****** 三十五 ******、软设笔记【网络基础】-安全性、可靠性与系统性能评测-数据安全与保密...
生活随笔
收集整理的這篇文章主要介紹了
****** 三十五 ******、软设笔记【网络基础】-安全性、可靠性与系统性能评测-数据安全与保密...
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
數據安全與保密
一、加密體系
按照加密秘鑰和解密密鑰的異同,有兩種密鑰體制:
*對稱密碼體制
*非對稱密碼體制
1、對稱密碼體制
對稱密碼體制又稱為秘密密鑰體制(私密密碼體制),加密和解密采用相同的密鑰(或者可以通過一個推導出另一個)。
優點:加密速度快,通常用來加密大批量的數據。
缺點:需要管理的密碼多。
常見的對稱密鑰技術
*DES:是一種迭代的分組密碼,輸入/輸出都是64位,使用一個56位的密鑰和附加的8位奇偶校驗位。攻擊DES的主要技術是窮舉。
由于DES的密鑰長度較短,為了提高安全性,出現了使用112位密鑰對數據進行三次加密的算法,稱為3DES。
*IDEA算法:其明文和密文都是64位,密鑰長度為128位。
2、非對稱密鑰技術(公鑰算法)
非對稱密鑰技術是指加密密鑰和解密密鑰完全不同,并且不可能從任何一個推導出另一個。
*優點:適應開發性的使用環境,可以實現數字簽名與驗證。
*最常見的非對稱密鑰技術是RSA。它的理論基礎是數論中大素數分解極其困難。
*使用RSA來加密大量的數據則速度太慢,因此RSA廣泛用于密鑰的分發、數字簽名中。
二、身份認證技術與數字簽名
數字簽名就是只有信息的發送者才能產生的別人無法偽造的一段數字串,這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。
數字簽名使用了公鑰加密領域的技術實現,用于鑒別數字信息的方法。一套數字簽名通常定義兩種運算,一個用于簽名,另一個用于驗證。
數字簽名原理:
(1)發送者首先將原文用Hash函數生成128位的消息摘要。
(2)發送者用自己的私鑰對摘要再加密,形成數字簽名,把加密后的數字簽名附加在要發送的原文后面。
(3)發送者將原文和數字簽名同時傳給對方。
(4)發送者對收到的信息用Hash函數生成新的摘要,同時用發送者的公開密鑰對消息摘要進行解密。
(5)將解密后的摘要與新摘要對比,如兩者一致,則說明傳送過程中信息沒有被破壞或篡改。
三、數字證書
CA是數字證書的簽發機構,它是PKI的核心。CA是復負責簽發證書、認證證書、管理已頒發證書的機關。
*CA要制定政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
*CA是可以信任的第三方
數字證書的內容
CA 《A》 = CA {V, SN, AI, CA, UCA, A, UA, Ap, Ta}
*V---證書版本號
*SN---證書序列號
*AI---用于對證書進行簽名的算法標識
*CA---簽發證書的CA機構的名字
*UCA---簽發證書的CA的唯一標識符
*A---用戶A的名字? UA---用戶A的唯一標識
*Ap---用戶A的公鑰
*Ta---證書的有效期
四、電子商務安全
1、SSL
SSL(安全套接層協議)及其繼任者TLS(傳輸層安全協議)是一種安全協議,為網絡通信及數據完整性提供安全保障。
SSL和TLS是工作在傳輸層的安全協議,在傳輸層對網絡連接進行加密。
2、SSL協議可分為兩層
*SSL記錄協議(SSL Record Protocol)
它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
*SSL握手協議(SSL Handshake Protocol)
它建立在SSL記錄協議之上,用于在實際的數據傳輸開始前,通信雙方進行身份認證、協商加密算法、交換加密密鑰等。
2、SET(Secure Electronic Transaction,安全電子交易)協議SET協議稱為安全電子交易協議
