點(diǎn)擊進(jìn)入系列文章目錄文章來源地址http://www.zghlxwxcb.cn/news/detail-667105.html

現(xiàn)在的一切都是為將來的夢想編織翅膀，讓夢想在現(xiàn)實中展翅高飛。
Now everything is for the future of dream weaving wings, let the dream fly in reality.

一、安全基礎(chǔ)技術(shù)

1.1 對稱與非對稱加密

數(shù)據(jù)加密是防止未經(jīng)授權(quán)的用戶訪問敏感信息的手段，保障系統(tǒng)的機(jī)密性要素。數(shù)據(jù)加密有對稱加密算法和非對稱加密算法兩種。

1.1.1 對稱加密技術(shù)

對稱秘鑰算法的加密秘鑰和解密秘鑰相同，又稱共享密鑰算法。

缺點(diǎn)：

• 加密強(qiáng)度不高，但效率高。
• 秘鑰分發(fā)困難。

常見的 對稱加密密鑰算法 有：

• DES：秘鑰加密塊算法（Data Encryption Standard，DES），替換 + 移位，明文切分64位的塊（既分組），由56位的秘鑰控制變換成64位的密文。速度快，秘鑰易產(chǎn)生。
• 3DES：三重DES（Triple-DES）是EDS的改進(jìn)算法，使用兩把56位的秘鑰對明文做三次DES加解密，秘鑰長度112位，兩個56位密鑰K1、K2
  加密：K1加密 → K2解密 → K1加密
  解密：K1解密 → K2加密 → K1解密
• RC-5：RSA數(shù)據(jù)安全公司的很多產(chǎn)品都使用了RC-5。
• IDEA：國際數(shù)據(jù)加密算法（International Data Encryption Algorithm，IDEA），分組長度64位，秘鑰長度128位，已經(jīng)稱為全球通用的加密標(biāo)準(zhǔn)。
• AES：高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）分組長度128位，支持128位、192位和256位3種秘鑰長度，用于替換脆弱的DES算法，且可以通過軟件或硬件實現(xiàn)高速加解密。
• SM4國密算法，分組長度和密鑰長度都是128位。

1.1.2 非對稱加密技術(shù)

非對稱密鑰加密算法的加密秘鑰和解密秘鑰不相同，又稱為不共享密鑰算法或公鑰加密算法。
在非對稱加密算法中：

• 用公鑰加密，私鑰解密，可以實現(xiàn)保密通信。
• 用私鑰加密，公鑰解密，可以實現(xiàn)數(shù)字簽名。

缺點(diǎn)：

• 加密速度慢。

常見的 對非稱加密密鑰算法 有：

• RSA：（Rivest，Shamir and Adleman）是一種國際通用的公鑰加密算法，安全性基于大素數(shù)分解的困難性，秘鑰的長度可以選擇，但目前安全的秘鑰長度已經(jīng)高達(dá)2048位。RSA計算速度比同樣安全級別的對稱加密算法慢1000倍左右。2048位或1024位密鑰、計算量極大、難破解。
• Elgamal：安全性依賴于計算有限域上離散歲數(shù)這一難題。
• ECC：橢圓曲線算法。
• SM2國密算法：基于橢圓曲線離散對數(shù)問題，在相同安全程度的要求下，秘鑰長度和計算規(guī)律都比RSA小得多。
  

1.2 信息摘要

信息摘要：單向散列函數(shù)，固定長度的散列值 。
信息摘要是單向的，不能被還原。

常用的消息摘要算法有 MD5，SHA 等，市場上廣泛使用的MD5，SHA算法的散列值分別為128和160位，由于 SHA通常采用的秘鑰長度較長，因此安全性高于MD5 。

主要作用：防止原文內(nèi)容被篡改 。

1.3 數(shù)字簽名

數(shù)字簽名是公鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。數(shù)字簽名的條件是：可信、不可偽造、不可重用、不可改變和不可抵賴。

實際應(yīng)用時先對文件做摘要，再對摘要簽名，這樣可以大大提升數(shù)字簽名的速度。
同時摘要的泄露不影響文件的保密。

1.4 數(shù)字信封

數(shù)字信封是將對稱密鑰通過非對稱加密（即：有公鑰和私鑰兩個）的結(jié)果分發(fā)的方法。數(shù)字信封是實現(xiàn)信息保密性驗證的技術(shù)。

