信息安全技術(shù)綜述知識講稿

信息平安技術(shù)綜述2003.4精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術(shù)PKI技術(shù)精選ppt信息平安的三個(gè)開展階段計(jì)算機(jī)出現(xiàn)之前，主要是解決通信的安全保密問題。此后發(fā)展出了各種加密技術(shù)〔密碼學(xué)〕，同時(shí)也出現(xiàn)了相應(yīng)的解密技術(shù)〔密碼分析學(xué)〕。計(jì)算機(jī)出現(xiàn)后，計(jì)算機(jī)系統(tǒng)的安全成為突出問題。與通信安全保密相比，它的內(nèi)容更廣泛了，包括硬件、軟件和處理的數(shù)據(jù)安全。Internet開展以后，必須把整個(gè)信息網(wǎng)絡(luò)作為一個(gè)整體加以研究和解決。在系統(tǒng)內(nèi)部，涉及的內(nèi)容有通信安全、計(jì)算機(jī)安全、操作安全、數(shù)據(jù)安全、實(shí)體安全等；在系統(tǒng)的外部，涉及使用管理和法律兩方面，所以保障信息安全是一個(gè)復(fù)雜的系統(tǒng)工程。精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術(shù)PKI技術(shù)精選ppt信息平安的目標(biāo)信息的保密性信息的完整性信息完整一致的，沒有被非授權(quán)用戶篡改。身份的真實(shí)性用戶身份不能被假冒或偽裝，可以有效鑒別用戶的身份精選ppt信息平安的目標(biāo)〔續(xù)〕授權(quán)合法性平安管理人員能夠控制用戶的權(quán)限，分配或終止用戶的訪問、操作、接入等權(quán)利，被授權(quán)用戶的訪問不能被拒絕。不可抵賴性信息的發(fā)送方不能抵賴曾經(jīng)發(fā)送信息，不能否認(rèn)自己的行為。精選ppt計(jì)算機(jī)平安的目標(biāo)保密性〔Confidentiality〕-防止信息泄露給未授權(quán)用戶〔或攻擊者〕完整性〔Integrity〕-防止信息被未授權(quán)用戶修改可用性〔Availability〕-不拒絕授權(quán)用戶的訪問。拒絕效勞主要包括三個(gè)方面的含義：臨時(shí)降低系統(tǒng)的性能，系統(tǒng)崩潰而需要人工重新啟動(dòng)，或因數(shù)據(jù)永久喪失而導(dǎo)致的較大范圍的系統(tǒng)崩潰。精選ppt精選ppt精選ppt計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)的平安威脅技術(shù)本身存在著平安弱點(diǎn)-以Unix和TCP/IP為例。Unix用戶具有通用編程能力，能夠向系統(tǒng)生成、安裝、控制和操作自己的程序；用戶可以通過遠(yuǎn)程郵件和文件的傳送訪問其他用戶；用戶可通過uucp程序從一個(gè)系統(tǒng)拷貝文件到另一個(gè)系統(tǒng)等。TCP/IP協(xié)議集大多數(shù)低層協(xié)議為播送方式，網(wǎng)上的任何機(jī)器均有可能竊聽到情報(bào)；在協(xié)議規(guī)程中缺乏可靠的對通信雙方身份的認(rèn)證手段，無法確定信息包地址的真?zhèn)?，有“假冒〞的可能；較易推測出系統(tǒng)中所使用的序號，從而較容易從系統(tǒng)的“后門〞進(jìn)入系統(tǒng)；精選ppt系統(tǒng)的平安性差-主要是由于系統(tǒng)的軟硬件設(shè)計(jì)和配置及使用不當(dāng)造成的。例如，使用過于復(fù)雜而不太平安的操作系統(tǒng)、應(yīng)用軟件設(shè)計(jì)不高明、系統(tǒng)缺乏平安配置、使用能引起故障增生的雜亂的計(jì)算機(jī)聯(lián)網(wǎng)、系統(tǒng)構(gòu)件〔包括用戶〕缺少健全的識別過程等因素。精選ppt缺乏平安性實(shí)踐-主要表現(xiàn)在平安協(xié)議標(biāo)準(zhǔn)不統(tǒng)一，平安產(chǎn)品處在初期開展階段，缺少網(wǎng)絡(luò)環(huán)境下用于產(chǎn)品評價(jià)的平安性準(zhǔn)那么和評價(jià)工具，系統(tǒng)管理人員缺少平安意識和平安管理培訓(xùn)等。