数据安全与保密
一、加密体系
按照加密秘钥和解密密钥的异同,有两种密钥体制:
*对称密码体制
*非对称密码体制
1、对称密码体制
对称密码体制又称为秘密密钥体制(私密密码体制),加密和解密采用相同的密钥(或者可以通过一个推导出另一个)。
优点:加密速度快,通常用来加密大批量的数据。
缺点:需要管理的密码多。
常见的对称密钥技术
*DES:是一种迭代的分组密码,输入/输出都是64位,使用一个56位的密钥和附加的8位奇偶校验位。攻击DES的主要技术是穷举。
由于DES的密钥长度较短,为了提高安全性,出现了使用112位密钥对数据进行三次加密的算法,称为3DES。
*IDEA算法:其明文和密文都是64位,密钥长度为128位。
2、非对称密钥技术(公钥算法)
非对称密钥技术是指加密密钥和解密密钥完全不同,并且不可能从任何一个推导出另一个。
*优点:适应开发性的使用环境,可以实现数字签名与验证。
*最常见的非对称密钥技术是RSA。它的理论基础是数论中大素数分解极其困难。
*使用RSA来加密大量的数据则速度太慢,因此RSA广泛用于密钥的分发、数字签名中。
二、身份认证技术与数字签名
数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字签名使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种运算,一个用于签名,另一个用于验证。
数字签名原理:
(1)发送者首先将原文用Hash函数生成128位的消息摘要。
(2)发送者用自己的私钥对摘要再加密,形成数字签名,把加密后的数字签名附加在要发送的原文后面。
(3)发送者将原文和数字签名同时传给对方。
(4)发送者对收到的信息用Hash函数生成新的摘要,同时用发送者的公开密钥对消息摘要进行解密。
(5)将解密后的摘要与新摘要对比,如两者一致,则说明传送过程中信息没有被破坏或篡改。
三、数字证书
CA是数字证书的签发机构,它是PKI的核心。CA是复负责签发证书、认证证书、管理已颁发证书的机关。
*CA要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
*CA是可以信任的第三方
数字证书的内容
CA 《A》 = CA {V, SN, AI, CA, UCA, A, UA, Ap, Ta}
*V---证书版本号
*SN---证书序列号
*AI---用于对证书进行签名的算法标识
*CA---签发证书的CA机构的名字
*UCA---签发证书的CA的唯一标识符
*A---用户A的名字 UA---用户A的唯一标识
*Ap---用户A的公钥
*Ta---证书的有效期
四、电子商务安全
1、SSL
SSL(安全套接层协议)及其继任者TLS(传输层安全协议)是一种安全协议,为网络通信及数据完整性提供安全保障。
SSL和TLS是工作在传输层的安全协议,在传输层对网络连接进行加密。
2、SSL协议可分为两层
*SSL记录协议(SSL Record Protocol)
它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
*SSL握手协议(SSL Handshake Protocol)
它建立在SSL记录协议之上,用于在实际的数据传输开始前,通信双方进行身份认证、协商加密算法、交换加密密钥等。
2、SET(Secure Electronic Transaction,安全电子交易)协议SET协议称为安全电子交易协议
美国Visa和MasterCard两大信用卡组织共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准--SET。
它采用公钥密码体制和X.509数字证书标准,保障网上购物信息的安全性。
3、HTTPS(安全套接字层上的超文本传输协议)
是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
HTTPS是工作在应用层的协议。
4、PGP
PGP是一个基于RSA公钥加密体系的邮件加密软件。
*PGP可用于文件存储的加密。
*PGP承认两种不同的证书格式:PGP证书和X.509证书
五、防火墙
是一种位于内部网络与外部网络之间的网络安全系统。它依照特定的规则,允许或是限制传输的数据通过。
实现防火墙的产品主要有两大类:
*网络级防火墙
*应用级防火墙
1.网络级防火墙
网络级防火墙以称为过滤型防火墙,是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检测流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由器设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
状态检测防火墙
又称动态包过滤,是在传统包过滤上的功能扩展。
状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出于应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
2.应用级防火墙
应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于某种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。
应用级防火墙有4种类型,适合于不同规模的企业内部网:
*双穴主机网关
*屏蔽主机网关
*屏蔽子网
*应用代理服务器
他们共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
