《关于信息安全的知识》由会员分享,可在线阅读,更多相关《关于信息安全的知识(5页珍藏版)》请在金锄头文库上搜索。
1、信息安全的知识信息安全的知识问:什么是信息安全问:什么是信息安全答:在技术和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和 数据不因偶然和恶意的原因而遭到破坏,更改和泄露,系统连续可靠的正常运行,信 息服务不中断。 信息安全离不开人、技术和管理体系。问:什么是信息问:什么是信息答:信息是经过加工(获取、推理、分析、计算、存储等)的特定形式的数据,是 物质运行规律的综合问:信息安全包含什么内容问:信息安全包含什么内容答:访问控制、不可否行、可用性、保密性、完整性 信息传输过程中存在中断、截获、伪造、篡改、四中威胁 访问控制:限制对网络资源(软件/硬件)及数据(存储的/运输的)的访问
2、保密性:防止数据未授权公开 完整性:访问未授权修改数据 可用性:可根据实体的要求进行访问,并得到所期望的访问质量的能力 不可否认性:向第三方证实实体确实参见了某次行为的能力问:什么是问:什么是 PKI答:PKI 技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施,该体 系在统一的安全认证标准和规范基础上进行网上身份认证, 作为一种技术体系,PKI 可以作为支持认证、完整性、机密性和不可否认性的技术基础, 从技术上解决网上身份认证、完整性、机密性和不可否认性等安全问题,为网络提供 可靠的安全保障。问:问:PKI 的核心是什么?的核心是什么?答:PKI 的核心是解决信息网络空间中信任的问题
3、,确定信息网络空间中个行为主 体身份的唯一性、真实性和合法性,保护信息网络空间中各行为主体的安全利益。问:什么是密码协议问:什么是密码协议答:密码协议也称为安全协议,是以密码学为基础的消息交换协议,其目的是在网 络环境中提供各种安全服务,密码学是网络安全的基础,但网络安全不能单纯依靠安 全的密码算法,安全协议是网络安全的一个重要组成部分,我们需要通过安全协议进 行实体之间的认证,在实体之间安全的分配密钥或其他各种秘密,确认发送和接收的 消息的非否认性等。问:标准的问:标准的 PKI 域包含什么?域包含什么?答:标准的 PKI 域包含,数字证书认证中心 CA,审核注册中心 RA 和密钥管理中心
4、KMC;数字认证中心数字认证中心 CA 是 PKI 的核心执行机构,是 PKI 的主要组成部分,认证中心是交易的 权威、可信任性和公正性的第三方机构。 审核注册中心审核注册中心 RA 是证书认证 CA 的组成部分,它是数字证书的申请注册、证书签发和 管理的实时机构,与应用相结合实现证书管理的流程和策略、验证并标识证书申请者 的身份,对证书申请者的信用度,申请证书的目的,身份的真实可靠性等问题进行审 查,确保证书与身份绑定的正确性。 密钥管理中心密钥管理中心 KMC 是公钥基础设施中的一个重要组成部分,负责为 CA 系统提供密钥 的生成、保存、备份、更新、恢复、查询等密钥服务,以解决分布式企业应
5、用环境中 大规模密码技术应用所带来的密钥管理问题。问:问:PKI 的算法有几种的算法有几种答:两种,分别为对称密钥算法和非对称密钥算法 对称密钥算法:加密方和解密方使用相同的密钥对数据进行加密和解密,加密的强度 与密钥的长度直接相关。目前的算法有:DES、3DES、RC2、RC4、RC5、AES 非对称密钥算法:加密和解密使用不同的密钥,一个密钥公开,只进行加密操作,一 个密钥为个人拥有只能进行解密操作。 目前算法有,RSA、ECC(椭圆算法)、Diffie- Hellman、DSA、 问:PKI 算法的区别 答:PKI 两种算法的根本区别是密钥不同,一个是用相同的密钥,一个是用的不同密钥。对
6、称算法优势为加解密速度快,适合大数据加解密,缺点为密钥管理比方便,容易泄 露 非对称算法优势为,密钥管理方便,缺点为加密速度慢,适合对密钥的加密。问:什么是数字证书问:什么是数字证书答:数字证书也叫数字身份证,网络身份证,是由证书认证中心 CA 发放,并经 认证中心数字签名,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可 以用来证明数字证书持有者的真实身份。问:数字证书中都包含什么?问:数字证书中都包含什么?答:数字证书使用的是 X.509,是广泛的证书格式之一, X.509 证书包含如下部分: 域含义 Version证书版本号、不同版本的证书格式不同 Serial number序列
7、号,同一身份验证机构签发的证书序 列号唯一 Algorithm ldentifier签名算法,包括必要的算法 Lssuer 身份验证机构的标识信息 Period of validity有效期 Subject证书持有人的标识信息 Sbbject publicKey 证书持有人的公钥 Signature身份验证机构对证书的签名问;什么是数字签名问;什么是数字签名答:数字签名又称公钥数字签名,电子签章,是一种使用公钥加密领域的技术实 现,用于鉴别数字信息的方法,一套数字签名通常定义两种互补的运算,一个用户签 名,一个用于验证,数字签名是加密的过程,验证是解密的过程。问:数字签名的过程问:数字签名的过
8、程答:数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者, 接收者只用发送者的公钥才能解密被加密的摘要信息,然后用相同的 HASH 函数对原 文使用,产生一个摘要,与解密的摘要进行对比,如果相同则说明收到的信息是完整 的,在传输的过程中没有被修改,否则说明信息被修改过。问:什么是问:什么是 SSL(安全套接层协议)协议(安全套接层协议)协议答:SSL 协议是网 景公司提出的基于 WEB 应用的安全协议,它包含服务器认证、 客户端认证、SSL 链路上的数据完整性和 SSL 链路上的数据保密性,对于应用来说,使 用 SSL 可保证信息的完整性、保密性和真实性,但由于 SSL 不对应