在系統(tǒng)平安受到威脅時(shí)，缺少應(yīng)有的完整的平安管理方法、步驟和平安對策，如事故通報(bào)、風(fēng)險(xiǎn)評估、改正平安缺陷、評估損失、相應(yīng)的補(bǔ)救恢復(fù)措施等。精選ppt信息平安技術(shù)密碼技術(shù)〔加解密算法、認(rèn)證〕訪問控制〔平安操作系統(tǒng)、防火墻〕入侵檢測和響應(yīng)技術(shù)系統(tǒng)拯救、恢復(fù)技術(shù)平安評估、安全分析與模擬技術(shù)精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術(shù)PKI技術(shù)精選ppt 入侵檢測和漏洞檢測系統(tǒng)是網(wǎng)絡(luò)平安系統(tǒng)的一個(gè)重要組成局部，它不但可以實(shí)現(xiàn)復(fù)雜煩瑣的信息系統(tǒng)平安管理，而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞，有時(shí)還能實(shí)時(shí)地對攻擊作出反響。精選ppt入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識別違反平安法規(guī)的行為、使用誘騙效勞器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評估自己的系統(tǒng)。精選ppt漏洞檢測就是對重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測，對系統(tǒng)中不適宜的設(shè)置、脆弱的口令以及其他同平安規(guī)那么相抵觸的對象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反響，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)平安性能的一個(gè)評估，它指出了哪些攻擊是可能的，因此成為平安方案的一個(gè)重要組成局部。精選ppt平安預(yù)警的復(fù)雜性來源的識別企圖的判定危害程度和潛在能力的判斷網(wǎng)絡(luò)技術(shù)的跟蹤軟件設(shè)計(jì)硬件的適應(yīng)性精選ppt面對問題入侵技術(shù)在不斷開展入侵活動(dòng)可以具有很大的時(shí)間跨度和空間跨度非線性的特征還沒有有效的識別模型

精選ppt入侵方法涉及到操作系統(tǒng)方方面面的漏洞，如系統(tǒng)設(shè)計(jì)缺陷、編碼缺陷、系統(tǒng)配置缺陷、運(yùn)行管理缺陷，甚至系統(tǒng)中預(yù)留的后門等。在Internet上有大量的黑客站點(diǎn)，發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。全世界的黑客都可以利用這些共享資源來進(jìn)行攻擊方法的研究與傳播，使得新的攻擊方法能夠以最快的速度成為現(xiàn)實(shí)的入侵武器。更為令人擔(dān)憂的是有組織的活動(dòng)，國外已將信息戰(zhàn)手段同核武器、生化武器并列在一起，作為戰(zhàn)略威懾加以討論，破壞者所具備的能力，對我們而言仍是一個(gè)很大的未知數(shù)。精選ppt有預(yù)謀的入侵活動(dòng)往往有較周密的籌劃、試探性和技術(shù)性準(zhǔn)備，一個(gè)入侵活動(dòng)的各個(gè)步驟有可能在一段相對長的時(shí)間跨度和相當(dāng)大的空間跨度之上分別完成，給預(yù)警帶來困難。一個(gè)檢測模型總會有一個(gè)有限的時(shí)間窗口，從而忽略滑出時(shí)間窗口的某些事實(shí)。同時(shí)，檢測模型對于在較大空間范圍內(nèi)發(fā)生的異?，F(xiàn)象的綜合、聯(lián)想能力也是有限的。