一、备考指南
信息安全和网络安全主要考查的是信息安全属性、加密解密数字摘要、数字签名、PKI体系等相关知识,同时也是重点考点,在系统架构设计师的考试中一般会考选择题,占2~4分,在案例分析和论文中有时也会考到,属于重点章节之一。
二、对称加密技术
1、概念:对称加密就是对数据的加密和解密的密钥(密码)是相同的,属于不公开密钥加密算法。其缺点是加密强度不高(因为只有一个密钥),且密钥分发困难(因为密钥还需要传输给接收方,也要考虑保密性等问题)。
2、常见的对称密钥加密算法如下:
(1)DES:替换+移位、56位密钥、64位数据块、速度快,密钥易产生。
(2)3DES:三重DES,两个56位密钥K1、K2,进行加密和解密,其过程如下。
加密:K1加密→K2解密→K1加密。
解密:K1解密→K2加密→K1解密。
(3)AES:是美国联邦政府采用的一种区块加密标准,这个标准用来替代原先的DES。对其的要求是"至少像3DES一样安全"。
(4)RC-5:RSA数据安全公司的很多产品都使用了RC-5。
(5)IDEA:128位密钥,64位数据块,比DES的加密性好,对计算机功能要求相对低。
三、非对称加密技术
1、概念:非对称加密技术就是对数据的加密和解密的密钥是不同的,是公开密钥加密算法。其缺点是加密速度慢。
2、非对称加密技术的原理是:发送者发送数据时,使用接收者的公钥作加密密钥,私钥作解密密钥,这样只有接收者才能解密密文得到明文。安全性更高,因为无须传输密钥。但无法保证完整性。
如图所示,图中PKB表示明文通过接收者的公钥进行加密,SKB表示密文通过接收者的私钥进行解密。
3、常见的非对称加密算法如下:
(1)RSA:512位(或1024位)密钥,计算量极大,难破解。
(2)EIGamal、Ecc(椭圆曲线算法)、背包算法、Rabin、D-H等。
相比较可知,对称加密算法密钥一般只有56位,因此加密过程简单,适合加密大数据,也因此加密强度不高;而非对称加密算法密钥有1024位,相应的解密计算量庞大,难以破解,却不适合加密大数据,一般用来加密对称算法的密钥,这样,就将两个技术组合使用了,这也是数字信封的原理。
四、网络安全协议
物理层主要使用物理手段,隔离、屏蔽物理设备等,其他层都是靠协议来保证传输的安全。
1、SSL协议:安全套接字协议,被设计为加强Web安全传输(HTTP/HTTPS)的协议,安全性高,和HTTP结合之后,形成HTTPS安全协议,端口号为443。
2、SSH协议:安全外壳协议,被设计为加强Telnet/FTP安全的传输协议。
3、SET协议:安全电子交易协议主要应用于B2C模式(电子商务)中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如 SET2.0 将支持借记卡电子交易。
4、Kerberos协议:是一种网络身份认证协议,该协议的基础是基于信任第三方,它提供了在开放型网络中进行身份认证的方法,认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或计算机的IP地址,不需要保证网络上所有计算机的物理安全性,并且假定数据包在传输中可被随机窃取和篡改。
5、PGP协议(安全电子邮件协议):使用RSA公钥证书进行身份认证,使用IDEA (128位密钥) 进行数据加密,使用MD5进行数据完整性验证。
五、数字签名
发送者发送数据时,使用发送者的私钥进行加密,接收者收到数据后,只能使用发送者的公钥进行解密,这样就能唯一确定发送方,这也是数字签名的过程。但无法保证机密性,如图所示。
