計(jì)算機(jī)網(wǎng)絡(luò)安全定義
保護(hù)網(wǎng)路系統(tǒng)中的軟件硬件以及信息資源����,使之免遭受到偶然或惡意的破壞����、篡改和泄露��。保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行�����、服務(wù)不中斷����。
計(jì)算機(jī)網(wǎng)絡(luò)安全的含義
網(wǎng)絡(luò)系統(tǒng)安全 網(wǎng)絡(luò)系統(tǒng)安全是信息處理和傳輸系統(tǒng)的安全�����。包括法律法規(guī)的保護(hù)�����,計(jì)算機(jī)機(jī)房環(huán)境的保護(hù)��,計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)上的安全�����,硬件系統(tǒng)的可靠����、安全運(yùn)行,操作系統(tǒng)和應(yīng)用軟件的安全��,數(shù)據(jù)庫(kù)系統(tǒng)的安全等��。這方面?zhèn)戎赜诒Wo(hù)系統(tǒng)正常的運(yùn)行����,本質(zhì)是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行。系統(tǒng)信息安全 系統(tǒng)信息安全包括用戶口令鑒別��、用戶存取權(quán)限控制��、數(shù)據(jù)存取權(quán)限控制��、安全審計(jì)�����、計(jì)算機(jī)病毒防治��、數(shù)據(jù)加密等����。信息內(nèi)容安全 信息內(nèi)容安全包括保護(hù)信息的保密性、真實(shí)性和完整性�����。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、假冒����、詐騙等行為,保護(hù)用戶的利益和隱私����。信息傳播安全 信息傳播防止和控制非法、有害信息傳播產(chǎn)生的后果��,維護(hù)道德��、法律和國(guó)家的利益�����,包括不良信息的過(guò)濾等�����。
計(jì)算機(jī)網(wǎng)絡(luò)安全的主要內(nèi)容
網(wǎng)絡(luò)實(shí)體的安全性 即網(wǎng)絡(luò)設(shè)備及其設(shè)備上運(yùn)行的網(wǎng)絡(luò)軟件的安全性使得網(wǎng)絡(luò)設(shè)備能夠正常提供網(wǎng)絡(luò)服務(wù)��。網(wǎng)絡(luò)系統(tǒng)的安全性 網(wǎng)絡(luò)系統(tǒng)的安全性即網(wǎng)絡(luò)存儲(chǔ)的安全性和網(wǎng)絡(luò)傳輸?shù)陌踩?�。存?chǔ)安全是指信息在網(wǎng)絡(luò)節(jié)點(diǎn)上靜態(tài)存放狀態(tài)下的安全性�����。傳輸安全是指信息在網(wǎng)絡(luò)中動(dòng)態(tài)傳輸過(guò)程中的安全性����。
計(jì)算機(jī)網(wǎng)絡(luò)安全一般目標(biāo)(信息安全基本要素) 完整性:指信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞��、不被插入�����、不延遲����、不亂序和不丟失的特性。對(duì)信息安全發(fā)動(dòng)攻擊主要是為了破壞信息的完整性��。
可用性:指信息可被合法用戶訪問(wèn)并按要求順序使用的特性����,即指當(dāng)需要時(shí)可以使用所需信息。對(duì)可用性的攻擊就是阻斷信息的可用性。
機(jī)密性:指信息不泄露給未經(jīng)授權(quán)的個(gè)人和實(shí)體��,或被未經(jīng)授權(quán)的個(gè)人和實(shí)體利用的特性��。
可控性:指信息在整個(gè)生命周期內(nèi)都可由合法擁有者加以安全的控制��。
不可抵賴性:指用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成��、簽發(fā)��、接收等行為�����。
5����、常用的安全技術(shù)手段加密技術(shù),身份認(rèn)證技術(shù)����,防火墻技術(shù),病毒防治技術(shù)�����,入侵檢測(cè)技術(shù)��,VPN技術(shù)
6����、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅
網(wǎng)絡(luò)實(shí)體威脅:自然因素的威脅;電磁泄漏(如監(jiān)聽計(jì)算機(jī)操作過(guò)程)產(chǎn)生信息泄露��、受電磁干擾和痕跡泄露等威脅�����;操作失誤(如刪除文件����、格式化硬盤等)和意外事故(如系統(tǒng)崩潰等)的威脅;計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房的環(huán)境威脅
