計(jì)算機(jī)網(wǎng)絡(luò)安全定義
保護(hù)網(wǎng)路系統(tǒng)中的軟件硬件以及信息資源,使之免遭受到偶然或惡意的破壞���、篡改和泄露��。保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行��、服務(wù)不中斷。
計(jì)算機(jī)網(wǎng)絡(luò)安全的含義
網(wǎng)絡(luò)系統(tǒng)安全 網(wǎng)絡(luò)系統(tǒng)安全是信息處理和傳輸系統(tǒng)的安全�。包括法律法規(guī)的保護(hù)���,計(jì)算機(jī)機(jī)房環(huán)境的保護(hù)���,計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)上的安全���,硬件系統(tǒng)的可靠���、安全運(yùn)行�����,操作系統(tǒng)和應(yīng)用軟件的安全����,數(shù)據(jù)庫(kù)系統(tǒng)的安全等�。這方面?zhèn)戎赜诒Wo(hù)系統(tǒng)正常的運(yùn)行���,本質(zhì)是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行�。系統(tǒng)信息安全 系統(tǒng)信息安全包括用戶口令鑒別����、用戶存取權(quán)限控制��、數(shù)據(jù)存取權(quán)限控制����、安全審計(jì)、計(jì)算機(jī)病毒防治�����、數(shù)據(jù)加密等�。信息內(nèi)容安全 信息內(nèi)容安全包括保護(hù)信息的保密性、真實(shí)性和完整性�。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽(tīng)�����、假冒����、詐騙等行為,保護(hù)用戶的利益和隱私����。信息傳播安全 信息傳播防止和控制非法�����、有害信息傳播產(chǎn)生的后果��,維護(hù)道德����、法律和國(guó)家的利益��,包括不良信息的過(guò)濾等���。
計(jì)算機(jī)網(wǎng)絡(luò)安全的主要內(nèi)容
網(wǎng)絡(luò)實(shí)體的安全性 即網(wǎng)絡(luò)設(shè)備及其設(shè)備上運(yùn)行的網(wǎng)絡(luò)軟件的安全性使得網(wǎng)絡(luò)設(shè)備能夠正常提供網(wǎng)絡(luò)服務(wù)����。網(wǎng)絡(luò)系統(tǒng)的安全性 網(wǎng)絡(luò)系統(tǒng)的安全性即網(wǎng)絡(luò)存儲(chǔ)的安全性和網(wǎng)絡(luò)傳輸?shù)陌踩浴4鎯?chǔ)安全是指信息在網(wǎng)絡(luò)節(jié)點(diǎn)上靜態(tài)存放狀態(tài)下的安全性��。傳輸安全是指信息在網(wǎng)絡(luò)中動(dòng)態(tài)傳輸過(guò)程中的安全性����。
計(jì)算機(jī)網(wǎng)絡(luò)安全一般目標(biāo)(信息安全基本要素) 完整性:指信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞�����、不被插入�����、不延遲、不亂序和不丟失的特性��。對(duì)信息安全發(fā)動(dòng)攻擊主要是為了破壞信息的完整性。
可用性:指信息可被合法用戶訪問(wèn)并按要求順序使用的特性���,即指當(dāng)需要時(shí)可以使用所需信息���。對(duì)可用性的攻擊就是阻斷信息的可用性��。
機(jī)密性:指信息不泄露給未經(jīng)授權(quán)的個(gè)人和實(shí)體���,或被未經(jīng)授權(quán)的個(gè)人和實(shí)體利用的特性。
可控性:指信息在整個(gè)生命周期內(nèi)都可由合法擁有者加以安全的控制����。
不可抵賴性:指用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成�����、簽發(fā)、接收等行為。
5�����、常用的安全技術(shù)手段加密技術(shù)�����,身份認(rèn)證技術(shù)��,防火墻技術(shù)�����,病毒防治技術(shù)���,入侵檢測(cè)技術(shù)��,VPN技術(shù)
6�、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅
網(wǎng)絡(luò)實(shí)體威脅:自然因素的威脅;電磁泄漏(如監(jiān)聽(tīng)計(jì)算機(jī)操作過(guò)程)產(chǎn)生信息泄露���、受電磁干擾和痕跡泄露等威脅�;操作失誤(如刪除文件、格式化硬盤等)和意外事故(如系統(tǒng)崩潰等)的威脅���;計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房的環(huán)境威脅
