icy网络安全

A. 为什么无线宽带连接上却很卡

首先可以明确的是，造成无线网络的网速不稳定，一阵一阵的卡的主要原因有可能和路由器的后台管理设置、路由器的摆放位置、终端等有关系。
路由器后台管理设置，主要是信道干扰、被蹭网、长时间未重启。

信道干扰

ISM是免授权免费的资源频段，这与LET、5G通信技术的收费不同，但是频谱资源很昂贵，所以很多无线技术都在这个频段上使用。尤其是很早给开放的2.4GHz技术，蓝牙、Zigebee、医疗设备都在这个频段上应用，故2.4GHz的这个路上已经非常的拥塞。当家里的无线网速一阵一阵的卡的时候，需要确认的是否是信道干扰，尤其是家里是路由器不支持820.11ac的也即是5GHz频段。使用网络规划软件查看信道，选择一个干扰相对较少的信道。对于中国开放的13个的2.4GHz频段，打多少人都选择了1、6、11这三个信道。如果家里现在使用的仍旧是802.11n的路由器，为了长期规划，建议购买一个支持5Ghz 频段的路由器，这也是以后的趋势。所以对于信道干扰，建议用测试软件找一个比较干净的信道。

被蹭网

很有可能是自己的无线网络的密码被人破解了，网络资源被人占用了一部分，造成自己的网速降了下来。可以通过以下方式来解决。

1:隐藏SSID，其他人将不会搜索到

一般情况下，想要连接WIFI，需要知道WiFi的SSID，也就说我们所说的热点或者WIFI名称，所以只要我们把路由器的SSID隐藏了，就不会被别人搜索到了。下面具体说一下如何进行操作。

（1）通过路由器的后台管理地址或者手机App进入路由器配置界面

（2）选择常用设置工具栏，然后选择Wi-Fi设置

（3）隐藏网络不被发现，并保存。

注：所有路由器的配置界面都大同小异，原理都差不多，当进行上述操作步骤后，可用的WIFi名称列表中，将不会出现你家的SSID。

2:限制网速或者拉黑

通过路由器的管理配置界面，找到终端设备，一般情况下，会显示出所有路由器下所有的在线设备，可以通过设备名称或者Mac地址来区分，哪一些是自己的设备，哪些不是自家的设备。然后可以对他进行拉黑或者限速，拉黑是最直接的方式，当然也可以通过限速来达到目的，一般情况下，如果限速为20kbps，浏览个正常网页是没有问题。

也可以通过黑名单或者白名单的方式，可以在白名单中保存自己的所有网络设备，对于之后的设备全部为黑名单中的设备，自然就不能访问网络。

Wi-Fi安全机制

对于之前的安保机制，可以很容易就被其他的获取密码，建议在路由器上选择混合加密（WPA/WPA2个人版），它的安全机制较高，不容易被他人获取到。当然，也是通过路由器的管理界面进行配置。

3:密码修改

另外，对于简单的密码，很容易就会被一些软件就给破解了，所以建议使用一些复杂但是自己能够记住的密码，而且需要定期修改密码，以防止被他人蹭网。

路由器长时间为未重启

路由器的长时间工作，没有得到休息，并累积了太多的热量，造成了路由器的性能下降，导致了网速变慢。所以建议定时关闭路由器，频率可以是一周关闭一次。

路由器位置影响

对于路由器的位置摆放建议按照下面的方式来做

1：路由器不要放置在角落里

2：路由器周围不要防止太多的障碍物，尤其是金属物品。

3：路由器的天线尽量不要仅朝一个方向

总结：对于无线网速变慢卡顿，建议把路由器的定时重启，修改信道、修改密码、以及从路由器的摆放位置上着手。希望可以帮助到您，祝您生活愉快！
————————————————
版权声明：本文为CSDN博主“dituicyqz”的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/fuli911/article/details/108725045

B. 小橙子是干什么的

一说到小橙子，相信大家并不陌生吧，小橙子其实就是脐橙里面的小果实，相信大家都吃过脐橙的吧，酸酸甜甜的，非常可口呢

一、小橙子叫什么

小橙子又叫副果，橙子下面的像小橙子的东西是脐橙的副果，脐橙其实就是连体双胞胎橙子，那个脐就是小小双胞胎副果。脐橙树的橙子全是无籽的，因此无法靠种子种植，只能嫁接。