網(wǎng)絡(luò)系統(tǒng)威脅網(wǎng)絡(luò)系統(tǒng)威脅主要有兩個(gè)方面:網(wǎng)絡(luò)存儲(chǔ)威脅和網(wǎng)絡(luò)運(yùn)輸威脅網(wǎng)絡(luò)存儲(chǔ)威脅是指信息在網(wǎng)絡(luò)結(jié)點(diǎn)上靜態(tài)存放狀態(tài)下受到的威脅�����,主要是網(wǎng)絡(luò)內(nèi)部或外部對(duì)信息的非法訪問(wèn)�����。網(wǎng)絡(luò)傳輸威脅是指信息在動(dòng)態(tài)傳輸過(guò)程中受到的威脅 ��。截獲:攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。中斷:攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信 ��。篡改:攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文 �����。偽造:攻擊者偽造信息在網(wǎng)絡(luò)上傳送
惡意程序威脅
計(jì)算機(jī)病毒��,計(jì)算機(jī)蠕蟲��,特洛伊木馬��,邏輯炸彈
7����、影響網(wǎng)絡(luò)安全的因素
自然因素 自然災(zāi)害的影響;環(huán)境的影響��;輔助保障系統(tǒng)的影響
技術(shù)因素 網(wǎng)絡(luò)硬件存在安全方面的缺陷��;網(wǎng)絡(luò)軟件存在的安全漏洞�����;系統(tǒng)配置不當(dāng)造成的其他安全漏洞����。
人為因素 人為無(wú)意失誤�����;人為惡意攻擊。
8����、計(jì)算機(jī)網(wǎng)絡(luò)安全的三個(gè)層次
安全立法,安全管理(技術(shù)安全管理����,行政安全管理,應(yīng)急安全管理)����,安全技術(shù)措施(實(shí)體的安全技術(shù),軟件安全技術(shù)��,數(shù)據(jù)安全技術(shù)����,運(yùn)行安全技術(shù))
P2DR模型P2DR是Policy(策略)、Protection(防護(hù))����、Detection(檢測(cè))和 Response(響應(yīng))
PDRR模型PDRR是Protection(防護(hù))����、Detection(檢測(cè))��、Response(響應(yīng))�����、Recovery(恢復(fù))
安全策略定義
安全策略是指在一個(gè)特定的環(huán)境里����,為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略從本質(zhì)上說(shuō)是描述組織具有哪些重要的信息資產(chǎn)��,并說(shuō)明如何對(duì)這些資產(chǎn)進(jìn)行保護(hù)的一個(gè)計(jì)劃
制定安全策略目的
制定安全策略的目的是對(duì)組織成員闡明如何使用系統(tǒng)資源�����,如何處理敏感信息��,如何采用安全技術(shù)產(chǎn)品����,用戶應(yīng)該具有什么樣的安全意識(shí)��,掌握什么樣的技能要求��,承擔(dān)什么樣的責(zé)任等��。
安全策略制定的原則
目的性原則安全策略是為組織完成自己的信息安全使命而制定的�����,策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求。
適用性原則安全策略應(yīng)該反映組織的真實(shí)環(huán)境和信息安全的發(fā)展水平��。
可行性原則安全策略應(yīng)該具有切實(shí)可行性��,其目標(biāo)應(yīng)該可以實(shí)現(xiàn)����,并容易測(cè)量和審核。
經(jīng)濟(jì)性原則安全策略應(yīng)該經(jīng)濟(jì)合理��,盡量減少規(guī)模和復(fù)雜程度��。
完整性原則安全能夠反映組織的所有業(yè)務(wù)流程的安全需要����。
一致性原則安全策略要和國(guó)家�����、地方的法律法規(guī)保持一致��;和組織己有的策略��、方針保持一致�����;整體安全策略保持一致�����。
彈性原則對(duì)安全需要求有總體的設(shè)計(jì)和長(zhǎng)遠(yuǎn)的規(guī)劃����,策略不僅要滿足當(dāng)前的組織要求��,還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求��。
可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則
《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》分成D����,C�����,B和A四類:D級(jí):最小保護(hù)��;C級(jí):自主保護(hù)��;C1級(jí):自主型安全保護(hù)����;C2級(jí):可控訪問(wèn)保護(hù)�����;B級(jí):強(qiáng)制安全保護(hù)����;B1級(jí):標(biāo)記安全保護(hù)�����;B2級(jí):結(jié)構(gòu)化保護(hù)����;B3級(jí):安全域�����;A級(jí):驗(yàn)證設(shè)計(jì)��;A1:經(jīng)過(guò)驗(yàn)證的設(shè)計(jì)A2:A1級(jí)以外的系統(tǒng)��。最低商用操作系統(tǒng)是C2.