精選ppt入侵檢測技術(shù)的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測策略和算法。因?yàn)槿肭帜Ｊ绞且粋€(gè)靜態(tài)的事物，而現(xiàn)實(shí)的入侵活動(dòng)那么是靈活多變的。有效的入侵檢測模型應(yīng)能夠接受足夠大的時(shí)間跨度和空間跨度。從技術(shù)上說，入侵技術(shù)已經(jīng)開展到一定階段，而入侵檢測技術(shù)在理論上、模型上和實(shí)踐上還都沒有真正開展起來。在市場上能夠看得到的入侵檢測系統(tǒng)也都處在同一水平上。西方國家重要網(wǎng)絡(luò)上配置的入侵檢測系統(tǒng)應(yīng)不是這一水平的技術(shù)，或者他們也在尋求其他更為有效的檢測手段。精選ppt入侵檢測技術(shù)類型一基于應(yīng)用的監(jiān)控技術(shù)，使用監(jiān)控傳感器在應(yīng)用層收集信息。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來越受到注意，其缺點(diǎn)在于有可能降低技術(shù)本身的平安。精選ppt入侵檢測技術(shù)類型二基于主機(jī)的監(jiān)控技術(shù)，主要特征是使用主機(jī)傳感器監(jiān)控本系統(tǒng)的信息。這種技術(shù)可以用于分布式、加密、交換的環(huán)境中監(jiān)控，把特定的問題同特定的用戶聯(lián)系起來；其缺點(diǎn)在于主機(jī)傳感器要和特定的平臺相關(guān)聯(lián)，對網(wǎng)絡(luò)行為不夠清楚，同時(shí)加大了系統(tǒng)的負(fù)擔(dān)。精選ppt入侵檢測技術(shù)類型三基于目標(biāo)的監(jiān)控技術(shù)，主要特征是針對專有系統(tǒng)屬性、文件屬性、敏感數(shù)據(jù)、攻擊進(jìn)程結(jié)果進(jìn)行監(jiān)控。這種技術(shù)不依據(jù)歷史數(shù)據(jù)，系統(tǒng)開銷小，可以準(zhǔn)確地確定受攻擊的部位，受到攻擊的系統(tǒng)容易恢復(fù)；其缺點(diǎn)在于實(shí)時(shí)性較差，對目標(biāo)的檢驗(yàn)數(shù)依賴較大。精選ppt入侵檢測技術(shù)類型四基于網(wǎng)絡(luò)的監(jiān)控技術(shù)，主要特征是網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)控包監(jiān)聽器收集的信息。該技術(shù)不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會影響其他數(shù)據(jù)源；其缺點(diǎn)在于如果數(shù)據(jù)流進(jìn)行了加密，就不能審查其內(nèi)容，對主機(jī)上執(zhí)行的命令也感覺不到。此外，該技術(shù)對高速網(wǎng)絡(luò)不是特別有效。精選ppt入侵檢測技術(shù)類型五綜合以上四種方法進(jìn)行監(jiān)控其特點(diǎn)是可提高偵測性能，但會產(chǎn)生非常復(fù)雜的網(wǎng)絡(luò)平安方案，嚴(yán)重影響網(wǎng)絡(luò)的效率，而且目前還沒有一個(gè)統(tǒng)一的業(yè)界標(biāo)準(zhǔn)。精選ppt入侵檢測技術(shù)的選用信息收集分析時(shí)間：可分為固定時(shí)間間隔和實(shí)時(shí)收集分析兩種。精選ppt采用固定時(shí)間間隔方法，通過操作系統(tǒng)審計(jì)機(jī)制和其他基于主機(jī)的登錄信息，入侵檢測系統(tǒng)在固定間隔的時(shí)間段內(nèi)收集和分析這些信息，這種技術(shù)適用于對平安性能要求較低的系統(tǒng)，對系統(tǒng)的開銷影響較?。坏@種技術(shù)的缺點(diǎn)是顯而易見的，即在時(shí)間間隔內(nèi)將失去對網(wǎng)絡(luò)的保護(hù)。精選ppt采用實(shí)時(shí)收集和分析技術(shù)可以實(shí)時(shí)地抑制攻擊，使系統(tǒng)管理員及時(shí)了解并阻止攻擊，系統(tǒng)平安管理員也可以記錄黑客的信息；缺點(diǎn)是加大了系統(tǒng)開銷。