旁路加密

① 旁路攻击 是什么

旁路攻击[1] (Side Channel Attacks,SCA)

在密码学中，旁路攻击是指绕过对加密算法的繁琐分析，利用密码算法的颂链档硬件实现的运算中泄露的信息，如执行时间、功耗、电磁辐射等，结合统计理论快速的破解密码系统。

旁路攻击条件

要成功对集成电路芯片进行旁路攻击必须满足两条：

1.在泄漏的物理信号与处理野乱的数据之间建立联系；

2.在信息泄漏模型中唤没处理的数据与芯片中处理的数据之间建立联系。

② http协议的详细描述

HTTP的早期版本为HTTP/0.9，它适用于各种数据信息的简洁快速协议，但是其远不能满足日益发展各种应用的需要。但HTTP/0.9作为HTTP协议具有典型的无状态性：每个事务都是独立进行处理的，当一个事务开始就在客户与服务器之间建立一个连接，当事务结束时就释放这个连接。HTTP/0.9包含
Simple-Request&Simple-Responsed的报文结构。但是客户无法使用内容协商，所以服务器也无法返回实体的媒体类型。
1982年，Tim Berners-Lee提出了HTTP/1.0，在此后的不断丰富和发展中，HTTP/1.0成为最重要的面向事务的应用层协议。该协议对每一次请求/响应，建立并拆除一次连接。其特点是简单、易于管理，所以它符合了大家的需要，得到了广泛的应用。其缺点是仍会发生下列问题：对用户请求响应慢、网络拥塞严重、安全性等。
1997年形成的HTTP/1.1，也就是现在普遍使用的协议，在持续连接操作机制中实现流水方式，即客户端需要对同一服务器发出多个请求时，其实现在多数的网页都是有多部分组成（比如多张图片），可用流水线方式加快速度，流水机制就是指连续发出多个请求并等到这些请求发送完毕，再等待响应。这样就大大节省了单独请求对响应的等待时间，使我们得到更快速的浏览。
另外，HTTP/1.1服务器端处理请求时按照收到的顺序进行,这就保证了传输的正确性。当然，服务器端在发生连接中断时，会自动的重传请求，保证数据的完整性。
HTTP/1.1还提供了身份认证、状态管理和Cache缓存等机制。这里，我想特别提一下关于HTTP/1.1中的Cache缓存机制对HTTP/1.0的不足之处的改进，它严格全面，既可以减少时间延迟、又节省了带宽。HTTP/1.1采用了内容协商机制，选择最合适的用户的内容表现形式。
现在，很多地方都有用到的虚拟主机技术在HTTP/1.1中也可以实现。所谓的虚拟主机技术，就是同一主机地址实际对应多台主机。通俗的讲，当你同时在一个网站申请两个主页时，用协议分析仪可以发现其实这两个主页对应的是同一个IP地址。这样用多台完全相同的机器形成WWW服务器就可以提高处理的吞吐量。
传统的解决方案是改造域名服务器使其可以根据一定的算法将同一域名解释成不同的IP地址。分别对应虚拟主机的每台机器，其缺点是要求每台机器占用完全独立的IP地址，这与IP地址的缺乏是相矛盾的。
HTTP/1.1提供的解决方案在HTTP协议自身中加入了指定不同主机的功能，从而多台主机可以共享一个IP地址，既提高了性能又便于管理。
因为HTTP/1.1是Internet现行的标准协议，这里详细介绍其相关语法。
首先，HTTP/1.1格式可写为：
[img:8d94cc43ef]http://www.china-pub.com/computers/emook/0472/1.gif[/img:8d94cc43ef]

其中请求方法是请求一定的Web页面的程序或用于特定的URL。可选用下列几种：
GET： 请求指定的页面信息，并返回实体主体。
HEAD： 只请求页面的首部。
POST： 请求服务器接受所指定的文档作为对所标识的URI的新的从属实体。
PUT： 从客户端向服务器传送的数据取代指定的文档的内容。
DELETE： 请求服务器删除指定的页面。
OPTIONS： 允许客户端查看服务器的性能。
TRACE： 请求服务器在响应中的实体主体部分返回所得到的内容。
PATCH： 实体中包含一个表，表中说明与该URI所表示的原内容的区别。
MOVE： 请求服务器将指定的页面移至另一个网络地址。
COPY： 请求服务器将指定的页面拷贝至另一个网络地址。
LINK： 请求服务器建立链接关系。
UNLINK： 断开链接关系。
WRAPPED： 允许客户端发送经过封装的请求。
Extension-mothed：在不改动协议的前提下，可增加另外的方法。
比如：
GET /index.html HTTP/1.1
Accept: text/plain /*纯ASCII码文本文件*/
Accept: text/html /*HTML文本文件*/
User-Agent:Mozilla/4.5(WinNT)
说明浏览器使用Get方法请求文档/index.html。浏览器则只允许接收纯ASCII码文本文件和HTML文本文件，其使用的引擎是Mozilla/4.5（Netscape）。