安全評(píng)估的國(guó)內(nèi)通用準(zhǔn)則
國(guó)家標(biāo)準(zhǔn)GB17859-99是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的核心����,是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的重要基礎(chǔ)��。此標(biāo)準(zhǔn)將信息系統(tǒng)分成5個(gè)級(jí)別��,分別是用戶自主保護(hù)級(jí)����、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)�����、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)����。
機(jī)房安全等級(jí)A����、B����、C(防火、防水�����、防雷擊��、防鼠害)
機(jī)房的三度:溫度�����,濕度����,潔凈度
電磁干擾防護(hù)的主要目的提高計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)��、其他電子設(shè)備的抗干擾能力��,使之能夠抵抗強(qiáng)電磁干擾;同時(shí)將計(jì)算機(jī)的電磁泄露發(fā)射降到最低�����,防止電磁泄露����。
電磁干擾分類按干擾的耦合方式不同,可將電磁干擾分為傳導(dǎo)干擾和輻射干擾兩類�����。
電磁干擾防護(hù)的主要措施:(1)選用低輻射設(shè)備(2)采取屏蔽措施(電屏蔽��,磁屏蔽����,電磁屏蔽)(3)利用噪聲干擾源(4)進(jìn)行距離防護(hù)(5)采用微波吸收材料
接地保護(hù)
根據(jù)GB/T2887-2000標(biāo)準(zhǔn)《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》,機(jī)房接地有4種方式:
交流工作接地�����,接地電阻不應(yīng)大于45Ω��。
安全工作接地��,接地電阻不應(yīng)大于45Ω。
直流工作接地��,接地電阻不應(yīng)大于10Ω����。
防雷接地,應(yīng)按現(xiàn)行國(guó)家標(biāo)準(zhǔn)《建筑防雷設(shè)計(jì)規(guī)范》執(zhí)行�����。
通常采用的接地體有地樁����、水平柵網(wǎng)、金屬接地板�����、建筑物基礎(chǔ)鋼筋等��。
產(chǎn)生靜電的原因
部分機(jī)房?jī)?nèi)鋪設(shè)的地毯是產(chǎn)生靜電的根源��,其最易產(chǎn)生靜電積累����。工作人員穿著的化纖類衣物,也是靜電產(chǎn)生的原因����。靜電的產(chǎn)生也與氣候有關(guān),比如冬季氣候干燥�����,氣溫低��,空氣能累積大量電荷��,因此靜電產(chǎn)生與釋放在冬天更明顯�����。
靜電的防范措施:@保證計(jì)算機(jī)的外殼接觸良好��,一些電路板不使用時(shí)應(yīng)包裝在傳導(dǎo)泡沫中�����,以避免靜電傷害 @在機(jī)房建設(shè)中裝修材料避免使用掛毯��、地毯等易產(chǎn)生靜電的材料�����,應(yīng)采用乙烯材料,機(jī)房?jī)?nèi)應(yīng)采用活動(dòng)地板 @機(jī)房?jī)?nèi)的家具如磁帶����、磁盤柜、工作臺(tái)表面盡可能用金屬材料�����,工作臺(tái)面及座椅材料應(yīng)該是導(dǎo)靜電的 @維修人員在用手觸摸芯片電路之前����,應(yīng)先把體內(nèi)靜電放掉 @機(jī)房?jī)?nèi)應(yīng)保持一定濕度,干燥季節(jié)應(yīng)適當(dāng)加濕 @在易產(chǎn)生靜電的地方����,使用靜電消除劑或靜電消除器。
