【愚公系列】软考高级-架构设计师 064-信息安全技术

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，亚马逊技领云博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

信息安全技术是一种涉及保护计算机系统、网络和数据不受未经授权的访问、使用、泄露或破坏的技术和方法。信息安全技术的主要目标是确保信息的机密性、完整性和可用性，防止信息在传输和存储过程中遭到未经授权的访问或修改。

🚀一、信息加密技术

🔎1.对称加密技术

🦋1.1 概念

对称加密技术是一种加密算法，其特点是加密和解密所使用的密钥（也称为密码）是相同的。这种密钥只有发送方和接收方知道，在通信过程中不会公开传输。对称加密算法也称为不公开密钥加密算法。

要点概括：

1. 对称加密技术：加密和解密使用相同密钥的加密算法。
2. 密钥保密：加密和解密的密钥只有通信双方知道，不会公开传输。
3. 简单高效：对称加密算法相对于公开密钥加密算法来说，加密解密速度快，适用于大量数据的加密。
4. 常见算法：常见的对称加密算法包括AES（高级加密标准）、DES（数据加密标准）、3DES、RC4等。
5. 应用领域：对称加密技术广泛应用于数据传输、文件加密、网络通信等领域，保护数据的机密性。🦋1.2 类型对称加密算法通常分为两种基本类型：分组密码和序列密码。这两种类型的加密算法在处理数据时有不同的方式和特点。
6. 分组密码：
   • 定义：分组密码是一种对明文数据按固定长度的分组进行加密处理，并输出相同长度的密文分组的加密算法。常见的分组密码包括DES、AES等。
   • 运作方式：在分组密码中，明文数据按照固定长度（比如64位或128位）分成一块一块进行加密。加密算法对每个数据块进行加密操作，然后输出相同大小的密文数据块。
   • 特点：分组密码适用于处理固定长度的数据块，具有高效、结构化等特点。
7. 序列密码：
   • 定义：序列密码是一种按位或字节对明文和密文数据流进行处理的加密算法。常见的序列密码包括流密码算法等。
   • 运作方式：序列密码逐位或逐字节地对数据流进行加密操作，没有明确的数据块划分。加密和解密是连续的过程，而不是按块处理。
   • 特点：序列密码适用于连续的数据流，对实时数据加密和传输具有优势，但处理数据流的性能可能受到影响。

分组密码适用于固定长度数据块的加密和解密，而序列密码适用于流式数据的加密和解密。不同类型的对称加密算法在实际应用中根据需求选择合适的方式来保护数据的安全。

🦋1.3 优缺点

优点：

1. 加密速度快：由于对称加密算法使用相同的密钥进行加密和解密，加密速度通常较快，适合对大量数据进行加密和解密操作。
2. 适合加密大数据：由于加密和解密的过程简单，对称加密算法适合处理大数据量的加密需求，效率高。

缺点：

1. 加密强度不高：由于对称加密算法使用相同的密钥进行加密和解密，在一定程度上增加了密钥的破解难度，因此密钥长度通常较短，加密强度相对较低。
2. 密钥分发困难：对称加密算法需要确保加密和解密双方都拥有相同的密钥，因此密钥的分发和管理会面临一定的困难。密钥的传输需要保证其机密性，否则会增加安全风险。🦋1.4 常见的对称密钥加密算法

🔎2.非对称加密技术

🦋2.1 概念

非对称加密技术，也称为公钥加密技术，是一种加密方式，其中加密和解密所使用的密钥是不同的，分别为公钥和私钥。以下是非对称加密技术的优缺点和原理：

优点：

1. 安全性高：非对称加密技术具有较高的安全性，不容易受到破解攻击。
2. 适应开放环境：非对称加密技术可以在开放的网络环境中使用。
3. 数字签名与验证：非对称加密技术可以实现数字签名和验证，确保数据的真实性和完整性。

缺点：

1. 加密速度慢：非对称加密技术的加密速度相对较慢。
2. 无法保证完整性：非对称加密技术无法保证数据的完整性。

原理：

发送者在发送数据时，使用接收者的公钥进行加密，接收者使用自己的私钥进行解密。这样可以确保只有接收者才能解密密文并获取明文，保证了数据的安全性。由于公钥是公开的，发送者无需传输私钥，从而增加了安全性。但是，非对称加密技术无法保证数据的完整性，需要额外的措施来确保数据的完整性。

在这里插入图片描述

🦋2.2 常见的非对称加密算法

🔎3.数字信封

对称加密算法和非对称加密算法在加密数据过程中有各自的特点和适用场景，可以通过数字信封原理将两种技术组合使用，解决了密钥传输安全性的问题。以下是整理的内容：

1. 对称加密算法：
   • 密钥长度较短，一般只有56位，加密过程简单。
   • 适合加密大数据，但加密强度不高。
2. 非对称加密算法：
   • 密钥长度较长，一般有1024位，解密计算量庞大，难以破解。
   • 不适合加密大数据，常用于加密对称算法的密钥。
3. 数字信封原理：
   • 数字信封是将对称加密的密钥通过非对称加密算法进行加密。
   • 发送方使用对称密钥加密数据，同时将对称密钥用接收方公钥加密发送给对方。
   • 接收方使用自己的私钥解密数字信封，取出对称密钥解密数据。
4. 数字信封的作用：
   • 数字信封运用了对称加密技术和非对称加密技术，实质上是保护对称密钥的传输安全性。
   • 通过数字信封原理，解决了对称密钥传输的安全性问题，同时结合了两种加密技术的优点。🔎4.练习🦋4.1 题目一