9、用层的消息进行数字 签名,因此不能提供交易的不可否认性。问:问:P7 P10 P11 的用处的用处P7,用来传递证书(通用的证书传递) P12 用来传递证书(用来描述个人证书传递) P10 用来进行证书请求 P11 调去某些函数来进行做硬件证书的接口、问:数字证书主题的命名要求问:数字证书主题的命名要求答:C;代表国家 O 代表颁布者名称 OU 代表组织单位名称。 CN 代表持有者问:问:SSL 握手协议握手协议答: 客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的 随机数,以及其他服务器和客户端之间通讯所需要的各种信息。服务器向客户端传送 SSL 协议的版本号,
10、加密算法的种类,随机数以及其他相 关信息,同时服务器还将向客户端传送自己的证书。客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证 书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务 器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四 步。用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服 务器的公钥从步骤中的服务器的证书中获得)对其加密,然后将加密后的“预主密 码”传给服务器。 如果服务器要求客户的身份认证(在握手过程中为可选),用
11、户可以建立一个 随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密 过的“预主密码”一起传给服务器。如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合 法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书 的 CA 是否可靠,发行 CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检 查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如 果验证通过,服务器将用自己的私钥解开加密的“预主密码 ”,然后执行一系列步骤 来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。服务器和客户端用相
12、同的主密码即“通话密码”,一个对称密钥用于 SSL 协议 的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性, 防止数据通讯中的任何变化。客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤中的主密码 为对称密钥,同时通知服务器客户端的握手过程结束。服务器向客户端发出信息,指明后面的数据通讯将使用的步骤中的主密码为 对称密钥,同时通知客户端服务器端的握手过程结束。SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。问:为什么需要数字证书与第三方认证问:为什么需要数字证书与第三方认证对
13、PGP 来说公匙本来就要公开,就没有防监听的问题。但公匙的发布中仍然存在安 全性问题,例如公匙的被篡改(Public Key Tampering),这可能是公匙密码体系中最大的 漏洞,因为大多数新手不能很快发现这一点。你必须确信你拿到的公匙属于它看上去 属于的那个人。为了把这个问题说清楚,我举个例子,然后再说如何正确地用 PGP 堵 住这个漏洞。以你和 Alice 的通信为例,假设你想给 Alice 发封信,那你必须有 Alice 的公匙,你 从 BBS 上下载了 Alice 的公匙,并用它加密了信件用 BBS 的 Email 功能发给了 Alice。不 幸地,你和 Alice 都不知道,另一
14、个用户叫 Charlie 的用户潜入 BBS,把他自己用 Alice 的名字生成的密匙对中的公匙替换了 Alice 的公匙。那你用来发信的公匙就不是 Alice 的而是 Charlie 的,一切看来都很正常,因为你拿到的公匙的用户名是“Alice”。于是 Charlie 就可以用他手中的私匙来解密你给 Alice 的信,甚至他还可以用 Alice 真正的公 匙来转发你给 Alice 的信,这样谁都不会起疑心,他如果想改动你给 Alice 的信也没问 题。更有甚者,他还可以伪造 Alice 的签名给你或其他人发信,因为你们手中的公匙是 伪造的,你们会以为真是 Alice 的来信。防止这种情况出现
15、的最好办法是避免让任何其他人有机会篡改公匙,比如直接从 Alice 手中得到她的公匙,然而当她在千里之外或无法见到时,这是很困难的。PGP 发 展了一种公匙介绍机制来解决这个问题。举例来说:如果你和 Alice 有一个共同的朋友David,而 David 知道他手中的 Alice 的公匙是正确的(关于如何认证公匙,PGP 还有一 种方法,后面会谈到,这里假设 David 已经和 Alice 认证过她的公匙)。这样 David 可 以用他自己的私匙在 Alice 的公匙上签名(就是用上面讲的签名方法),表示他担保这 个公匙属于 Alice。当然你需要用 David 的公匙来校验他给你的 Alic
16、e 的公匙,同样 David 也可以向 Alice 认证你的公匙,这样 David 就成为你和 Alice 之间的“介绍人”。 这样 Alice 或 David 就可以放心地把 David 签过字的 Alice 的公匙上载到 BBS 上让你去拿, 没人可能去篡改它而不被你发现,即使是 BBS 的管理员。这就是从公共渠道传递公匙 的安全手段。有人会问:那你怎么安全地得到 David 的公匙呢,这不是个先有鸡还是先有蛋的 问题吗?确实有可能你拿到的 David 的公匙也是假的,但这就要求这个捣蛋者参与这 整个过程,他必须对你们三人都很熟悉,还要策划很久,这一般不可能。当然,PGP 对这种可能也有预防的建议,那就是由一个大家普遍信任的人或机构担当这个角色。 他被称为“密匙侍者”或“认证权威”,每个由他签字的公匙都被认为是真的,这样 大家只要有一份他的公匙就行了,认证这个人的公匙是方便的,因为他广泛提供这个 服务,假冒他的公匙是很极困难的,因为他的公匙流传广泛。这样的“权威”适合由 非个人控制组织或政府机构充当,现在已经有等级认证制度的机构存在。对于那些非常分散的人们