網(wǎng)絡(luò)系統(tǒng)威脅網(wǎng)絡(luò)系統(tǒng)威脅主要有兩個(gè)方面:網(wǎng)絡(luò)存儲(chǔ)威脅和網(wǎng)絡(luò)運(yùn)輸威脅網(wǎng)絡(luò)存儲(chǔ)威脅是指信息在網(wǎng)絡(luò)結(jié)點(diǎn)上靜態(tài)存放狀態(tài)下受到的威脅��,主要是網(wǎng)絡(luò)內(nèi)部或外部對(duì)信息的非法訪問(wèn)���。網(wǎng)絡(luò)傳輸威脅是指信息在動(dòng)態(tài)傳輸過(guò)程中受到的威脅 。截獲:攻擊者從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容���。中斷:攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信 �。篡改:攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文 。偽造:攻擊者偽造信息在網(wǎng)絡(luò)上傳送
惡意程序威脅
計(jì)算機(jī)病毒���,計(jì)算機(jī)蠕蟲(chóng)�����,特洛伊木馬��,邏輯炸彈
7��、影響網(wǎng)絡(luò)安全的因素
自然因素 自然災(zāi)害的影響����;環(huán)境的影響;輔助保障系統(tǒng)的影響
技術(shù)因素 網(wǎng)絡(luò)硬件存在安全方面的缺陷���;網(wǎng)絡(luò)軟件存在的安全漏洞���;系統(tǒng)配置不當(dāng)造成的其他安全漏洞。
人為因素 人為無(wú)意失誤���;人為惡意攻擊�����。
8�、計(jì)算機(jī)網(wǎng)絡(luò)安全的三個(gè)層次
安全立法���,安全管理(技術(shù)安全管理����,行政安全管理��,應(yīng)急安全管理)�,安全技術(shù)措施(實(shí)體的安全技術(shù)�����,軟件安全技術(shù),數(shù)據(jù)安全技術(shù)���,運(yùn)行安全技術(shù))
P2DR模型P2DR是Policy(策略)���、Protection(防護(hù))、Detection(檢測(cè))和 Response(響應(yīng))
PDRR模型PDRR是Protection(防護(hù))�����、Detection(檢測(cè))��、Response(響應(yīng))�、Recovery(恢復(fù))
安全策略定義
安全策略是指在一個(gè)特定的環(huán)境里����,為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則�����。安全策略從本質(zhì)上說(shuō)是描述組織具有哪些重要的信息資產(chǎn)�����,并說(shuō)明如何對(duì)這些資產(chǎn)進(jìn)行保護(hù)的一個(gè)計(jì)劃
制定安全策略目的
制定安全策略的目的是對(duì)組織成員闡明如何使用系統(tǒng)資源�����,如何處理敏感信息�,如何采用安全技術(shù)產(chǎn)品��,用戶應(yīng)該具有什么樣的安全意識(shí)���,掌握什么樣的技能要求�����,承擔(dān)什么樣的責(zé)任等��。
安全策略制定的原則
目的性原則安全策略是為組織完成自己的信息安全使命而制定的��,策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求���。
適用性原則安全策略應(yīng)該反映組織的真實(shí)環(huán)境和信息安全的發(fā)展水平���。
可行性原則安全策略應(yīng)該具有切實(shí)可行性�,其目標(biāo)應(yīng)該可以實(shí)現(xiàn)���,并容易測(cè)量和審核����。
經(jīng)濟(jì)性原則安全策略應(yīng)該經(jīng)濟(jì)合理,盡量減少規(guī)模和復(fù)雜程度�。
完整性原則安全能夠反映組織的所有業(yè)務(wù)流程的安全需要���。
一致性原則安全策略要和國(guó)家�、地方的法律法規(guī)保持一致��;和組織己有的策略��、方針保持一致�����;整體安全策略保持一致����。
彈性原則對(duì)安全需要求有總體的設(shè)計(jì)和長(zhǎng)遠(yuǎn)的規(guī)劃,策略不僅要滿足當(dāng)前的組織要求��,還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求�����。
可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則
《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》分成D����,C��,B和A四類:D級(jí):最小保護(hù)��;C級(jí):自主保護(hù)���;C1級(jí):自主型安全保護(hù)��;C2級(jí):可控訪問(wèn)保護(hù);B級(jí):強(qiáng)制安全保護(hù)��;B1級(jí):標(biāo)記安全保護(hù)�����;B2級(jí):結(jié)構(gòu)化保護(hù);B3級(jí):安全域�;A級(jí):驗(yàn)證設(shè)計(jì)�����;A1:經(jīng)過(guò)驗(yàn)證的設(shè)計(jì)A2:A1級(jí)以外的系統(tǒng)����。最低商用操作系統(tǒng)是C2.
