1信息安全概述讲解.pptVIP

有些论坛使用用户密码的MD5散列值”进行身份验证 碰撞：即存在两个不同的输入M、M’，使得H(M)= H(M’) 成立。 ??如果MD5出现碰撞，使用“用户密码的MD5散列值”进行身份验证的论坛登录可能会出现什么问题。 数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题： * 散列函数在数字签名中的作用 ??问题： ??要签名的数据量太大，直接对数据签名速度太慢。 ??经过散列函数处理后，原始数据即使只更改一个位，对应的压缩信息也会变为截然不同的“指纹”，这就保证了经过处理信息的唯一性。 ??数字签名通常是对签名数据的散列函数值进行签名。 其他数字签名算法 ??数字签名标准DSS ??基于椭圆曲线的数字签名体制 * 是实现访问控制机制的基础。 路由控制机制实际上就是流向控制 * 在计算机通信网络中，一个安全系统的功能由安全服务来体现，而安全服务又是由各种安全机制来实现。 安全服务与安全机制有着密切的关系，一个安全服务可以由一个或几个安全机制来实现；同样，同一个安全机制也可用于实现不同的安全服务中。 * * 为了全面而准确地满足开放系统的安全需求，必须在OSI七个层次中提供必需的安全服务、安全机制和技术管理，以及在系统合理部署和配置它们 。 这是一个通用的框架，反映信息系统安全需求和体系结构的共性，是从总体上把握信息系统安全技术体系的一个重要认识工具，具有普遍的适用性。 信息系统安全体系结构框架的构成要素是安全特性、系统单元及开放系统互联参考模型结构层次。 安全特性维描述了信息系统的安全服务和安全机制，包括身份鉴定、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性。采取不同的安全政策或处于不同安全等级的信息系统可有不同的安全特性要求。 系统单元维描述了信息系统的各组成部分，包括使用和管理信息系统的物理和行政环境。 系统单元可分为四个部分：l）信息处理单元，包括端系统和中继系统；2）通信网络，包括本地通讯网络和远程通讯网络；3）安全管理，即信息系统管理中与安全有关的活动；4）物理环境，即与物理环境和人员有关的安全问题。 信息处理单元主要考虑计算机系统的安全：通过物理和行政管理的安全机制提供安全的本地用户环境，保护硬件的安全；通过防干扰、防辐射、容错、检错等手段，保护软件的安全；通过用户身份认证、访问控制、完整性等机制，保护信息的安全。信息处理单元必须支持安全特性维要求的安全配置，支持具有不同安全策略的多个安全域。安全域是用户、信息客体以及安全策略的集合。信息处理单元支持安全域的严格分离、资源管理以及安全域间信息的受控共享和传送。 通信网络安全：为传输中的信息提供保护。通信网络系统安全涉及安全通信协议、密码机制、安全管理应用进程、安全管理信息库、分布式管理系统等内容。通信网络安全确保开放系统通信环境下的通信业务流安全。 安全管理：包括安全域的设置和管理、安全管理的信息库、安全管理信息通信、安全管理应用程序协议、端系统安全管理、安全服务管理与安全机制管理等。 物理环境与行政管理安全：涉及人员管理、物理环境管理和行政管理，还涉及环境安全服务配置以及系统管理员职责等。 开放系统互联参考模型结构层次：各信息系统单元需要在开放系统互联参考模型的七个不同层次上采取不同的安全服务和安全机制，以满足不同安全需求。安全网络协议使对等的协议层之间建立被保护的物理路径或逻辑路径，每一层次通过接口向上一层提供安全服务。 简单数字签名方案 利用散列函数的数字签名方案 * 认证交换机制 认证交换是以交换信息的方式来确认实体身份的机制。用于交换认证的技术有： ?口令：由发方实体提供，收方实体检测。? 密码技术：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。在许多情况下，这种技术与下列技术一起使用：? 时间标记和同步时钟 双方或三方“握手” 数字签名和公证机构 利用实体的特征或所有权。常采用的技术是指纹识别和身份卡等。? * 业务流量填充机制 这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。 采用的具体方法一般由保密装置在无信息传输时，连续发出伪随机序列，使得非法者不知哪些是有用信息、哪些是无用信息等。 * 路由控制机制 在一个大型网络中，从源节点到目的节点可能有多条线路，有些线路可能是安全的，而另一些线路是不安全的。 路由控制机制可使信息发送者选择特殊的路由，以保证数据安全。 检测到持续的攻击，可以为端系统建立不同的路由的连接。 依据安全策略，使某些带有安全标记的数据禁止通过某些子网、中继或链路。 允许连接的发起者指定路由选择，或回避某些子网、中继或链路。 路由选择机制 终端 某时刻前，路由为A-B-D 服务器 某时刻后，路由为A-C