第9节系统安全性.pptVIP

它又包括以下三个方面：。 (1) 保密性(Secrecy)。 (2) 完整性(Integrity)。 (3) 可用性(Availability)。 (2) 非对称加密算法。 这种方式的加密密钥Ke和解密密钥Kd不同，而且难以从Ke推导出Kd来。可以将其中的一个密钥公开而成为公开密钥，因而把该算法称为公开密钥算法。 用公开密钥加密后， 能用另一把专用密钥解密；反之亦然. 将IC卡用于身份识别的方法，明显地优于使用磁卡。这一方面是因为，磁卡是将数据存储在磁条上，比较易于用一般设备将其中的数据读出、修改和进行破坏；而IC卡则是将数据保存在存储器中，使用一般设备难于读出，这使IC卡具有更好的安全性。 另一方面，在IC卡中含有微处理器和存储器， 可进行较复杂的加密处理，因此，IC卡具有非常好的防伪性和保密性； 此外，还因为IC卡所具有的存储容量比磁卡的大得多， 通常可大到100倍以上，因而可在IC卡中存储更多的信息， 从而做到“一卡多用”，换言之，一张IC卡，既可作为数字身份证， 又可作为信用卡、电话卡及健康卡等等。 3. 指纹识别技术 (1) 指纹。 指纹有着“物证之首”的美誉。尽管目前全球已有近60亿人口， 但绝对不可能找到两个完全相同的指纹。 因而利用指纹来进行身份认证是万无一失的，而且非常方便。又因为它不会像其它一些物理标志那样出现用户忘记携带或丢失等问题，而且使用起来也特别方便，因此，利用指纹来进行身份识别是有广阔前景的一种识别技术，世界上已有愈来愈多的国家开展了对指纹识别技术的研究。 (2) 指纹识别系统。 早在80年代，美国及其它发达国家便开始了对指纹识别技术的研究，并取得了一定的进展。在所构成的指纹识别系统中包括：指纹输入、指纹图像压缩、 指纹自动比较等8个子系统。但他们的指纹识别系统是建立在大型计算机系统的基础上的，而且由于系统的庞大、价格的昂贵， 始终使该技术难于普及；直至近几年，随着VLSI的迅速发展， 才使指纹识别系统小型化， 使该技术进入了广泛应用的阶段。 9.3.3 基于公开密钥的认证技术 1. 申请数字证书 由于SSL所提供的安全服务，是基于公开密钥证明书(数字证书)的身份认证，因此，凡是要利用SSL的用户和服务器， 都必须先向认证机构(CA)申请公开密钥证明书。 (1) 服务器申请数字证书。 首先由服务管理器生成一密钥对和申请书，服务器一方面将密钥和申请书的备份保存在安全之处；另一方面则向CA提交包括密钥对和签名证明书申请(即CSR)的加密文件，通常以电子邮件方式发送。 CA接收并检查该申请的合法性后，将会把数字证书以电子邮件方式寄给服务器。 (2) 客户申请数字证书。 首先由浏览器生成一密钥对，私有密钥被保存在客户的私有密钥数据库中，将公开密钥连同客户提供的其它信息，一起发往CA。如果该客户符合CA要求的条件， CA将会把数字证书以电子邮件方式寄给客户。 2. SSL握手协议 (1) 身份认证。 SSL协议要求通信的双方都利用自己的私用密钥对所要交换的数据进行数字签名，并连同数字证书一起发送给对方， 以便双方相互检验。如上节所述，通过数字签名和数字证书的验证可以认证对方的身份是否真实。 (2) 协商加密算法。 为了增加加密系统的灵活性，SSL协议允许采用多种加密算法。客户和服务器在通信之前，应首先协商好所使用的某一种加密算法。通常先由客户提供自己能支持的所有加密算法清单，然后由服务器从中选择出一种最有效的加密算法， 并通知客户，此后，双方便可利用该算法对所传送的信息进行加密。 (3) 协商加密密钥。 先由客户机随机地产生一组密钥，再利用服务器的公开密钥对这组密钥进行加密后，送往服务器，由服务器从中选择4个密钥，并通知客户机，将之用于对所传输的信息进行加密。 3. 数据加密和检查数据的完整性 (1) 数据加密。 在客户机和服务器间传送的所有信息，都应利用协商后所确定的加密算法和密钥进行加密处理，以防止被攻击。 (2) 检查数据的完整性。 为了保证经过长途传输后所收到的数据是可信任的，SSL协议还利用某种算法对所传送的数据进行计算， 以产生能保证数据完整性的数据识别码(MAC)，再把MAC和业务数据一起传送给对方；而收方则利用MAC来检查所收到数据的完整性。 9.4 访问控