信息系统安全属性

• 保密性：最小授权原则、防暴露、信息加密、物理保密
• 完整性：安全协议、校验码、密码校验、数字签名、公证
• 可用性：综合保障（IP过滤、业务流控制、路由选择控制、审计跟踪）
• 不可抵赖性：数字签名

对称加密技术

加密和解密的时候，用的完全一样的密钥

优点

• 加密速度快
• 效率高

缺点：

• 加密强度不高
• 密匙分发困难

单向散列函数（单向Hash函数）、固定长度的散列值

常用的消息摘要算法有MD5，SHA等， 市场上广泛使用的MD5，SHA算法的散列值分别为128和160位，由于SHA通 常采用的密钥长度较长，因此安全性高于MD5。

数字签名

A用私钥加密签名，B用A的公钥解密，所以没有保密性
一般与摘要一起传输

数字信封与PGP

发送方将原文用对称密钥加密传输，而将对称密钥用接收方公钥加密发送给对方。
接收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文。

• PGP可用于电子邮件，也可以用于文件存储。采用了杂合算法，包括IDEA、RSA、MD5、ZIP数据压缩算法。
• PGP承认两种不同的证书格式：PGP证书和X.509证书。
• PGP证书包含PGP版本 、证书持有者的公钥、证书持有者的信息、证书拥有者的数字签名、证书的有效期、密钥首选的对称加密算法。
• X.509证书包含证书版本、证书的序列 、签名算法标识、证书有效期、以下数据：证书发行商名字、证书主体名、主体公钥信息、发布者的数字签名。

练习

设计邮件加密系统

要求邮件以加密方式传输，邮件最大附件内容可达500MB，发送者不可抵赖，若邮件被第三方截获，第三方无法篡改。

• 以加密方式传输：加密解密技术
• 内容可达500MB：对称加密
• 发送者不可抵赖：数字签名
• 第三方无法篡改：信息摘要技术

络安全

各个 络层次的安全保障

• 络层防火墙效率比较高，只检查IP 头
• 应用层防火墙效率比较低，要检查里面的文件

主要掌握屏蔽子 :
这种方法是在内部 络和外部 络之间建立一个被隔离的子 ，用两台分组过滤路由器将这一子 分别与内部 络和外部 络分开。
如果攻击者试图完全破坏防火墙，他必须重新配置连接三个 的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止 络访问路由器或只允许内 中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内 主机，再返回来破坏屏蔽路由器，整个过程中不能引发警 。
屏蔽子 防火墙能够帮助建立一个非防护区，这种类型防火墙利用堡垒主机夹在两个路由器中间是最安全的防火墙系统。