【软考软件评测师】第二十三章 系统安全设计(认证与加密)
第二十三章 系统安全设计之认证与加密
第一部分 知识点集锦
1.加密机制
是保护数据安全的重要手段。加密的基本过程就是对原来的明文的文件或数据,按某种算法进行处理,使其成为不可读的一段代码(密文),使其只能在输入相应的密钥之后才能显示出明文内容。
1)加密目的
目的是保护数据不被非法窃取、阅读,以防止信息流的观察和篡改、通信业务流分析、抵赖、伪造、非授权连接、篡改消息等行为的出现。
2)加密技术
常见的加密机制包括VPN技术、对称加密、非对称加密、HASH算法等
3)验证机制
不同加密机制或算法的用途、强度是不相同的,一个软件或系统中的加密机制使用得是否合理,强度是否满足当前要求,是需要通过测试来完成的,通常模拟解密是测试的一个重要手段。
2.认证技术
认证技术主要解决网络通信过程中双方身份认可的问题。认证的过程涉及加密和密钥交换。认证方法有:账户名/密码认证、基于PKI的认证等
认证和加密都不可以阻止对手进行被动攻击(窃听、流量分析、破解加密的数据流)
认证用于确保数据发送者和接受者的真实性
身份认证的目的在于识别用户的合法性,阻止非法用户访问系统
3.PKI/CA
在PKI体制中,识别数字证书的颁发机构以及通过该机构核实证书的有效性,了解证书是否被篡改均通过一种机制——对数字证书做数字签名。数字签名将由CA机构使用自己的私钥进行。
1)证书机构CA
证书机构CA是PKI的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。
2)注册机构CA
注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户,是指将要向认证中心(即CA)申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。
3)国际电信联盟ITU
国际电信联盟是联合国的一个重要专门机构,也是联合国机构中历史最长的一个国际组织。简称“国际电联”、“电联”或“ITU”。国际电联是主管信息通信技术事务的联合国机构,负责分配和管理全球无线电频谱与卫星轨道资源,制定全球电信标准,向发展中国家提供电信援助,促进全球电信发展。
4)国家安全信息测评中心
国家信息安全测评认证中心是国家信息安全保障体系中的重要基础设施之一,在国家专项投入的支持下,拥有国内一流的信息安全漏洞分析资源和测试评估技术装备;建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室;具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍
4.公钥加密
也叫做非对称加密。
与对称加密使用同一密钥对数据进行加密与解密不同,公钥加密采用两个独立的密钥对数据分别进行加密与解密,且加密过程是基于数学函数的。公钥加密较好地解决了加密机制中密钥的发布和管理问题,从而带来了加密领域的革命性进步。公钥加密的概念与结构是1976年由Diffie与Heilman首次公开提出的。
5.加密算法
常用的加密算法依据所使用的秘钥数分为单钥和双钥加密体制,也称私钥和公钥加密算法。
1)非对称加密算法
ECC、DSA和RSA都属于公开密钥加密算法
RSA是常用的公钥加密算法,其加密产生的数据可以被还原,能够被还原这一点是区别于信息摘要算法的
RSA:最为常见的非对称加密算法,512位密钥(或1024位密钥)、计算量极大、难破解
2)对称加密算法
DES:是应用最为广泛的一种对称加密算法,它的密钥长度为56位,每次运算对64位数据块进行加密,该算法运行速度快、密钥易产生。
AES:是一种典型的对称加密算法,它采用了可变长的密钥体制。
3)信息摘要算法
对信息生成消息摘要是防止信息在网络传输及存储过程中被篡改的基本手段,生成消息摘要的算法应是不可逆的,即基于消息摘要无法计算出原始消息内容。MD5、SHA-1、SHA-256均属于典型的生成消息摘要的算法
SHA:是一种常用的消息摘要算法,它的散列值分别为128和160位,由于SHA通常采用的密钥长度较长,因此安全性较高。
5.数字证书