美國Visa和MasterCard兩大信用卡組織共同制定了應用于Internet上的以銀行卡為基礎進行在線交易的安全標準--SET。
它采用公鑰密碼體制和X.509數字證書標準,保障網上購物信息的安全性。
3、HTTPS(安全套接字層上的超文本傳輸協議)
是以安全為目標的HTTP通道,簡單講是HTTP的安全版。
HTTPS是工作在應用層的協議。
4、PGP
PGP是一個基于RSA公鑰加密體系的郵件加密軟件。
*PGP可用于文件存儲的加密。
*PGP承認兩種不同的證書格式:PGP證書和X.509證書
五、防火墻
是一種位于內部網絡與外部網絡之間的網絡安全系統。它依照特定的規則,允許或是限制傳輸的數據通過。
實現防火墻的產品主要有兩大類:
*網絡級防火墻
*應用級防火墻
1.網絡級防火墻
網絡級防火墻以稱為過濾型防火墻,是一種具有特殊功能的路由器,采用報文動態過濾技術,能夠動態地檢測流過的TCP/IP報文或分組頭,根據企業所定義的規則,決定禁止某些報文通過或者允許某些報文通過,允許通過的報文將按照路由器設定的路徑進行信息轉發。相應的防火墻軟件工作在傳輸層與網絡層。
狀態檢測防火墻
又稱動態包過濾,是在傳統包過濾上的功能擴展。
狀態檢測防火墻在網絡層由一個檢查引擎截獲數據包并抽取出于應用層狀態有關的信息,并以此作為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案,同時也具有較好的性能、適應性和可擴展性。
2.應用級防火墻
應用級防火墻也稱為應用網關型防火墻,目前已大多采用代理服務機制,即采用一個網關來管理應用服務,在其上安裝對應于某種服務的特殊代碼(代理服務程序),在此網關上控制與監督各類應用層服務的網絡連接。
應用級防火墻有4種類型,適合于不同規模的企業內部網:
*雙穴主機網關
*屏蔽主機網關
*屏蔽子網
*應用代理服務器
他們共同點是需要有一臺主機(稱之為堡壘主機)來負責通信登記、信息轉發和控制服務提供等任務。
一、加密體系
按照加密秘鑰和解密密鑰的異同,有兩種密鑰體制:
*對稱密碼體制
*非對稱密碼體制
1、對稱密碼體制
對稱密碼體制又稱為秘密密鑰體制(私密密碼體制),加密和解密采用相同的密鑰(或者可以通過一個推導出另一個)。
優點:加密速度快,通常用來加密大批量的數據。
缺點:需要管理的密碼多。
常見的對稱密鑰技術
*DES:是一種迭代的分組密碼,輸入/輸出都是64位,使用一個56位的密鑰和附加的8位奇偶校驗位。攻擊DES的主要技術是窮舉。
由于DES的密鑰長度較短,為了提高安全性,出現了使用112位密鑰對數據進行三次加密的算法,稱為3DES。
*IDEA算法:其明文和密文都是64位,密鑰長度為128位。
2、非對稱密鑰技術(公鑰算法)
非對稱密鑰技術是指加密密鑰和解密密鑰完全不同,并且不可能從任何一個推導出另一個。
*優點:適應開發性的使用環境,可以實現數字簽名與驗證。
*最常見的非對稱密鑰技術是RSA。它的理論基礎是數論中大素數分解極其困難。
*使用RSA來加密大量的數據則速度太慢,因此RSA廣泛用于密鑰的分發、數字簽名中。
二、身份認證技術與數字簽名
數字簽名就是只有信息的發送者才能產生的別人無法偽造的一段數字串,這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。
數字簽名使用了公鑰加密領域的技術實現,用于鑒別數字信息的方法。一套數字簽名通常定義兩種運算,一個用于簽名,另一個用于驗證。
數字簽名原理:
(1)發送者首先將原文用Hash函數生成128位的消息摘要。
(2)發送者用自己的私鑰對摘要再加密,形成數字簽名,把加密后的數字簽名附加在要發送的原文后面。
(3)發送者將原文和數字簽名同時傳給對方。
(4)發送者對收到的信息用Hash函數生成新的摘要,同時用發送者的公開密鑰對消息摘要進行解密。
(5)將解密后的摘要與新摘要對比,如兩者一致,則說明傳送過程中信息沒有被破壞或篡改。
三、數字證書
CA是數字證書的簽發機構,它是PKI的核心。CA是復負責簽發證書、認證證書、管理已頒發證書的機關。
