信息系统安全属性
保密性:最小授权原则、防暴露、信息加密、物理保密
完整性:安全协议、校验码、密码校验、数字签名、公证
可用性:综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
不可抵赖性:数字签名
加密技术
对称加密
加密和解密用同一个秘钥,缺陷是加密强度不搞,秘钥分发困难。优点是加密速度快、效率高。
常见对称秘钥加密算法:
DES:替换+移位、56位秘钥、64位数据块、速度快。秘钥易产生
3DES:三重DES、两个56位秘钥k1和k2
加密:k1加密->k2解密->k1加密
解密:k1解密->k2加密->k1解密
AES:高级加密标准Rijndae加密法
RC-5:RSA数据安全公司的很多产品都是用了RC-5
IDEA:128位秘钥、64位数据块、比DES的加密性好、对计算机功能要求相对低,PGP
非对称加密技术
用公钥加密用私钥解密。缺陷是加密速度慢,不适合对大信息量的数据进行加密
常见非对称秘钥加密算法
RSA:512位或128位秘钥、计算量超级大、难破解
Elgamal:基础是Diffie-Hellman秘钥交换算法
ECC:椭圆曲线算法
其他非对称算法:背包算法、Rabin、H-D
信息摘要
单向散列函数(单项Hash函数)、固定长度的散列值
信息摘要不同于信息加密,它是单项的,信息生成的摘要无法再还原为原信息。
常用的消息摘要算法:MD5和SHA,散列值分别为128位和160位
保障信息完整性:甲向乙发送信息,信息内容是转账10W给丙,该信息被丙截获并将10W修改为100W,乙就会损失90W。若采用信息摘要技术,甲向乙发送信息,同时发送该信息的摘要。乙收到信息后,生成信息摘要,与甲传送过来的信息摘要做比对。
数字签名
数字签名技术是一种防抵赖的技术:用数字化的方式给发送者签上名字,接受者收到信息后知道是谁发送的,发送者无法抵赖。
用A的公钥解密出的信息摘要与接收方收到正文信息产生的信息摘要相同,即可证明信息是由A发送的。用A的私钥加密的过程叫做数字签名过程,用A的公钥解密的过程称为数字签名的验证过程。其本身并没有任何保密性可言,因为是私钥加密公钥解密,公钥是公开的,谁都可以解密。另外,是对信息摘要进行签名,因为非对称的加密技术不适合对大信息量的信息进行加密和解密,对摘要签名可以提高效率。
数字信封与PGP协议
发送方将原文用对称秘钥加密传输,而将对称秘钥用接收方公钥加密发送给对方。接收方收到电子信封,用自己的私钥解密信封,取出对称秘钥解密得原文。
PGP可用于电子邮件,也可用于文件存储。采用了杂合算法,包括IDEA、RSA、MD5、ZIP数据压缩算法。
PGP承认两种不同的证书格式:PGP证书和X.509证书。
PGP证书包含PGP版本号、证书持有者的公钥、证书持有者的信息、证书拥有者的数字签名、证书的有效期、秘钥首选的对称加密算法。
X.509证书包含证书版本、证书的序列号、签名算法标识、证书有效期、以下数据:证书发行商名字、证书主体名、主体公钥信息、发布者的数字签名。
联系:设计邮件加密系统
要求邮件以加密方式传输,邮件最大福建内容可达500MB,发送者不可抵赖,若邮件被第三方截获,第三方无法篡改。
网络安全保障
屏蔽:无线电信号防止泄露可以屏蔽
隔离:军用,公安专网,与民用网络区分开来
PPTP、L2TP:隧道协议
防火墙技术:
