2010國(guó)際內(nèi)審師《經(jīng)營(yíng)分析和信息技術(shù)》知識(shí)講義：第五章（9）

IC07　加密
    ★相關(guān)知識(shí)
    通過對(duì)數(shù)據(jù)加密，可以使他人即使非法訪問了數(shù)據(jù)也不能理解數(shù)據(jù)的內(nèi)容，以達(dá)到訪問控制的目的。例如：為了減少在使用通信線路傳送專用數(shù)據(jù)時(shí)帶來的安全風(fēng)險(xiǎn)，就可以使用密碼設(shè)備對(duì)通信線路上傳送的數(shù)據(jù)進(jìn)行加密保護(hù)。
    在加密和解密過程中需要兩個(gè)因素，這就是算法和密鑰（Arithmetic and Key）。算法是指加密解密的變換處理過程，正向?yàn)榧用芎瘮?shù)，反向?yàn)榻饷芎瘮?shù)。對(duì)應(yīng)某一個(gè)具體的加密和解密過程，通常還需要附加一些信息，這些附加的信息就是密鑰。密鑰是由數(shù)字、字母或特殊符號(hào)組成的字符串，它可以控制加密解密過程。
    在加密和解密過程中，控制加密變換的密鑰稱為加密密鑰（KE），控制解密變換的密鑰稱為解密密鑰（KD）。在傳統(tǒng)的對(duì)稱（symmetrical）密碼體制中，加密密鑰和解密密鑰是相同的（如DES、triple DES算法等），而在現(xiàn)代公開密鑰密碼體制中，加密密鑰和解密密鑰是不同的，因此又稱為非對(duì)稱（asymmetrical）密碼體制，這種體制的代表是RSA算法體制。
    非對(duì)稱密鑰由公鑰（Public key）和私鑰（Private key）組成。公鑰通常用于數(shù)據(jù)加密或簽名驗(yàn)證，可以在網(wǎng)上發(fā)布，是公開的；私鑰通常用于數(shù)據(jù)解密或簽名，只有本人知道，是秘密的。
    對(duì)消息用單向HASH加密算法得到一個(gè)的摘要（Message digest），作為消息的指紋，用來驗(yàn)證消息的完整性。
    傳統(tǒng)上的簽名采用的是手書簽字或蓋章，而數(shù)字簽名（Digital signatures）通過電子設(shè)備實(shí)現(xiàn)，發(fā)送者用私鑰對(duì)所發(fā)送消息的摘要信息進(jìn)行加密，即完成對(duì)該消息的數(shù)字簽名。數(shù)字簽名用于商業(yè)通信系統(tǒng)，如電子郵遞、電子轉(zhuǎn)賬和辦公自動(dòng)化等系統(tǒng)中，可實(shí)現(xiàn)遠(yuǎn)距離安全交易。
    認(rèn)證中心（CA：Certification Authority）是承擔(dān)網(wǎng)絡(luò)電子商務(wù)交易安全認(rèn)證服務(wù)、簽發(fā)數(shù)字證書、確認(rèn)用戶身份等工作的具有權(quán)威性和公證性的第三方服務(wù)機(jī)構(gòu)。利用CA中心可以有效防止電子商務(wù)交易中假冒用戶身份的風(fēng)險(xiǎn)。
    數(shù)字證書（Digital certificate）是一個(gè)包含證書持有人的個(gè)人信息、公開密鑰、數(shù)字簽名、證書序號(hào)、證書有效期和發(fā)證單位等內(nèi)容的數(shù)字文件。目前在電子商務(wù)活動(dòng)中的身份認(rèn)證的方式是由權(quán)威機(jī)構(gòu)為參與電子商務(wù)活動(dòng)的各方發(fā)放數(shù)字證書。
    典型試題
    【例題】某一種密鑰系統(tǒng)有兩個(gè)密鑰，一個(gè)密鑰是公開的、用于信息加密；另一個(gè)密鑰只有信息接受方掌握，用于解密。，這種密鑰系統(tǒng)是（?。?BR>    A.RSA算法。
    B.數(shù)據(jù)加密標(biāo)準(zhǔn)
    C.調(diào)制解調(diào)器
    D.密碼鎖。
    【答案】A
    【解析】
    A.正確。RSA是一種非對(duì)稱加密算法。
    B.不正確。DES是一種對(duì)稱加密算法。
    C.不正確。調(diào)制解調(diào)器是一種“模擬一數(shù)字”轉(zhuǎn)換的方法，不是非對(duì)稱加密算法。
    D.不正確。密碼鎖通常采用序列密碼算法，不是非對(duì)稱加密算法。
    【例題】某保險(xiǎn)公司使用了一個(gè)廣域網(wǎng)，通過該廣域網(wǎng)J其保險(xiǎn)代理人可在家中通過筆記本電腦和撥入調(diào)制解調(diào)器獲取當(dāng)前費(fèi)率和客戶信息并提交已審核的客戶索賠請(qǐng)求。對(duì)于這種應(yīng)用，以下方法中哪一個(gè)能提供的數(shù)據(jù)安全性?