*CA要制定政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
*CA是可以信任的第三方
數字證書的內容
CA 《A》 = CA {V, SN, AI, CA, UCA, A, UA, Ap, Ta}
*V---證書版本號
*SN---證書序列號
*AI---用于對證書進行簽名的算法標識
*CA---簽發證書的CA機構的名字
*UCA---簽發證書的CA的唯一標識符
*A---用戶A的名字? UA---用戶A的唯一標識
*Ap---用戶A的公鑰
*Ta---證書的有效期
四、電子商務安全
1、SSL
SSL(安全套接層協議)及其繼任者TLS(傳輸層安全協議)是一種安全協議,為網絡通信及數據完整性提供安全保障。
SSL和TLS是工作在傳輸層的安全協議,在傳輸層對網絡連接進行加密。
2、SSL協議可分為兩層
*SSL記錄協議(SSL Record Protocol)
它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
*SSL握手協議(SSL Handshake Protocol)
它建立在SSL記錄協議之上,用于在實際的數據傳輸開始前,通信雙方進行身份認證、協商加密算法、交換加密密鑰等。
2、SET(Secure Electronic Transaction,安全電子交易)協議SET協議稱為安全電子交易協議
美國Visa和MasterCard兩大信用卡組織共同制定了應用于Internet上的以銀行卡為基礎進行在線交易的安全標準--SET。
它采用公鑰密碼體制和X.509數字證書標準,保障網上購物信息的安全性。
3、HTTPS(安全套接字層上的超文本傳輸協議)
是以安全為目標的HTTP通道,簡單講是HTTP的安全版。
HTTPS是工作在應用層的協議。
4、PGP
PGP是一個基于RSA公鑰加密體系的郵件加密軟件。
*PGP可用于文件存儲的加密。
*PGP承認兩種不同的證書格式:PGP證書和X.509證書
五、防火墻
是一種位于內部網絡與外部網絡之間的網絡安全系統。它依照特定的規則,允許或是限制傳輸的數據通過。
實現防火墻的產品主要有兩大類:
*網絡級防火墻
*應用級防火墻
1.網絡級防火墻
網絡級防火墻以稱為過濾型防火墻,是一種具有特殊功能的路由器,采用報文動態過濾技術,能夠動態地檢測流過的TCP/IP報文或分組頭,根據企業所定義的規則,決定禁止某些報文通過或者允許某些報文通過,允許通過的報文將按照路由器設定的路徑進行信息轉發。相應的防火墻軟件工作在傳輸層與網絡層。
狀態檢測防火墻
又稱動態包過濾,是在傳統包過濾上的功能擴展。
狀態檢測防火墻在網絡層由一個檢查引擎截獲數據包并抽取出于應用層狀態有關的信息,并以此作為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案,同時也具有較好的性能、適應性和可擴展性。
2.應用級防火墻
應用級防火墻也稱為應用網關型防火墻,目前已大多采用代理服務機制,即采用一個網關來管理應用服務,在其上安裝對應于某種服務的特殊代碼(代理服務程序),在此網關上控制與監督各類應用層服務的網絡連接。
應用級防火墻有4種類型,適合于不同規模的企業內部網:
*雙穴主機網關
*屏蔽主機網關
*屏蔽子網
*應用代理服務器
他們共同點是需要有一臺主機(稱之為堡壘主機)來負責通信登記、信息轉發和控制服務提供等任務。
轉載于:https://www.cnblogs.com/changemax/p/10015088.html
《新程序員》:云原生和全面數字化實踐50位技術專家共同創作,文字、視頻、音頻交互閱讀總結
以上是生活随笔為你收集整理的****** 三十五 ******、软设笔记【网络基础】-安全性、可靠性与系统性能评测-数据安全与保密...的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Nginx负载均衡和反向代理
- 下一篇: 美国宇航局:十年内VR/AR设备将成为标