网络安全精要-莉莉安.pdfVIP

1.2.4 网络安全需求 数据完整性：是所有计算机信息系统，以数据服务与用户为首要要求，保证存储或传输的数 据不被非法插入、删改、重发或意外事件破坏，保持数据的完整性和真实性，尤其是那些要 求极高的信息，如密钥和口令等。 服务可用性：是指对符合权限的实体能提供优质服务，是适用性、可靠性、及时性和安全保 密性的综合表现。服务可用性是一种可被授权实体访问并按需求使用的特性，即当需要时被 授权实体能否存取所需的信息。 1.3 PDRR 网络安全模型 （自加） PDRR 由4 个英文单词的头一个字符组成：Protection( 防护) 、Detection(检测) 、Response(响 应)和 Recovery （恢复），这四个部分组成了一个动态的信息安全周期。如下图。 1.4.7 最小特权 最小特权原则：是指一个对象（程序、人、路由器或者任何事物）应该只拥有为执行其分配 的任务所必要的最小特权并且绝不超越此限。该原则导致的结果必然是系统被配置为符合要 求的尽可能小的特权。它使得管理员能更牢固地控制外部系统和内部系统的连接。 2.1 数据加密 密码体制：是指一个加密系统采用的基本工作方式。密码体制的基本要素是密码算法和密钥， 密钥是密码算法中的可变参数，密码算法只是一些公式、法则或程序。 2.1.3 现代密码体制 根据密码算法所使用的加密密钥和解密密钥是否相同，可将密码体制分为对称或非对称密码 体制。 对称密码体制又称为秘密密钥密码体制（或单密密钥密码体制、隐蔽密钥密码体制），即加 密密钥和解密密钥相同或一个可由另一个导出。拥有加密能力就意味着拥有解密能力，反之 亦然。堆成密码体制的保密强度高，但开放性差，需要有可靠的密钥传递渠道。 非对称密码体制又称为公开密钥密码体制，即加密密钥公开，解密密钥不公开，从一个推导 出另一个是不可行的。这种体制下的加密和解密能力是分开的。非对称密码体制适用于开放 的使用环境，密钥管理相对简单，但工作效率一般低于对称密码体制。 如果一个加密过程可以描述为：当明文和密钥确定后，密文的形式也就唯一的确定，则称为 确定性密码体制。使用较多。 如果一个加密过程可以描述为：当明文和密钥确定后，密文的形式仍是不确定的，最后产生 出来的密文通过客观随机因素从一个密文集合中选出，则称为概率密码体制。如插入式密码 算法就属于这一类（将密文隐藏进一段无关的明文以产生进一步的密文）。概率密码体制增 加了破译的难度，但可能会显著增加密文的长度，从而增加加密和传送的代价。 2.2 对称密码体制 对称密码体制常有 DES 、IDEA 和 AES 等密码算法。（以下废话有点多。。。自己看书理 解） DES （Data Encryption Standard ）属于分组加密算法。使用56 位密钥以 64 位的分组为单位 进行加密。该系统中每次加密或解密的分组大小是 64 位，所以 DES 没有密文扩充的问题。 需要用子密钥和 f 函数 16 轮加密/解密，还有用初始密钥 16 轮循环左移计算子密钥。f 函数 须输入 32 位中间密文 R （扩充）和48 位子密钥 K ，异或给 8 个 S-盒，6 入 4 出。S-盒的 替换方式是把 6 位输入最左和最右取出来当列数，中间 4 个当行数。DES 的子密钥在加密 和解密时顺序不同，正好相反。 IDEA （International Data Encryption Algorithm ）是一种使用 128 位密钥以 64 位分组为单位 加密数据的分组密码算法。其设计目标可归结为密码强度和使用的方便性。密码强度包括分 组长度、密钥长度、混淆和扩散；使用方便性指方便硬件（高速）和软件（灵活、低价）实 现。64 位明文，分 4 组，每轮与 6 个子密钥作用（4 子密钥加法及乘法，两两异或得 2 份， 与 2 子密钥进入下一步，经 MA 到下一轮（第 2,3 份经位置互换为对抗差分分析法））， 共 8 轮。128 位加密密钥产生 52 位子密钥。最后 4 个子密钥用来输出变换。 AES （Advanced Encryption Standard ）应是对称密码体制（即秘密密钥算法），分组密码算 法，分组长度 128bit，密钥长度 128、192 和 256bit 。比三重DES 快，至少和三重 DES 一样 安全。2000 年 NIST 选择 Rijndael 数据加密算法为 AES 算法。设计目标：1.能抗击所有已知 攻击 2.在广大范围平台上的快速和代码简洁 3.设计简单。使用宽轨迹策略来抗击线性密码分 析和差分密码分析。有 3 层带功能的变换：1.线性混合