为保障数据的存储和运输安全 ， 防止信息泄露，对一些数据进行加密。由于对称密码算法() ， 所以特别适合对大量的数据进行加密。

A 、比非对称密码算法更安全 B 、比非对称密码算法密钥更长

C 、比非对称密码算法效率更高 D 、还能同时用于身份认证

解析：

题目整理：

为保障数据的存储和运输安全，防止信息泄露，对一些数据进行加密。由于对称密码算法()，所以特别适合对大量的数据进行加密。

选项解析：

A. 比非对称密码算法更安全：不一定。对称密码算法和非对称密码算法各有优势，安全性的评价因素较为复杂。

B. 比非对称密码算法密钥更长：不一定。对称密码算法和非对称密码算法的密钥长度取决于算法设计。

C. 比非对称密码算法效率更高：通常是正确的。对称密码算法在加密和解密过程中通常比非对称密码算法效率更高。

D. 还能同时用于身份认证：不一定。对称密码算法通常用于加密和解密，而非对称密码算法更常用于身份认证和密钥交换。

综上，根据题目情况，选项 C 比非对称密码算法效率更高是一个通常正确的说法。

🦋4.2 题目二

假设A和B之间要进行加密通信，则正确的非对称加密流程是()。

①A和B都要产生一对用于加密和解密的加密密钥和解密密钥

②A将公钥传送给B，将私钥自己保存，B将公钥传送给A，将私钥自己保存

③A发送消息给B时，先用B的公钥对信息进行加密，再将密文发送给B

④B收到A发来的消息时，用自己的私钥解密

A.①②③④ B.①③④② C.③①②④ D.②③①④

解析：

这个题目要求选择正确的非对称加密流程。非对称加密使用一对密钥，其中一个是公开的（公钥），另一个是私有的（私钥）。让我来解析一下每个选项：

① A和B都要产生一对用于加密和解密的加密密钥和解密密钥 - 这是正确的步骤，因为非对称加密需要每个通信方都拥有自己的一对密钥。

② A将公钥传送给B，将私钥自己保存，B将公钥传送给A，将私钥自己保存 - 这是正确的步骤，因为在非对称加密中，公钥是公开的，私钥是私有的。

③ A发送消息给B时，先用B的公钥对信息进行加密，再将密文发送给B - 这是正确的步骤，因为发送方要使用接收方的公钥来加密消息。

④ B收到A发来的消息时，用自己的私钥解密 - 这是正确的步骤，因为接收方要使用自己的私钥来解密消息。

综上所述，正确的非对称加密流程应该是选项 A. ①②③④。

🦋4.3 题目三

DES 是一种( ) ，其密钥长度为 56 位 ，3DES 是利用 DES 的加密方式 ，对明文进行 3 次加密 ，以提高加密强度 ，其密钥长度是 ( ) 位。

A.共享密钥 B. 公开密钥 C. 报文摘要 D.访问控制

A.56 B.112 C.128 D.168

解析：

DES加密是一种对称加密算法 ，加密与解密秘钥相同。 由于DES的密钥长度较短 ，为了提高安全性 ，就出现了使用112位密钥对数据进行三次加密的算法（ 3DES ），即用两个56位的密钥K1和K2 ，发送方用K1加密 ，K2解密 ，再使用K1加密；接收方则使用K1解密 ，K2加密，再使用K1解密 ，其效果相当于将密钥长度加倍。

🦋4.4 题目四

要对消息明文进行加密传送，当前通常使用的加密算法是（ ）。

A ．RSA B ．SHA-1 C ．MD5 D ．RC5

RSA是目前最有影响力和最常用的公钥加密算法 ，它能够抵抗到目前为止已知的绝大多数密码攻击 ，

已被ISO推荐为公钥数据加密标准。RSA由于效率问题 ，一般不直接用于明文加密。

SHA-1与MD5属于信息摘要算法 ，不能用来加密数据。

RC5是一种对称密码算法 ，它面向字结构 ，便于软件和硬件的实现 ，适用于不同字长的微处理器。

答案：D

🚀二、信息摘要

信息（消息）摘要是一段数据的特征信息，当数据发生改变时，信息摘要也会随之改变。

• 信息摘要是由哈希函数生成的，是不可逆的算法。
• 信息摘要原理：发送方将数据和信息摘要一起传给接收方，接收方根据接收到的数据重新生成一个信息摘要，若两者相同，则数据正确。
• 信息摘要特点：
  • 不管数据长度如何，都会产生固定长度的信息摘要。
  • 任何不同的输入数据都会产生不同的信息摘要。
  • 具有单向性，只能由数据生成信息摘要，无法由信息摘要还原数据。
• 信息摘要算法：
  • MD5：产生128位的输出，但由于安全性问题，不再被推荐作为加密算法使用。
  • SHA-1：安全散列算法，对长度不超过264位的消息产生160位的输出，安全性相对较高。