二、如何挑选橙子

1.看颜色。一般越是颜色深的维生素和甜度越会比较的多，这是因为日光照射足够的证明，但不同品种可能会不一样。

2.摸摸皮的软硬。皮比较薄的橙子，水分较多，捏起来比较有弹性，而表皮较硬的橙子则口感不佳，购买时捏一下橙子，如果果皮较硬，则很容易可以感受到。

小橙子叫什么

3.同等大小的橙子，较重的好吃。这种方法适合很多种水果的挑选，因为同样大小的水果，较重的一个说明含水量较高，吃起来口感较好。购买时可一手一个感觉下重量。

4.闻味道。新鲜水果会散发出一种甜腻腻的味道么，像是糖一样甜甜的，但又有独特的水果香，如果闻不到这种味道，还是去别家看看吧。

5.肚脐处小的好吃。橙子的肚脐又称为果蒂，有人按肚脐大小把它分为公的和母的，其实是不正确的，橙子的肚脐只是它的复果，太大的话，里面会有白色的经络，水分不如肚脐小的多，不太好吃。购买时应选择肚脐较小的橙子。

小橙子叫什么

看完以上小编给大家介绍的小橙子叫什么呢，这下想必大家都清楚了吧，不管是在外面购买什么东西，比如蔬菜水果什么的，都是要学会挑选食物哦，精心挑选的食物吃起来都要好吃一些额

C. Openswan和freeswan的区别

openswan采用的是ipsec技术实现的VPN，由于在IP层实现，效率高，历史悠久，网上相关的配置文章也多，稳定。可以实现p2p,p2net,net2net.
openvpn采用SSL技术实现，由于主要工作在应用层，效率低，如果单位流量比较大，还是不要用这个了。另个他采用了SSL技术，也不是我们通常所说的SSL VPN。

目前市场上比较流行的硬件VPN都是采用的ipsec技术。所以选择第一种对你以后更换硬件有帮助。
基本上来说，市场上的硬件VPN产品很少采用openvpn这样的技术的。

IPSEC工作原理
--------------------------------------------------------------------------------

虚拟专网是指在公共网络中建立专用网络，数据通过安全的“管道”在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络服务的重点项目。因此必须充分认识虚拟专网的技术特点，建立完善的服务体系。 VPN工作原理
目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）。因此，阐述VPN的工作原理，主要是分析IPSEC的工作原理。
IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数。
认证——作用是可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性——作用是使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。
在IPSEC由三个基本要素来提供以上三种保护形式：认证协议头（AH）、安全加载封装（ESP）和互联网密匙管理协议（IKMP）。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
认证协议头（AH）是在所有数据包头加入一个密码。正如整个名称所示，AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通过最高到160位密匙提供更强的保护。
安全加载封装（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准（DES），DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据，因而它比AH需要更多的处理时间，从而导致性能下降。
密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，例如，一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（DES）足够满足大多数商业应用了。密匙管理包括手工和自动两种方式，手工管理系统在有限的安全需要可以工作得很好，而自动管理系统能满足其他所有的应用要求。
使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政策进行修改。 使用自动管理系统，可以动态地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥IPSEC的效用。
IPSEC的实现方式
IPSEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机（客户机或服务勤）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

虚拟专网的加密算法说明
--------------------------------------------------------------------------------

一、IPSec认证
IPSec认证包头（AH）是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（主机、用户、网络等）。AH本身其实并不支持任何形式的加密，它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、I CMP等）之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。消息文摘5算法（MD5）是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC－MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发送的。
二、IPSec加密
封包安全协议（ESP）包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES－CBC算法。美国数据加密标准（DES）是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法。DES－CBC通过对组成一个完整的IP数据包（隧道模式）或下一个更高的层协议帧（传输模式）的8比特数据分组中加入一个数据函数来工作。DES－CBC用8比特一组的加密数据（密文）来代替8比特一组的未加密数据（明文）。一个随机的、8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES－CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES－CBC算法的有效性依赖于秘密密钥的安全，ESP使用的DES－CBC的密钥长度是56比特。

基于IPSec的VPN技术原理于实现

摘要：本文描述了VPN技术的基本原理以及IPSec规范，在此基础上介绍了VPN技术的实现方法和几种典型应用方案。最后，作者对VPN技术的推广与应用提出了自己的看法。

1．引言

1998年被称作“电子商务年”，而1999年则将是“政府上网年”。的确，Intemet作为具有世界范围连通性的“第四媒体”，已经成为一个具有无限商机的场所。如何利用Intemet来开展商务活动，是目前各个企业讨论的热门话题。但将Internet实际运用到商业中，还存在一些亟待解决的问题，其中最重要的两个问题是服务质量问题和安全问题。服务质量问题在有关厂商和ISP的努力下正在逐步得以解决，而VPN技术的产生为解决安全问题提供了一条有效途径。

