系统架构设计师考点—信息安全和网络安全

一、备考指南

     信息安全和网络安全主要考查的是信息安全属性、加密解密数字摘要、数字签名、PKI体系等相关知识，同时也是重点考点，在系统架构设计师的考试中一般会考选择题，占2~4分，在案例分析和论文中有时也会考到，属于重点章节之一。

二、对称加密技术

1、概念：对称加密就是对数据的加密和解密的密钥(密码)是相同的，属于不公开密钥加密算法。其缺点是加密强度不高(因为只有一个密钥)，且密钥分发困难(因为密钥还需要传输给接收方，也要考虑保密性等问题)。

2、常见的对称密钥加密算法如下: 

(1)DES:替换+移位、56位密钥、64位数据块、速度快，密钥易产生。

(2)3DES:三重DES，两个56位密钥K1、K2,进行加密和解密，其过程如下。

加密:K1加密→K2解密→K1加密。

解密:K1解密→K2加密→K1解密。

(3)AES:是美国联邦政府采用的一种区块加密标准，这个标准用来替代原先的DES。对其的要求是“至少像3DES一样安全”。

(4)RC-5:RSA数据安全公司的很多产品都使用了RC-5。

(5)IDEA:128位密钥，64位数据块，比DES的加密性好，对计算机功能要求相对低。

三、非对称加密技术

1、概念：非对称加密技术就是对数据的加密和解密的密钥是不同的，是公开密钥加密算法。其缺点是加密速度慢。

2、非对称加密技术的原理是:发送者发送数据时，使用接收者的公钥作加密密钥，私钥作解密密钥，这样只有接收者才能解密密文得到明文。安全性更高，因为无须传输密钥。但无法保证完整性。

如图所示，图中PKB表示明文通过接收者的公钥进行加密，SKB表示密文通过接收者的私钥进行解密。

3、常见的非对称加密算法如下: 

(1)RSA:512位(或1024位)密钥，计算量极大，难破解。

(2)EIGamal、Ecc(椭圆曲线算法)、背包算法、Rabin、D-H等。

相比较可知，对称加密算法密钥一般只有56位，因此加密过程简单，适合加密大数据，也因此加密强度不高；而非对称加密算法密钥有1024位，相应的解密计算量庞大，难以破解，却不适合加密大数据，一般用来加密对称算法的密钥，这样，就将两个技术组合使用了，这也是数字信封的原理。

四、网络安全协议

      物理层主要使用物理手段，隔离、屏蔽物理设备等，其他层都是靠协议来保证传输的安全。

1、SSL协议:安全套接字协议，被设计为加强Web安全传输(HTTP/HTTPS)的协议，安全性高，和HTTP结合之后，形成HTTPS安全协议，端口号为443。

2、SSH协议:安全外壳协议，被设计为加强Telnet/FTP安全的传输协议。

3、SET协议:安全电子交易协议主要应用于B2C模式(电子商务)中保障支付信息的安全性。SET协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现，同时也在不断升级和完善，如 SET2.0 将支持借记卡电子交易。

4、Kerberos协议:是一种网络身份认证协议，该协议的基础是基于信任第三方，它提供了在开放型网络中进行身份认证的方法，认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或计算机的IP地址，不需要保证网络上所有计算机的物理安全性，并且假定数据包在传输中可被随机窃取和篡改。

5、PGP协议(安全电子邮件协议):使用RSA公钥证书进行身份认证，使用IDEA (128位密钥) 进行数据加密，使用MD5进行数据完整性验证。

五、数字签名

   发送者发送数据时，使用发送者的私钥进行加密，接收者收到数据后，只能使用发送者的公钥进行解密，这样就能唯一确定发送方，这也是数字签名的过程。但无法保证机密性，如图所示。