信息安全屬性(★★★)
機(jī)密性 / 完整性 / 可用性 / 可控性 / 可審查性
數(shù)據(jù)的完整性:指數(shù)據(jù)是正確的祭刚、真實(shí)的、未被篡改的、完整無缺的屬性。
信息安全的技術(shù)措施主要有:信息加密总处、數(shù)字簽名、身份鑒別睛蛛、訪問控制鹦马、網(wǎng)絡(luò)控制技術(shù)、反病毒技術(shù)忆肾、 數(shù)據(jù)備份和災(zāi)難恢復(fù)荸频。
加密技術(shù)
每一個(gè)密鑰 K 均由加密密鑰 Ke 和解密密鑰 Kd 組成。
對(duì)稱加密算法(★★★)
對(duì)稱加密算法也稱為私鑰加密算法客冈,是指加密密鑰和解密密鑰相同旭从,它的加密強(qiáng)度不高,且密鑰分發(fā)困難需要經(jīng)過安全可靠的途徑。
屬于 共享密鑰和悦。
常見算法:DES (密鑰長度為 56 位) / 3DES (密鑰長度是 112 位) / IDEA / AES /
非對(duì)稱加密算法(★★★)
它也稱為
公鑰算法退疫,加密密鑰和解密密鑰完全不同,其中一個(gè)為公鑰鸽素,另一個(gè)為私鑰蹄咖。公鑰是公開的,私鑰是人們自己保存付鹿。二者配合使用。A的公鑰加密必須用 A的私鑰解密蚜迅。缺點(diǎn)是:加密速度慢舵匾,算法復(fù)雜。
最常見的非對(duì)稱加密算法是 RSA谁不,RSA 算法的密鑰長度為 512 位坐梯。
數(shù)字摘要技術(shù)(★★★)
是主要的數(shù)字簽名算法,它是利用散列( Hash )函數(shù)(哈希函數(shù)刹帕、 雜湊函數(shù))進(jìn)行數(shù)據(jù)的加密吵血。
輸入一個(gè) 長度不固定 的字符串,返回一串 定長 的字符串偷溺,這個(gè)返回的字符串稱為消息摘要(Message Digest, MD)蹋辅,也稱為 Hash 值或散列值。
數(shù)字摘要三個(gè)特性:單向性挫掏、抗弱碰撞性(很難找到另外 明文塊相同 的加密后 生成相同的數(shù)字摘要)可以防偽造侦另、抗強(qiáng)碰撞性、不管明文有多長都會(huì)生成相同長度的數(shù)字摘要尉共。
消息摘要算法(Message Digest algorithm 5, MD5)用于確保信息傳輸完整一致褒傅,它的作用是將一個(gè)任意長度的字節(jié)串變換成一個(gè)定長的大數(shù))。
MD5 和 SHA 的散列值分別為128袄友、160位殿托。 通常認(rèn)為由于 SHA 采用的密鑰長度較長,因此安全性高于 MD5剧蚣。SM3(國密算法):256位支竹。
數(shù)字摘要能保證完整性但是卻不能保證機(jī)密性,因?yàn)槊魑脑凇奥惚肌? 所以經(jīng)常是消息摘要算法 和 安全散列算法 結(jié)合使用券敌。
數(shù)字簽名是指通過一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理唾戚,得到用以認(rèn)證報(bào)文來源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。它與數(shù)據(jù)加密技術(shù)一起待诅,構(gòu)建起了安全的商業(yè)加密體系叹坦。數(shù)字簽名使用的是公鑰算法(非對(duì)稱密鑰技術(shù))。
傳統(tǒng)的數(shù)據(jù)加密是保護(hù)數(shù)據(jù)的最基本方法卑雁,它只能夠防止第三者獲得真實(shí)的數(shù)據(jù)(數(shù)據(jù)的機(jī)密性)募书,而數(shù)字簽名則可以解決否認(rèn)绪囱、偽造、篡改和冒充的問題(數(shù)據(jù)的完整性和不可抵賴性)莹捡,但不能說明接收的消息 m 無泄密鬼吵。
數(shù)字簽名的過程:(★★★)
1,發(fā)送者 A 先通過散列函數(shù)對(duì)要發(fā)送的信息 (M) 計(jì)算消息摘要 (MD) 篮赢;
2齿椅, 發(fā)送者 A 將 原文(M) 和 消息摘要(MD) 用自己的 私鑰(PrA) 進(jìn)行加密,就是完成簽名動(dòng)作启泣;
