文章目录
一、信息系统安全属性
二、对称加密与非对称加密
2.1 对称加密技术
对称加密指的是,在加密和解密过程中用的密钥是完全一样的。优点是速度快。
2.2 非对称加密技术
前提:每个人有自己的私钥,且不能传给任何人,只有自己能够拥有。
假设:甲有公钥A和私钥a,乙有公钥B和私钥b,甲发送给乙文件,且文件要加密
过程:只能乙将公钥发送给甲,甲用乙的公钥加密文件发送给乙,乙再用自己的私钥打开。
注意:非对称加密技术加密时间有甚者能达到对称加密所需时间的数千倍,故不适合加密大文件,可采用对称加密文件并且用非对称加密对称密钥的方式进行加密操作。
三、信息摘要
类似研究生数学建模竞赛提交作品时,生成MD5码提交,再把作品提交,如果主办方收到的作品产生的MD5和之前学生提交的MD5相同,则说明作品在比赛时间截止后没有被篡改。
信息摘要的算法为单向散列函数(单向Hash函数),可以把明文形成摘要,但是无法反向得到明文,摘要是具有破坏性的加密手法。
四、数字签名
前面讲非对称加密技术时提到,用谁的公钥加密,就要用谁的私钥解密;用谁的私钥加密,就要用谁的公钥解密。在这一基础上,我们知道私钥只能自己拥有,相当于每个人一张身份证,而且假定任何人都不能从你身上拿走这个身份证。那么如果用私钥a加密,则只能用相应的公钥A解密,这就验证了加密者一定是私钥a的持有者。这就是数字签名的原理。
之所以成为数字签名而不是私钥加密,是因为用了加密的手段但是却没有任何加密的效果,原因是用私钥加密,公钥却可以被分享给任何人,这也就是说,任何人只要拿到了对应的公钥就可以解密,毫无加密的作用。
正因为数字签名不具有加密作用,所以数字签名干脆不作对加密信息还原的打算,毕竟非对称加密技术不适合加密大文件,所以数字签名技术和信息摘要结合起来了,先将信息产生对应的信息摘要,再将该信息摘要用私钥a加密,如此一来,该信息就被印上了不可磨灭的“a”的印记,数字签名不可抵赖。
五、数字信封与PGP
接收方用自己的私钥可以打开对方用自己公钥加密的原文,这类似于信封,所以称为电子信封。
PGP是一种协议可用于电子邮件加密,也可用于文件存储加密。
练习:
六、各个网络层次的安全保障
互联网发展壮大有一定偶然因素,当时没有人想到互联网会发展到这么极致,所以HTTP协议族里协议都是走的明文形式,导致整个协议在安全性是欠缺考虑。
Https被提出来,原因是原有的Http走的是明文传输,网页的明文传输一旦被截获,安全隐患是非常大的。所以就把HTTP与SSL安全协议结合起来形成了Https。平常登陆网页一般都使用HTTPS。
物理层的手段一般是隔离和屏蔽,比如科研院所的墙壁最好是做成可屏蔽信号的,将实验室内的无线信号与外界屏蔽。隔离方面:比如民用网,公安专网,军用网络相互是隔离的。
数据链路层的PPTP和L2TP是两种隧道协议,隧道协议基本理念是在开放的互联网之上开辟安全隧道,传输不会被解惑,通过加密机制实现。
网络层典型安全保障之一是防火墙技术,有软件性质,也有软硬件结合的性质。防火墙有多种类型。IPSec可以把原有的IP包加密再传。
传输层:TLS是标准的传输层安全协议,SET是面向电子商务的安全协议。
特殊地,SSL跨过了多个层次(传输,会话,表示,应用)。
应用层:PGP、Https,PGP既可以用于邮件加密,也可以文件加密。
七、网络威胁与攻击
八、防火墙技术
网络及防火墙工作层次低,效率高,应用层反之。
网络层只检查IP头信息。应用级要把信息拆出来检查。
屏蔽子网防火墙是安全性最高的防火墙。基本思路是弥补防火墙的特点“放外不妨内”。屏蔽子网防火墙在外部网络和内部网络之间建立了被屏蔽子网区,也成为隔离区或DMZ(非军事区),一般存放放对外服务的服务器如web服务器。