|
|
| 密码技术是信息安全的根本,是建立安全空间认证、权限、完整、加密和不可否认5大要素所不可缺少的基石。
|
|
|
|
|
| 明文:实际传输的数据,可以是任何类型的未加密数据。
|
|
|
|
|
| 加密:将普通信息(明文)利用数学算法转换成难以理解的资料(密文)的过程。
|
|
|
|
|
|
|
|
|
| 常见的对称密钥算法有SDBI、IDEA、RC4、DES和3DES等:
|
|
|
| .SDBI:国家密码办公室批准的国内算法,仅硬件中存在。
|
|
|
| .IDEA:国际数据加密算法,明文和密文分组长度是64位,但是密钥长度是128位。
|
|
|
| .DES:明文和密文分组长度为64位,在加密变换过程中,64位密钥中包含了8位的奇偶校验位,所以实际密钥长度为56位。
|
|
|
| .3DES:三重DES,密钥长度为128位,实际为112位(含16位的奇偶校验位)。
|
|
|
|
|
|
|
|
|
|
|
|
|
| .加密算法简单,密钥长度有限(56位/128位),加密强度不高。
|
|
|
|
|
| 非对称密钥算法是使用两个不同但相关的密钥来执行加密和解密。相关密钥对中用于加密的密钥称为“公钥”,用于解密的密钥称为“私钥”。
|
|
|
|
|
| .RSA:即基于大数分解,是迄今为止在理论和实践上最为成熟完善的公钥密码算法。
|
|
|
| .ECC:即椭圆曲线,是为了进一步提高RSA算法的安全性提出来的。和RSA相比,ECC算法安全性高,密码体制更安全;密钥量小;算法灵活性好。
|
|
|
|
|
| .加密算法复杂,密钥长度任意(1024位/2048位),加密强度很高。
|
|
|
| .适宜一对多的信息加密交换,尤其适宜因特网上信息加密交换。
|
|
|
|
|
|
|
|
|
|
|
|
|
| 哈希算法是将任意长度的信息块(信息类型任意)映射为固定长度的较小二进制值,这个二进制值称为哈希值。哈希值又叫做信息块的信息摘要。哈希算法产生的哈希值,不能用任何方法求得原来的信息块,而且即使原来的信息块有任意小的改变,新的哈希值却有特别大的不同。
|
|
|
| 哈希算法在数字签名中可以解决验证签名和用户身份验证、不可抵赖性的问题。
|
|
|
| 常见的哈希算法有SDH(国家密码办公室批准的哈希算法)、SHA和MD5等。
|
|
|
| 信息摘要(MD)可以被看作是一份长文件的“数字指纹”。对于特定文件而言,信息摘要是唯一的。信息摘要可以被公开,它不会透露相应文件的任何内容。
|
|
|
|
|
| 对某个数据块的签名,就是先计算数据块的哈希值,然后使用私钥加密数据块的HASH值得到数据签名。
|
|
|
| 签名的验证是计算数据块的哈希值,然后使用公钥解密数据签名得到另一个HASH值,比较两个HASH值可以判断数据块在签名后是否被改动,获得签名的验证。
|
|
|
|
|
| 数字时间戳技术是数字签名技术的一个变种应用。数字时间戳服务(DTS)是网上电子商务安全服务项目之一,由专门的单位机构提供电子文件的日期和时间信息的安全保护。
|
|
|
| 如果在签名时加上一个时间标记,就是有数字时间戳的数字签名。
|
|
|
| 时间戳是一个经加密后形成的凭证文档,包括3个部分:
|
|
|
|
|
|
|
|
|
| 时间戳产生的过程:用户首先将需要加时间戳的文件用HASH算法形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要时的日期时间信息后,再对该文件加密(数字签名),然后送回用户。
|
|
|
|
|
| 用不对称密钥加密算法来保护通信能很好地保护数据的安全性。但是由于它的加密和解密的速度都相当慢,因此事实上不对称密钥加密算法更多是用于对称加密密钥的传送。这种方法把不对称密钥加密算法和对称密钥加密算法的优点很好地整合在一起。用不对称密钥的加密算法来保护对称加密密钥的传送,保证了对称加密密钥的安全性。
|
|
|
|
|
| 我国实行密码分级管理制度,密码等级及适用范围如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
| 虚拟专用网(或虚拟个人网)和虚拟本地网是在共享的公共网络(通常是因特网)上建立一个临时的、安全的连接。
|
|
|
| VPN和VLAN是对企业内部网的扩展,可以帮助远程用户、公司分支单位机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
|
|
|
| 目前有两种VPN,即IPSec VPN和MPLS VPN。与IPSec VPN相比,MPLS VPN有更好的安全性、可管理性、可靠性和可扩展性,支持QoS,非常适合于开展VPN业务。
|
|
|
|
|
| 无线网络有两个主要的组成部件:基站(Station,STA)和网络桥接器(Access Point,AP)。
|
|
|
|
|
| .安全性:相对于有线网络,可在如下方面提高安全性,包括尽量减少电波覆盖、基于802.1x的设备安全认证、基于128位的WEP加密、不同的数据经由不同的VLAN传输、在网络层建立VPN通道。
|
|
|
| .QoS支持:无线局域网的设备必须能够针对各种应用所对应的不同优先级传输需要,提供对应的服务质量保证。
|
|
|
| .可扩展性:现有基于802.11b的无线网可以提供11M带宽,可升级到支持802.11g或802.11a,而802.11g或802.11a可以提供54M带宽。
|
|
|
|
|
| .WEP(Wired Equivalent Protocol,连接对等协议)是802.1标准为建立无线网络安全环境提供的第一个安全机制。WEP不像IPSec一样提供网络安全,而是提供无线网的对等的保密级别,目标是通过加密无线电波来提供安全保证。
|
|
|
| .WPA是Wi-Fi联盟提出的最新无线局域网安全方案。它有两个主要内容:一个是替代WEP,设计更好的加密系统TKIP;另一个是基于802.1x标准的用户身份认证系统。WPA是802.11i解决方案完成前的一个过渡措施。
|
|
|
| .中国标准的WAPI是在IEEE802.11i的基础上发展起来的,完全满足国际标准并有所创新。
|
|
|