所谓VPN(VirtualPrivate Network，虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，，以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。

VPN技术除了可以节省费用外，还具有其它特点：

●伸缩性椂能够随着网络的扩张，很灵活的加以扩展。当增加新的用户或子网时，只需修改已有网络软件配置，在新增客户机或网关上安装相应软件并接人Internet后，新的VPN即可工作。

●灵活性枣除了能够方便地将新的子网扩充到企业的网络外，由于Intemet的全球连通性，VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。

●易于管理枣用专线将企业的各个子网连接起来时，随着子网数量的增加，需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB，只需要将各个子网接入Internet即可，不需要进行各个线路的管理。

VPN既可以用于构建企业的Intranet，也可以用于构建Extranet。随着全球电子商务热的兴起，VPN应用必将越来越广泛。据Infonetics Reseach的预测，VPN的市场分额将从今天的两亿美元增长到2001年时的119亿美元，其中VPN产品的销售收入就要占其中的十分之一。

2．基于IPSec规范的VPN技术

1)IPSec协议简介

IPSec(1P Security)产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP／IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。

最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。

2)IPSec基本工作原理

IPSec的工作原理(如图l所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种：丢弃或转发。

图1 IPSec工作原理示意图

IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。

进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安全的通信才成为可能。

IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。

传输模式，如图2所示，只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。

图2 传输模式示意图

隧道模式，如图3所示，对整个IP数据色进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。

图3隧道模式示意图

3)IPSec中的三个主要协议

前面已经提到IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH，ESP和IKE三个协议规定。为了介绍这三个协议，需要先引人一个非常重要的术语枣SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。当给定了一个SA，就确定了IPSec要执行的处理，如加密，认证等。SA可以进行两种方式的组合，分别为传输临近和嵌套隧道。

1)ESP(Encapsulating Secuity Fayload)

ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，例如DES，TripleDES，RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。

ESP协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载，填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议，可能是传输层协议(TCP或UDP)，也可能还是IPSec协议(ESP或AH)。

通常，ESP可以作为IP的有效负载进行传输，这JFIP的头UKB指出下广个协议是ESP，而非TCP和UDP。由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。

前面已经提到用IPSec进行加密是可以有两种工作模式，意味着ESP协议有两种工作模式：传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时，采用当前的IP头部。而在隧道模式时，侍整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的IP头部，此时可以起到NAT的作用。

2)AH(Authentication Header)

AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了对可以对IP的有效负载进行认证外，还可以对IP头部实施认证。主要是处理数据对，可以对IP头部进行认证，而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。

AH既可以单独使用，也可在隧道模式下，或和ESP联用。

3)IKE(Internet Key Exchange)

IKE协议主要是对密钥交换进行管理，它主要包括三个功能：

●对使用的协议、加密算法和密钥进行协商。

●方便的密钥交换机制(这可能需要周期性的进行)。

●跟踪对以上这些约定的实施。

3．VPN系统的设计

如图4所示，VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密／解密模块、数据分组封装／分解模块和加密函数库几部分组成。

管理模块负责整个系统的配置和管理。由管理模块来决定采取何种传输模式，对哪些IP数据包进行加密／解密。由于对IP数据包进行加密需要消耗系统资源，增大网络延迟，因此对两个安全网关之间所有的IP数据包提供VPN服务是不现实的。网络管理员可以通过管理模块来指定对哪些IP数据包进行加密。Intranet内部用户也可以通过Telnet协议传送的专用命令，指定VPN系统对自已的IP数据包提供加密服务。

密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式， 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在密数据库中，支持以IP地址为关键字的快速查询获取。

身份认证模块对IP数据包完成数字签名的运算。整个数字签名的过程如图5所示：

图5 数字签名

首先，发送方对数据进行哈希运算h＝H(m)，然后 用通信密钥k对h进行加密得到签名Signature＝{ h} key。发送方将签名附在明文之后，一起传送给接收方。 接收方收到数据后，首先用密钥k对签名进行解密得到 h，并将其与H(m)进行比较，如果二者一致，则表明数据是完整的。数字签名在保证数据完整性的同时，也起到了身份认证的作用，因为只有在有密钥的情况之下，才能对数据进行正确的签名。

数据加密/解密模块完成对IP数据包的加密和解密操作。可选的加密算法有IDEA算法和DES算法。前者在用软件方式实现时可以获得较快的加密速度。为了 进一步提高系统效率，可以采用专用硬件的方式实现数据的加密和解密，这时采用DES算法能得到较快的加密速度。随着当前计算机运算能力的提高，DES算法的安 全性开始受到挑战，对于安全性要求更高的网络数据，数据加密/解密模块可以提供TriPle DES加密服务。