一、加密体系
按照加密秘钥和解密密钥的异同,有两种密钥体制:
*对称密码体制
*非对称密码体制
1、对称密码体制
对称密码体制又称为秘密密钥体制(私密密码体制),加密和解密采用相同的密钥(或者可以通过一个推导出另一个)。
优点:加密速度快,通常用来加密大批量的数据。
缺点:需要管理的密码多。
常见的对称密钥技术
*DES:是一种迭代的分组密码,输入/输出都是64位,使用一个56位的密钥和附加的8位奇偶校验位。攻击DES的主要技术是穷举。
由于DES的密钥长度较短,为了提高安全性,出现了使用112位密钥对数据进行三次加密的算法,称为3DES。
*IDEA算法:其明文和密文都是64位,密钥长度为128位。
2、非对称密钥技术(公钥算法)
非对称密钥技术是指加密密钥和解密密钥完全不同,并且不可能从任何一个推导出另一个。
*优点:适应开发性的使用环境,可以实现数字签名与验证。
*最常见的非对称密钥技术是RSA。它的理论基础是数论中大素数分解极其困难。
*使用RSA来加密大量的数据则速度太慢,因此RSA广泛用于密钥的分发、数字签名中。
二、身份认证技术与数字签名
数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字签名使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种运算,一个用于签名,另一个用于验证。
数字签名原理:
(1)发送者首先将原文用Hash函数生成128位的消息摘要。
(2)发送者用自己的私钥对摘要再加密,形成数字签名,把加密后的数字签名附加在要发送的原文后面。
(3)发送者将原文和数字签名同时传给对方。
(4)发送者对收到的信息用Hash函数生成新的摘要,同时用发送者的公开密钥对消息摘要进行解密。
(5)将解密后的摘要与新摘要对比,如两者一致,则说明传送过程中信息没有被破坏或篡改。
三、数字证书
CA是数字证书的签发机构,它是PKI的核心。CA是复负责签发证书、认证证书、管理已颁发证书的机关。
*CA要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
*CA是可以信任的第三方
数字证书的内容
CA 《A》 = CA {V, SN, AI, CA, UCA, A, UA, Ap, Ta}
*V---证书版本号
*SN---证书序列号
*AI---用于对证书进行签名的算法标识
*CA---签发证书的CA机构的名字
*UCA---签发证书的CA的唯一标识符
*A---用户A的名字 UA---用户A的唯一标识
*Ap---用户A的公钥
*Ta---证书的有效期
四、电子商务安全
1、SSL
SSL(安全套接层协议)及其继任者TLS(传输层安全协议)是一种安全协议,为网络通信及数据完整性提供安全保障。
SSL和TLS是工作在传输层的安全协议,在传输层对网络连接进行加密。
2、SSL协议可分为两层
*SSL记录协议(SSL Record Protocol)
它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
*SSL握手协议(SSL Handshake Protocol)
它建立在SSL记录协议之上,用于在实际的数据传输开始前,通信双方进行身份认证、协商加密算法、交换加密密钥等。
2、SET(Secure Electronic Transaction,安全电子交易)协议SET协议称为安全电子交易协议
美国Visa和MasterCard两大信用卡组织共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准--SET。
它采用公钥密码体制和X.509数字证书标准,保障网上购物信息的安全性。
3、HTTPS(安全套接字层上的超文本传输协议)
是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
HTTPS是工作在应用层的协议。
4、PGP
PGP是一个基于RSA公钥加密体系的邮件加密软件。
*PGP可用于文件存储的加密。
*PGP承认两种不同的证书格式:PGP证书和X.509证书
五、防火墙
是一种位于内部网络与外部网络之间的网络安全系统。它依照特定的规则,允许或是限制传输的数据通过。
实现防火墙的产品主要有两大类:
*网络级防火墙
*应用级防火墙
1.网络级防火墙
网络级防火墙以称为过滤型防火墙,是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检测流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由器设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
状态检测防火墙
又称动态包过滤,是在传统包过滤上的功能扩展。
状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出于应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
2.应用级防火墙
应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于某种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。
应用级防火墙有4种类型,适合于不同规模的企业内部网:
*双穴主机网关
*屏蔽主机网关
*屏蔽子网
*应用代理服务器
他们共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。