【大学课件】信息安全P70知识分享.pptVIP

主观上认为“安全”（根据什么得到这个结论？！），那么客观上到底安全吗？ 主观认为不安全，那么不安全因素来自哪些方面？ 有没有方法和技术来保障安全？ 信息安全技术 /sundae_meng 5.2信息安全技术 信息安全技术概述 访问控制技术 数据加密技术 数字签名技术 数字证明书技术 身份认证技术 防火墙技术 网络信息安全解决方案 个人网络信息安全策略 访问控制技术 /sundae_meng 访问控制技术 建立制定安全管理制度和措施 限制对网络系统的物理接触 限制对信息的在线访问 设置用户权限 数据加密 /sundae_meng 数据加密的概念 数据加密是防止非法使用数据的最后一道防线。 数据加密技术涉及到的术语： 明文：原本数据； 密文：伪装后的数据； 密钥：用它控制加密、解密的过程； 加密：把明文转换为密文的过程； 加密算法：加密所采用的变换方法； 解密：对密文实施与加密相逆的变换，从而获得明文的过程。 单密钥 /sundae_meng 相同密钥 方案 # # 方案 发方 收方 明文 密文 明文 密文 单钥加密体制 算法 DES IDEA AES 加密技术——密码体制 双密钥 /sundae_meng 加密密钥 方案 # # 方案 发方 收方 明文 密文 明文 密文 双钥加密体制 解密密钥 认证中心 公钥（证书） 私钥（智能卡） 代表算法 RSA 椭圆曲线 防护技术——加密：密码体制 数字加密技术 /sundae_meng 数据加密技术 数字签名技术 数字证明书技术 身份认证技术 防火墙技术 数字签名技术 /sundae_meng 数字签名技术 数字签名是模拟现实生活中的笔迹签名，它要解决如何有效的防止通信双方的欺骗和抵赖行为。与加密不同，数字签名的目的是为了保证信息的完整性和真实性。 为使数字签名能代替传统的签名，必须保证能够实现以下功能： ⑴ 接受者能够核实发送者对消息的签名。 ⑵ 签名具有无可否认性。 ⑶ 接受者无法伪造对消息的签名。 数字签名功能 /sundae_meng 数字签名功能的说明 假设A和B分别代表一个股民和他的股票经纪人。A委托B代为炒股，并指令当他所持的股票达到某个价位时，立即全部抛出。 B首先必须认证该指令确实是由A发出的，而不是其他人在伪造指令。这需要第一个功能。 假设股票刚一卖出，股价立即猛升，A后悔不己。如果A不诚实，他要控告B，宣称他从未发出过任何卖出股票的指令。这时B可以拿出有A自己签名的委托书作为证据。这又需要第二个功能。 另一种可能是B玩忽职守，当股票价位合适时没有立即抛出，不料此后股价一路下跌，客户损失惨重。为了推卸责任，B可能试图修改委托书中关于股票临界价位为某一个实际上不可能达到的值。为了保障客户的权益，需要第三个功能。 数字证明书技术 /sundae_meng 数字证明书技术 谁来证明公开密钥的持有者是合法的？目前通行的做法是采用数字证明书来证实。 数字证明书的作用如同司机的驾驶执照、出国人员的护照、专业人员的专业资格证明书。 通过一个可信的第三方机构，审核用户的身份信息和公开钥信息，然后进行数字签名。其他用户可以利用该可信的第三方机构的公开钥进行签名验证。从而确保用户的身份信息和公钥信息的一一对应。 由用户身份信息、用户公钥信息以及可信第三方机构所作的签名构成用户的身份数字证书。 可信的第三方机构，一般称为数字证书认证中心CA（Certificate Authority）。 身份认证技术 /sundae_meng 身份认证技术 在网络环境中，通过对用户身份的控制来保障网络资源的安全性是一条非常重要的策略。 主要采用的认证方法有三种: 1．基于主体特征的认证 磁卡和IC卡 指纹、视网膜等信息 2．口令机制 一次性口令\加密口令 \限定次数口令 3．基于公开密钥的认证 身份认证协议Kerberos、安全套接层协议SSL、安全电子交易协议SET 放火墙技术 /sundae_meng 防火墙技术 防火墙是专门用于保护网络内部安全的系统。 其作用：在某个指定网络（Intranet）和网络外部（Internet）之间构建网络通信的监控系统，用于监控所有进、出网络的数据流和来访者，以达到保障网络安全的目的。根据预设的安全策略，防火墙对所有流通的数据流和来访者进行检查，符合安全标准的予以放行，不符合安全标准的一律拒之门外。 放火墙功能 /sundae_meng 防火墙的功能 对于防火墙有两个基本要求：保证内部网