数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。当从安全网关发送IP数据分组时，数据分组封装/分解模块为IP数据分组附加上身份认

证头AH和安全数据封装头ESP。当安全网关接收到IP 数据分组时，数据分组封装/分解模块对AH和ESP进行协议分析，并根据包头信息进行身份验证和数据解密。

加密函数库为上述模块提供统一的加密服务。加密 函数库设计的一条基本原则是通过一个统一的函数接口界面与上述模块进行通信。这样可以根据实际的需

要，在挂接加密算法和加密强度不同的函数库时，其它模块不需作出改动。

4．几种典型的VPN应用方案

VPN的应用有两种基本类型：拨号式VPN与专用式VPN。

拨号VPN为移动用户与远程办公者提供远程内部网访问，这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所，拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器(NAS)上。

专用VPN有多种形式，其共同的要素是为用户提供IP服务，一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来，这些业务的特点是多用户与高速连接，为提供完整的VPN业务，企业与服务提供商经常将专用VPN与远程访问方案结合起来。

目前刚出现一种VPN知觉的网络，服务提供商将很快推出一系列新产品，专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。

5．结束语

总之，VPN是一项综合性的网络新技术，即使在网络高度发达的美国也才推出不久，但是已显示出强大的生命力，Cisco、3Com、Ascend等公司已推出了各自的产品。但是VPN产品能否被广泛接受主要取决于以下两点：一是VPN方案能否以线路速度进行加密，否则将会产生瓶颈；二是能否调度和引导VPN的数据流到网络上的不同管理域。

在中国，由于网络基础设施还比较落后，计算机应用水平也不高，因此目前对VPN技术的需求还不高，大多数厂商还处在徘徊观望阶段，但是随着国民经济信息化进程的加快，特别是政府上网、电子商务的推动，VPN技术将会大有用武之地。

D. table schema是什么意思

table schema
表模式
schema[英][ˈski:mə][美][ˈskimə]
n.概要，计划，图表;
复数：schemasschemata

例句:
1.
Customers will make den-compliant procts a priority once the dmtf makes a little more progress on den specifications-such as defining a pollicy schema that would specify data structures for binding directory profiles to network security and quality-of-service ( qos) policies and procts soon follow.
一旦dmtf在den规范上取得更多一些进展，如定义一个为把目录简表与网络安全和服务质量（qos）政策捆绑在一起而规定数据结构的政策模式，以及随之而来的产品，客户将优先使用符合den的产品。

E. 谷歌、搜狗浏览器上淘宝为什么360网购保镖不会运行

这个好像是在360里设置的，只要把保护开启就可以。如果不行，你可以考虑换成360的急速浏览器，速度很快，肯定能触发保护模式。这两个浏览器我没试过。

F. 360是什么

360由周鸿祎创立于2005年9月，主营以360杀毒为代表的免费网络安全平台，同时拥有问答等独立业务。公司主要依靠在线广告、游戏及互联网、增值业务创收。

2014年1月15日，奇虎360宣布进军台湾，授权希悦资讯为台湾地区总代理。

360拥有360安全卫士、360安全浏览器、360保险箱、360杀毒、360软件管家、360手机卫士、360手机卫士极客版、360极速浏览器、360安全桌面、360手机助手、360健康精灵、[1] 360云盘、360搜索,360随身WiFi等系列产品。360软件管家，是网民下载软件和升级软件的平台之一。
参考资料
http://ke..com/link?url=-mZhlpM3mB9a

G. 求avast网络安全许可文件 发到[email protected] 第一个给的并且可以用的给分

已发送 请查收 到2012年6月的

H. 卡巴斯基防火墙如何设置

卡巴斯基防火墙的安全设置

卡巴斯基防火墙的安全设置
卡巴斯基防火墙如果设置不当的话，会导致不能登录金游游戏大厅进行游戏，以前曾有玩家遇到过不能正常登录金游客户端的问题，经过金游的工程师查找原因，发现这个问题的症结不在于游戏服务器，而是和玩家电脑上的防火墙(大部分为卡巴斯基防火墙)设置有关。
如果您遇到了不能正常登录金游大厅的问题，而同时您又安装了防火墙，那么您可以试着通过设置防火墙来解决问题。这里以卡巴斯基防火墙为例介绍一下设置的方法。
您可以将卡巴斯基安全级别设置为低，或者在卡巴斯基里将金游世界大厅hall.exe设置为允许访问网络，这样即可正常登录，如果按上述方法设置后依然不能登录，请您及时和金游客服联系,金游的工程师会在第一时间解决问题，。

