信息安全技术基础

密码技术是信息安全的根本，是建立安全空间五要素认证、权限、完整、加密、不可否认的基础。

密码技术名词

明文：任何类型的未加密数据，用M表示

密文：加密的消息，用C表示

解密：从C到M的过程函数，映射范围是从C的集合到M的集合

加密：从M到C的过程函数，映射范围是从M的集合到C的集合

对称密钥算法：若等式M=D{k1}(E{k1}(M))成立，即加密函数和解密函数都使用同一个密钥k1，则称这个算法是对称的。常用的此类算法有SDBI、DES、3DES等。

对称密钥算法的优点：加密/解密速度快、密钥管理简单、适合一对一的信息加密传输过程

对称密钥算法的缺点：算法简单，密钥长度有限，加密强度不高；密钥分发困难，不适合一对多加密

非对称密钥算法：设k-priv是私钥，设k-pub是公钥，D{k-priv}(M)为解密函数，E{k-pub}(M)为相应的加密函数，则：M=D{k-priv}(E{k-pub}(M)) 。 加密函数和解密函数使用的密钥是不一样的，此类算法称为非对称密钥算法。

非对称密钥算法的优点：机密算法复杂，密钥长度任意，加密强度很高；适合一对多加密交换

非对称密钥算法的缺点：加密/解密速度慢；密钥管理复杂；明文攻击脆弱

哈希算法：输入一个长度不固定的信息块，返回一个长度固定的二进制数字，又称这个二进制数是HASH值。哈希算法的单向是指算法阐释的HASH值不能用原来的任何方法求得“原来”信息块。HASH值也称做“信息块”的“信息摘要”。

哈希算法主要解决两个问题：在特定时间内，无法参照经HASH操作后生成特定HASH值的原信息块，也无法参照两个经HASH操作后生产相同的HASH值的不同信息块。这样解决了验证签名和用户审核、不可抵赖性的问题。

常用的哈希算法有：SDH、SHA、MD5等。

信息摘要（MD）可以看做是一份长文件的“数字指纹”，对特定文件来说，信息摘要是唯一的。信息摘要算法实际上是一个单向散列函数。

数字签名：对某个数据块的签名，先计算数据块的HASH值，然后使用私钥加密数据块的HASH值得到数据签名。签名的验证是计算数据块的HASH值，然后使用公钥解密数据签名得到另外一个HASH值，比较两个HASH值可以判断结果。

数字时间戳技术：数字签名技术的一种变种应用。时间戳是一个经过加密后形成的凭证文档，包括三个部分：1.需药时间戳的文件摘要；2.数字时间戳服务（DTS）收到文件的日期和时间；3.DTS的数字签名。数字时间戳签名是由DTS的认证单位来提供的。

利用不对称密钥传送对称密钥可以结合各自的优点。（组合优势）

密码等级和适用范围，以及管理机构：

1.商用密码，适用国内企业、事业单位，由国家密码管理委员会办公室管理

2.普用密码，适合政府、党政部门，由国家公安部公共信息监察局管理

3.绝密密码，适合中央和机要部门，由中央和地方的机要部门管理

4.军用密码，适合军队，由部队指定的检测机构

计算机网络安全由国家质量监督局委托国家安全部门的计算机网络安全产品检测中心检测。

虚拟个人网（VPN）和虚拟本地网（VLAN）是在共享的公共网络上建立一个临时的、安全的连接。

VPN有两种，包括IPSec VPN和MPLS VPN，各有特点。

IPSec的优点：1.服务在IP层提供，可被更高层利用；2.对于应用程序和终端用户来说是透明的，不需要专门培训；3.对现有网络改动最小。它是为了两个设备间的安全IP通路而制定的一系列协议，提供了两种不同的传输加密模式：传输模式和隧道模式。

MPLS允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。优点：安全性、可管理性、可靠性、可扩展性、支持QoS。

无线安全网络WLAN

无线网络主要组成部件：基站（STA）和网络桥接器（AP）。

无线网络操作模式有两种：ad-hoc(peer-to-peer) 和 infrastructure（AP）两种。

ad-hoc采用端对端通信。infrastructure模式是端与端之间通过总站进行转发。

提高无线网络安全的方法：

1.尽量减少电波覆盖范围

2.对无线接入设备实施基于802.1x的安全认证

3.无线设备对传输的信息提供基于128位的WEP加密

4.把不同类型的用户数据由不同的VLAN进行传输

5.在网络层建立VPN隧道，进一步提供信息保密性、完整性、有效性支持

无线局域网的设备必须能够针对各种应用所对应的不同优先级传输需要，提供服务质量保证。

WEP：连接对等协议，是802.1标准为加你无线网络安全环境提供的第一个安全机制。它是通过对无线电波加密提供安全保证。但是有漏洞还未解决。

目前中国实用的无线安全网络标准是有自主知识产权的WAPI。（大中国不断在显露峥嵘！）

选择性考察、客观性考察