加密設施是指運用加密的有關概念與技術來實施並提供安全服務的具有普遍性與適用性的網路安全設施。加密設施之所以稱作設施,因為它具備設施的主要特徵,即為進行某項工作或滿足某種需要而建立的系統、建築物或成套設備。
基本介紹
- 中文名:加密設施
- 外文名:cryptographic facility
- 學科:計算機
- 定義:為網路安全而建立的設施
- 特性:普遍性與適用性
- 領域:信息安全
介紹,性能要求,易用性,可擴展性,互操作性,軟體加密,硬體加密,公鑰基礎設施,PKI安全策略,證書機構CA,註冊機構RA,證書發布系統,
介紹
加密設施是指運用加密的有關概念與技術來實施並提供安全服務的具有普遍性與適用性的網路安全設施。加密設施一般對性能有以下要求:透明性和易用性、可擴展性、互操作性、多用性和支持多平台。加密設施在很多領域都有套用,例如軍事、銀行和電子商務等。加密設施一般是軟體加密和硬體加密相結合方式實現的。
加密是將將數據的原始格式轉換成另一種偽裝格式的方法。為了安全和保密起見,對可讀文本信息進行編碼與禁止,以防止非法竊聽或泄密,它是保護和保密計算機檔案的一種有效方法。密碼和暗號技術是加密技術的基礎。接收設備與傳輸設備均採用相同的算法,並由接收設備對收到的信息進行解碼。數據加密方法常見的有3種,即:替換密碼法、易位法和組合法。加密技術除了套用於通信領域外,在廣播電視、計算機及音像出版發行中的套用也越來越廣泛。
性能要求
易用性
易用性是一種以使用者為中心的設計概念,易用性設計的重點在於讓產品的設計能夠符合使用者的習慣與需求。以網際網路網站的設計為例,希望讓使用者在瀏覽的過程中不會產生壓力或感到挫折,並能讓使用者在使用網站功能時,能用最少的努力發揮最大的效能。易用性專家Jakob Nielsen與計算機科學教授Ben Shneiderman曾經分別討論系統可接受度(acceptability)的框架,其中指出易用性是“有用”(usefulness)的一部分,而且包含下列元素:可學習性 (Learnability)
、效率 (Efficiency)
、可記憶性(Memorability)、很少出現嚴重錯誤 (Errors)
、滿意度 (Satisfaction)。
可擴展性
也稱作可擴充性,隨著 VLSI 技術和計算機技術的迅速發展,計算機硬體和體系結構也隨之得到迅速發展,相應地,它們也對 OS 提出了更高的功能和性能要求。此外,多處理機系統、計算機網路,特別是 Internet 的發展,又對 OS 提出了一系列更新的要求。因此,OS 必須具有很好的可擴充性,方能適應計算機硬體、體系結構以及套用發展的要求。這就是說,現代 OS 應採用新的 OS 結構,如微核心結構和客戶伺服器模式,以便於方便地增加新的功能和模組,並能修改老的功能和模組。
互操作性
互操作性(英文:Interoperability)作為一種特性,它指的是不同的系統和組織機構之間相互合作,協同工作(即互操作)的能力。技術系統工程設計(technical systems engineering)方面常常會用到這條術語;另外,廣義地說,還會考慮到那些影響系統間性能(system to system performance)的社會、政治和組織機構因素。另外,Interop還是幾個年度網路產品貿易展覽會的名稱(英文:annual networking product trade shows)。又可分為語法互操作性和語義互操作性。語法互操作性:對於深入推進互操作性的任何工作而言,語法互操作性都不可或缺。如果一個系統能夠進行通訊和交換數據,那么,它就具備語法協同工作能力。就數據的通訊而言,基本的要素包括規定的數據格式、通訊協定以及接口描述等等。一般而言,XML或SQL標準提供的就是語法互操作性。語義互操作性:數據交換至少要涉及到兩個計算機系統參與方:即傳送方計算機系統和接受方計算機系統。數據交換旨在為所有的參與方計算機系統,或者交換雙方或其中之一帶來有用的結果。不過,這些參與方計算機系統的所有用戶事先已經就有關何謂有用結果的規定達成了一致意見。只有當參與方計算機系統之間所交換的數據能夠得到對方正確處理和使用的情況下,才能稱為實現了語義協同工作能力。
