第12讲信息安全技术基础.pptVIP

* 身份鉴别技术 基于KDC的身份鉴别技术 为了克服对称密钥密码体系身份鉴别技术在密码管理上的困难，引入基于KDC（密钥分配中心）的身份鉴别技术。在这种技术中，参与鉴别的实体只与KDC共享一个对称密钥，鉴别通过KDC来完成。 基于KDC的身份鉴别技术具体如下： Alice产生会话密钥KS ，连同Bob的身份标志B，用与KDC共享的对称密钥KA进行加密， EKA(B,KS) =KA(B,KS) ，将结果KA(B,KS)与自己的身份标志A一起发送给KDC。 KDC得到A，并用KA对 KA(B,KS)进行解密， DKA(KA(B,KS ) ) =B,KS ，然后用与Bob共享的对称密钥KB对A和KS进行加密， EKB(A,KS)=KB(A,KS)，将结果KB(A,KS)发送给Bob。 Bob用KB对KB(A,KS)进行解密， DKB(KB(A,KS ) ) =A,KS ，即确定Alice的身份并建立会话密钥KS。 * 身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术具体如下： Alice选择一个大的随机数RA ，用Bob的公开密钥PKB加密自己的身份标志A和RA， EPKB(A,RA) =PKB(A,RA) ，将PKB(A,RA)发送给Bob。 Bob接收到PKB(A,RA)后，用秘密密钥进行解密，DSKB(PKB(A,RA ) )=A,RA，选择一个大随机数RB ，产生会话密钥KS，用Alice的公开密钥加密， EPKA(RA ,RB,KS) =PKA(RA ,RB,KS) ，将结果PKA(RA ,RB,KS) 返回给Alice。 Alice接收到PKA(RA ,RB,KS) ，用秘密密钥进行解密， DSKA(PKA(RA ,RB,KS) )= RA ,RB,KS ，验证RA ，如果正确，则用KS加密RB， ES(RB) =KS(RB) ，将结果KS(RB)返回给Bob，Bob收到KS(RB)后进行验证，如果正确，则身份鉴别完成，建立会话密钥KS。 * 身份鉴别技术 基于证书的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术的关键是确保公开密钥的真实性。可以采用证书对实体的公开密钥的真实性进行保证。 基于证书的身份鉴别技术具体如下： 进行身份鉴别时，Alice取得Bob的证书CB，并利用可信第三方的公开密钥对CB进行验证，然后生成会话密钥KS，用Bob的公开密钥对自己的身份标志A和KS进行加密， EPKB(A,KS) =PKB(A,KS) ，然后将结果PKB(A,KS)和自己的证书CA一起发送给Bob。 Bob接收到信息后，利用可信第三方的公开密钥对CA进行验证，然后对PKB(A,KS) 进行解密，DSKB(PKB(A,KS ) )=A,KS，利用Alice的公开密钥对自己的身份标志B和KS进行加密， EPKA(B,KS) =PKA(B,KS) ，然后将结果PKA(B,KS) 返回给Alice。 Alice接收到PKA(B,KS)，进行解密，DSKA(PKA(B,KS) )=B,KS ，验证KS，完成身份鉴别，建立会话密钥KS。 * 数据加密技术原理 数字签名 数字签名（digital signature）技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查. * 数据加密技术原理 数字签名的工作原理 假定Alice需要传送一份合同给Bob。Bob需要确认： 合同的确是Alice发送的 合同在传输途中未被修改 通过比较标记1和标记2，我们就可以确认合同是否是Alice发送的以及合同在传输途中是否被修改。 * 数据加密技术原理 数字签名的作用 唯一地确定签名人的身份； 对签名后信件的内容是否有发生变化进行验证； 发信人无法对信件的内容进行抵赖。 当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构（CA: Certificate Authorities）的帮助。 * 防火墙的主要技术 有三种： 包过滤技术 状态检测技术 代理服务技术 * 企业安全防护体系的构成 安防是人、制度、技术三者相互作用的最高点。 安防体系就像一个三条腿的凳子。三条腿一样长才能保持平衡和效果。 先进的技术是网络信息安全的基本保证 用户对自身面临的威胁进行风险评估，决定其所用的安全服务种类，选择相映的安全机制，从而集成先进的安全技术，建立一个全方位的安全系统。　 完善的安全管理体系是网络安全的必要条件 用户单位应建立相应的网络安全管理办法，加强内