当服务器响应时，其状态行的信息为HTTP的版本号，状态码，及解释状态码的简单说明。现将5类状态码详细列出：
① 客户方错误
100 继续
101 交换协议
② 成功
200 OK
201 已创建
202 接收
203 非认证信息
204 无内容
205 重置内容
206 部分内容
③ 重定向
300 多路选择
301 永久转移
302 暂时转移
303 参见其它
304 未修改（Not Modified）
305 使用代理
④ 客户方错误
400 错误请求（Bad Request）
401 未认证
402 需要付费
403 禁止（Forbidden）
404 未找到（Not Found）
405 方法不允许
406 不接受
407 需要代理认证
408 请求超时
409 冲突
410 失败
411 需要长度
412 条件失败
413 请求实体太大
414 请求URI太长
415 不支持媒体类型
⑤ 服务器错误
500 服务器内部错误
501 未实现（Not Implemented）
502 网关失败
504 网关超时
505 HTTP版本不支持
比如：（在《TELNET……》一文中用telnet登陆80端口,相同的方法用在HTTP/1.1中,会发现没有显示，下面补充说明之）
telnet www.fudan.e.cn 80
HEAD / HTTP/1.1
host:www.fudan.e.cn /*本行为输入内容*/
HTTP/1.1 501 Method Not Implemented
Date: Web, 01 Nov 2000 07:12:29 GMT /*当前的日期/时间*/
Server: Apache/1.3.12 (Unix) /*Web服务器信息*/
Allow: GET, HEAD, OPTION, TRACE /*支持的方法类型*/
Connection: close
Connect-Type: Text/html; charset=iso-8859-1/*连接的媒体类型*/

<!DOCTYPE HTML PUBLIG "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>501 Method
Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
head to /inde
x.html not supported.<P>
Invalid method in request head / htp/1.1<P>
<HR>
<ADDRESS>
Apache/1.3.12 Server at www.fudan.e.cn Port 80</ADDRESS>
</BODY></HTML>
关于实体头部的内容还可以有：
Last Modified ：请求文档的最近修改时间。
Expires ：请求文档的过期时间。
Connect-length：文档数据的长度。
WWW-authenricate：通知客户端需要的认证信息。
Connect-encoding ：说明有无使用压缩技术。
Transfer-encoding ：说明采用的编码变换类型。

随着Internet的发展，下一代的HTTP协议HTTP-ng已经在酝酿之中，它将会提供更好的安全性、更快的速度，其改进要点为：模块化强、网络效率高、安全性更好、结构更简单。

③ 硬件加密网关如果旁路接入客户的网络中，通过什么技术可以做到指定的业务系统的数据流可以通过加密网关

需要加密的数据的目的地址是固定的吧？如果是的话，在核心交换上设置路由，去往目的网段的下一跳扔到加密网关上去，而其他的（即默认路由）则指向出口出口设备。

主要是不了解你的内网的详细情况，我刚刚说的这个方法理论上应该可行。

④ 高级加密标准的旁道攻击（又称旁路攻击、侧信道攻击）

旁道攻击不攻击密码本身，而是攻击那些实现于不安全系统（会在不经意间泄漏信息）上的加密系统。
2005年4月，D.J. Bernstein公布了一种缓存时序攻击法，他以此破解了一个装载OpenSSL AES加密系统的客户服务器。为了设计使该服务器公布所有的时序信息，攻击算法使用了2亿多条筛选过的明码。有人认为，对于需要多个跳跃的国际互联网而言，这样的攻击方法并不实用。
2005年10月，Eran Tromer和另外两个研究员发表了一篇论文，展示了数种针对AES的缓存时序攻击法[8]。其中一种攻击法只需要800个写入动作，费时65毫秒，就能得到一把完整的AES密钥。但攻击者必须在运行加密的系统上拥有运行程序的权限，方能以此法破解该密码系统。

⑤ 旁路由有什么作用

旁路由在网络中的作用是“功能增强”。比如：数据加密、广告过滤、上网行为限制、限制访问网站等等。

如果你的主路由性能稳定但缺少一乱简些必要功能，设置一个旁路由来补充这些功能：比如说你需要在家里限制熊孩子哗返裤上一些网站，或者不让一些设备上网。主路由上没有这样的功能，就可以通过添加一个旁路由来实现这些功能。