信息摘要算法可以帮助确保数据的完整性和安全性，而MD5和SHA-1是常见的信息摘要算法之一。

🚀三、数字签名

🔎1.概念

数字签名：唯一标识一个发送方。发送者发送数据时，使用发送者的私钥进行加密，接收者收到数据后，只能使用发送者的公钥进行解密，这样就能唯一确定发送方，这也是数字签名的过程。如下：

在这里插入图片描述

数字签名整理：

数字签名是一种用于确保数据完整性、真实性和不可抵赖性的技术，可以使用对称加密算法和非对称加密算法来实现。然而，目前主要使用基于非对称加密算法的数字签名。

• 普通数字签名算法：
  • RSA
  • ElGamal
  • Fiat-Shamir
  • DES/DSA
  • 椭圆曲线数字签名算法
  • 有限自动机数字签名算法
• 特殊数字签名算法：
  • 盲签名：签名者无法得知签署的内容。
  • 代理签名：代理人代为签名。
  • 群签名：多个签名者共同生成一个签名。
  • 不可否认签名：签名者无法否认自己的签名。
  • 公平盲签名：结合盲签名和公平性。
  • 门限签名：需要多个签名者共同生成签名。
  • 具有消息恢复功能的签名：允许从签名中提取原始消息。

这些特殊数字签名算法在不同的应用环境中扮演着重要的角色，以满足各种安全需求。在实际应用中，选择合适的数字签名算法取决于具体的安全需求和应用场景。

🔎2.主要功能

数字签名的主要功能包括：

• 保证信息传输的完整性
• 发送者的身份认证
• 防止交易中的抵赖发生

但数字签名无法保证信息的机密性。

数字签名必须满足以下三个要求：

1. 鉴别：接收者能够核实发送者对数据的签名。
2. 不可否认：发送者事后不能抵赖对数据的签名。
3. 数据的完整性：接收者不能伪造对数据的签名。

在数字签名过程中，使用公钥加密和私钥解密可以实现保密通信；而使用私钥加密和公钥解密可以实现数字签名。这种对称性和非对称性的加密方式，有助于确保通信的安全性和完整性。

🚀四、公钥基础设施PKI

公钥基础设施（PKI） 是以非对称密钥加密技术为基础，旨在实施和提供安全服务，确保数据机密性、完整性、身份认证和行为不可抵赖性的普适性安全基础设施。

1. 数字证书：
   • 也称为数字标识，由签证机构（Certificate Authority, CA）签发，用于认证用户的公钥。
   • 遵循X.509体系标准，包含版本号、序列号、签名算法标识符、认证机构、有效期限、主题信息、认证机构的数字签名、公钥信息等。
   • 公钥证书用于确保公钥与用户的绑定关系的安全性，通过验证证书的签名合法性，用户可以相信证书携带的公钥是真实的。
2. 签证机构（CA）：
   • 负责签发证书、管理和撤销证书，是用户信赖的权威机构。
   • CA在签发证书时添加自己的数字签名，确保证书信息的真实性。
   • 其他机构可以使用CA的公钥验证证书的合法性。

PKI和数字证书的使用，为网络通信提供了安全保障，确保了信息传输的安全性和可信度。签证机构（CA）的角色至关重要，因为它们是颁发数字证书并管理证书信息的权威实体。

🚀五、访问控制

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问 。访问控制包括3个要素，即主体、客体和控制策略。

访问控制包括认证、控制策略实现和审计3方面的内容。

① 访问控制矩阵 (ACM) 。是通过矩阵形式表示访问控制规则和授权用户权限的方法。主体作为行，客体作为列 。

在这里插入图片描述

② 访问控制表 (ACL) 。 目前最流行 、使用最多的访问控制实现技术。每个客体有一个访问控制表是系统中每一个有权访问这个客体的主体的信息 。这种实现技术实际上是按列保存访问矩阵。

③ 能力表 。对应于访问控制表 ，这种实现技术实际上是按行保存访问矩阵。每个主体有一个能力表是该主体对系统中每一个客体的访问权限信息 。使用能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限 。

在这里插入图片描述

④ 授权关系表。每一行 (或者说元组) 就是访问矩阵中的一个非空元素， 是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序， 查询时就可以得到能力表的效率； 如果按客体排序 ,查询时就可以得到访问控制表的效率 。

🚀六、练习

1、数字签名技术属于信息系统安全管理中保证信息 () 的技术 。

A 、保密性 B 、可用性 C 、完整性 D 、可靠性

答案：C

解析：数字签名是保证信息传输的完整性 、发送者的身份认证 、 防止交易中的抵赖发生 。

2、甲向乙发送其数据签名，要验证该签名，乙可使用 ( ) 对该签名进行解密。

A.甲的私钥 B.甲的公钥 C.乙的私钥 D.乙的公钥

答案：B

我正在参与2024腾讯技术创作特训营最新征文，快来和我瓜分大奖！