006计算机系统知识——安全性、可靠性与性能评测

安全性、可靠性与性能评测
一、加密体系（根据加密解密密钥的不同，分为两种密钥体制：对称密码体制、非对称密码体制）

• 对称密码体制（私钥密码体制）：加密密钥与解密秘钥相同，或者可以由加密密钥推导得到解密秘钥。

  • 优点：加密速度快，通常用来加密大批量的数据。

  • 缺点是：需要管理的密码多，即一个加密密钥对应一个解密秘钥。

  • 常用技术有：DES、3DES、IDEA算法：

    • DES：迭代的分组密码。输入输出均是64位。密钥组成是：56位的密钥和8位奇偶校验位。
    • 攻击DES技术的主要技术是穷举。
    • 提高DES安全性的办法是：增加密钥的长度。如使用112位密钥对数据进行三次加密算法，称为3DES。
    • IDEA算法：明文密文都是64位，密钥长度是128位。
• 非对称密码体制：与对称密码体制相反，即加密密钥和解密秘钥完全不同，并且不可能从任何一个推导出另一个。
  • 优点：适应开放性的使用环境（公布公钥，私钥妥善保存即可），可实现数字签名与验证。
  • 最常见的非对称密钥技术是RSA：其理论基础是数论中的大素数分解极其困难
  • 缺点：使用RSA来加密大量的数据则速度太慢。因此RAS广泛用于密钥的分发和数字签名中。
• 加密体系使用的一般方式是：采用对称密码来加密数据，采用非对称密码对对称密码的密码进行加密（本身对称密码的密码就不是太长），这样就结合使用两者的优点。

二、身份认证技术和数字签名

• 数字签名：只有信息发送者才能产生的、别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送真实性的一个有效证明。使用的技术是：公钥加密领域的非对称加密技术实现。一套数字签名定义了两种运算，一个用于签名。一个用于验证，两者分别于私钥、公钥。
• 数字签名常用的算法有：Hash签名、DSS签名、RSA签名
• 数字签名的原理
  • 发送者A首先将原文用hash函数生成128位消息摘要。（以原文为基础，原文改变了，摘要也就改变了）
  • A用自己的私钥对摘要进行加密，形成数字签名。同时将加密后的数字签名附加在要发送的原文后面。
  • A将原文和数字签名发送给接收方B。
  • B接受到了信息后用hash函数生成新的摘要，同事用A的公开密钥对消息摘要解密。
  • 解密后的摘要与新摘要对比，如两者一致，则说明数据信息在传送过程中没有被破坏或者篡改。

三、数字证书

• CA是数字证书的签发机构，负责签发证书、认证证书、管理已颁发证书的机关，它是PKI的核心。

• CA要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

• CA是可以信任的第三方

• 数字证书的内容：CA《A》= CA{V, SN, AI, CA, UCA, A, UA, Ap,Ta}
  V——证书版本号
SN——证书的序列号
AI——用于对证书进行签名的算法标识
CA——签发证书的CA机构的名字
UCA——签发证书的CA唯一标识符
A——用户A的名字
UA——用户A的唯一标识
Ap——用户A的公钥
Ta——证书的有效期
  四、电子商务的安全
  1、SSL和TSL（均工作在传输层，对网络连接进行加密）
  SSL安全套接层协议（端口号是443）。可分为两层：

  • SSL记录协议（SSL Record Protocol）：建立在可靠的传输协议如TCP上，为高层协议提供数据分装、压缩、加密等基本功能
  • SSL握手协议（SSL Handshake Protocol）：建立在SSL记录协议上，用于在实际的数据传输开始前，双方首先进行身份认证、协商加密算法、交换加密密钥等。

  TLS传输层安全协议。
  SET（Secure Electronic Transaction，安全电子交易）协议，安全电子交易协议

  • 制定者是：美国Visa和MasterCard两大信用卡组织共同制定了应用于Internet上的银行卡在线交易的安全标准
  • 采用的技术是：公钥密码体系和X.509数字证书标准

  HTTPS（安全套接字层上的超文本传输协议）

  • 是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS是工作在应用层协议的。

  PGP：一个基于RSA公钥加密体系的邮件加密软件

  • 特点：可用于文件存储的加密。承认两种不同的证书格式：PGP正式和X.509证书