旁世冲路路由器部署方案的优点：

1、旁路部署方案是对当前网络影响最小的监控模式；

2、充分利用已有硬件的功能，部署方便，不会影响现有的网络结构；

3、不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时；

4、旁路监控设备一旦故障或者停止运行，不会影响现有网络；

5、旁路部署方案一样可以对上网行为进行控制。

⑥ 怎样理解：解决了数据库加密数据没有非密旁路漏洞的问题这句话

加密桥饥运高技术的优点：
（1）解决了数据库加密数据非悄姿密旁路漏洞的问题
（2）便于解决“数据库应用群件系统”在不同DBMS之间的通用性
（3）便于解决系统在DBMS不同版本之间的通用性
（4）不必去分析DBMS的原代码
（5）加密桥用C++写成的全球在不同的操作之间移植
（6）加密桥与DBMS是分离烂尺的，可以解决嵌入各种自主知识产权加密方法的问题

⑦ 数据库加密系统是什么有什么功能

透明加密技术是数据库加密系统的核心技术,用于防止明文存储引起的数据泄密、外部攻击、内部窃取数据、非法直接访问数据库等等，从根本上解决数据库敏感数据泄漏问题，满足合法合规要求。

数据库透明加密系统主要有四个功能：
1. 对敏感数据进行加密，避免与敏感数据的直接接触。这项功能主要用于防止三种情况的发生，首先，通过对敏感数据进行透明加密阻断入侵者访问敏感数据，构成数据库的最后一道防线。其次，阻断运维人员任意访问敏感数据，数据库透明加密系统可以保护运维人员，避免犯错。最后，透明加密系统可以实现，即使在数据库中的物理文件或者备份文件失窃的情况下，依然保证敏感数据的安全性。
2. 数据库透明加密系统，无需改变任何应用。首先，在对数据进行透明加密时，无需知道密钥，无需改变任何代码，即可透明访问加密的敏感数据。其次，对敏感数据进行加解密的过程透明简易，可以保证业务程序的连续性，以及保证业务程序不被损伤。
3. 数据库透明加密系统提供多维度的访问控制管理，且系统性能消耗非常低。通常数据库实施透明加密后，整体性能下降不超过10%。
4. 最重要的是，数据库透明加密系统满足合规要求，满足网络安全法、信息安全等级保护、个人信息安全规范等对于敏感数据加密明确的要求。

另外数据库透明加密系统可以实现物理旁路部署模式和反向代理两种部署模式。采用旁路部署模式，即在数据库服务器安装数据库透明加密安全代理软件，不需要调整任何网络架构。数据库透明加密后批量增删改性能影响较小，整体满足合规要求，管理便捷。反向代理部署模式，是物理层根据表、列等数据分类执行数据存储加密，防止存储层面数据丢失引起泄露，逻辑层通过加密网关实现运维管理端的密文访问控制，整体实现业务数据正常访问，运维授权访问，同时提供直连控制访问，部署更安全。

⑧ 数据库系统的主要安全措施有哪些

方法一、数据库数据加密
数据加密可以有效防止数据库信息失密性的有效手段。通常加密的方法有替换、置换、混合加密等。虽然通过密钥的保护是数据库加密技术的重要手段，但如果采用同种的密钥来管理所有数据的话，对于一些不法用户可以采用暴力破解的方法进行攻击。
但通过不同版本的密钥对不同的数据信息进行加密处理的话，可以大大提高数据库数据的安全强度。这种方式主要的表现形式是在解密时必须对应匹配的密钥版本，加密时就尽量的挑选最新技术的版本。
方法二、强制存取控制
为了保证数据库系统的安全性，通常采取的是强制存取检测方式，它是保证数据库系统安全的重要的一环。强制存取控制是通过对每一个数据进行严格的分配不同的密级，例如政府，信息部门。在强制存取控制中，DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体，它不仅包括DBMS 被管理的实际用户，也包括代表用户的各进程。
客体是系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等等。对于主体和客体，DBMS 为它们每个实例(值)指派一个敏感度标记。主客体各自被赋予相应的安全级，主体的安全级反映主体的可信度，而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。但强制存取控制并不能从根本上避免攻击的问题，但可以有从较高安全性级别程序向较低安全性级别程序进行信息传递。
方法三、审计日志
审计是将用户操作数据库的所有记录存储在审计日志(Audit Log)中，它对将来出现问题时可以方便调查和分析有重要的作用。对于系统出现问题，可以很快得找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看，目前通过存取控制、数据加密的方式对数据进行保护是不够的。因此，作为重要的补充手段，审计方式是安全的数据库系统不可缺少的一部分，也是数据库系统的最后一道重要的安全防线。

⑨ 美创数据库透明加密系统支持那些加密算法，是怎样部署的

1、美创透明加密系统全面支持多种国际标准算法，如DES、3DES、AES128、AES192、AES256等，也支持SM1、SM4等国产密码算法；
2、在数据类型上，支持用户常用数据类型的加密，如CHAR，VARCHAR2，VARCHAR，RAW，NUMBER，LOB等常用类型的加密；
3、美创数据库透明加密系统支持Windows、AIX、Linux、Solaris等多个平台，提供软硬件一体化加密设备和纯软件加密的不同选择，针对企事业单位数据库网络架构，加密系统支持物理旁路、反向代理两种部署方式。