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,就好比日常生活中个人身份证一样。数字证书是由一个权威机构证书授权中心(CA)发行的。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。其中证书授权中心的数字签名是用它自己的私钥完成的,而它的公钥也是公开的,大家可以通过它的公钥来验证该证书是否是某证书授权中心发行的,以达到验证数字证书的真实性。
第二部分 综合知识历年真题
2020下综合知识历年真题(1分)
【2020年评测真题第17题:绿色】
17.以下关于认证和加密的叙述中,错误的是( )
A.加密用于确保数据的保密性
B.认证用于确保数据发送者和接受者的真实性
C.认证和加密都可以阻止对手进行被动攻击
D.身份认证的目的在于识别用户的合法性,阻止非法用户访问系统
解答:答案选择C。
2019下综合知识历年真题(1分)
【2019年评测真题第09题:绿色】
09.甲怀疑乙发给他的信息已遭人篡改,同时怀疑乙的公钥也是被人冒充的。为了消除甲的疑虑,甲、乙需要找一个双方都信任的第三方,即( )来签发数字证书。
A.注册中心RA
B.国家信息安全评测认证中心
C.证书认证中心CA
D.国际电信联盟ITU
解答:答案选择C。
2016下综合知识历年真题(1分)
【2016年评测真题第54题:红色】
54不同加密机制或算法的用途、强度是不相同的,一个软件或系统中的加密机制使用是否合理,强度是否满足当前要求,需要通过测试来完成,通常( )是测试的一个重要手段。
A.模拟加密
B.模拟解密
C.漏洞扫描
D.算法强度理论分析
解答:答案选择B。
2015下综合知识历年真题(1分)
【2015年评测真题第57题:红色】
57.1976年Diffie与Hellman首次公开提出( )的概念与结构,采用两个从此独立的密钥对数据分别行行加密或解密,且加密过程基于数学函数,从而带来了加密领域的革命性进步。
A.公钥加密
B.对称加密
C.单向Hash函数
D.RSA加密
解答:答案选择A。
2014下综合知识历年真题(1分)
【2014年评测真题第57题:红色】
57.以下关于公钥加密技术的叙述中,不正确的是 ( ).
A.公钥加密的数据可以用私钥解密
B.私钥加密的数据可以用公钥解密
C.公钥和私钥相互关联
D.公钥加密采用与对称加密类似的位模式操作完成对数据的加解密操作
解答:答案选择D。
2013下综合知识历年真题(3分)
【2013年评测真题第08题:红色】
08.PKI体制中,保证数字证书不被篡改的方法是( )。
A.用CA的私钥对数字证书签名
B.用CA的公钥对数字证书签名
C.用证书主人的私钥对数字证书签名
D.用证书主人的公钥对数字证书签名
解答:答案选择A。
【2013年评测真题第09题:红色】
09.下列算法中,不属于公开密钥加密算法的是( )。
A.ECC
B.DSA
C.RSA
D.DES
解答:答案选择D。
【2013年评测真题第51题:绿色】
51.对一段信息生成消息摘要是防止信息在网络传输及存储过程中被篡改的基本手段,( )不属于生成消息摘要的基本算法。
A.MD5
B.SHA-1
C.RSA
D.SHA-256
解答:答案选择C。
2012下综合知识历年真题(1分)
【2012年评测真题第26题:绿色】
26.由于不同加密机制的用途及强度不同,因此一个信息系统中加密机制使用是否合理,强度是否满足当前需要,需要通过测试来检验,通常( )是测试的一个重要手段。
A.加密代码审查
B.漏洞扫描
C.模拟加密
D.模拟解密
解答:答案选择D。
2011下综合知识历年真题(1分)
【2011年评测真题第09题:红色】
09.从认证中心CA获取用户B的数字证书,该证书用( )做数字签名,从用户B的数字证书中可以获得B的公钥。
A.CA的公钥
B.CA的私钥
C.B的公钥
D.B的私钥
解答:答案选择B。
2010下综合知识历年真题(1分)
【2010年评测真题第45题:绿色】
45.加密和解密是明文和密文之间的可逆转换,( )不属于加密算法。
A.RSA
B.SHA
C.DES
D.AES
解答:答案选择B。