安全評(píng)估的國(guó)內(nèi)通用準(zhǔn)則
國(guó)家標(biāo)準(zhǔn)GB17859-99是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的核心���,是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的重要基礎(chǔ)�。此標(biāo)準(zhǔn)將信息系統(tǒng)分成5個(gè)級(jí)別�,分別是用戶自主保護(hù)級(jí)���、系統(tǒng)審計(jì)保護(hù)級(jí)��、安全標(biāo)記保護(hù)級(jí)���、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)��。
機(jī)房安全等級(jí)A�、B、C(防火�����、防水��、防雷擊�、防鼠害)
機(jī)房的三度:溫度,濕度,潔凈度
電磁干擾防護(hù)的主要目的提高計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)、其他電子設(shè)備的抗干擾能力,使之能夠抵抗強(qiáng)電磁干擾��;同時(shí)將計(jì)算機(jī)的電磁泄露發(fā)射降到最低��,防止電磁泄露��。
電磁干擾分類按干擾的耦合方式不同����,可將電磁干擾分為傳導(dǎo)干擾和輻射干擾兩類。
電磁干擾防護(hù)的主要措施:(1)選用低輻射設(shè)備(2)采取屏蔽措施(電屏蔽��,磁屏蔽���,電磁屏蔽)(3)利用噪聲干擾源(4)進(jìn)行距離防護(hù)(5)采用微波吸收材料
接地保護(hù)
根據(jù)GB/T2887-2000標(biāo)準(zhǔn)《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》����,機(jī)房接地有4種方式:
交流工作接地,接地電阻不應(yīng)大于45Ω��。
安全工作接地��,接地電阻不應(yīng)大于45Ω。
直流工作接地���,接地電阻不應(yīng)大于10Ω�����。
防雷接地�,應(yīng)按現(xiàn)行國(guó)家標(biāo)準(zhǔn)《建筑防雷設(shè)計(jì)規(guī)范》執(zhí)行����。
通常采用的接地體有地樁��、水平柵網(wǎng)�、金屬接地板����、建筑物基礎(chǔ)鋼筋等�����。
產(chǎn)生靜電的原因
部分機(jī)房?jī)?nèi)鋪設(shè)的地毯是產(chǎn)生靜電的根源��,其最易產(chǎn)生靜電積累��。工作人員穿著的化纖類衣物����,也是靜電產(chǎn)生的原因�����。靜電的產(chǎn)生也與氣候有關(guān)�����,比如冬季氣候干燥�,氣溫低��,空氣能累積大量電荷���,因此靜電產(chǎn)生與釋放在冬天更明顯���。
靜電的防范措施:@保證計(jì)算機(jī)的外殼接觸良好��,一些電路板不使用時(shí)應(yīng)包裝在傳導(dǎo)泡沫中���,以避免靜電傷害 @在機(jī)房建設(shè)中裝修材料避免使用掛毯����、地毯等易產(chǎn)生靜電的材料����,應(yīng)采用乙烯材料���,機(jī)房?jī)?nèi)應(yīng)采用活動(dòng)地板 @機(jī)房?jī)?nèi)的家具如磁帶、磁盤柜��、工作臺(tái)表面盡可能用金屬材料����,工作臺(tái)面及座椅材料應(yīng)該是導(dǎo)靜電的 @維修人員在用手觸摸芯片電路之前�����,應(yīng)先把體內(nèi)靜電放掉 @機(jī)房?jī)?nèi)應(yīng)保持一定濕度���,干燥季節(jié)應(yīng)適當(dāng)加濕 @在易產(chǎn)生靜電的地方,使用靜電消除劑或靜電消除器���。