PKCS#7中將數(shù)字信封作為術(shù)語進(jìn)行定義，而在正文中對進(jìn)行了如下解釋： 數(shù)字信封包含被加密的內(nèi)容和被加密的用于加密該內(nèi)容的密鑰。

雖然經(jīng)常使用接收方的公鑰來加密“加密密鑰”，但這并不是必須的，也可以使用發(fā)送方和接收方預(yù)共享的對稱密鑰來加密。當(dāng)接收方收到數(shù)字信封時，先用私鑰或預(yù)共享密鑰解密，得到“加密密鑰”，再用該密鑰解密密文，獲得原文。數(shù)字信封技術(shù)使用兩層加密體系。

數(shù)字信封是一種綜合利用了對稱加密技術(shù)和非對稱加密技術(shù)兩者的優(yōu)點(diǎn)進(jìn)行信息安全傳輸?shù)囊环N技術(shù)。數(shù)字信封既發(fā)揮了對稱加密算法速度快、安全性好的優(yōu)點(diǎn)，又發(fā)揮了非對稱加密算法密鑰管理方便的優(yōu)點(diǎn)。

1.6 數(shù)字證書

數(shù)字證書的內(nèi)容：

• 證書的 版本信息；
• 證書 序列號，每個證書都有一個唯一的證書序列號；
• 證書所使用的簽名算法；
• 證書的發(fā)行機(jī)構(gòu)，命名規(guī)則一般采用X.500格式；
• 證書的 有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950 - 2049；
• 證書所有人的名稱，命名規(guī)則一般采用X.500的格式；
• 證書所有人的 公開密鑰；
• 證書發(fā)行者對證書的簽名。

1.7 信息摘要、數(shù)字簽名、數(shù)字信封綜合運(yùn)用

例如：
請設(shè)計一個安全郵件傳輸系統(tǒng)，要求：
該郵件以加密方式傳輸，郵件最大附件內(nèi)容可達(dá)2GB，發(fā)送者不可抵賴，若郵件被第三方截獲，第三方無法篡改。

設(shè)計如下：

1.8 PKI公鑰體系

CA（Certificate Authority）認(rèn)證中心
RA（Registration Authority）注冊審批機(jī)構(gòu)
證書受理點(diǎn)
秘鑰管理中心 - KMC

二、網(wǎng)絡(luò)安全

2.1 安全協(xié)議

各個層次的安全保障：

2.2 網(wǎng)絡(luò)攻擊

被動攻擊：收集信息為主，破壞保密性。

主動攻擊：主動貢酒的類別主要有：中斷（破壞可用性）、篡改（破壞完整性）、偽造（破壞真實性）

2.3 等級保護(hù)標(biāo)準(zhǔn)

安全級別用戶自主保護(hù)級最低，訪問驗證保護(hù)級最高。

安全保護(hù)等級：

三、信息安全

3.1 系統(tǒng)安全防范體系層級

安全防范體系的層級劃分：

• （1）物理環(huán)境的安全性：
  包括通信線路、物理設(shè)備和機(jī)房的安全等。
• （2）操作系統(tǒng)的安全性：
  主要表現(xiàn)在三個方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制和系統(tǒng)漏洞等；二是對操作系統(tǒng)安全配置問題；三是病毒對操作系統(tǒng)的威脅。
• （3）網(wǎng)絡(luò)的安全性：
  網(wǎng)絡(luò)層的安全問題主要體現(xiàn)在計算機(jī)網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測手段和網(wǎng)絡(luò)設(shè)施防病毒等。
• （4）應(yīng)用的安全性：
  由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)和DNS等。此外，還包括病毒對系統(tǒng)的威脅。
• （5）管理的安全性：
  包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。

3.2 信息安全體系結(jié)構(gòu)

安全服務(wù)：

點(diǎn)擊進(jìn)入系列文章目錄

到了這里，關(guān)于系統(tǒng)架構(gòu)設(shè)計專業(yè)技能 · 信息安全技術(shù)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！