精選ppt入侵檢測技術(shù)的選用〔續(xù)〕采用的分析類型：可分為簽名分析、統(tǒng)計(jì)分析和完整性分析。精選ppt簽名分析就是同攻擊數(shù)據(jù)庫中的系統(tǒng)設(shè)置和用戶行為模式匹配。在許多入侵檢測系統(tǒng)中，都建有這種攻擊的數(shù)據(jù)庫。這種數(shù)據(jù)庫可以經(jīng)常更新，以對付新的威脅。簽名分析的優(yōu)點(diǎn)在于能夠有針對性地收集系統(tǒng)數(shù)據(jù)，減少了系統(tǒng)的開銷，如果數(shù)據(jù)庫不是特別大，那么簽名分析比統(tǒng)計(jì)分析更為有效，因?yàn)樗恍枰↑c(diǎn)運(yùn)算。精選ppt統(tǒng)計(jì)分析用來發(fā)現(xiàn)偏離正常模式的行為，通過分析正常應(yīng)用的屬性得到系統(tǒng)的統(tǒng)計(jì)特征，對每種正常模式計(jì)算出均值和偏差，當(dāng)偵測到有的數(shù)值偏離正常值時(shí)，就發(fā)出報(bào)警信號。這種技術(shù)可以發(fā)現(xiàn)未知的攻擊，使用靈活的統(tǒng)計(jì)方法還可以偵測到復(fù)雜的攻擊。當(dāng)然，如果高明的黑客逐漸改變?nèi)肭帜Ｊ?，那么還是可以逃避偵測的，而且統(tǒng)計(jì)傳感器發(fā)出虛警的概率就會變大。精選ppt完整性分析主要關(guān)注某些文件和對象的屬性是否發(fā)生了變化。完整性分析通過被稱為消息摘錄算法的超強(qiáng)加密機(jī)制，可以感受到微小的變化。這種分析可以偵測到任何使文件發(fā)生變化的攻擊，彌補(bǔ)了簽名分析和統(tǒng)計(jì)分析的缺陷，但是這種分析的實(shí)時(shí)性較差。精選ppt入侵檢測技術(shù)的選用〔續(xù)〕檢測系統(tǒng)對攻擊和誤用的反響：有些基于網(wǎng)絡(luò)的偵測系統(tǒng)可以針對檢測到的問題作出反響，這一特點(diǎn)使得網(wǎng)絡(luò)管理員對付諸如拒絕效勞一類的攻擊變得非常容易。這些反響主要有改變環(huán)境、效用檢驗(yàn)、實(shí)時(shí)通知等。當(dāng)系統(tǒng)檢測到攻擊時(shí)，一個(gè)典型的反響就是改變系統(tǒng)的環(huán)境通常包括關(guān)閉聯(lián)接，重新設(shè)置系統(tǒng)。由于改變了系統(tǒng)的環(huán)境，因此可以通過設(shè)置代理和審計(jì)機(jī)制獲得更多的信息，從而能跟蹤黑客。精選ppt入侵檢測技術(shù)的選用〔續(xù)〕檢測系統(tǒng)的完整性：所謂完整性就是系統(tǒng)自身的平安性，鑒于檢測系統(tǒng)的巨大作用，系統(tǒng)設(shè)人員要對系統(tǒng)本身的自保性能有足夠的重視，黑客在發(fā)動(dòng)攻擊之前首先要對平安機(jī)制有足夠的了解后才會攻擊，所以檢測系統(tǒng)完整性就成為必須解決的問題，經(jīng)常采用的手段有認(rèn)證、超強(qiáng)加密、數(shù)字簽名等，確保合法使用，保證通信不受任何干擾。精選ppt入侵檢測技術(shù)的選用〔續(xù)〕設(shè)置誘騙效勞器：有的偵測系統(tǒng)還在平安構(gòu)架中提供了誘騙效勞器，以便更準(zhǔn)確地確定攻擊的威脅程度。誘騙效勞器的目的就是吸引黑客的注意力，把攻擊導(dǎo)向它，從敏感的傳感器中發(fā)現(xiàn)攻擊者的攻擊位置、攻擊路徑和攻擊實(shí)質(zhì)，隨后把這些信息送到一個(gè)平安的地方，供以后查用。這種技術(shù)是否采用可根據(jù)網(wǎng)絡(luò)的自身情況而定。精選ppt漏洞檢測技術(shù)類型一基于應(yīng)用的檢測技術(shù)，它采用被動(dòng)的、非破壞性的方法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)平安漏洞。