機(jī)房電源系統(tǒng)
計(jì)算機(jī)房設(shè)備最好是采取專線供電���。為保證設(shè)備用電質(zhì)量和用電安全���,電源應(yīng)至少有兩路供電。應(yīng)安裝備用電源��,如長(zhǎng)時(shí)間不間斷電源(UPS)����。關(guān)鍵的設(shè)備應(yīng)有備用發(fā)電機(jī)組和應(yīng)急電源。為防止���、限制瞬態(tài)過(guò)壓和引導(dǎo)浪涌電流�����,應(yīng)配備電涌保護(hù)器(過(guò)壓保護(hù)器)�����。從電源室到計(jì)算機(jī)電源系統(tǒng)的電纜不應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行構(gòu)成干擾��。
緊急情況下供電 UPS:正常供電時(shí)��,UPS可使交流電源整流并不間斷地使電池充電����。在斷電時(shí)���,由電池組通過(guò)逆變器向機(jī)房設(shè)備提供交流電�����。從而有效地保護(hù)系統(tǒng)及數(shù)據(jù)�。在特別重要的場(chǎng)合,應(yīng)考慮此種措施����。
應(yīng)急電源:主要通過(guò)汽油機(jī)或柴油機(jī)帶動(dòng)發(fā)電機(jī)���,在斷電時(shí)啟動(dòng)�����,為系統(tǒng)提供較長(zhǎng)時(shí)間的緊急供電。
安全管理的定義
安全管理是通過(guò)維護(hù)數(shù)據(jù)的保密性�、完整性和可用性等來(lái)管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制,是對(duì)網(wǎng)絡(luò)安全進(jìn)行指導(dǎo)�、規(guī)范和管理的一系列活動(dòng)和過(guò)程。
安全管理原則
(1)多人負(fù)責(zé)原則���。在人員允許的情況下�,有最高領(lǐng)導(dǎo)人指定兩個(gè)或兩個(gè)以上的可到且勝任的工作人員,共同參與每項(xiàng)與安全有關(guān)的活動(dòng)�����,并通過(guò)簽字�����、記錄��、注冊(cè)等方式證明��。
(2)任期有限原則�����。任何人都不能在一個(gè)與安全有關(guān)的崗位上工作太長(zhǎng)時(shí)間�,這樣的崗位應(yīng)該由誠(chéng)實(shí)的工作人員輪換負(fù)責(zé)�。
(3)責(zé)任分散原則�����。在工作人員素質(zhì)和數(shù)量允許的情況下���,不由一人集中實(shí)施全部與安全有關(guān)的功能����,應(yīng)由不同的人或小組來(lái)執(zhí)行。
網(wǎng)絡(luò)安全協(xié)議
數(shù)據(jù)鏈路層安全通信協(xié)議:PPP協(xié)議���;PPTP協(xié)議;L2TP協(xié)議
網(wǎng)絡(luò)層安全通信協(xié)議:IPSec協(xié)議簇
傳輸層安全通信協(xié)議:SSL/TSL協(xié)議簇
應(yīng)用層安全通信協(xié)議:電子郵件安全協(xié)議����;SET協(xié)議;SNMP協(xié)議����;S-HTTP協(xié)議;PGP;PEM;KERBEROS;SSH.