    A.專用電話線
    B.回?fù)芴匦浴?BR>    C.頻繁修改用戶標(biāo)識(shí)和口令。
    D.端到端數(shù)據(jù)加密。
    【答案】D
    【解析】
    A.不正確。專用電話線代價(jià)過于高昂，而且專用電話線仍有可能被人竊聽。
    B.不正確。回?fù)芴匦钥梢苑乐辜倜敖K端，提高數(shù)據(jù)源的節(jié)點(diǎn)真實(shí)性，但不能防止數(shù)據(jù)在傳輸過程中被竊聽。
    C.不正確。頻繁修改用戶標(biāo)識(shí)和口令可以防止假冒用戶，提高數(shù)據(jù)源的真實(shí)性，但不能防止數(shù)據(jù)在傳輸過程中被竊聽。
    D.正確。端到端數(shù)據(jù)加密可以有效防止數(shù)據(jù)在傳輸過程中被竊聽。
    【例題】一種可以防止使用工具程序?yàn)g覽網(wǎng)絡(luò)中合法用戶口令文件的控制是
    A.內(nèi)部加密的口令
    B.口令層次。
    C.登錄口令
    D.對(duì)等網(wǎng)。
    【答案】A
    【解析】
    A.正確。對(duì)于內(nèi)部加密口令，即使攻擊者竊取了口令文件，也不能獲得口令。
    B.不正確?？诹顚哟慰梢栽黾臃鞘跈?quán)訪問的難度，但不能防止工具程序?qū)W(wǎng)絡(luò)中合法用戶口令文件的瀏覽。
    C.不正確。登錄口令可以防止對(duì)系統(tǒng)的非授權(quán)訪問，但不能防止工具程序?qū)W(wǎng)絡(luò)中合法用戶口令文件的瀏覽。
    D.不正確。對(duì)等網(wǎng)對(duì)于防止利用工具程序?yàn)g覽口令文件沒有幫助。
    【例題】以下哪項(xiàng)措施為筆記本電腦儲(chǔ)存的敏感數(shù)據(jù)提供的安全保證最小?
    A.為筆記本電腦上的數(shù)據(jù)文件加密。
    B.為筆記本電腦上的屏幕保護(hù)程序加上密碼保護(hù)。
    C.使用帶可拆卸硬盤驅(qū)動(dòng)器的筆記本電腦。
    D.不使用時(shí)將筆記本電腦鎖在箱子中。
    【答案】B
    【解析】
    A.不正確。數(shù)據(jù)加密可以為筆記本電腦提供足夠的安全性。
    B.正確。屏幕保護(hù)程序的口令保護(hù)功能可以被輕易地繞過。
    C.不正確。可移動(dòng)硬盤能提供足夠的安全性。
    D.不正確。將筆記本電腦鎖進(jìn)一個(gè)箱子里確實(shí)能增進(jìn)其安全。