精選ppt漏洞檢測技術(shù)類型二基于主機(jī)的檢測技術(shù)，它采用被動(dòng)的、非破壞性的方法對系統(tǒng)進(jìn)行檢測。通常，它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問題。這種技術(shù)還包括口令解密，把一些簡單的口令剔除。因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)存在的問題，發(fā)現(xiàn)系統(tǒng)漏洞。它的缺點(diǎn)是與平臺相關(guān)，升級復(fù)雜。精選ppt漏洞檢測技術(shù)類型三基于目標(biāo)的檢測技術(shù)，它采用被動(dòng)的、非破壞性的方法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息文摘算法，對文件的加密數(shù)進(jìn)行檢驗(yàn)精選ppt漏洞檢測技術(shù)類型四基于網(wǎng)絡(luò)的檢測技術(shù)，它采用積極的、非破壞性的方法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本對系統(tǒng)進(jìn)行攻擊，然后對結(jié)果進(jìn)行分析。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和平安審計(jì)。這種技術(shù)可以發(fā)現(xiàn)平臺的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡(luò)的性能，不會檢驗(yàn)不到系統(tǒng)內(nèi)部的漏洞。精選ppt漏洞檢測技術(shù)類型五綜合的技術(shù)，集中了以上四種技術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)了漏洞識別的精度。精選ppt實(shí)現(xiàn)模型入侵檢測和漏洞檢測系統(tǒng)的實(shí)現(xiàn)是和具體的網(wǎng)絡(luò)拓?fù)涿芮邢嚓P(guān)的，不同的網(wǎng)絡(luò)拓?fù)鋵θ肭謾z測和漏洞檢測系統(tǒng)的結(jié)構(gòu)和功能有不同的要求。通常情況下該系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)中可設(shè)計(jì)為兩個(gè)局部：平安效勞器〔Securityserver〕和檢測代理〔Agent〕。精選ppt平安效勞器平安效勞器中包含網(wǎng)絡(luò)平安數(shù)據(jù)庫、通信管理器、聯(lián)機(jī)信息處理器等部件，它的主要功能是和每一個(gè)代理進(jìn)行相互通信，實(shí)時(shí)處理所有從各代理發(fā)來的信息，作出響應(yīng)的反映，同時(shí)對本網(wǎng)的各平安參數(shù)進(jìn)行審計(jì)和記錄日志，為完善網(wǎng)絡(luò)的平安性能提供參數(shù)。精選ppt檢測代理主機(jī)檢測代理網(wǎng)絡(luò)設(shè)備檢測代理，主要完本錢網(wǎng)段的入侵檢測公用效勞器檢測代理精選ppt典型的入侵檢測系統(tǒng)ISS公司的RealSecure，包括基于主機(jī)的SystemAgent以及基于網(wǎng)絡(luò)的NetworkEngine兩個(gè)套件。支持與CheckPoint防火墻的交互式控制，支持由Cisco等主流交換機(jī)組成的交換環(huán)境監(jiān)聽，可以在需要時(shí)自動(dòng)切斷入侵連接。精選pptAxent公司的ITA、ESM，ITA(IntrusionAlert)是標(biāo)準(zhǔn)的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。全部支持分布式的監(jiān)視和集中管理模式。NAI的CyberCopMonitor，可以同時(shí)在基于主機(jī)和基于網(wǎng)絡(luò)兩種模式下工作。