武汉理工大学MIS系统软件课件第九章 系统安全性.pptVIP

* 通信量分析: * 它的主要方式是，报文的发送方从明文文件中生成一个128比特的散列值（数字摘要）。在数字摘要算法中，文件数据作为单向散列运算的输入，这个输入通过哈希（Hash）函数产生一个哈希值。发送方用自己的私钥对这个散列值进行加密来形成发送方的电子签名。 然后该电子签名将作为附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出128比特的散列值（数字摘要），接着用发送方的公钥来对报文附加的电子签名解密。如果两个散列值相同，那么接收方就能确认该电子签名是发送方的。如果有人改动了文件，哈希值就会相应地改变，接收者即能检测到这种改动过的痕迹。通过电子签名能够实现对原始报文的鉴别和不可抵赖性。 图4.5 满足电子签名及验证的文件传输过程 3. 数字证明书(Certificate) (1) 用户A在使用数字证明书之前，应先向认证机构CA申请数字证明书，此时A应提供身份证明和希望使用的公开密钥A。 (2) CA在收到用户A发来的申请报告后，若决定接受其申请， 便发给A一份数字证明书，在证明书中包括公开密钥A和CA发证者的签名等信息，并对所有这些信息利用CA的私用密钥进行加密(即CA进行数字签名)。 (3) 用户A在向用户B发送报文信息时，由A用私用密钥对报文加密(数字签名)，并连同已加密的数字证明书一起发送给B。 (4) 为了能对所收到的数字证明书进行解密，用户B须向CA机构申请获得CA的公开密钥B。CA收到用户B的申请后，可决定将公开密钥B发送给用户B。 (5) 用户B利用CA的公开密钥B对数字证明书加以解密，以确认该数字证明书确系原件，并从数字证明书中获得公开密钥A，并且也确认该公开密钥A确系用户A的。 (6) 用户B再利用公开密钥A对用户A发来的加密报文进行解密，得到用户A发来的报文的真实明文。 9.2.4 网络加密技术 1. 链路加密(Link Encryption) 链路加密，是对在网络相邻结点之间通信线路上传输的数据进行加密。 图 9 – 5 链路加密方式 2.端—端加密 在单纯采用链路加密方式时，所传送的数据在中间结点将被恢复为明文，因此，链路加密方式尚不能保证通信的安全性；而端—端加密方式是在源主机或前端机FEP中的高层(从传输层到应用层)对所传输的数据进行加密。 这样可以保证在中间结点不会出现明文。 图9-6 端—端加密方式 9.3 认证技术 1. 口令 利用口令来确认用户的身份，是当前最常用的认证技术。 2. 对口令机制的基本要求 (1)口令长度要适中 (2) 自动断开连接 (3) 不回送显示 (4) 记录和报告 3. 一次性口令 4. 口令文件 9.3.1 基于口令的身份认证技术 图9－7 对加密口令的验证方法 9.3.2 基于物理标志的认证技术 1. 基于磁卡的认证技术 磁卡是基于磁性原理来记录数据的，目前世界各国使用的信用卡和银行现金卡等，都普遍采用磁卡。 2. 基于IC卡的认证技术 在IC卡中可装入CPU和存储器芯片，使该卡具有一定的智能。 IC卡分为以下三种类型： (1) 存储器卡:这种卡中只有一个E2PROM(可电擦、可编程只读存储器)芯片 (2) 微处理器卡:它除具有E2PROM外，还增加了一个微处理器 (3) 密码卡。在这种卡中又增加了加密运算协处理器和RAM 3. 指纹识别技术 (1) 指纹 指纹有着“物证之首”的美誉。尽管目前全球已有近60亿人口，但绝对不可能找到两个完全相同的指纹。因而利用指纹来进行身份认证是万无一失的，而且非常方便。利用指纹来进行身份识别是有广阔前景的一种识别技术，世界上已有愈来愈多的国家开展了对指纹识别技术的研究。 (2) 指纹识别系统 9.3.3 基于公开密钥的认证技术 1. 申请数字证书 由于SSL所提供的安全服务，是基于公开密钥证明书(数字证书)的身份认证，因此，凡是要利用SSL的用户和服务器， 都必须先向认证机构(CA)申请公开密钥证明书。 (1) 服务器申请数字证书 (2) 客户申请数字证书 2. SSL握手协议 (1)身份认证 (2) 协商加密算法。 (3) 协商加密密钥。 3. 数据加密和检查数据的完整性 (1) 数据加密 在客户机和服务器间传送的所有信息，都应利用协商后所确定的加密算法和密钥进行加密处理，以防止被攻击。 (