryption Standard(数据加密标准)。一种对称密钥加密方法,开发于 1975 年,1981 年由 ANSI 标准化为 ANSI X.3.92。DES 使用 56 位密钥。
一种使用普通字符串表示共享信息的标准化方法。标识名用在 LDAP 和 X.509 证书以及其他技术中。有关更多信息,请参见 A String Representation of Distinguished Names(标识名的字符串表示)。
Digital Signature Algorithm(数字签名算法)。一种公钥算法,采用大小可变(512 位到 4096 位)的密钥。美国政府标准 DSS 可达 1024 位。DSA 的输入依赖于 SHA-1。
也称为“公钥”密码学。Diffie 和 Hellman 于 1976 年开发的非对称密钥一致性协议。使用该协议,两个用户可以在以前没有任何密钥的情况下通过不安全的介质交换密钥。IKE 协议需要使用 Diffie-Hellman。
Elliptic Curve Digital Signature Algorithm(椭圆曲线数字签名算法)。一种基于椭圆曲线数学运算的公钥算法。在生成相同长度的签名时,所需的 ECDSA 密钥大小明显小于 DSA 公钥大小。
将组织的专用网络或内联网与 Internet 隔离,从而防止它受到外部侵入的任何设备或软件。防火墙可以包括包过滤、代理服务器和 NAT(network address translation,网络地址转换)。
Internet Key Exchange(Internet 密钥交换)。IKE 用于自动为 IPsec 安全关联 (Security Association, SA) 提供经过验证的加密材料。
通信工具或介质,节点可以通过它在链路层上进行通信。链路层是紧邻 IPv4/IPv6 层的下一层。例如以太网(简单或桥接)或 ATM 网络。可以将一个或多个 IPv4 子网号或前缀指定给一个 IP 链路。不能将一个子网号或前缀指定给多个 IP 链路。在 ATM LANE 中,一个 IP 链路便是一个仿真 LAN。在使用 ARP 时,ARP 协议的范围是单个 IP 链路。
管理员为 network interface card, NIC(网络接口卡)上的存储区域(或密钥库)指定的名称。密钥库名称也称为令牌或令牌 ID。
1. IKEv2 规则的关键字,如果 auth_method 为 preshared,其值必须与预先共享密钥文件中 label 关键字的值匹配。
2. 创建 IKEv2 证书时使用的关键字。此值便于在密钥库中找到证书的所有部分(私钥、公钥和公钥证书)。
3. 对象或流程的敏感级别的强制访问控制 (mandatory access control, MAC) 指示。Confidential(机密)和 Top Secret(绝密)是标签样例。有标签的网络传输包含 MAC 标签。
4. IKEv1 规则的关键字,其值用于获取此规则。
1. diffserv 体系结构和 IPQoS 中的一个模块,它使用指示包转发方式的值标记 IP 包的 DS 字段。在 IPQoS 实现中,标记器模块是 dscpmk。
2. IPQoS 实现中的一个模块,它使用用户优先级值标记以太网包的虚拟 LAN 标记。用户优先级值指示使用 VLAN 设备在网络中转发包的方式。此模块称为 dlcosmk。
通过通信线路作为一个单位传输的一组信息。包含 IP header(IP 头)以及 payload(有效负荷)。
请参见 IP header(IP 头)。
在 PFS 中,不能使用保护数据传输的密钥派生其他密钥。此外,也不能使用保护数据传输的密钥的源派生其他密钥。因此,PFS 可防止解密以前记录的通信。
PFS 仅适用于经过验证的密钥交换。另请参见 Diffie-Hellman algorithm(Diffie-Hellman 算法)。
系统与链路的连接。此连接通常作为设备驱动程序以及网络接口卡 (network interface card, NIC) 实现。一些 NIC 可以具有多个连接点,例如 igb。
在 IPsec 中,侵入者捕获了包的攻击。存储的包稍后将替换或重复原先的包。为了避免遭到此类攻击,可以在包中包含一个字段,并使该字段在包的保护密钥的生命周期内递增。
指定安全关联数据库 (security associations database, SADB) 中接收者应该用来对收到的包进行解密的行的一个整数。
指定应用于包的保护级别的数据库。SPD 对 IP 通信流量进行过滤,以确定一个包是应该被废弃、应该以明文方式进行传递还是应该用 IPsec 进行保护。
使用从远程位置定向到一个 IP broadcast address(广播地址)或多个广播地址的 ICMP 回显请求包以造成严重的网络拥塞或故障。
使用一个 IP 地址(该地址指示消息来自受信任主机)向计算机发送消息,以获取对该计算机的未经授权的访问。要进行 IP 电子欺骗,黑客必须先使用各种方法查找受信任主机的 IP 地址,然后修改包头以便使这些包看起来像是来自该主机。
可以监视活动连接的状态和使用获取的信息确定允许哪些网络包通过 packet filter(包过滤器)的 firewall(防火墙)。通过跟踪和匹配请求与回复,有状态包过滤器可以筛选出与请求不匹配的回复。
以与 TCP 类似的方式提供面向连接的通信的传输层协议。此外,SCTP 还支持连接多宿主,即连接的端点之一可以具有多个 IP 地址。
一种加密系统,其中消息的发送者和接收者共享一个公用密钥。此公用密钥用于对消息进行加密和解密。对称密钥用于对在 IPsec 中大量传输的数据进行加密。AES 是一个对称密钥的示例。
TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/Internet 协议)是 Internet 的基本通信语言或协议。它还可以在专用网络(内联网或外联网)中用作通信协议。
Triple-Data Encryption Standard(三重数据加密标准)。一种对称密钥加密方法。三重 DES 要求密钥长度为 168 位。三重 DES 也写作 3DES。
packet(包)在封装期间采用的路径。请参见 encapsulation(封装)。
在 IPsec 中,已配置的隧道是点对点接口。使用隧道,可以将一个 IP 包封装到另一个 IP 包中。