精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術(shù)PKI技術(shù)精選pptPKI〔PublicKeyInfrastructure，公鑰根底設(shè)施〕就是利用公鑰理論和技術(shù)建立的提供平安效勞的根底設(shè)施。PKI技術(shù)是信息平安技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和根底技術(shù)。精選ppt信息保密信息的保密性是信息平安的一個(gè)重要方面。保密的目的是防止第三方通過監(jiān)聽、非法截取等手段非法獲取機(jī)密信息，而加密是保護(hù)機(jī)要信息的一個(gè)重要手段。所謂加密，就是用數(shù)學(xué)方法重新組織數(shù)據(jù)，使得除了合法的接受者外，任何其他人要想恢復(fù)原先的“消息〞〔將原先的消息稱作“明文〞〕或讀懂變化后的“消息〞〔將變化后的消息稱為“密文〞〕都是非常困難的。通常，我們把將密文恢復(fù)成明文的過程稱作解密。加密和解密操作分別是在一組密鑰控制下進(jìn)行的，它們被分別稱為加密密鑰和解密密鑰。精選ppt密碼體制根據(jù)加密密鑰和解密密鑰在性質(zhì)上的差異，可以將密碼體制分為兩類：單密鑰體制和公鑰體制。精選ppt加密密鑰和解密密鑰相同或本質(zhì)相同的體制被稱為單〔對稱〕密鑰加密體制。這種加密算法運(yùn)算速度快，適合于加解密傳輸中的信息。其中最為著名的單密鑰算法是美國的數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES算法〕。該標(biāo)準(zhǔn)由IBM公司研制，美國商業(yè)部所屬的國家標(biāo)準(zhǔn)局于1977年正式批準(zhǔn)并作為美國聯(lián)邦信息處理的標(biāo)準(zhǔn)。雖然美國已經(jīng)宣布這種算法不再作為美國加密的標(biāo)準(zhǔn)，但這種算法已經(jīng)廣泛應(yīng)用于世界各地〔包括中國〕的商業(yè)中。單密鑰密碼體制的缺陷是通信雙方在進(jìn)行通信前必須通過一個(gè)平安信道事先交換密鑰，這在網(wǎng)絡(luò)應(yīng)用中是不現(xiàn)實(shí)的，而且單密鑰體制無法保證信息的不可抵賴性。精選ppt公鑰體制就是加密密鑰和解密密鑰不相同，并且從其中一個(gè)很難推斷出另一個(gè)。這樣，我們可以將其中一個(gè)密鑰公開〔稱為公鑰〕，另一個(gè)密鑰由用戶自己保存〔稱為私鑰〕。公鑰密碼體制可以使通信雙方無須事先交換密鑰就可以建立平安通信。公鑰密碼體制可用于身份認(rèn)證、數(shù)字簽名和密鑰交換。公鑰體制一般是建立在某些的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論開展的必然結(jié)果。最為典型的代表是RSA公鑰密碼體制。精選pptRSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制，其平安性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)根本領(lǐng)實(shí)：到目前為止，無法找到一個(gè)有效的算法來分解兩個(gè)大素?cái)?shù)之積。利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計(jì)算機(jī)的運(yùn)算能力，因此在目前和可預(yù)見的將來，它是足夠平安的。精選ppt公開密鑰：n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù)，p、q必須保密)

----e與(p－1)(q－1)互素

----私有密鑰：d=e－1(mod(p－1)(q－1))

----加密：c=me(modn)，其中m為明文，c為密文。

