第8章 網(wǎng)絡(luò)安全與信息安全
主要內(nèi)容:1、密碼學(xué)�、鑒別
2、訪問控制���、計算機(jī)病毒
3���、網(wǎng)絡(luò)安全技術(shù)
4�、安全服務(wù)與安全機(jī)制
5、信息系統(tǒng)安全體系結(jié)構(gòu)框架
6���、信息系統(tǒng)安全評估準(zhǔn)則
一����、密碼學(xué)
1����、密碼學(xué)是以研究數(shù)據(jù)保密為目的���,對存儲或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取的技術(shù)。
2�、對稱密鑰密碼系統(tǒng)(私鑰密碼系統(tǒng)):在傳統(tǒng)密碼體制中加密和解密采用的是同一密鑰。常見的算法有:DES����、IDEA
3、加密模式分類:
(1)序列密碼:通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列�,使用該序列加密信息流逐位加密得到密文。
(2)分組密碼:在相信復(fù)雜函數(shù)可以通過簡單函數(shù)迭代若干圈得到的原則����,利用簡單圈函數(shù)及對合等運(yùn)算,充分利用非線性運(yùn)算�����。
4��、非對稱密鑰密碼系統(tǒng)(公鑰密碼系統(tǒng)):現(xiàn)代密碼體制中加密和解密采用不同的密鑰��。
實現(xiàn)的過程:每個通信雙方有兩個密鑰�,K和K'�,在進(jìn)行保密通信時通常將加密密鑰K公開(稱為公鑰)��,而保留解密密鑰K'(稱為私鑰)�,常見的算法有:RSA
二、鑒別
鑒別是指可靠地驗證某個通信參與方的身份是否與他所聲稱的身份一致的過程����,一般通過某種復(fù)雜的身份認(rèn)證協(xié)議來實現(xiàn)。
1��、口令技術(shù)
身份認(rèn)證標(biāo)記:PIN保護(hù)記憶卡和挑戰(zhàn)響應(yīng)卡
分類:共享密鑰認(rèn)證����、公鑰認(rèn)證和零知識認(rèn)證
(1)共享密鑰認(rèn)證的思想是從通過口令認(rèn)證用戶發(fā)展來了。
(2)公開密鑰算法的出現(xiàn)為
2�、會話密鑰:是指在一次會話過程中使用的密鑰,一般都是由機(jī)器隨機(jī)生成的�,會話密鑰在實際使用時往往是在一定時間內(nèi)都有效����,并不真正限制在一次會話過程中。
簽名:利用私鑰對明文信息進(jìn)行的變換稱為簽名
封裝:利用公鑰對明文信息進(jìn)行的變換稱為封裝
3�����、Kerberos鑒別:是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心的身份認(rèn)證系統(tǒng)�����?蛻舴叫枰蚍⻊(wù)器方遞交自己的憑據(jù)來證明自己的身份�����,該憑據(jù)是由KDC專門為客戶和服務(wù)器方在某一階段內(nèi)通信而生成的���。憑據(jù)中包括客戶和服務(wù)器方的身份信息和在下一階段雙方使用的臨時加密密鑰����,還有證明客戶方擁有會話密鑰的身份認(rèn)證者信息���。身份認(rèn)證信息的作用是防止攻擊者在將來將同樣的憑據(jù)再次使用���。時間標(biāo)記是檢測重放攻擊。
4����、數(shù)字簽名:
5、應(yīng)用層安全性
6����、WWW應(yīng)用安全技術(shù)
(1)解決WWW應(yīng)用安全的方案需要結(jié)合通用的internet安全技術(shù)和專門針對WWW的技術(shù)����。前者主要是指防火墻技術(shù)����,后者包括根據(jù)WWW技術(shù)的特點(diǎn)改進(jìn)HTTP協(xié)議或者利用代理服務(wù)器、插入件���、中間件等技術(shù)來實現(xiàn)的安全技術(shù)���。
(2)HTTP目前三個版本:HTTP0.9、HTTP1.0��、HTTP1.1��。HTTP0.9是最早的版本�,它只定義了最基本的簡單請求和簡單回答;HTTP1.0較完善,也是目前使用廣泛的一個版本;HTTP1.1增加了大量的報頭域����,并對HTTP1.0中沒有嚴(yán)格定義的部分作了進(jìn)一步的說明���。
(3)HTTP1.1提供了一個基于口令基本認(rèn)證方法�,目前所有的WEB服務(wù)器都可以通過"基本身份認(rèn)證"支持訪問控制。在身份認(rèn)證上�����,針對基本認(rèn)證方法以明文傳輸口令這一最大弱點(diǎn)���,補(bǔ)充了摘要認(rèn)證方法�����,不再傳遞口令明文����,而是將口令經(jīng)過散列函數(shù)變換后傳遞它的摘要����。
(4)針對HTTP協(xié)議的改進(jìn)還有安全HTTP協(xié)議SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎(chǔ)上���,提供了數(shù)據(jù)加密����、身份認(rèn)證、數(shù)據(jù)完整��、防止否認(rèn)等能力���。
(5)DEC-Web
WAND服務(wù)器是支持DCE的專用Web服務(wù)器���,它可以和三種客戶進(jìn)行通信:第一是設(shè)置本地安全代理SLP的普通瀏覽器。第二種是支持SSL瀏覽器�����,這種瀏覽器向一個安全網(wǎng)關(guān)以SSL協(xié)議發(fā)送請求�,SDG再將請求轉(zhuǎn)換成安全RPC調(diào)用發(fā)給WAND,收到結(jié)果后�,將其轉(zhuǎn)換成SSL回答,發(fā)回到瀏覽器�����。第三種是完全沒有任何安全機(jī)制的普通瀏覽器���,WANS也接受它直接的HTTP請求�����,但此時通信得不到任何保護(hù)����。
六�����、安全服務(wù)與安全與機(jī)制
1�����、ISO7498-2從體系結(jié)構(gòu)的觀點(diǎn)描述了5種可選的安全服務(wù)�、8項特定的安全機(jī)制以及5種普遍性的安全機(jī)制。
2��、5種可選的安全服務(wù):鑒別�����、訪問控制���、數(shù)據(jù)保密��、數(shù)據(jù)完整性和防止否認(rèn)��。
3��、8種安全機(jī)制:加密機(jī)制���、數(shù)據(jù)完整性機(jī)制��、訪問控制機(jī)制���、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制����、通信業(yè)務(wù)填充機(jī)制、路由控制機(jī)制��、公證機(jī)制���,它們可以在OSI參考模型的適當(dāng)層次上實施��。
4���、5種普遍性的安全機(jī)制:可信功能�、安全標(biāo)號�����、事件檢測�����、安全審計跟蹤�、安全恢復(fù)���。
5����、信息系統(tǒng)安全評估準(zhǔn)則
(1)可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC:是由美國國家計算機(jī)安全中心于1983年制訂的��,又稱桔皮書�����。
(2)信息技術(shù)安全評估準(zhǔn)則ITSEC:由歐洲四國于1989年聯(lián)合提出的���,俗稱白皮書���。
(3)通用安全評估準(zhǔn)則CC:由美國國家標(biāo)準(zhǔn)技術(shù)研究所NIST和國家安全局NSA����、歐洲四國以及加拿大等6國7方聯(lián)合提出的�。
(4)計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則:我國國家質(zhì)量技術(shù)監(jiān)督局于1999年發(fā)布的國家標(biāo)準(zhǔn)。