PPP協(xié)議是“點(diǎn)對(duì)點(diǎn)”協(xié)議,PPP的建鏈過(guò)程主要包括3個(gè)階段:鏈路層協(xié)商階段(LCP);認(rèn)證階段(AP)����,包括口令驗(yàn)證協(xié)議(PAP)和挑戰(zhàn)握手驗(yàn)證協(xié)議(CHAP)����;網(wǎng)絡(luò)層協(xié)商階段(NCP).特點(diǎn):(1)快,沒(méi)有流量控制和差錯(cuò)控制(2)安全����,支持身份驗(yàn)證�����。
PPTP為“點(diǎn)到點(diǎn)隧道協(xié)議”,使用一種增強(qiáng)的GRE封裝機(jī)制使PPP數(shù)據(jù)包按隧道方式穿越IP網(wǎng)絡(luò)����,并對(duì)傳送的PPP數(shù)據(jù)流進(jìn)行流量控制和擁塞控制。PPTP具有兩種不同的工作模式:被動(dòng)模式和主動(dòng)模式
第二層隧道協(xié)議L2TP(工業(yè)標(biāo)準(zhǔn))
L2TP特點(diǎn)
(1)差錯(cuò)控制�。L2TP通過(guò)其包頭中的兩個(gè)字段Next Received和Next Sent進(jìn)行流控制和差錯(cuò)檢測(cè)���。
(2)地址分配。L2TP支持在NCP協(xié)商機(jī)制的基礎(chǔ)上動(dòng)態(tài)分配客戶地址�。(3)身份認(rèn)證。具有身份認(rèn)證功能���。(4)安全性能。采用IPSec對(duì)LAC和LNS之間的IP包進(jìn)行加密傳送
L2TP工作流程
隧道建立�、會(huì)話建立和PPP幀的封裝前轉(zhuǎn)
IPSec協(xié)議簇
IPSec包括安全協(xié)議部分和密鑰協(xié)商部分,安全協(xié)議部分定義了對(duì)通信的安全保護(hù)機(jī)制�����;密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別���。IPSec安全協(xié)議部分給出了封裝安全載荷ESP和鑒別頭AH兩種通信保護(hù)機(jī)制�����。其中ESP機(jī)制為通信提供機(jī)密性和完整性保護(hù)��,AH機(jī)制為通信提供完整性保護(hù)��。安全關(guān)聯(lián)SA是構(gòu)成IPSec的基礎(chǔ)�,安全策略SP是IPSec結(jié)構(gòu)中非常重要的組件。
IPSec中的主要協(xié)議
AH協(xié)議為IP報(bào)文提供數(shù)據(jù)完整性����、數(shù)據(jù)源驗(yàn)證以及可選擇的抗重放攻擊保護(hù)��,但不提供數(shù)據(jù)加密服務(wù)。AH封裝劃分為兩種模式:傳輸模式和隧道模式
ESP協(xié)議為保證重要數(shù)據(jù)在公網(wǎng)傳輸時(shí)不被他人竊取���,除了提供AH提供的所有服務(wù)外還提供數(shù)據(jù)加密服務(wù)����。常用的數(shù)據(jù)加密方法有:DES,3DES等����。
SSL 安全套接層協(xié)議
SSL是分層協(xié)議�,它對(duì)上層傳下來(lái)的數(shù)據(jù)進(jìn)行分片、壓縮��、計(jì)算MAC���、加密����,然后數(shù)據(jù)發(fā)送��;對(duì)收到的數(shù)據(jù)則經(jīng)過(guò)解密����、驗(yàn)證�、解壓�、重組之后在分發(fā)給上層的應(yīng)用程序����,完成一次加密通信過(guò)程。位于傳輸層和應(yīng)用層之間��。三種特點(diǎn):保密����,鑒別��,完整性����。連接分為兩個(gè)階段:握手和數(shù)據(jù)傳輸階段。
開(kāi)放系統(tǒng)中用證書(shū)����、企業(yè)網(wǎng)中用kerberos�����、簡(jiǎn)單環(huán)境下用域共享密鑰����。
PGP
PGP是一個(gè)完整的電子郵件安全軟件包����,它包含四個(gè)密碼單元:對(duì)稱加密算法、非對(duì)稱加密算法�����、單向散列算法以及隨機(jī)數(shù)產(chǎn)生器��。特點(diǎn)是通過(guò)單向散列算法對(duì)郵件體進(jìn)行簽名,以保證郵件體無(wú)法修改�����,使用對(duì)稱和非對(duì)稱密碼相結(jié)合的技術(shù)保證郵件體保密且不可否認(rèn)���。
