安全技术基础

对称加密

  • 加密密钥与解密密钥相同,加密强度不高,但效率高,密钥分发困难
  • 常用的算法

    DES:密钥长度56位、64位数据块、速度快、密钥容易产生。
    3DES(三重DES):两个56位密码K1,K2 加密:K1加密->K2解密->K1加密解密:K1解密->K2加密->K1解密
    RC-5 RSA数据安全公司的很多产品都使用了RC-5
    IDEA 128位密钥、64位数据块、比DES加密性好,对计算机功能要求相对低,PGP
    AES 高级加密标准,又称Rijindael加密算法,是美国政府采用的一种区块加密标准

非对称加密

  • 加密和解密密钥不同,成对出现,加密速度慢
  • 常用算法RSA

    1024或2048位,计算量极大,难破解
    Elgaml:安全性依赖于计算有限域上离散对数这一难题
    ECC椭圆曲线算法

信息摘要

单向散列函数、固定长度的散列值
常用的消息摘要算法有MD5、SHA等,市场上
广泛使用MD5,SHA算法的散列值分别为128位
和160位,由于SHA通常采用的密钥长度较长,
因此安全性高于MD5

数字签名

  • 数字签名

    将传递的信息产生信息摘要,然后用A的私钥签名,传送到目的地。接收者使用A的公钥进行验证签名,然后对信息的摘要进行验证。验证收到的信息是否被篡改,是不是其本人发送用非对称密码加密对称的密钥,这个过程称之为数字信封

  • 数字证书

    证书的版本信息;
    证书的序列号,每个证书都有一个唯一的证书序列号;
    证书所使用的签名算法;
    证书的发行机构名称,命名规则一般采用X.500格式;
    证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
    证书所有人的名称,命名规则一般采用X.500格式;
    证书所有人的公开密钥;
    证书发行者对证书的签名

    • PKI公钥体系

      CA(Certificate)认证中心
      RA(Registartion Authority)注册审批机构
      证书受理点
      密钥管理中心-KMC

    • 实例

      客户机下载服务器上的证书->提出公钥->用公钥加密随机密钥给服务器;
      客户机与服务器之间用随机密钥进行加密传输;
      一次一密;

网络安全

安全协议

  • 会话层、表示层,应用层

    SSL,HTTPS,PGP

  • 传输层

    TLS,SET

  • 网络层

    防火墙——IPSec

  • 数据链路层

    链路加密机,PPTP,L2TP

  • 物理层

    隔离、屏蔽

  • 解析

    PGP(Pretty Good Privacy):针对邮件的混合加密系统
    SSL(Secure Sockets Layer):工作在传输层到应用层
    TSL(Transport Layer Security):传输安全协议
    SET(Secure Electronic Transaction):电子交易安全协议
    IPSEC(Internet Protocol Security):对IP包加密

网络攻击

  • 被动攻击

    收集信息为主,破坏保密性
    窃听(网络监听):用各种可能合法或非法的手段窃取系统中的信息资源和敏感信息。
    业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。
    非法登录:有些资料将这种方式归为被动攻击方式

  • 主动攻击

    假冒登录:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击
    抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等
    旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权
    重放攻击:所截获的某次合法的通信数据拷贝,出于非法目的而被重新发送。加时间戳能识别并应对重放攻击
    拒绝服务(DOS):对信息或其它资源的合法访问被无条件地阻止。

等级保护标准(**)

  • 标准

    GB17859-1999

  • 用户自主保护

    适用于普通内联网用户
    系统破坏后,对公民、法人和其它组织权益有损害,但不损害国家安全社会秩序和公共利益

  • 系统审计保护级

    适用于通过内联网或国际网进行商务活动,需要保密的非重要单位系统被破坏后,对公民、法人和其它组织权益有严重损害,或损害社会秩序和公共利益,但不损害国家安全。

  • 安全标记保护级

    适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
    系统被破坏后,对社会秩序和公共利益造成严重损害,或对国家安全造成损害

  • 结构化保护级

    适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门
    系统被破坏后,对社会秩序和公共利益造成特别严重损害,或对国家安全造成严重损害

  • 访问验证保护级

    适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位系统被破坏后,对国家安全造成严重损害。

安全系统结构、五大安全服务

  • 鉴别服务

    用户名—+口令
    数据证书
    生物特征识别

  • 访问控制
    自主访问控制(DAC)
    访问控制列表(ACL)-对客体指定允许的主体-白名单
    强制访问控制(MAC)-主体与客体均指定级别,匹配访问
    基于角色的访问控制(RBAC)
    基于任务的访问控制(TBAC)-例如工作流中指定用户的访问
  • 数据完整性

    阻止对媒体访问的机制:隔离、访问控制、路由控制
    探测非授权修改的机制:数字签名,数据重复,数字指纹,消息序列号

  • 数据保密性

    通过禁止访问提供机密性。比如某国的已经解密的文档,是公开的(指定保密年限)
    通过加密提供机密性

  • 抗抵赖

    数字签名

作者:admin  创建时间:2022-10-10 10:04
最后编辑:admin  更新时间:2022-11-02 13:24