機(jī)房電源系統(tǒng)
計(jì)算機(jī)房設(shè)備最好是采取專線供電����。為保證設(shè)備用電質(zhì)量和用電安全,電源應(yīng)至少有兩路供電�����。應(yīng)安裝備用電源����,如長(zhǎng)時(shí)間不間斷電源(UPS)。關(guān)鍵的設(shè)備應(yīng)有備用發(fā)電機(jī)組和應(yīng)急電源�����。為防止����、限制瞬態(tài)過(guò)壓和引導(dǎo)浪涌電流,應(yīng)配備電涌保護(hù)器(過(guò)壓保護(hù)器)��。從電源室到計(jì)算機(jī)電源系統(tǒng)的電纜不應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行構(gòu)成干擾��。
緊急情況下供電 UPS:正常供電時(shí)�����,UPS可使交流電源整流并不間斷地使電池充電��。在斷電時(shí)����,由電池組通過(guò)逆變器向機(jī)房設(shè)備提供交流電����。從而有效地保護(hù)系統(tǒng)及數(shù)據(jù)�����。在特別重要的場(chǎng)合����,應(yīng)考慮此種措施。
應(yīng)急電源:主要通過(guò)汽油機(jī)或柴油機(jī)帶動(dòng)發(fā)電機(jī)��,在斷電時(shí)啟動(dòng)�����,為系統(tǒng)提供較長(zhǎng)時(shí)間的緊急供電��。
安全管理的定義
安全管理是通過(guò)維護(hù)數(shù)據(jù)的保密性��、完整性和可用性等來(lái)管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制�����,是對(duì)網(wǎng)絡(luò)安全進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)和過(guò)程��。
安全管理原則
(1)多人負(fù)責(zé)原則�����。在人員允許的情況下����,有最高領(lǐng)導(dǎo)人指定兩個(gè)或兩個(gè)以上的可到且勝任的工作人員�����,共同參與每項(xiàng)與安全有關(guān)的活動(dòng)����,并通過(guò)簽字、記錄��、注冊(cè)等方式證明����。
(2)任期有限原則。任何人都不能在一個(gè)與安全有關(guān)的崗位上工作太長(zhǎng)時(shí)間�����,這樣的崗位應(yīng)該由誠(chéng)實(shí)的工作人員輪換負(fù)責(zé)。
(3)責(zé)任分散原則����。在工作人員素質(zhì)和數(shù)量允許的情況下,不由一人集中實(shí)施全部與安全有關(guān)的功能�����,應(yīng)由不同的人或小組來(lái)執(zhí)行��。
網(wǎng)絡(luò)安全協(xié)議
數(shù)據(jù)鏈路層安全通信協(xié)議:PPP協(xié)議��;PPTP協(xié)議��;L2TP協(xié)議
網(wǎng)絡(luò)層安全通信協(xié)議:IPSec協(xié)議簇
傳輸層安全通信協(xié)議:SSL/TSL協(xié)議簇
應(yīng)用層安全通信協(xié)議:電子郵件安全協(xié)議��;SET協(xié)議�����;SNMP協(xié)議�����;S-HTTP協(xié)議;PGP;PEM;KERBEROS;SSH.
