APNGW产品安全问题解答.docVIP

APNGW产品安全问题解答 更多问题，请直接到论坛上发布或联系我们 问：APN提供哪几种认证，认证是怎样的一回事？ 答：关于身份认证，有两种方式：基于RSA2048位加密算法的硬件Key的方式和预先设定密码的pre-share Key方式。在解释这个问题之前，有几个概念要先澄清。APNGW支持很多加密算法，各有各的用途。一般来说密钥加密的方法有三种类型：对称加密、非对称加密和Hash加密。 密钥的一个重要因素是它的长度——位，使用浏览器的时候也许你已经注意到了，在帮助中，我们可以查到某个版本浏览器的密钥长度，比如密钥长度为128，则表示这个密钥里包含了2的128次方个密码规则，这是一个天文数字。这已经是很高的加密算法啦，美国曾经很长时间以来限制对中国出口的。 对称加密只使用了一个密钥进行加密解密，所以也可以叫做单密钥加密。它对密钥本身没有特殊的要求，通信双方只要有一个相同的密钥就行，一个用户把自己需要发送的数据通过密钥加密成混乱的信息，接受方使用相同的密钥把接受到的信息还原成原始数据，这个方法可以在极短的时间内对大量信息进行加密解密。但是如果密钥在传输过程中就被截获，那么以后的加密过程就形同虚设。这个方法的优点是使用同一个密钥节省了加密解密所需的时间，但是无法保证密钥的安全性。目前使用对称密钥算法的是DES、RC5、RC6、Blowfish和Twofish等，其中最后两种算法位数长，而且加密解密速度很快。 非对称加密在加密和解密中使用了一对密钥，一个是公用密钥，它对外公开发布，另一个是私有密钥，由用户自己保存。从理论上讲，这种加密方式只要是用户的私有密钥没有丢失或者被窃，那么他们之间加密的信息是绝对不会被破解的。但是它的缺点也非常明显，就是加密速度非常缓慢。由于要进行大量的数学运算，即使加密少量的信息也需要花费大量的时间。例如RSA。在非对称(公开)密钥密钥体制中，公钥是可以向外公布的，私钥是保密的。加密和解密算法是相同或者不同（但互补）的。当一方要向另一方传送敏感信息的时候，使用对方的公钥对数据进行加密，接收者收到加密信息后，用自己的私钥进行解密。由于私钥是保密的，因此其他截获信息的人无法进行解密，而由于公钥是对外公布的，因此很好地解决了密钥的发放问题。 Hash加密是通过数学运算，把不同长度的信息转化到128位编码中，形成Hash值，通过比较这个数值是否正确，来确定通信双方的合法性。这也可以说是数字签名，在数据传输后，可以通过比较Hash值来判断信息途中是否被截获修改，是否由合法的发送人发送或者合法的接收人接收等。用这种方法，可以防止密钥丢失的问题，因为它的加密部分是随机生成的，如果没有正确的Hash值根本就无法解开加密部分，而且它还具备了数字签名的能力，可以证明发送方和接收方的合法身份，具有不可抵赖性，很适用于商业信息的传递。目前使用的有MD4、MD5和SHA。 目前，最著名公开密钥密码体制是RSA体制，它是由美国MIT的三位科学家Rivest,， Shamir和Adleman于1976年提出的，是一种基于数论中大数分解的理论。由于RSA的安全性和实用性，它是当前使用最广泛的公钥密码系统，即可以进行加密，也可以进行数字签名。保障了数据的完整性、机密性，解决了身份认证问题和不可抵赖性问题。在实际应用中，通常是DES和RSA加密算法同时使用。由于DES加/解密速度上的优势，因此数据的加/解密通常是用DES完成的，而DES使用的密钥是通过应用RSA算法生成的数字信封来传递的，保障了密钥传递的安全性。 问：APN提供哪几种加密算法，本方案采用哪种？是怎么分发的？答：加解密技术是数据通信中一项较成熟的技术，APN一般采用3DES/DES/AES等，用于在数据在公网传输过程中进行加密；到达目的地之后再进行解密。这些加密算法用于数据传输： AES/128位加密算法 3DES/168位加密算法 SERPENT/128位加密算法 BLOWFISH/128位加密算法 TWOFISH/128位加密算法 硬件加密卡或第三方算法 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。RSA用于身份认证：这是为了防止别人伪造节点来攻击。例如，A计划和B通讯；而黑客C拦截了到B的数据报把自己伪造成B。A如何来保证和自己通讯的是B而不是C呢？RSA加密算法可以保证这个问题。从理论上讲，这种加密方式只要是用户的私有密钥没有丢失或者被窃，那么他们之间加密的信息是绝对不会被破解的。但是它的缺点也非常明显，就是加密速度非常缓慢。由于要进行大量的数学运算，即使加密少量的信息也需要花费大量的时间。所以一般只是用于身份认证，而不是用于数据传输。 RSA 2048 Pre-share Key 还有传输中如何保