安全属性
- 保密性
- 实现方式: 最小授权原则,防暴露,信息加密,物理加密
- 完整性
- 实现方式:安全协议,校验码,密码校验,数字签名,公证
- 可用性
- 实现方式:综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
- 不可抵赖性
- 实现方式:数字签名
信息安全手段
- 加密
- 摘要
- 数字签名
1.加密技术
1.1对称加密
- 概念
- 加密使用的秘钥和解密使用秘钥相同
- 常见加密算法
- DES:替换+移位方式加密,56位秘钥、64位数据块、速度快、秘钥易产生
- 3DES:三重DES,两个56位秘钥K1、K2
- 加密:K1加密->K2解密->K1加密
- 解密:K1解密->K2加密->K1加密
- AES:高级加密标准RiJndael加密法
- RC-5
- IDEA:128位秘钥、64位数据块、比DES的加密性好,对计算机功能要求低
- 优点:加密快
- 缺点:加密强度低,秘钥分发困难
- 使用场景
- 内容多,保密性要求低
1.2非对称加密
- 概念
- 加密使用的秘钥和解密使用秘钥不同
- 公钥加密私钥解密,私钥加密公钥解密
- 常见非对称加密方式
- RSA:512位或1024位秘钥、计算量极大、难破解
- EIgamal:
- ECC:椭圆曲线算法
- 背包算法、Rabin、D-H
- 优点:加密强度高
- 缺点:加密慢
- 使用场景
- 内容少,保密性要求高
2.信息摘要
- 概念
将正文内容经过计算得到固定长度的值
- 算法
使用单项散列函数(单项Hash函数)、固定长度
- 特点:
- 无论正文多长产生的摘要值是固定长度的
- 摘要不可逆转为正文
- 相同的正文产生的摘要必然相同
- 使用场景
只可用作检测信息完整性,不可用于加密场景,因为摘要无法还原
- 摘要常用算法
- MD算法:MD5
- SHA算法:安全哈希算法(Secure Hash Algorithm)
- MAC算法:HmacSHA-256、HmacMD5
3.数字签名
- 概念
用数字化方式给信息发送者发送的信息打自己标记,这样接收信息者就知道信息由谁发出,解决了信息安全中不可抵赖性问题
- 签名
本质是用私钥加密
- 验证签名
本质是用公钥解密
- 使用场景
用于解决信息安全中不可抵赖性问题,因为签名使用私钥加密信息,公钥解密信息,公钥是公开的,不具有保密性,不可用于加密场景
综合应用
- 信息发送者-甲
- 用秘钥K,使用对称算法对正文加密,得到DC,发给乙(加密)
- 用乙的公钥,加密秘钥K,得到DK,发送给乙(保障秘钥安全分发)
- 用正文C,得到摘要A(信息完整性)
- 用甲的私钥对摘要A进行签名,得到SA,发给乙(防抵赖)
- 信息接受者-乙
- 用乙的私钥,解密DK,得到秘钥K
- 用秘钥K,解密DC,得到正文C
- 用甲的公钥,验证签名SA,得到摘要A(验证身份)
- 用正文C,生成摘要NA,用NA和A对比(验证信息完整性)