系统安全与加解密技术

一.安全基础基础

（1）安全性(security)是指系统在向合法用户提供服务的同时能够阻止非授权用户使用的企图或拒绝服务的能力。

（2）安全性是根据系统可能受到的安全威胁的类型来分类的，安全性又可划分为机密性、完整性、不可否认性及可控性等特性。  

机密性保证信息不泄露给未授权的用户、实体或过程；

完整性保证信息的完整和准确，防止信息被非法修改;

不可否认性是指防止发送方否认发送过信息；

可控性保证对信息的传播及内容具有控制的能力，防止为非法者所用。

（3）一个完整的信息安全系统至少包含三类措施:

技术方面的安全措施，管理方面的安全措施和相应的政策法律。

信息安全的技术措施主要有:信息加密、数字签名、数据完整性保护、身份鉴别、访问控制、数据备份和灾难恢复、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等。

二.加解密技术

1.对称加密

一般用对称加密原文，已到达高速、节省空间的目的。

对称加密：公钥和秘钥一样，或者说公钥可以推导出秘钥。常见的对称加密算法有：DES、AES、RC-5、IDEA

2.非对称加密

非对称加密：公钥和秘钥不一样，或者说公钥不能推导出秘钥。加密强度高但加密效率低，一般用非对称加密保证数据的安全性，秘钥分发相对简单。

            常见的非对称加密算法有：RSA（基于大数分解的困难性）;其他有Elgamal（安全性依赖于计算有限域上离散对数这一难题），ECC（椭圆曲线算法）

            RSA(其原理基于大数分解的困难性--根据数论，寻求两个大素数比较简单，而将它们的乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥)；      

非对称加密：加密解密规则，用接收方的公钥加密。pa（公钥）加密sa（私钥）可解密，sa加密pa可解密。

3.信息摘要

相当于做md5，原文发生一小点变化，那摘要信息将完全不一样(雪崩效应)，下载安装包的时候，也会有个校验md5，就是指的这个。

4.数字签名

数字签名是采用非对称加密技术，具体用发送方A的私钥Sa加密信息后，接收方如果用发送方的公钥Pa能解密，那么这个信息就一定是A发送的。

5.数字证书CA

每个数字证书上都会有其CA机构颁发的签名，我们可以通过验证CA机构对数字证书的签名来核实数字证书的有效性。

如果证书有效，说明此网站经过CA机构中心的认证，是可信的网站，所以这个动作是用来验证网站真伪的，而不能验证客户方的真伪。

负责生成和签署数字证书的是证书机构CA、负责验证用户身份的是注册机构RA。

三.网络安全

1.信息系统面临多种类型的网络安全威胁。

其中，信息泄露是指信息被泄露或透露给某个非授权的实体;

破坏数据完整性是指数据被非授权地进行修改;

拒绝服务是指对信息或其他资源的合法访问被无条件地阻止；

业务流分析是指通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。

网络安全漏洞通常是指网络节点的系统软件或应用软件在逻辑上的缺陷。

SYN Flooding攻击的原理是：利用TCP三次握手，恶意造成大量TCP半连接，耗尽服务器资源，导致系统拒绝服务。

2.网络各层次的安全保障

需要知道各个层用什么协议来保障安全。

PGP (Pretty Good Privacy):优良保密协议。         //应用层   

SSL (Secure Sockets Layer):安全套接字协议。      //应用层--表示层

TLS (Transport Layer Security):传输层安全协议。  //应用层--会话层

SET(Secure Electronic Transaction):安全电子交易协议。  //传输层

IPSEC(Internet Protocol Security):互联网安全协议。     //网络层

3.等级保护标准

等级最低：用户自主。等级最高：访问验证。

银行：安全标记。广播电台：结构化保护

4.无线加密技术

目前，无线网络中已存在好几种加密技术，由于安全性能的不同，无线设备的不同技术支持，支持的加密技术也不同，一般常见的有:WEP、WPA/WPA2、WPA-PSKWPA2-PSK。