3涣脚,然后以接收者B的公鑰(PB)作為密鑰,對(duì)這個(gè)信息包進(jìn)行再次加密寥茫,得到PB(PrA(M+MD))遣蚀。
(4) 當(dāng)接收者收到后,首先用自己的私鑰PrB進(jìn)行解密纱耻,從而得到PrA(M+MD)芭梯。
(5) 再利用A的公鑰(PA)進(jìn)行解密,如果能夠解密弄喘,顯然說明該數(shù)據(jù)是A發(fā)送的玖喘,同時(shí)也就將得到原文M和消息摘要MD。
(6) 然后對(duì)原文M計(jì)算消息摘要限次,得到新的MD芒涡,與收到MD進(jìn)行比較,如果一致卖漫,說明該數(shù)據(jù)在傳輸時(shí)未被篡改费尽。
數(shù)字加密和數(shù)字簽名的區(qū)別:(★★★)
數(shù)字加密是用接收者的公鑰加密,接收者用自己的私鑰解密羊始。
數(shù)字簽名是:將摘要信息用發(fā)送者的私鑰加密旱幼,與原文一起傳送給接收者。接收者只有用
發(fā)送者的公鑰才能解密被加密的摘要信息突委,然后用 HASH 函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)新摘要信息柏卤,與解密的摘要信息對(duì)比。
數(shù)字證書的內(nèi)容:
? 數(shù)字證書的版本信息匀油;
? 序列號(hào)(每個(gè)證書都有一個(gè)唯一的證書序列號(hào))缘缚;
? 證書所使用的簽名算法;
? 證書發(fā)行機(jī)構(gòu)名稱敌蚜,命名規(guī)則一般采用 X.500 格式桥滨;
? 證書有效期;
? 證書所有者的名稱;
?證書所有者的公鑰信息齐媒;
? 證書發(fā)行者對(duì)證書的簽名
并利用 CA 的公鑰 驗(yàn)證該證書的真?zhèn)巍?/strong>
用戶 A 從 CA 獲取了自己的數(shù)字證書蒲每,該數(shù)字證書中包含了 CA 的私鑰和 A 的公鑰。
在 PKI 系統(tǒng)體系中喻括,證書機(jī)構(gòu) CA 負(fù)責(zé) 生成和簽署數(shù)字證書邀杏,注冊(cè)機(jī)構(gòu) RA 負(fù)責(zé) 驗(yàn)證申請(qǐng)數(shù)字證書用戶的身份。
訪問控制的實(shí)現(xiàn)技術(shù)(★★★)
1)訪問控制矩陣
2)訪問控制表
3)能力表
4)授權(quán)關(guān)系表
拒絕服務(wù)攻擊與防御(★★★)
拒絕服務(wù)攻擊(DoS) 是借助于網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)協(xié)議的缺陷和配置漏洞進(jìn)行網(wǎng)絡(luò)攻擊唬血,使網(wǎng)絡(luò)擁塞望蜡、 系統(tǒng)資源耗盡或者系統(tǒng)應(yīng)用死鎖,妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)拷恨,造成服務(wù)的性能受損甚至導(dǎo)致服務(wù)中斷泣特。
拒絕服務(wù)攻擊主要有以下幾種模式:
(1)消耗資源
大量地申請(qǐng)系統(tǒng)資源,并長時(shí)間地占用挑随;
(2)破壞或更改配置信息
攻擊者修改配置文件,從而改變系統(tǒng)向外提供服務(wù)的方式勒叠;
(3)物理破壞或改變網(wǎng)絡(luò)部件
ARP欺騙(★★★)
此種攻擊可讓攻擊者獲取局域網(wǎng)上的數(shù)據(jù)包甚至可篡改數(shù)據(jù)包兜挨,且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連線。
通常使用 IPSec 為IP數(shù)據(jù)報(bào)文進(jìn)行加密眯分。
用于在網(wǎng)絡(luò)應(yīng)用層和傳輸層之間提供加密方案的協(xié)議是 SSL拌汇。
可提供安全電子郵件服務(wù)的是 S/MIME(Multipurpose Internet Mail Extensions)。
采用 Kerberos 系統(tǒng)進(jìn)行認(rèn)證時(shí)弊决,可以在報(bào)文中加入 時(shí)間戳 來防止重放攻擊噪舀。
`
`