PPP協(xié)議是“點(diǎn)對(duì)點(diǎn)”協(xié)議,PPP的建鏈過(guò)程主要包括3個(gè)階段:鏈路層協(xié)商階段(LCP)����;認(rèn)證階段(AP),包括口令驗(yàn)證協(xié)議(PAP)和挑戰(zhàn)握手驗(yàn)證協(xié)議(CHAP)���;網(wǎng)絡(luò)層協(xié)商階段(NCP).特點(diǎn):(1)快�����,沒(méi)有流量控制和差錯(cuò)控制(2)安全,支持身份驗(yàn)證��。
PPTP為“點(diǎn)到點(diǎn)隧道協(xié)議”�����,使用一種增強(qiáng)的GRE封裝機(jī)制使PPP數(shù)據(jù)包按隧道方式穿越IP網(wǎng)絡(luò)�����,并對(duì)傳送的PPP數(shù)據(jù)流進(jìn)行流量控制和擁塞控制��。PPTP具有兩種不同的工作模式:被動(dòng)模式和主動(dòng)模式
第二層隧道協(xié)議L2TP(工業(yè)標(biāo)準(zhǔn))
L2TP特點(diǎn)
(1)差錯(cuò)控制���。L2TP通過(guò)其包頭中的兩個(gè)字段Next Received和Next Sent進(jìn)行流控制和差錯(cuò)檢測(cè)�����。
(2)地址分配���。L2TP支持在NCP協(xié)商機(jī)制的基礎(chǔ)上動(dòng)態(tài)分配客戶地址�����。(3)身份認(rèn)證��。具有身份認(rèn)證功能��。(4)安全性能�����。采用IPSec對(duì)LAC和LNS之間的IP包進(jìn)行加密傳送
L2TP工作流程
隧道建立���、會(huì)話建立和PPP幀的封裝前轉(zhuǎn)
IPSec協(xié)議簇
IPSec包括安全協(xié)議部分和密鑰協(xié)商部分,安全協(xié)議部分定義了對(duì)通信的安全保護(hù)機(jī)制���;密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別�����。IPSec安全協(xié)議部分給出了封裝安全載荷ESP和鑒別頭AH兩種通信保護(hù)機(jī)制�����。其中ESP機(jī)制為通信提供機(jī)密性和完整性保護(hù)��,AH機(jī)制為通信提供完整性保護(hù)�����。安全關(guān)聯(lián)SA是構(gòu)成IPSec的基礎(chǔ)��,安全策略SP是IPSec結(jié)構(gòu)中非常重要的組件��。
IPSec中的主要協(xié)議
AH協(xié)議為IP報(bào)文提供數(shù)據(jù)完整性��、數(shù)據(jù)源驗(yàn)證以及可選擇的抗重放攻擊保護(hù)��,但不提供數(shù)據(jù)加密服務(wù)��。AH封裝劃分為兩種模式:傳輸模式和隧道模式
ESP協(xié)議為保證重要數(shù)據(jù)在公網(wǎng)傳輸時(shí)不被他人竊取�����,除了提供AH提供的所有服務(wù)外還提供數(shù)據(jù)加密服務(wù)��。常用的數(shù)據(jù)加密方法有:DES���,3DES等���。
SSL 安全套接層協(xié)議
SSL是分層協(xié)議,它對(duì)上層傳下來(lái)的數(shù)據(jù)進(jìn)行分片��、壓縮���、計(jì)算MAC��、加密���,然后數(shù)據(jù)發(fā)送;對(duì)收到的數(shù)據(jù)則經(jīng)過(guò)解密���、驗(yàn)證��、解壓��、重組之后在分發(fā)給上層的應(yīng)用程序���,完成一次加密通信過(guò)程��。位于傳輸層和應(yīng)用層之間���。三種特點(diǎn):保密,鑒別���,完整性�����。連接分為兩個(gè)階段:握手和數(shù)據(jù)傳輸階段�����。
開放系統(tǒng)中用證書���、企業(yè)網(wǎng)中用kerberos�����、簡(jiǎn)單環(huán)境下用域共享密鑰�����。
PGP
PGP是一個(gè)完整的電子郵件安全軟件包,它包含四個(gè)密碼單元:對(duì)稱加密算法�����、非對(duì)稱加密算法���、單向散列算法以及隨機(jī)數(shù)產(chǎn)生器�����。特點(diǎn)是通過(guò)單向散列算法對(duì)郵件體進(jìn)行簽名�����,以保證郵件體無(wú)法修改���,使用對(duì)稱和非對(duì)稱密碼相結(jié)合的技術(shù)保證郵件體保密且不可否認(rèn)。
