信息安全保障及其关键技术.pptVIP

④数据完整性机制 数据完整性有两个方面，一是数据单元的完整性，一是数据单元序列的完整性。决定数据单元完整性包括两个过程，一个在发送实体上，另一个在接收实体上。发送实体给数据单元附加一个鉴别信息，这个信息是该数据单元本身的函数。接收实体产生相应的鉴别信息，并与接收到的鉴别信息比较以决定该数据单元的数据是否在传输过程中被篡改过。 2.3 信息安全机制 * * 第三十一页，共七十五页。 ⑤鉴别交换机制 鉴别是通过交换信息的方式来确定实体身份的机制。用于鉴别交换的方法主要有： 使用鉴别信息，如，口令，由请求鉴别的实体发送，进行验证的实体接收。 密码技术。交换的信息被加密，只有合法实体才能解密，得到有意义的信息。 使用实体的特征或占有物。如，指纹、身份卡等。 2.3 信息安全机制 * * 第三十二页，共七十五页。 ⑥业务流填充机制 是一种对抗通信业务分析的机制。通过伪造通信业务和将协议数据单元填充到一个固定的长度等方法能够为防止通信业务分析提供有限的保护。 2.3 信息安全机制 * * 第三十三页，共七十五页。 ⑦公证机制 在两个或多个实体之间通信的数据的性质（如它的完整性、数据源、时间和目的地等）能够借助公证人利用公证机制来提供保证。公证人为通信实体所信任，并掌握必要信息以一种可证实方式提供所需保证。 2.3 信息安全机制 * * 第三十四页，共七十五页。 安全服务 机　　制 加密 数字签名 访问控制 数据完整性 鉴别交换 业务流填充 公证 鉴别服务 Y Y - - Y - - 访问控制服务 - - Y - - - - 机密性服务 Y - - - - Y - 完整性服务 Y Y - Y - - - 抗抵赖服务 - Y - Y - - Y 安全机制与安全服务关系 2.3 信息安全机制 * * 第三十五页，共七十五页。 三、信息安全关键技术 * * 第三十六页，共七十五页。 3.1 信息安全基本技术 安全五性需求 真实性 机密性 完整性 不可抵赖性 可用性 安全基本技术 身份认证 加密保护 数据完整性 数字签名 访问控制 安全管理 第三十七页，共七十五页。 身份认证：建立信任关系 口令 数字证书（采用公钥） PKI（Public Key Infrastructure） 主体生理特征（指纹、视网膜） 3.1 信息安全基本技术 第三十八页，共七十五页。 信息加密：信息由可懂形式变为不可懂形式 传输或存储 信息明文 已加密密文 秘密密钥 密码算法 密码分析者 进行破译分析 3.1 信息安全基本技术 第三十九页，共七十五页。 信息加密：对称密钥体制 加密 密码算法 解密 密码算法 信息明文 解密信息明文 秘密密钥 秘密密钥 公开信道 秘密信道 密文 密文 3.1 信息安全基本技术 第四十页，共七十五页。 数据完整性：两种密钥体制均可用 正确解密的信息保持的信息在传输过程的完整性。 消息认证码MAC(Message Authentication Code)：使用HASH函数计算信息的“摘要”，将它连同信息发送给接收方。接收方重新计算“摘要”，并与收到的“摘要”比较，以验证信息在传输过程中的完整性。 HASH函数的特点——任何两个不同的输入不会产生相同的输出。因此一个被修改了的文件不可能有同样的“摘要”。 3.1 信息安全基本技术 第四十一页，共七十五页。 数据完整性（采用公钥） 摘要 ？ 摘要 MAC 摘要 MAC 摘要 摘要 摘要 3.1 信息安全基本技术 第四十二页，共七十五页。 数字签名：采用公钥 一般采用非对称加密算法（RSA等），发送方对整个明文进行加密变换，得到一个值，将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。 签名随文本而变化，并且与文本不可分。 适合于身份认证、密钥分发、完整性检验、防止抵赖等。 3.1 信息安全基本技术 第四十三页，共七十五页。 访问控制：保证系统资源不被非法访问和使用 对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制） 限制使用计算机系统资源（存取控制） 3.1 信息安全基本技术 第四十四页，共七十五页。 安全管理：审计 记录用户在系统中所有活动的过程，也记录攻击者试图攻击系统的有关活动，这是防止内外攻击者的攻击、提高系统安全性的重要工具。 它不仅能识别谁访问了系统，还能指示系统正被怎样的使用（或受到攻击）。 3.1 信息安全基本技术 第四十五页，共七十五页。 密钥管理： 记录密钥生成、分发、使用、更换、销毁等全过程 密钥设备状态管理 涉密人员资料管理 3.1 信息安全基本技术 第四十六页，共七十五页。 * 3.2 信息安全技术的分类---按信息安全模型分类 PDR ?防