[科普中国]-加密设施

简介

加密设施是指运用加密的有关概念与技术来实施并提供安全服务的具有普遍性与适用性的网络安全设施。加密设施一般对性能有以下要求：透明性和易用性、可扩展性、互操作性、多用性和支持多平台1。加密设施在很多领域都有应用，例如军事、银行和电子商务等。加密设施一般是软件加密和硬件加密相结合方式实现的。

性能要求易用性易用性是一种以使用者为中心的设计概念，易用性设计的重点在于让产品的设计能够符合使用者的习惯与需求。以互联网网站的设计为例，希望让使用者在浏览的过程中不会产生压力或感到挫折，并能让使用者在使用网站功能时，能用最少的努力发挥最大的效能。易用性专家Jakob Nielsen与计算机科学教授Ben Shneiderman曾经分别讨论系统可接受度（acceptability）的框架，其中指出易用性是“有用”（usefulness）的一部分，而且包含下列元素：可学习性 (Learnability) 、效率 (Efficiency) 、可记忆性（Memorability）、很少出现严重错误 (Errors) 、满意度 (Satisfaction)。

可扩展性也称作可扩充性，随着 VLSI 技术和计算机技术的迅速发展，计算机硬件和体系结构也随之得到迅速发展，相应地，它们也对 OS 提出了更高的功能和性能要求。此外，多处理机系统、计算机网络，特别是 Internet 的发展，又对 OS 提出了一系列更新的要求。因此，OS 必须具有很好的可扩充性，方能适应计算机硬件、体系结构以及应用发展的要求。这就是说，现代 OS 应采用新的 OS 结构，如微内核结构和客户服务器模式，以便于方便地增加新的功能和模块，并能修改老的功能和模块。

互操作性互操作性（英文：Interoperability）作为一种特性，它指的是不同的系统和组织机构之间相互合作，协同工作（即互操作）的能力。技术系统工程设计（technical systems engineering）方面常常会用到这条术语；另外，广义地说，还会考虑到那些影响系统间性能（system to system performance）的社会、政治和组织机构因素。另外，Interop还是几个年度网络产品贸易展览会的名称（英文：annual networking product trade shows）。又可分为语法互操作性和语义互操作性。语法互操作性：对于深入推进互操作性的任何工作而言，语法互操作性都不可或缺。如果一个系统能够进行通讯和交换数据，那么，它就具备语法协同工作能力。就数据的通讯而言，基本的要素包括规定的数据格式、通讯协议以及接口描述等等。一般而言，XML或SQL标准提供的就是语法互操作性。语义互操作性：数据交换至少要涉及到两个计算机系统参与方：即发送方计算机系统和接受方计算机系统。数据交换旨在为所有的参与方计算机系统，或者交换双方或其中之一带来有用的结果。不过，这些参与方计算机系统的所有用户事先已经就有关何谓有用结果的规定达成了一致意见。只有当参与方计算机系统之间所交换的数据能够得到对方正确处理和使用的情况下，才能称为实现了语义协同工作能力。

加密加密是将将数据的原始格式转换成另一种伪装格式的方法。为了安全和保密起见，对可读文本信息进行编码与屏蔽，以防止非法窃听或泄密，它是保护和保密计算机文件的一种有效方法。密码和暗号技术是加密技术的基础。接收设备与传输设备均采用相同的算法，并由接收设备对收到的信息进行译码。数据加密方法常见的有3种，即：替换密码法、易位法和组合法。加密技术除了应用于通信领域外，在广播电视、计算机及音像出版发行中的应用也越来越广泛。

软件加密和硬件加密软件加密就是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送，到达接收方后，由用户使用相应的解密软件进行解密并还原。采用软件加密方式有以下优点：已经存在标准的安全API(Application Programming Interface，应用程序编程接口)产品、实现方便、兼容性好。

硬件加密定义：使用待加密的电子产品之外的硬件电路与待加密的电子产品进行通讯，让产品内部程序通过通讯数据来判断自己是否应该继续执行程序。硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时，加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算，同时写入硬盘的主分区表。这时加密芯片、专有电子钥匙、硬盘就绑定在一起，缺少任何一个都将无法使用。经过加密后硬盘如果脱离相应的加密芯片和电子钥匙，在计算机上就无法识别分区，更无法得到任何数据。硬件加密可以采用标准的网络管理协议，比如SNMP、CMIP等来进行管理，也可以采用统一的网络管理协议进行管理2。

公钥基础设施公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。

证书机构CA证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。

注册机构RA注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证中心(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全3。

证书发布系统证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务器发放。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的。