20XX年信息安全技术培训.pptVIP

* * 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 　　一个典型的PKI系统如图所示，其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。 　　1. PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。 　　2. 证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表（CRL）确保必要时可以废除证书。后面将会在CA进行详细介绍。 　　3. 注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。 　　4. 证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的。 　　5. PKI的应用非常广泛，包括在web服务器和浏览器之间的通讯、电子邮件、电子数据交换（EDI）、在Internet上的交易和虚拟私有网（VPN）等。 * 信息隐藏也称作数据隐藏(Data Hiding)，是集多学科理论与技术于一身的新兴技术领域。信息隐藏技术主要是指将特定的信息嵌入数字化宿主信息(如文本，数字化的声音、图像、视频信号等)中，信息隐藏的目的不在于限制正常的信息存取和访问，而在于保证隐藏的信息不引起监控者的注意和重视，从而减少被攻击的可能性，在此基础上再使用密码术来加强隐藏信息的安全性，因此信息隐藏比信息加密更为安全。应该注意到，密码术和信息隐藏技术不是互相矛盾、互相竞争的技术，而是相互补充的技术，他们的区别在于应用的场合不同，对算法的要求不同，但可能在实际应用中需要互相配合。特定的信息一般就是保密信息，信息隐藏的历史可以追溯到古老的隐写术，但推动了信息隐藏的理论和技术研究始于1996年在剑桥大学召开的国际第一届信息隐藏研究会，之后国际机构在信息隐藏领域中的隐写术、数字水印、版权标识，可视密码学等方面取得大量成果。 　　信息隐藏主要分为隐密技术和水印技术。 　　隐密技术，又称为密写术，就是将秘密信息嵌入到看上去很普通的信息中进行传送，以防第三方检测出秘密信息。 　　水印技术，就是将具有可鉴别的特定意义的标记(水印)永久镶嵌在宿主数据中，并且不会影响宿主数据的可用性。水印技术主要用于版权保护以及拷贝控制和操作跟踪。 隐通道是一种通信通道，但它不是系统设计者设计的打算用来通信的信道，因而它能绕过系统强制安全机制的检查，使得进程能以违反系统安全策略的方式传递信息，从而对计算机系统的安全造成很大的威胁。 因此对于一个给定的系统判断隐通道对系统安全的危害，采取一些相应的措施减少隐通道所带来的危害，这是对计算机系统负有安全责任的管理者或开发者必不可少的工作。 隐通道的研究中首先遇到一个问题是隐通道的识别，如何搜索系统中存在的隐通道。 ①最简单的隐通道的识别法是比照其它系统（例如其它操作系统）已有的典型的隐通道来分析目标操作系统的隐通道。但是，这种分析方法不能发现所有可能的隐通道，也不能发现目标系统特有的隐通道。 ②要全面分析隐通道，必须分析系统的形式化的说明书和源代码。但分析源代码的工作量很大，国外已经开发了一些自动化工具，对形式化的说明书或源代码进行分析以识别隐通道。但我们目前无法拿到。 匿名通信是指在一个通信实体集合中无法辨别出发送者、接收者、通讯对应关系等信息； 匿名集是指具有相同属性（如发送动作）的实体集合。 实体在实体集中不可辨认的状态称为匿名或匿名性，包括不可关联性、不可观察性。匿名实体只有在匿名集中才具有匿名性，而匿名集与具体动作相关。例如对发送者而言，匿名集为攻击者认为可能具有发送动作的对象集。匿名通信源自David?Chaum等在1981年提出的MIX思想，国外研究人员从不同角度做了大量研究，实现了不同应用环境下的匿名通信系统。 常见的匿名通信系统有：基于广播/多播的DC-NET， 基于Mix的Onion?Routing和Remailer，基于P2P的Crowds和TOR等。 这些匿名通信系统大都包含消息主体、消息发送者、消息接收者、匿名代理、攻击者五部分，如图1所示。发送者在匿名代理中选择一个可信的代理作为消息转换代理，实现消息编码加密、欺骗流量生成、路由分组策略等。消息经此转换代理处理后，再通过一系列匿名转发代理(对密文分割、分层加解密