卡巴斯基防火墙的设置步骤
首先启动卡巴斯基：

发现其默认的安全性级别是“中”，将其改为低。
打开金游后，出现如下页面：

请点“确定”以选择登录服务器，出现的界面如下：

点确定后就可以进入各个游戏房间了。

为了以后一劳永逸，不用每次因为服务器变更或者软件变更而重复进行设置，请再做几步，下面提供两种方式：

A方式：将 KASPERSKY ANTI-HACKER 启动时候的安全级别降到低。

B方式: 首先打开:

选择service 里的第一个选项(程序规则 application rules)，打开如下窗体:

选择 hall.exe 修改,进入以下界面

请选择

出现如下界面：

点确定后出现：

选全部允许，点确定即可。
我们的游戏更新后,会出现:

选择：我知道文件已被修改，并继续信任该应用程序。点确定即可正常登录。

I. 有谁知道什么是Xp挑战赛啊

[1] 自从XP停止维护后，对于XP安全应该如何去防护的话题就从未停止过。事实证明XP停止维护后，虽然并没有传闻中那么危险，“10分钟就会中毒”，不过中毒的几率的确是比平时上升了很多倍，这就意味着电脑不能再向以前一样可以不安装安全防护软件。不过面对市场上如此多的安全防护软件，选哪个又是一个疑问，所以xp挑战赛应运而生。
12月19日，由竞评演练工作组主办的第二期XP靶场挑战赛再度开赛，来自不同渠道的众多顶尖网络高手向腾讯电脑管家、360安全卫士、金山毒霸、网络杀毒等五家国内领先的XP防护软件发起“打靶”挑战。历经12个小时猛烈进攻后，腾讯电脑管家成功胜出，再度保持不被攻破的记录。[2]
中文名
xp挑战赛
测试产品
windows xp
目录
1国内背景
2比赛流程
3点评
4有关报道
5相关组织
6结果

1国内背景编辑
我国网络安全人才外流严重。网络安全业界流传着一张由知道创宇公司绘制的中国安全人才迁徙路线图。迁徙图显示，我国网络安全人才由早期网络安全企业流向国外网络安全公司和其他互联网公司等，部分顶尖人才选择到美国发展。
另一方面，国内高校人才培养供不应求。多位来自高校的网络安全专家反映，国内信息安全专业人才供给远不能满足社会需求。据教育部高等学校信息安全专业教学指导委员会秘书长封化民介绍，我国高校开始设置信息安全本科专业。2013年11月，在工信部和教育部联合指导下，我国信息安全人才普查启动，结果显示，全国已有80余所高校开设了信息安全本科专业，每年全国能够培养的信息安全专业人才约有1万人，人才供需缺口巨大。人才问题已经成为严重制约网络信息安全产业发展的瓶颈。[3]

2比赛流程编辑
xp挑战平台比赛的主办方合天智汇制定的大赛流程是，在2014年3月26日-4月3日24:00接受报名， 4月5日上午8:00正式开始挑战，当天20:00挑战结束，4月8日公布挑战赛战果。为了吸引一些黑客参加比赛，“XP挑战平台”设立了总计38万元的奖金，最快攻破任意一款XP防护产品的前10名挑战者，均可获得3千元到5万元不等的奖金。最快攻破所有三款防护产品，还可额外获得5万元“全垒打”特别奖。挑战者理论上最多可获20万元奖金，这也是国内有奖金的网络竞技项目。

3点评编辑
微软公司正式宣布WindowsXP退休后，一场“XP挑战赛”在互联网安全行业掀起轩然大波。
据了解，在此之前，国内互联网公司纷纷推出XP用户专业版，以保护XP用户的网络安全。2014年4月5日，国内第三方机构合天智汇邀请一些黑客，对国内三家企业推出的XP保护系统进行攻击、测试，即所谓"XP挑战赛"。
然而，对此次“XP挑战赛”的主办方资质、比赛机制的合法性及比赛结果的公正性等问题，不少业界专家提出了质疑。
安全专家谷明对“安全测试”相关情况进行了介绍。谷明表示，国际通行安全测试是通过模拟恶意黑客的攻击方法，以此评估计算机网络系统安全的一种评估。而安全测试的合法前提是和厂商合作。
在法律方面，中国政法大学教授、法学专家于志刚也表示，”XP挑战赛“主办方却在未获得授权的前提下，单方面对比赛结果进行公布并传播，这种行为本身就构成侵权。
国内网络攻防大赛“XP挑战赛”鸣锣开战。360安全卫士XP盾甲、金山毒霸XP防护盾和腾讯电脑管家XP专属版本将面对全球200多名黑客的挑战。