軟體加密
軟體加密就是用戶在傳送信息前,先調用信息安全模組對信息進行加密,然後傳送,到達接收方後,由用戶使用相應的解密軟體進行解密並還原。採用軟體加密方式有以下優點:已經存在標準的安全API(Application Programming Interface,應用程式編程接口)產品、實現方便、兼容性好。
硬體加密
硬體加密定義:使用待加密的電子產品之外的硬體電路與待加密的電子產品進行通訊,讓產品內部程式通過通訊數據來判斷自己是否應該繼續執行程式。硬體加密是通過專用加密晶片或獨立的處理晶片等實現密碼運算。將加密晶片、專有電子鑰匙、硬碟一一對應到一起時,加密晶片將把加密晶片信息、專有鑰匙信息、硬碟信息進行對應並做加密運算,同時寫入硬碟的主分區表。這時加密晶片、專有電子鑰匙、硬碟就綁定在一起,缺少任何一個都將無法使用。經過加密後硬碟如果脫離相應的加密晶片和電子鑰匙,在計算機上就無法識別分區,更無法得到任何數據。硬體加密可以採用標準的網路管理協定,比如SNMP、CMIP等來進行管理,也可以採用統一的網路管理協定進行管理。
公鑰基礎設施
公鑰基礎設施是一個包括硬體、軟體、人員、策略和規程的集合,用來實現基於公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能。PKI體系是計算機軟硬體、權威機構及套用系統的結合。它為實施電子商務、電子政務、辦公自動化等提供了基本的安全服務,從而使那些彼此不認識或距離很遠的用戶能通過信任鏈安全地交流。一個典型的PKI系統包括PKI策略、軟硬體系統、證書機構CA、註冊機構RA、證書發布系統和PKI套用等。
PKI安全策略
建立和定義了一個組織信息安全方面的指導方針,同時也定義了密碼系統使用的處理方法和原則。它包括一個組織怎樣處理密鑰和有價值的信息,根據風險的級別定義安全控制的級別。
證書機構CA
證書機構CA是PKI的信任基礎,它管理公鑰的整個生命周期,其作用包括:發放證書、規定證書的有效期和通過發布證書廢除列表(CRL)確保必要時可以廢除證書。
註冊機構RA
註冊機構RA提供用戶和CA之間的一個接口,它獲取並認證用戶的身份,向CA提出證書請求。它主要完成收集用戶信息和確認用戶身份的功能。這裡指的用戶,是指將要向認證中心(即CA)申請數字證書的客戶,可以是個人,也可以是集團或團體、某政府機構等。註冊管理一般由一個獨立的註冊機構(即RA)來承擔。它接受用戶的註冊申請,審查用戶的申請資格,並決定是否同意CA給其簽發數字證書。註冊機構並不給用戶簽發證書,而只是對用戶進行資格審查。因此,RA可以設定在直接面對客戶的業務部門,如銀行的營業部、機構認識部門等。當然,對於一個規模較小的PKI套用系統來說,可把註冊管理的職能由認證中心CA來完成,而不設立獨立運行的RA。但這並不是取消了PKI的註冊功能,而只是將其作為CA的一項功能而已。PKI國際標準推薦由一個獨立的RA來完成註冊管理的任務,可以增強套用系統的安全。
證書發布系統
證書發布系統負責證書的發放,如可以通過用戶自己,或是通過目錄伺服器發放。目錄伺服器可以是一個組織中現存的,也可以是PKI方案中提供的。
