文章目錄
- 資訊系統安全屬性
- 對稱加密技術
- 非對稱加密技術
- 資訊摘要
- 數字簽名
- 數字信封與PGP
- 各個網絡層次的安全保障
- 網絡威脅與攻擊
- 防火牆技術
資訊系統安全屬性
對稱加密技術
DES: 替換(密碼表中明文密文有對應關系)+ 移位
3DES: 對DES加強
對稱加密: 加密速度快,效率高;加密強度不高,密鑰的分發困難。
非對稱加密技術
每個人都有自己的公私鑰,用公鑰加密,需要用對應的私鑰解密。
非對稱加密傳輸效率低。
甲要給乙發送資訊,需要用乙的公鑰加密。
一般對稱和非對稱結合使用,用對稱技術傳輸大的檔案,用非對稱解決對稱密鑰分發的安全性問題。
資訊摘要
資訊摘要: 防止資訊篡改。(摘要保留了原始資訊的一部分内容,不能還原)
數字簽名
數字簽名(進行身份驗證): 假如A要發送資訊給B,需要用A的私鑰對資訊的摘要進行數字簽名(因為隻有A才有自己的私鑰),資訊到B時,如果能用A的公鑰解開,則說明這個資訊是A發送的。
數字信封與PGP
對稱的加密算法适合加密大資訊量的内容,非對稱加密算法适合加密小資訊量的内容(安全性高,使得對稱密鑰可以隻有傳輸對方才能收到)。
數字證書的提出: 在非對稱體系裡面,每個人都有自己的公鑰和私鑰,但是在傳輸過程中公鑰可能被截獲和篡改,傳輸對方在傳輸公鑰時不能確定收到的就是對方的公鑰,是以為了確定獲得的是對方正确的公鑰,就提出了數字整數,即将某個人的資訊與其對應的公鑰綁定起來,確定公鑰的正确性。
數字證書由CA機構簽發,數字證書上必須有持有者的公鑰資訊。
練習題
最大附件内容可達500MB說明要用對稱加密技術傳輸郵件正文,發送者不可抵賴(驗證資訊)說明要用到數字簽名技術,第三方無法篡改說明要擁戴資訊摘要技術。
A先産生一個随機對稱密鑰K,但是需要把K發送給B(使得B拿到郵件正文時可以解密),并且確定發送的安全性(用B的公鑰對"對稱密鑰"K加密後發送,隻有B的私鑰能解開)
A對正文用K加密,并且同時對正文進行應用摘要技術,然後用自己的私鑰對摘要進行加密(數字簽名),然後将數字簽名和加密後的郵件一起發送給B
B收到資訊後,先對正文資訊用K解密,然後為了確定資訊沒被篡改,①就需要對解密後的正文進行摘要處理,當B能用A的公鑰解開A發過來的數字簽名時,也就驗證了A的身份,當解開時,就得到了A發來的摘要,用這個摘要與剛才摘要處理(①處)進行比對,如果兩個摘要相同,則說明資訊沒有被篡改。
各個網絡層次的安全保障
HTTPS = HTTP + SSL
網絡威脅與攻擊
注意"竊聽"和"業務流分析"的差別。
防火牆技術
網絡級防火牆工作層次低,但是效率高,而應用級的防火牆工作層次高,效率低。
網絡級防火牆可以将指定來源(某IP段)的IP包丢掉。
應用級會拆開具體資訊内容進行安全檢測。
包過濾是最簡單的防火牆,狀态檢測是,像在TCP/IP連接配接的時候有連接配接狀态的資訊,狀态檢測防火牆會對這個狀态資訊進行相應的分析。
DMZ中放給使用者提供服務的伺服器
屏蔽子網是防止内部攻擊的防火牆,是安全性最高的。