4有关报道编辑
由于微软于2014年4月8日停止对XP系统的技术支持此次XP挑战赛基于Windows XP无补丁环境进行，模拟微软停止支持后漏洞百出的XP系统。黑客挑战者可以利用漏洞对XP系统进行入侵攻击，盗取电脑内的文件。
2014年4月5日，一个名不见经传的合天智汇公司发起了名为“XP挑战平台”的网络攻击赛，针对360、腾讯、金山三大主流安全厂商上线的XP防护专版产品，然而这个测试却遭到业内人士的普遍质疑。
在微博中也发现，很多白帽子发微博抱怨，该“XP挑战平台”根本无法注册，填完注册信息提交时频繁提示“服务器异常，请稍后重试”，此情况引起了不少参赛人士不满，这是技术问题还是人为限制参与者也成为一个疑点。
当天下午，“被参与者”腾讯电脑管家也通过官方微博对此进行了回应，对比赛公正性提出质疑，称“没有被任何机构邀请参加比赛，对比赛的客观公正性提出了质疑”。
对此，有业内人士一语道破：“XP挑战平台”更像是一个有预谋的公关事件，比赛结果先于比赛开始之前就曝光，参赛者无法注册，挑战环境与真实环境差别也较大，此赛事就像一场闹剧，漏洞百出。尤其值得一提的是，360作为参赛者之一，其参与比赛的XP防护盾甲产品与推送给用户的版本完全不同；通俗地说，360针对本次比赛做了一个用户根本无法使用的特别版本，而这个版本的沙箱开启状态下，因为很多调用都被禁止了，会导致用户电脑系统崩溃和许多常用程序无法使用。就好比一家正常营业的银行和一家大门紧闭的银行，后者挡住了小偷也挡住了有业务需求的顾客，两种状态是不可比的。

5相关组织编辑
此次XP挑战赛由竞评演练工作组主办，赛事组织机构包括竞演办、技术委员会、监督委员会、用户观察团，以及核心技术运作团队。其中，监督委员会主要由行业代表、业内第三方专家、参赛企业代表、赛事组织人员等组成，实现对整个比赛过程的监督，统一媒体宣传策略等，以避免出现刻意的违规作弊或其他有违根本原则的行为。技术委员会成员主要由业内第三方技术专家、参赛企业代表、赛事组织人员等组成，主要指导比赛的所有技术环节，包括比赛流程、相关技术方案、靶标选择等。用户观察团由国内重要信息系统用户、普通个体用户自愿申请加入，能够观战挑战赛的全过程，但不能干涉挑战赛。核心技术运作团队由挑战平台建设团队组成，主要负责XP挑战赛的靶场建设运行、具体赛事运作、相关数据分析、攻击方法提取、信息通报宣传等。[4]

6结果编辑
从5日8时至21时，有数百名安全技术高手发起进攻，腾讯、金山和360三家公司的XP防护安全软件同时接受“实弹”检验，最终360坚守成功。[5]
7月31日，由竞评演练工作组主办的“XP靶场挑战赛”落下帷幕，近300名顶尖网络高手向腾讯电脑管家、360安全卫士、金山独霸、网络卫士等五家国内领先的XP防护产品发起攻击。历经12个小时比赛，腾讯电脑管家最终经受住了来自30余位参赛选手发起的挑战，成功胜出保持不被攻破。[1]

可以去网络看看：http://ke..com/link?url=4o1xv_rnhY_K54Te9vBsulJBJUxh_-aqd1Ai6lxvUaZtCXl0awKfFu

