GraduateCourse

前言：信息安全=技术+管理 信息安全不止于数字信息，还包含实体信息； 信息安全，不仅要求能够防患未然，而且在问题发生时要求能够处理。 信息安全三元素：CIA，额外的三个元素AAA 什么是Hash? Hash 用于防篡改，用于做快照，通过hash算法生成指定长度的唯一串。eg: 通过爬取网页内容生成hash,来判断网站内容是否更新 //这里了解一下相关的hash算法 非对称加密： 两种情况：1.用公钥加密 2.用私钥进行签名 用途：前者是为了对内容本身进行加密，后者是为了进行数字签名（目的是防止内容本身被篡改） 过程： 使用公钥（对内容加密）：发送方使用公钥对内容加密后，接收方使用发送方的私钥进行解密。 使用私钥（对内容进行签名）: 发送方：先对内容进行Hash(目的是生成固定长度的串)，再通过私钥进行数字签名，将得到的签名值附在内容的尾部 接收方：使用公钥对签名进行处理，得到原始的内容Hash, 同时对内容生成hash,比对二者是否相等，最终判断内容是否被篡改 新时期，新风险：大算力暴力破解加密信息，在信息失去时效性前得到明文。 以下是AI扩展内容 信息安全导论：核心概念与基础技术 前言：信息安全是一个涵盖广泛的领域，其有效性建立在技术与管理的紧密结合之上。它不仅关乎数字信息的安全，也包含实体信息（如纸质文件、设备）的保护。一个健全的信息安全体系不仅要能防患于未然，还必须在安全事件发生时具备有效的响应与处理能力。 信息安全的核心基石：CIA 三元组与 AAA 信息安全的目標通常围绕三个核心原则，即 CIA 三元组： 保密性 (Confidentiality)：确保信息不被未授权的用户、实体或进程访问或泄露。 完整性 (Integrity)：保护数据免受未授权的篡改或破坏，确保数据的准确性和可靠性。 可用性 (Availability)：确保授权用户在需要时可以可靠地访问信息和相关资产。 此外，还有三个至关重要的支撑性元素，常被称为 AAA： 认证 (Authentication)：验证用户、系统或实体的身份是否属实。（“你是你说的人吗？”） 授权 (Authorization)：决定通过认证的主体拥有哪些访问权限和操作权限。（“你被允许做什么？”） 可审计性 (Accounting / Auditing)：记录和审查用户及系统的活动日志，用于追踪、取证和合规性检查。（“你做了什么？”） 什么是哈希（Hash）？ 哈希（Hash），或称散列，是一种将任意长度的输入（如消息、文件）通过哈希算法转换成固定长度、唯一（或近乎唯一）的输出串的函数。这个输出串称为哈希值或消息摘要。 核心特性： 确定性：相同的输入永远产生相同的哈希值。 快速计算：能快速计算出任意输入的哈希值。 单向性：从哈希值极难（在计算上不可行）反推出原始输入。 抗碰撞性：极难找到两个不同的输入得到相同的哈希值。 雪崩效应：输入的微小变化会导致哈希值发生巨大且不可预测的变化。 用途： 防篡改：正如您笔记中所说，这是哈希最主要的用途之一。例如，软件下载站会提供文件的哈希值。用户下载文件后可以自行计算其哈希值并与官网提供的进行比对，若不一致，则说明文件可能在传输过程中被篡改或损坏。 快照与验证：用于检测数据变化。您的例子非常贴切：爬虫程序定期对网页内容生成哈希并存储。下一次爬取时，只需计算新内容的哈希并与旧值对比，即可高效判断网页内容是否更新，而无需比对整个网页内容。 密码存储：系统通常不直接存储用户密码明文，而是存储其哈希值。用户登录时，系统对输入的密码再次进行哈希计算，并与存储的哈希值比对。这样即使数据库泄露，攻击者也无法直接获得用户的明文密码。 区块链与数字货币：构成了区块链技术的基石，用于连接区块和保证交易记录的不可篡改性。 常见哈希算法： MD5：产生128位哈希值。因其抗碰撞性已被攻破，不再推荐用于安全目的，但仍可用于简单的完整性校验。 SHA-1：产生160位哈希值。同样存在安全性弱点，已被大多数安全应用淘汰。 SHA-2 家族：包括 SHA-256、SHA-384、SHA-512 等，是目前广泛使用的安全哈希算法。 SHA-3：最新的哈希标准，设计上与SHA-2不同，提供了另一种选择。 非对称加密（公钥密码学） 非对称加密使用一对 mathematically related 的密钥：一个公钥 (Public Key) 和一个私钥 (Private Key)。公钥可以公开给任何人，而私钥必须由所有者严格保密。正如您所指出的，其应用主要分为两种情况： ...