----解密：m=cd(modn)精選ppt信息可認(rèn)證性信息的可認(rèn)證性是信息平安的另一個(gè)重要方面。認(rèn)證的目的有兩個(gè)：一個(gè)是驗(yàn)證信息發(fā)送者的真實(shí)性，確認(rèn)他沒有被冒充；另一個(gè)是驗(yàn)證信息的完整性，確認(rèn)被驗(yàn)證的信息在傳遞或存儲過程中沒有被篡改、重組或延遲。認(rèn)證是防止敵手對系統(tǒng)進(jìn)行主動(dòng)攻擊〔如偽造、篡改信息等〕的一種重要技術(shù)。認(rèn)證技術(shù)主要包括數(shù)字簽名、身份識別和信息的完整性校驗(yàn)等技術(shù)。精選ppt數(shù)字簽名數(shù)字簽名是防止網(wǎng)上交易時(shí)進(jìn)行偽造和欺騙的一種有效手段。發(fā)送者在自己要公布或發(fā)送的電子文檔上“簽名〞，接收者通過驗(yàn)證簽名的真實(shí)性確認(rèn)文檔是否被篡改正。目前數(shù)字簽名技術(shù)的研究主要是基于公鑰密碼體制。比較著名的數(shù)字簽名算法包括RSA數(shù)字簽名算法和DSA。精選ppt數(shù)字簽名的簽名算法至少要滿足以下條件：--簽名者事后不能否認(rèn)；--接受者只能驗(yàn)證；--任何人不能偽造〔包括接受者〕；--雙方對簽名的真?zhèn)伟l(fā)生爭執(zhí)時(shí)，有第三方進(jìn)行仲裁。

精選ppt信息的完整性和認(rèn)證是指信息的接受者能夠檢驗(yàn)收到的消息是否真實(shí)。檢驗(yàn)的內(nèi)容包括：消息的來源、消息的內(nèi)容是否被篡改、消息是否被重放。消息的完整性經(jīng)常通過雜湊技術(shù)來實(shí)現(xiàn)。雜湊〔Hash〕函數(shù)可以把任意長度的輸入串變化成固定長度的輸出串，它是一種單向函數(shù)，根據(jù)輸出結(jié)果很難求出輸入值，并且可以破壞原有數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)。因此，雜湊函數(shù)不僅應(yīng)用于信息的完整性，而且經(jīng)常應(yīng)用于數(shù)字簽名。精選ppt在公布一份電子文檔時(shí)，發(fā)送者首先對要公布的文檔進(jìn)行雜湊運(yùn)算，然后發(fā)送者就可以用自己的簽名私鑰對雜湊運(yùn)算得出的簡潔數(shù)據(jù)進(jìn)行加密簽名；接收者收到簽名文檔后，用發(fā)送者的公鑰進(jìn)行解密，得到解密后的雜湊運(yùn)算結(jié)果和文檔。此時(shí)，接收者只需要計(jì)算出該文檔的雜湊運(yùn)算結(jié)果并與解密得到的雜湊運(yùn)算結(jié)果進(jìn)行比較，即可知道該文檔的真?zhèn)巍Ｔ跀?shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，而他的私鑰那么需要嚴(yán)格的保密。精選ppt PKI的核心是信任關(guān)系的管理。第三方信任和直接信任是所有網(wǎng)絡(luò)平安產(chǎn)品實(shí)現(xiàn)的根底。所謂第三方信任是指兩個(gè)人可以通過第三方間接地到達(dá)彼此信任。精選pptPKI的功能模塊

CA〔CertificationAuthority〕是確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)數(shù)字證書、驗(yàn)證用戶身份的真實(shí)性。數(shù)字包含用戶身份的局部信息及用戶所持有的公共密鑰，然后CA利用本身的密鑰為數(shù)字證書加上數(shù)字簽名。CA目前采用的標(biāo)準(zhǔn)是X.509V3。精選pptX.509證書格式證書格式的版本證書序列號主體的X.500名字〔由名字機(jī)關(guān)賦予〕主體的公鑰和相應(yīng)的算法信息有效期〔起止日期〕證書頒發(fā)者的X.500名字〔CA〕確保主體和頒發(fā)者名字唯一的可操作域擴(kuò)展域〔版本3〕CA的數(shù)字簽名精選pptRA〔RegistrationAuthority〕是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的根底。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記，如通過電子郵件、瀏覽器等方式登記。