J. 王丽娜的论文着作

曾发表过计算机安全方面的论文60余篇。出版专着《网络多媒体信息安全保密技术—方法与应用》。主编了《信息安全导论》、《信息系统的安全与保密》、《信息隐藏技术与应用》、《信息隐藏技术试验教程》等7部教材。
主要发表的期刊论文：(截至2008年底)
1. 李松，王丽娜，余荣威，匡波，一种密钥协商协议的自动化设计方法.武汉大学学报（理学版）,2009.55(1):89-92
2. 张磊，王丽娜，王德军. 一种网页防篡改的系统模型. 武汉大学学报（理学版）,2009.55(1):121-124
3. 余荣威，王丽娜，匡波.一种面向远程证明的安全协议设计方法.通信学报,2008,29(10):19-24
4. 王丽娜，赵磊，郭迟，方喆君.一种基于信任理论的路由安全接入与选路模型.武汉大学学报（信息科学版）,2008,33(10): 999-1002
5. 费如纯，王丽娜，张焕国.门限视觉密码方案的组构造方法.通信学报2008,29(10):82-87
6. 熊琦，王丽娜，刘陶，余荣威.面向容侵系统可生存性量化的随机博弈模型研究.小型微型计算机系统,2008,29(10):1794-1798
7. 郝彦军，王丽娜，张焕国.基于结构码的安全数字水印方案，武汉大学学报（信息科学版），2008，33(10)：1070-1072
8. 王丽娜，岳云涛，刘力，王德军，Oracle数据库备份软件设计与实现.武汉大学学报（理学版），2008，54(1)：60-64
9. 王德军，王丽娜，郝永芳， 裸机备份与恢复技术研究，计算机应用研究，2008，25(12):3735-3738
10. Jingsong Cui ,Lina Wang ,Rong Peng. A new approach to anti-piracy. Dynamics Of Continuous Discrete And Impulsive Systems-Series B-Applications & Algorithms，2006，13：964-966
11. Wang Lina , Guo chi. Building Hot Snapshot Copy based on Windows File System. Wuhan University Journal of Natural Sciences，2006,11(6):1503-1506
12. Wang Dejun, Wang Lina. Efficient multi-resolution compression algorithm for disk-based backup and recovery. Wuhan University Journal of Natural Sciences,2006,11(6):1609-1613
13. 熊琦，王丽娜，基于磁盘和SAN的网络数据备份模型，计算机工程，2006，33(4)：233~235
14. 彭文灵，王丽娜，基于角色访问控制的入侵容忍机制研究， 电子学报，2005，33(1)：91~95
15. 李莉，薛锐，张焕国，冯登国，王丽娜，基于口令认证的密钥交换协议的安全性分析. 电子学报, 2005,33(1): 166~171
16. Wenling Peng,Lina Wang,Huanguo Zhang,Wei Chen. Building Intrusion Tolerant Software System. Wuhan University Journal of Natural Sciences,2005,10(1):47-50
17. Min Yang,Lina Wang,Huanguo Zhang,Wei Chen. Masquerade detection using support vector machine. Wuhan University Journal of Natural Sciences,2005,10(1):103-106
18. Yichun Liu,Lina Wang,Huanguo Zhang. Atomic electronic contract protocol based on convertible signature. Wuhan University Journal of Natural Sciences,2005,10(1):227-230
19. Ruchun Fei,Lina Wang. Threshold decryption scheme with multiple policies. Wuhan University Journal of Natural Sciences,2005,10(1):243-247
20. Jianhui Xuan,Lina Wang,Huanguo Zhang,. Wavelet-based denoising attack on image watermarking. Wuhan University Journal of Natural Sciences,2005,10(1):279-283
21. Guoqing Tu,Huanguo Zhang,Lina Wang,Dandan Yu. Analysis and application for integrity model on trusted platform. Wuhan University Journal of Natural Sciences,2005,10(1):35-38
22. 彭文灵,张焕国,王丽娜. 基于随机过程的容侵系统可信性量化方法的研究. 计算机工程,2005,31(21)
23. 彭文灵,王丽娜,张焕国. 基于有限自动机的网络入侵容忍系统研究. 小型微型计算机系统,2005,26(8):1296~1300
24. 李晓丽，王丽娜. 网络中的计算机病毒传播模型. 计算机工程,2005,31(18):153-155
25. 彭文灵，王丽娜，张焕国. 基于随机过程的容侵系统可信性量化方法. 计算机工程,2005,31(22):7-8,35
26. 刘义春，王丽娜，张焕国. 用于P2P交易的离线电子代币系统. 计算机工程,2005,31(16):9-10,13
27. 王德军,王丽娜. 容灾系统研究. 计算机工程,2005,31(6): 43~45
28. Li Li, Zhang Huanguo and Wang Lina. An improved non-repudiation protocol and its security analysis. Wuhan University Journal of Natural Science,2004,9(3)
29. 崔竞松，王丽娜，张焕国，傅建明，一种并行容侵系统研究模型—RC模型， 计算机学报，2004，27(4)：500~506
30. 王丽娜，费如纯，董晓梅，等级系统中的访问控制方案研究，电子学报，2003，31(2)：146~149
31. 费如纯，王丽娜， 基于RSA和单向Hash函数防欺诈的（t,n）秘密共享体制，软件学报，2003，14(1)，146~150
32. 罗敏，王丽娜，张焕国，基于无监督聚类的入侵检测方法，电子学报，2003，31(11)，1713~1716
33. 费如纯，王丽娜，于戈， 基于离散对数和二次剩余的门限数字签名体制， 通信学报，2002，23(5)，65~69
主要发表的会议论文：(截至2008年底)
1. Chi Guo , Lei Zhao , Li-na Wang , Zhe-jun Fang.A Secure Network Admission and Routing Model Based on Trust Theory.Proceedings of the 9th International Conference for Young Computer Scientists (ICYCS 2008),Zhangjiajie,pp.2216-2221,2008.11
