软考-信息安全工程师学习笔记14——密码学网络安全应用
密码技术常见应用场景类型
网络用户安全
采用密码技术保护网络用户的安全措施主要有:
基于公钥密码学技术 , 把用户实体信息与密码数据绑定,形成数字证书,标识网络用户身份,并提供身份鉴别服务。使用加密技术 ,保护网络用户的个人敏感信息。物理和环境安全
采用密码技术保护物理和环境的安全措施主要有:
对物理区域访问者的身份进行鉴别,保证来访人员的身份真实性;保护电子门禁系统进出记录的存储完整性和机密性;保证视频监控音像记录的存储完整性和机密性。网络和通信安全
采用密码技术保护网络和通信的安全措施主要有:
对通信实体进行双向身份鉴别,保证通信实体身份的真实性:使用数字签名保证通信过程中数据的完整性:对通信过程中进出的敏感字段或通信报文进行加密,保证数据的机密性;使用密码安全认证协议对网络设备进行接入认证,确保接入的设备身份的真实性。设备和计算安全
采用密码技术保护设备和计算的安全措施主要有:
使用密码安全认证协议对登录设备用户的身份进行鉴别;使用 Hash 函数及密码算法建立可信的计算环境;使用数字签名验证重要可执行程序来源的真实性;使用加密措施保护设备的重要信息资源,如口令文件;使用 SSH 及 SSL 等密码技术,建立设备远程管理安全信息传输通道。应用和数据安全
采用密码技术保护应用和数据的安全措施主要有:
使用安全协议及数字证书对登录用户进行身份鉴别,保证应用系统用户身份的真实性;加密应用系统访问控制信息;应用 SSH 及 SSL 等密码技术,传输重要数据,保护重要数据的机密性和完整性;加密存储重要数据,防止敏感数据泄密;使用 Hash 函数、数字签名等密码技术,保护应用系统的完整性,防止黑客攻击篡改。业务应用创新
采用密码技术进行业务应用创新的措施主要有:
利用数字证书和数字签名等密码技术,构建网络发票;使用 Hash 函数等密码技术,构建区块链;利用密码技术,建立电子证照路由器安全应用参考
路由器是网络系统中的核心设备,其安全性直接影响着整个网络。
路由器面临的威胁 :
路由信息交换的篡改和伪造路由器管理信息泄露路由器非法访问1.路由器口令管理
为了路由器口令的安全存储,路由器先用 MD5 对管理员口令信息进行 Hash 计算,然后再保存到路由器配置文件中。
2.远程安全访问路由器
远程访问路由器常用 Tehnet, 但 Telnet 容易泄露敏感的口令信息,因此,管理员为增强路由器的安全管理,使用 SSH 替换 Telnet 。
3.路由信息交换认证
路由器之间需要进行路由信息的交换,以保证网络路由正常进行,因此需要路由器之间发送路由更新包。为了防止路由欺诈,路由器之间对路由更新包都进行完整性检查,以保证路由完整性。目前,路由器常用 MD5-HMAC 来实现 。如果路由信息在传输过程中被篡改了,接收路由器通过重新计算收到路由信息的 Hash 值。然后与发送路由器的路由信息的 Hash 值进行比较,如果两个 Hash 值不相同,则接收路由器拒绝路由更新包,
Web 网站安全应用参考
Web 网站是网络应用的重要组成部分,其安全威胁:
信息泄露非授权访问网站假冒拒绝服务密码学在 Web 方面的安全应用:
Web 用户身份认证Web 服务信息加密处理Web 信息完整性检查重要信息网站通过数字证书和 SSL 共同保护 Web 服务的安全。
利用 SSL 和数字证书,可以防止浏览器和 Web 服务器间的通信信息泄密或被篡改和
安全套接层协议SSL(Security Socket Layer)
安全套接层协议SSL(Security Socket Layer)就是设计来保护网络传输信息的,它工作在传输层之上、应用层之下,其底层是基于传输层可靠的流传输协议(如TCP)
是一种国际标准的加密及身份认证通信协议,提供了两台机器间的安全连接
SSL不能提供对任何信息都实现抗抵赖性
SSL提供的服务
认证用户和服务器,确保数据发送到正确的客户机和服务器;(数字证书和公钥密钥技术)加密数据以防止数据中途被窃取;(对称算法)维护数据的完整性,确保数据在传输过程中不被改变。(MAC)SSL体系结构