SET協(xié)議
SET協(xié)議是一種電子商務(wù)協(xié)議�����,它被設(shè)計(jì)為開放的電子交易信息加密和安全的規(guī)范�����,可為Internet公網(wǎng)上的電子交易提供整套安全解決方案:確保交易信息的保密性和完整性;確保交易參與方身份的合法性��;確保交易的不可抵賴性��。SET本身不是一個(gè)支付系統(tǒng)��,它是一個(gè)安全協(xié)議和格式規(guī)范的集合��。
SET提供了三種服務(wù)
在參與交易的各方之間建立安全的通信信道�����。通過(guò)使用符合X.509規(guī)定的數(shù)字證書來(lái)提供身份認(rèn)證和信任�����。
為了保證安全性��,只有在必要的時(shí)候��、必要的交易階段才向必要的交易參與方提供必要的交易信息���。
SET協(xié)議主要特征信息的機(jī)密性���,數(shù)據(jù)的完整性,不可抵賴性
SNMPv1不安全(團(tuán)體名作為驗(yàn)證碼用)v2�����,V3安全�����。
信息安全
一般來(lái)說(shuō)��,信息安全主要包括系統(tǒng)安全和數(shù)據(jù)安全兩個(gè)方面��。系統(tǒng)安全一般采用防火墻��、防病毒及其他安全防范技術(shù)等措施��,是屬于被動(dòng)型的安全措施��;數(shù)據(jù)安全則主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)的安全保護(hù)��,如數(shù)據(jù)保密��、數(shù)據(jù)完整性、身份認(rèn)證等技術(shù)��。
加密體制分類
1)對(duì)稱密碼體制(雙方密鑰相同)和非對(duì)稱密碼體制(密鑰不同)
2)序列密碼體制和分組密碼體制
公鑰密碼體制
所謂公鑰密鑰密碼技術(shù)就是加密和解密使用不同的密鑰的密碼技術(shù)�����,又稱為非對(duì)稱密鑰密碼技術(shù)��。它使用一對(duì)密鑰�����,一個(gè)歸發(fā)送者�����,一個(gè)歸接收者�����。密鑰對(duì)中的一個(gè)是公開密鑰(可以讓所有通信的人知道)�����,簡(jiǎn)稱公鑰��,用于加密;另一個(gè)必須保持秘密狀態(tài)�����,是私人密鑰(一個(gè)專門為自己使用的密鑰)���,用于解密,簡(jiǎn)稱私鑰�����。
三種工作模式
通訊雙方先交換公鑰���,(1)加密:用對(duì)方公鑰加密���,接收方用私鑰解密。(2)驗(yàn)證:用自己的私鑰對(duì)發(fā)送信息簽名��,接收方用公鑰驗(yàn)證���。
(3)加密與驗(yàn)證:發(fā)送:公鑰加密私鑰簽名���。接受,私鑰解密公鑰驗(yàn)證。
認(rèn)證的目的有三個(gè)
一是消息(完整性)認(rèn)證���,即驗(yàn)證信息在傳送或存儲(chǔ)過(guò)程中是否被篡改�����;
二是身份認(rèn)證���,即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符,如口令或密鑰等��;
三是消息的序號(hào)和操作時(shí)間(時(shí)間性)等的認(rèn)證�����,其目的是防止消息重放或延遲等攻擊��。
認(rèn)證協(xié)議的分類客戶-服務(wù)器類型�����?��?蛻?客戶類型�����。成員-俱樂(lè)部類型���。
數(shù)字證書是標(biāo)志通信各方身份的數(shù)據(jù)是一種安全分發(fā)公鑰的方式�����。CA負(fù)責(zé)私鑰的發(fā)放、注銷及驗(yàn)證��。數(shù)字證書既能分配公鑰���,又實(shí)現(xiàn)了身份認(rèn)證��。
認(rèn)證協(xié)議基本技術(shù)
1.挑戰(zhàn)-應(yīng)答機(jī)制��,2.時(shí)戳/序列號(hào)機(jī)制���,3.Diffie-Hellman密鑰協(xié)商4.基于口令的認(rèn)證
數(shù)字簽名:只有信息發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)據(jù)串。也稱電子簽名�����,是公鑰密碼系統(tǒng)的一種重要應(yīng)用方式。特點(diǎn)(1) 簽名是可信的���。(2) 簽名不可偽造�����。(3) 簽名不可重用���。(4) 被簽名的文件是不可改變的。(5) 簽名是不可抵賴的��。
