信息安全技术

加密技术

一个密码系统通常简称为密码体制(Cryptosystem),由 5 部分组成：

• 明文空间(M)：它是全体明文的集合。
• 密文空间(C)：它是全体密文的集合。
• 密钥空间(K)：它是全体密钥的集合。其中每一个密钥 K 均由加密密钥 Ke 和解密密钥 Kd 组成。
• 加密算法(E)：它是一组由 M 到 C 的加密变换。
• 解密算法(D)：它是一组由 C 到 M 的解密变化。

对于明文空间 M 中的每一个明文 M 加密算法 E 在密钥 Ke 的 控制下将明文加密成密文。C = E(M, Ke).

解密算法 D 在解密密钥 Kd 的控制下将密文 C 解密出同一明文 M。M = D(C, Kd) = D(E(M, Ke), Kd).

对称加密技术

数据的加密和解密密钥是相同的，属于不公开密钥加密算法。其缺点是加密强度不高，且密钥分发困难。优点是加密速度快，适合加密大数据。

常见的对称加密算法如下：

• DES: 替换+位移、56位密钥、64位数据块、速度快、密钥易产生。
• 3DES：三重 DES，两个 65 位密钥 K1、K2。加密：K1加密 -> K2解密 -> K1加密。解密：K1解密 -> K2加密 -> K1解密。
• AES：是美国联邦政府采用的一种区块加密标准，这个标准用来替代原先的 DES。
• RC-5：RSA 数据安全公司的很多产品都使用了 RC-5.
• IDEA：128 位密钥，64位数据块，比 DES 的加密性好，对计算机功能要求相对低。

非对称加密技术

数据的加密和解密的密钥是不同的，分为公钥和私钥。是公开密钥加密算法。缺点是加密速度慢，优点是安全性高，不容易被破解。

非对称加密技术的原理是：发送者发送数据时，使用接受者的公钥作加密密钥，私钥作解密密钥，这样只有接收者才能解密密文得到明文。安全性更高，单无法保证完整性。

常见的非对称加密算法如下：

• RSA：512位 或 1024位密钥，计算量极大，难破解。
• Elgamal、ECC(椭圆曲线算法)、背包算法、Rabin、D-H等。

数字信封

使用对称密钥加密数据，再使用非对称密钥加密对称密钥，解决了对称密钥的传输问题。

信息摘要

信息摘要是一段数据的特征信息，当数据发生了变化，信息摘要也会发生改变，发送方会将数据和信息摘要一起传给接收方，接收方会根据收到的数据重新生成一个信息摘要，若此摘要和接受到的摘要相同，则数据正确。信息摘要是由哈希函数生成的。

• 信息摘要的特点：产生固定长度的信息摘要、不同的数据产生不同的信息摘要、单向性(只能由数据产生信息摘要，不能用信息摘要还原数据)
• 信息摘要算法：MD5(产生 128 位摘要)、SHA-1(安全散列算法，产生 160位摘要，安全性更高)。

数字签名

发送方发送数据时，使用发送者的私钥进行加密，接收者收到数据后，只能使用发送者的公钥进行解密，这样就能确定唯一发送方，这也是数字签名的过程，但无法保证数据的机密性。具有完整性和不可抵赖性。

公钥基础设施 PKI

公钥基础设施 PKI是以不对称密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。

1. 数字证书：是一个数据结构，由一个可信任的权威机构签署的信息集合。在不同的应用中有不同的证书
2. 签证机构CA：负责签发证书、管理和撤销证书。是所有注册用户所信赖的权威机构，CA在给用户签发证书时要加上自己的数字签名，以保证证书信息的真实性。任何机构可以用CA的公钥来验证该证书的合法性。

访问控制

访问控制是指主体依赖某些控制策略或权限对客体本身或是其资源进行不同的授权访问。访问控制包括3个要素：主体、客体和控制策略。

访问控制包括认证、控制策略实现和审计这3个方面的内容

1. 访问控制矩阵(ACM)：是通过矩阵形式表示访问控制规则和授权用户权限的方法。主体作为行、客体作为列。
2. 访问控制表(ACL)：目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体信息。这种实现技术实际上是按列保存访问矩阵。
3. 能力表：对应于访问控制表，这种实现技术实际上是按行保存访问矩阵。每个主体有一个能力表，是该主体对系统中每一个客体访问权限信息。使用能力表实现的访问控制系统可以方便地查询某一个主体的所有访问权限。
4. 授权关系表：每一行就是访问矩阵中的要一个非空元素，是某一个主体对应某一个客体的访问权限信息。如果授权关系表按主体排序，查询时就可以得到能力表的效率；如果按客体排序就可以得到访问控制表的效率。