2. Chi Guo , Li-na Wang , Fu-rong Zhou , Lai-nv Huang, Zhen Peng. Analysis on the ‘Robust yet fragile' nature of Internet: Load, Capacity and the Cascading failure Avalanche Effect. Proceedings of the 9th International Conference for Young Computer Scientists (ICYCS 2008),Zhangjiajie,pp.2149-2153,2008.11
3. Chi Guo, Lina Wang, Lai-nv Huang,Lei Zhao. Study on the Internet Behavior’s Activity Oriented to Network Survivability. Proceedings of the 2008 International Conference on Computational Intelligence and Security(CIS 2008),Suzhou,Vol.1,pp.432-435,2008.12
4. Mo Yang,Lina Wang,Yuandong Lei. Research on Evaluation of Trust Model. Proceedings of the 2008 International Conference on Computational Intelligence and Security(CIS 2008),Suzhou,Vol.1,pp.345-349,2008.12
5. Donghui Hu, Lina Wang, Xiaqiu Jiang. Detecting the MB1 with Higher-Order Statistics. Proceedings of the 2008 International Conference on Computational Intelligence and Security Workshop(CISW 2008),Suzhou,Vol.2,pp.330-333,2008.12
6. Dejun Wang, Lina Wang, Jingbo Song. SEDBRS:A Secure and Efficient Desktop Backup and Recovery System. Proceedings of the 1st International Symposium on Data, Privacy, and E-Commerce (ISDPE 2007),pp.304-309,Cheng, 2007.11
7. 王丽娜，宋静波，郭迟，王德军. 一种基于算法优化的桌面数据备份系统. 第五届中国信息安全和通信安全学术会议(CCICS'07),长沙,2007.8
8. Yanjun Hao,Huanguo Zhang,Lina Wang. Secure spread-spectrum watermark detection based on extended TPM. Proceedings of the 1st International Symposium on Data, Privacy, and E-Commerce (ISDPE 2007),Cheng, 2007.11
9. Lina Wang, Jingli Guo, Min Luo. A More Efficient Voting Scheme based on Blind Signature. Proceedings of the 2006 International Conference on Computational Intelligence and Security(CIS-2006),Guangzhou,2006.11
10. Guojun Peng,Huanguo Zhang,lina Wang. An Improved Worm Preventive System Based on Generic Exploit Blocking. 1st SKLOIS Conference on Information Security and Cryptology(CICS2005),Beijing,2005.12
11. PENG Wenling, ZHANG Huanguo, WANG Lina, CHEN Wei. Building Distributed Intrusion Tolerant Software System for High Performance Grid Computing. In Proceedings of the International Conference on High Performance Computing and Application (HPCA2004). LNCSE 2005:409~413, Shanghai China, 2004
12. CUI Jing-song, PENG Rong,Wang Lina. The Optimized Key Distribution Scheme In Threshold RSA. Proceedings of the Third International Conference on Information Secueiry/Infosecu’04,2004
13. Fei Yan, Huanguo Zhang, Lina Wang, Min Ya. An improved intrusion detection model based on paraconsistent logic. Proceedings of SPIE - The International Society for Optical EngineeringThe International Society for Optical Engineering, 2005
14. Jianhui Xuan,Huanguo Zhang,Lina Wang. Rotation, scaling and translation invariant image watermarking based on Radon transform. Proceedings of SPIE - The International Society for Optical EngineeringThe International Society for Optical Engineering, 2005
15. Li Li, Wang Lina and Zhang Huanguo. Attacks on Non-Repudiation Cryptographic Protocol and Its Improvement,Proceeding of 2003 International Workshop on Cryptology and Network Security,Miami,USA,2003
主要着作：(截至2008年底)
1. 王丽娜，网络多媒体信息安全保密技术方法与应用，武汉大学出版社，2003
2. 刘玉珍，王丽娜，傅建明译，密码学与网络安全，电子工业出版社，2003
3. 王丽娜，张焕国，信息隐藏技术与应用，武汉大学出版社，2003
4. 王丽娜，郭迟，李鹏，信息隐藏技术实验教程，武汉大学出版社，2003
5. 王丽娜，信息安全综合实验教程. 武汉大学出版社，2005
6. 王丽娜等，信息安全导论， 武汉大学出版社，2008