互联网的快速发展使得人们的生活变得更加便捷,与外部世界的沟通越来越顺畅,人们可以通过网络传输各种文件、实现对话交流等,但计算机网络的快速发展也带来了很多的信息安全隐患问题。尤其是信息安全问题,从计算机网络诞生开始就一直存在。
所以在信息技术快速发展的大背景下,信息安全问题逐渐受到社会的广泛关注,而密码学是保证信息安全的一个重要方法,本文论述了信息安全以及密码学的相关问题。
第一章信息安全
第一节概述
信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
第二节信息安全的内容
1.硬件安全
即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全
即计算机及其网络各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全
即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全
即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
第三节信息安全风险分析
1.计算机病毒的威胁
随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
2.黑客攻击
黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源。
3.信息传递的安全风险
①被非法用户截取从而泄露企业机密
②被非法篡改,造成数据混乱、信息错误从而造成工作失误③非法用户假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。
因此,信息传递的安全性日益成为企业信息安全中重要的一环。
4.身份认证和访问控制存在的问题
部分应用系统的用户权限管理功能过于简单,不能灵活实现更详细的权限控制;各应用系统没有一个统一的用户管理,使用起来非常不方便,不能确保账号的有效管理和使用安全。
第四节威胁来源
1.自然灾害、意外事故
2.计算机犯罪
3.人为错误,比如使用不当,安全意识差等
4."黑客"行为
5.内部泄密
6.外部泄密
7.信息丢失
8.电子谍报,比如信息流量分析、信息窃取等
9.信息战
10.网络协议自身缺陷,例如TCP/IP协议的安全问题等
11.嗅探,sniff。嗅探器可以窃听网络上流经的数据包。
第五节信息安全的对策
1.安全技术
为了保障信息的机密性、完整性、可用性和可控性,必须采用相关的技术手段。
(1)加解密技术
(2)VPN技术
(3)防火墙技术
(4)入侵检测技术
(5)安全审计技术
2.安全管理
只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面,企业信息安全才能真正得以实现。
(1)开展信息安全教育,提高安全意识。
(2)建立完善的组织管理体系。
(3)及时备份重要数据。
第二章密码学
第一节概述
密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。
密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。
第二节分类
一、古典密码
(一)概述
古典密码编码方法归根结底主要有两种,即置换和代换。把明文中的字母重新排列,字母本身不变,但其位置改变了,这样编成的密码称为置换密码。最简单的置换密码是把明文中的字母顺序倒过来,然后截成固定长度的字母组作为密文。
代换密码则是将明文中的字符替代成其他字符。
(二)置换密码
1.列置换
加密:将明文按固定长m分组,即每行m个字母,在密钥控制下按某一顺序交换列,最后按列优先的顺序依次读出,即产生了密文。
解密:逆过程。
2.周期置换
很大程度上同列置换,只不过加、解密时,在列交换后是按行优先的顺序向下进行。
(三)代换密码
1.单表代换密码
(1)加法密码
(2)乘法密码
(3)密钥词组代替密码
2.多表代换密码
单表代替密码的安全性不高,一个原因是一个明文字母只由一个密文字母代替。可以利用频率分析来破译。故产生了更为安全的多表代换密码,即构造多个密文字母表,在密钥的控制下用以一系列代换表依次对明文消息的字母序列进行代换。著名的多表代替密码有Vigenere密码等。
(1)Vernam密码
(2)Playfair密码
(3)Hill密码(乘积密码)
二、分组密码
(一)概述
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
(二)算法要求
1.分组长度足够大
2.密钥量足够大
3.密码变换足够复杂
(三)特点
1.优点
明文信息良好的扩展性,对插入的敏感性,不需要密钥同步,较强的适用性,适合作为加密标准。
2.缺点
加密速度慢,错误扩散和传播。
(四)DES算法
1.概述
DES算法为密码体制中的对称密码体制。
明文按64位进行分组,密钥长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位,使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。
2.算法特点
分组比较短、密钥太短、密码生命周期短、运算速度较慢。
3.加密流程
(1)初始置换
(2)16轮循环
(3)扩展置换(E盒)
(4)异或运算
(5)S盒置换
(6)终结置换
(五)AES算法
1.概述
高级加密标准在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。
2.算法流程
AddRoundKey:矩阵中的每一个字节都与该次轮秘钥(round key)做XOR运算;每个子密钥由密钥生成方案产生。
SubBytes:通过非线性的替换函数,用查找表的方式把每个字节替换成对应的字节。
ShiftRows:将矩阵中的每个横列进行循环式移位。
MixColumns:为了充分混合矩阵中各个直行的操作。这个步骤使用线性转换来混合每列的四个字节。
最后一个加密循环中省略MixColumns步骤,而以另一个AddRoundKey取代。
三、序列密码
(一)概述
利用密钥产生一个密钥流Z=Z1Z2Z3…,然后利用此密钥流依次对明文X=X0X1X2...进行加密,这样产生的密码就是序列密码,也称流密码。
(二)序列密码与分组密码的对比
1.分组密码以一定大小作为每次处理的基本单元,而序列密码则是以一个元素(一个字母或一个比特)作为基本的处理单元。
2.序列密码是一个随时间变化的加密变换,具有转换速度快、低错误传播的优点,硬件实现电路更简单;其缺点是:低扩散(意味着混乱不够)、插入及修改的不敏感性。
3.分组密码使用的是一个不随时间变化的固定变换,具有扩散性好、插入敏感等优点;其缺点是:加解密处理速度慢、存在错误传播。
(三)RC4算法
1.概述
RC4算法是一种在电子信息领域加密的技术手段,用于无线通信网络,是一种电子密码,只有经过授权(缴纳相应费用)的用户才能享受该服务。
2.原理
初始化算法
伪随机子密码生成算法
(四)RSA算法
1.概述
RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
2.缺点
(1)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密。
(2)安全性低。
(3)速度太慢,不利于数据格式的标准化。
五、哈希算法
(一)概述
哈希(Hash)算法,即散列函数。它是一种单向密码体制,即它是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程。
(二)特点
1.易压缩
2.易计算
3.单向性
4.抗碰撞性
5.高灵敏性
(三)MD5算法
1.概述
MD5即Message-Digest Algorithm 5(信息-摘要算法5),用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法),主流编程语言普遍已有MD5实现。
2.特点
压缩性
容易计算
抗修改性
强抗碰撞
(四)SHA1算法
1.概述
安全哈希算法主要适用于数字签名标准里面定义的数字签名算法。对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。当接收到消息的时候,这个消息摘要可以用来验证数据的完整性。在传输的过程中,数据很可能会发生变化,那么这时候就会产生不同的消息摘要。
2.特点
不可以从消息摘要中复原信息。
两个不同的消息不会产生同样的消息摘要。
六、数字签名
(一)概述
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。
(二)功能
1.身份认证
2.保密
3.完整性
4.不可抵赖
七、身份认证
(一)概述
身份认证,也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限。
身份认证技术
1.静态密码
2.智能卡
3.动态口令
4.USB KEY
5.生物识别技术
(二)PKI技术
概述
PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
体系结构
1.认证机构CA(Certificate Authority)
2.证书和证书库
3.密钥备份及恢复
4.密钥和证书的更新
5.证书历史档案
6.客户端软件
7.交叉认证
(三)优势
1.采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。
2.由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务,同时也可以为陌生的用户之间的通信提供保密支持。
3.由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。
4.PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种安全环境下都可以让用户更加放心。
5.PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。
结论
总的来说,信息安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,信息安全防护技术也必然随着网络应用的发展而不断发展。