要確保整個(gè)PKI系統(tǒng)的平安、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、平安的且易于操作的RA系統(tǒng)。精選ppt撤銷機(jī)制，數(shù)字證書綁定證書持有者身份和其相應(yīng)公鑰的，通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里都是有效的。但是，有時(shí)也會出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況，如果這個(gè)證書還沒有到期，就需要進(jìn)行證書撤銷。證書撤銷的理由是各種各樣的，可能包括從工作變動(dòng)到對密鑰的疑心等一系列原因。因此，需要采取一種有效和可信的方法，能在證書自然過期之前撤銷它。證書撤銷的實(shí)現(xiàn)方法一種是利用周期性的發(fā)布機(jī)制撤銷證書；另一種方法采用在線查詢機(jī)制，隨時(shí)查詢被撤銷的證書。精選pptPKI系統(tǒng)的信任模型

選擇信任模型〔TrustModel〕是構(gòu)筑和運(yùn)作PKI所必需的一個(gè)環(huán)節(jié)。選擇正確的信任模型以及與它相應(yīng)的平安級別是非常重要的，同時(shí)也是部署PKI所要做的較早和根本的決策之一。精選ppt信任模型主要闡述的問題一個(gè)PKI用戶能夠信任的證書是怎樣被確定的這種信任是怎樣被建立的在一定的環(huán)境下，這種信任如何被控制精選pptX.509標(biāo)準(zhǔn)中的信任定義 Entity“A"trustsentity“B"when“A"assumesthat“B"willbehaveexactlyas“A"expects。〔當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望的那樣行動(dòng)，那么A信任B?！尘xppt常見的信任模型分類認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型分布式信任結(jié)構(gòu)模型Web模型用戶為中心的信任模型精選ppt認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型CA0CA1CA2CAiCAk+nCAkCAk+1…………U1UjU1Um……精選ppt在這個(gè)模型中，層次結(jié)構(gòu)中的所有實(shí)體都信任唯一的根CA。這個(gè)層次結(jié)構(gòu)按如下規(guī)那么建立：根CA認(rèn)證直接連接在它下面的CA。每個(gè)CA都認(rèn)證零個(gè)或多個(gè)直接連接在它下面的CA，一個(gè)給定的CA要么認(rèn)證終端實(shí)體要么認(rèn)證其他CA，但不能兩者都認(rèn)證。倒數(shù)第二層的CA認(rèn)證終端實(shí)體。精選ppt一個(gè)持有根CA公鑰的終端實(shí)體A可以通過下述方法檢驗(yàn)另一個(gè)終端實(shí)體B的證書。假設(shè)B的證書是由CA2簽發(fā)的，而CA2的證書是由CA1簽發(fā)的，CA1的證書又是由根CA簽發(fā)的。A〔擁有根CA的公鑰KR〕能夠驗(yàn)證CA1的公鑰K1，因此它可以提取出可信的CA1的公鑰。然后，這個(gè)公鑰可以被用作驗(yàn)證CA2的公鑰，類似地就可以得到CA2的可信公鑰K2。公鑰K2能夠被用來驗(yàn)證B的證書，從而得到B的可信公鑰KB。A現(xiàn)在就可以根據(jù)密鑰的類型來使用密鑰KB，如對發(fā)給B的消息加密或者用來驗(yàn)證據(jù)稱是B的數(shù)字簽名，從而實(shí)現(xiàn)A和B之間的平安通信。精選ppt分布式信任結(jié)構(gòu)模型與在PKI系統(tǒng)中的所有實(shí)體都信任唯一一個(gè)CA的嚴(yán)格層次結(jié)構(gòu)相反，分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上。所有的CA實(shí)際上都是相互獨(dú)立的同位體精選pptWeb模型We