SSL的握手协议
SSL握手协议用于鉴别初始化和传输密钥,它使得服务器和客户能相互鉴别对方的身份,并保护在SSL记录中发送的数据。
SSL的记录协议
SSL从应用层取得的数据需要重定格式(分片、可选的压缩、应用MAC、加密等)后才能传给传输层进行发送。
电子邮件安全应用参考
电子邮件是最常见的网络应用,但是普通的电子邮件是明文传递的,电子邮件的保密性难以得到保证,同时电子邮件的完整性也存在安全问题。针对电子邮件的安全问题,人们利用 PGP(Pretty Good Privacy)来保护电子邮件的安全 。
PGP(Pretty Good Privacy)
PGP 是一种加密软件,目前最广泛地用于电子邮件安全 。它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩 。它能够防止非授权者阅读邮件 ,并能对用户的邮件加上数字签名 ,从而使收信人可以确信发信人的身份 。
PGP 应用了多种密码技术,其中密钥管理算法选用 RSA、数据加密算法 IDEA、完整性检测和数字签名算法,采用了 MD5 和 RSA以及随机数生成器 ,PGP 将这些密码技术有机集成在一起,利用对称和非对称加密算法的各自优点,实现了一个比较完善的密码系统。
PGP的功能
鉴别
PGP鉴别的过程
发送者产生消息M;用SHA-1对M生成一个160位的散列码H;H用发送者的私钥加密,并与M连接;接收者用发送者的公钥解密并恢复散列码H;对消息M生成一个新的散列码,与H比较。如果一致,则消息M被认证,即报文作为已鉴别的报文而接受。(提供DSS/SHA-1可选替代方案和签名与消息分离的支持。)机密性
PGP提供的另一个基本服务是机密性,它是通过对将要传输的报文或者将要像文件一样存储在本地的报文进行加密来保证的
鉴别与机密性
PGP可以同时提供机密性与鉴别。当加密和认证这两种服务都需要时,发送者先用自己的私钥签名,然后用会话密钥加密,再用接收者的公钥加密会话密钥
压缩
PGP对报文进行压缩,这有利于在电子邮件传输和文件存储时节省空间 。但压缩算法的放置位置比较重要,在默认的情况下,放在签名之后加密之前。这是因为:
对没有经过压缩的报文进行签名更好些 。这样,为了将来的验证就只需要存储没压缩的报文和签名。如果对压缩文档签名,那么为了将来的验证就必须或者存储压缩过的报文、或者在需要验证时更新压缩报文;即使个人愿意在验证时动态生成重新压缩的报文,PGP的压缩算法也存在问题。算法不是固定的,算法的不同实现在运行速度和压缩比上进行不同的折衷,因此产生了不同的压缩形式。但是,这些不同的压缩算法是可以互操作的,因为任何版本的算法都可以正确地解压其他版本的输出。如果在压缩之后应用散列函数和签名,将约束所有的PGP实现都使用同样的压缩算法。在压缩之后对报文加密可以加强加密的强度 。因为压缩过的报文比原始明文冗余更少,密码分析更加困难。学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
记者手记:大河永续奔流的密码
新华社北京9月22日电 题:记者手记:大河永续奔流的密码
新华社记者黄韬铭
山东东营,黄河入海口。大河浩荡奔流,一路千折百转,带着高原黄沙沉积出平原,切割出峡谷,灌溉起沃野,最终在此汇入茫茫渤海。
很难想象,眼前这条雄浑壮美的母亲河,曾饱受断流之苦。据统计,1972年至1999年的28年中,黄河有22年发生断流,给沿线地区生产生活、经济社会发展、生态环境保护带来严峻挑战。
“断流严重时,老百姓可以在河床上徒步走到对岸去,一点水都没有。”走访黄河河南段时,开封黄河河务局党组成员潘佳良告诉记者。
黄河宁,天下平。让黄河重现“奔流到海不复回”成了彼时的当务之急。
根据国务院授权,水利部黄河水利委员会自1999年正式实施黄河水量统一调度。由国家统一分配水量,流域机构负责组织实施,省(区)负责配水用水,用水总量和断面流量双控制,重要取水口和骨干水库统一调度。