SET協(xié)議
SET協(xié)議是一種電子商務(wù)協(xié)議,它被設(shè)計(jì)為開(kāi)放的電子交易信息加密和安全的規(guī)范���,可為Internet公網(wǎng)上的電子交易提供整套安全解決方案:確保交易信息的保密性和完整性�����;確保交易參與方身份的合法性�;確保交易的不可抵賴性��。SET本身不是一個(gè)支付系統(tǒng)�����,它是一個(gè)安全協(xié)議和格式規(guī)范的集合。
SET提供了三種服務(wù)
在參與交易的各方之間建立安全的通信信道�����。通過(guò)使用符合X.509規(guī)定的數(shù)字證書(shū)來(lái)提供身份認(rèn)證和信任�����。
為了保證安全性,只有在必要的時(shí)候��、必要的交易階段才向必要的交易參與方提供必要的交易信息��。
SET協(xié)議主要特征信息的機(jī)密性��,數(shù)據(jù)的完整性�,不可抵賴性
SNMPv1不安全(團(tuán)體名作為驗(yàn)證碼用)v2����,V3安全���。
信息安全
一般來(lái)說(shuō)��,信息安全主要包括系統(tǒng)安全和數(shù)據(jù)安全兩個(gè)方面���。系統(tǒng)安全一般采用防火墻���、防病毒及其他安全防范技術(shù)等措施,是屬于被動(dòng)型的安全措施���;數(shù)據(jù)安全則主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)的安全保護(hù),如數(shù)據(jù)保密��、數(shù)據(jù)完整性�、身份認(rèn)證等技術(shù)�����。
加密體制分類
1)對(duì)稱密碼體制(雙方密鑰相同)和非對(duì)稱密碼體制(密鑰不同)
2)序列密碼體制和分組密碼體制
公鑰密碼體制
所謂公鑰密鑰密碼技術(shù)就是加密和解密使用不同的密鑰的密碼技術(shù)���,又稱為非對(duì)稱密鑰密碼技術(shù)��。它使用一對(duì)密鑰��,一個(gè)歸發(fā)送者,一個(gè)歸接收者。密鑰對(duì)中的一個(gè)是公開(kāi)密鑰(可以讓所有通信的人知道)�����,簡(jiǎn)稱公鑰���,用于加密����;另一個(gè)必須保持秘密狀態(tài)���,是私人密鑰(一個(gè)專門為自己使用的密鑰)���,用于解密,簡(jiǎn)稱私鑰����。
三種工作模式
通訊雙方先交換公鑰����,(1)加密:用對(duì)方公鑰加密��,接收方用私鑰解密。(2)驗(yàn)證:用自己的私鑰對(duì)發(fā)送信息簽名�����,接收方用公鑰驗(yàn)證�。
(3)加密與驗(yàn)證:發(fā)送:公鑰加密私鑰簽名�。接受�����,私鑰解密公鑰驗(yàn)證����。
認(rèn)證的目的有三個(gè)
一是消息(完整性)認(rèn)證��,即驗(yàn)證信息在傳送或存儲(chǔ)過(guò)程中是否被篡改�����;
二是身份認(rèn)證���,即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符�,如口令或密鑰等���;
三是消息的序號(hào)和操作時(shí)間(時(shí)間性)等的認(rèn)證,其目的是防止消息重放或延遲等攻擊���。
認(rèn)證協(xié)議的分類客戶-服務(wù)器類型���。客戶-客戶類型�����。成員-俱樂(lè)部類型��。
數(shù)字證書(shū)是標(biāo)志通信各方身份的數(shù)據(jù)是一種安全分發(fā)公鑰的方式���。CA負(fù)責(zé)私鑰的發(fā)放���、注銷及驗(yàn)證�。數(shù)字證書(shū)既能分配公鑰�����,又實(shí)現(xiàn)了身份認(rèn)證��。
認(rèn)證協(xié)議基本技術(shù)
1.挑戰(zhàn)-應(yīng)答機(jī)制�,2.時(shí)戳/序列號(hào)機(jī)制,3.Diffie-Hellman密鑰協(xié)商4.基于口令的認(rèn)證
數(shù)字簽名:只有信息發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)據(jù)串�。也稱電子簽名,是公鑰密碼系統(tǒng)的一種重要應(yīng)用方式��。特點(diǎn)(1) 簽名是可信的�。(2) 簽名不可偽造。(3) 簽名不可重用�����。(4) 被簽名的文件是不可改變的����。(5) 簽名是不可抵賴的。