如今,数字化、智慧化管理系统已经是水量统一调度的重要手段。记者在黄委黄河水量总调度中心大厅看到,沿黄省区及黄河干流重要水库、水文站的实时水位信息,干流沿线涵、闸的取用水情况,都在一整面墙的电子屏幕上得以显示。
“通过开发黄河干流实时调度、典型灌区需水预测等专业模型,我们可以对黄河水资源情况进行更精细的监测和管理。”黄委水资源局水调处干部王伟禄介绍。得益于水量统一调度,黄河实现了自1999年以来连续25年不断流。
大河浩荡,润泽四方。但由于水沙关系失调,下游河道淤积,地上“悬河”曾严重影响着滩区和堤防安全。实施调水调沙,是破解黄河下游泥沙淤积和洪水风险相伴难题的一个关键举措。
坐落于黄河中游最后一段峡谷出口处的小浪底水利枢纽是黄河治理的关键控制性工程。调水调沙时闸门开启,黄河之水便如万马奔腾,倾泻而出。
“通过大流量下泄,把水库、河道里的泥沙冲入大海,有助于加强防洪能力,保障下游安全。”水利部小浪底水利枢纽管理中心水量调度处处长李鹏说。据监测,通过调水调沙,黄河下游河道主河槽得到全线冲刷,河床有明显下降,行洪和过沙能力普遍提高。
大河奔流,生生不息。得益于河畅其流,大河之洲也迎来了生态跃变。
在黄河三角洲河口湿地一片茂密的芦苇丛中,记者看到不时有鸟儿或振翅飞出,或在水面盘旋。“经过持续多年的生态补水,在此落脚的鸟类越来越多,这里被称为‘鸟类的国际机场’。”黄河三角洲生态监测中心副主任赵亚杰说。
据了解,近5年,黄委年均向黄河三角洲国家级自然保护区补水超2亿立方米,湿地生态得到有效改善。保护区的鸟类目前增加到了373种,数量达600多万只。
大河奔流永向前。未来,黄河必将书写更多生态之美,成为造福人民的幸福河。
相关问答
海康启用 流 码加密有什么用?海康启用流码加密有以下几个用途:1.数据保密性:通过对视频流进行加密,可以防止未经授权的人员窃取、查看和篡改视频数据,保护视频数据的机密性。2.安全传输...
预览的时候显示”码 流 已加密?在录像机上操作,进入主菜单的网络配置,找到取流加密后取消即可。在录像机上操作,进入主菜单的网络配置,找到取流加密后取消即可。
对称 密码 体制的内容和典型算法?对称密码体制也称为对称加密,它是指加密和解密使用相同密钥的密码体系。典型的算法包括AES(高级加密标准)、DES(数据加密标准)和RC4(流加密算法)。在对称...
网文里最好的小说有那些?博士第一年遇到了心爱的女孩,在父母给的毕业奖励一辆甲壳虫车里羞羞,被学校保安逮住,走投无路的杰克求助了凶残的教授得以解围,并被告知拉紧自己的腰带、最...
有哪些关于期货学习的书值得推荐?如果是初学做期货的,我觉得过于投机的书籍尽量少接触,内功不修,招数再多也没有用。做期货交易不同于做股票,这里面差别很大。很多做股票的一上来就用股票的思...
信息技术系统informationtechnology求一篇描写信息技术系统概...[回答]是指有关信息的收集、识别、提取、变换、存储、处理、检索、检测、分析和利用等的技术.2、信息技术是指利用电子计算机和现代通讯手段获...2、信...
医保卡、社保卡、医保存折,都是什么?各自的用处是什么?医保卡就是社保卡,但是社保卡不仅仅是医保卡。社保卡的全称叫做社会保障卡,内部包含了医疗保险门诊报销、住院报销、个人账户等多种功能,也就是说涵盖了医保...
OSI参考模型的七层结构,各层的名称、主要功能及物理层、数据链路层、网络层和传输层的协议数据单元分别是?OSI参考模型分为7层,分别是物理层,数据链路层,网络层,传输层,会话层,表示层和应用层。各层的主要功能及其相应的数据单位如下:1物理层(PhysicalLay...
HTTPS有什么用?跟HTTP有什么区别呢?简单介绍一下概念,HTTPS(HyperTextTransferProtocolSecure),超文本传输安全协议,而HTTP(HyperTextTransferProtocol),超文本传...
简述ISO计算机网络体系统结构各层的主要功能-ZOL问答物理层比特流传输数据链路层提供介质访问、链路控制等网络层寻址和路由选...应用层提供应用程序间通信ISOOSI/RM:开放系统互连参考模型,1983年ISO颁布的...
