网络信息安全.ppt

1.1信息安全的目标两种观点第一种：保密性(Confidentiality)、完整性（Integrity）、抗否认性(Non-Repudiation)、可用性(Availability)第二种：保密性、完整性和可用性(CIA)补充：可控性(Controllability)、可审查性/可追究性(Auditing/Accountability)、真实性(Authenticity)保密性：保证信息不被非授权访问。（通过访问控制阻止非授权用户获取机密信息；通过对信息变换阻止非授权用户获取内容）完整性：信息在生成、存储、传输或使用的过程中未被篡改、颠倒顺序和删除。（通过具有滞后性的密码学方法来保证）。抗否认性：用户在事后无法否认对信息的生成、签发、接收等行为。（密码学方法保证）可用性：保障信息资源随时可为合法用户提供服务可控性：指全局监控、预警能力和应急响应能力，即建立全局性的安全状况搜集系统，及时了解新的安全漏洞和攻击方法，针对系统内发生的安全入侵事件进行响应。可审查性/可追究性：对出现的信息安全问题提供审查和依法追究的依据。真实性：能够确保实体身份或信息、信息来源的真实性。信息安全的研究内容一门综合学科，涉及数学、通信、计算机、法律、心理学、社会工程学。主要分为：基础理论研究、应用技术研究、安全管理研究公钥的分配方法公钥证书CA，一个可信的认证中心公钥证书将用户的身份与公钥绑定在一起，用CA的私钥签名，保证这种绑定的可信性。其他人可以使用CA的公钥验证这种绑定关系。6.3公钥基础设施PKIPKI(公钥基础设施)是一种标准的密钥管理平台。主要是透明地提供密钥管理和证书管理PKI的组成证书颁发机构CA注册认证机构RAX.500目录服务器（证书库）密钥备份及恢复系统证书作废处理系统PKI应用接口（1）、证书颁发机构CACA是一个可信的机构，提供身份验证的第三方。CA负责认证用户，负责颁发、管理、吊销证书。CA通过对用户身份以及其公钥组成的文件实施签名，来保证身份与公钥绑定的合法性和权威性。CA的职责验证并标示证书申请者的身份确保CA用于签名证书的密钥的质量确保签名过程和签名私钥的安全性证书材料信息的管理确定并检查证书的有效期限确保证书主人标示的唯一性发布并维护作废的证书表对整个证书签发过程做日志记录向申请人发通知密钥管理尤为重要！根CA的证书为自签名证书（2）、注册机构RARA为CA的代理，协助CA完成证书处理，在用户多时，可以减轻CA的负荷RA的功能接收和验证新注册认得注册信息代表最终用户生成密钥对接收和授权密钥备份和恢复请求接收和授权证书吊销请求按需分发或恢复硬件设备证书密钥的产生主体自己产生密钥对，并将其中的公钥传递给CA。（完整性、可验证性）CA产生密钥对，将其传递给主体。（完整性、可验证性、机密性）公钥用途一般用途：签名证书，签名/验证数字签名。（签名私钥不存档，验证公钥存档。生存期长）加密证书，加解密信息。（解密私钥可存档，加密公钥不需存档）6.3.2公钥证书两种证书身份证书：包含用户身份和公钥，以及证明两者相匹配的权威签名。一般用于证明身份的合法性以及身份与公钥的绑定关系。属性证书（角色证书）：包含用户的属性（成员关系、角色、许可证等）和公钥，以及证明两者相匹配的权威签名。一般用于授权、访问控制。证书种类：PGP证书；SET证书；IPSEC证书；X.509证书最广泛使用的是国际电信联盟(ITU)提出的x.509第三版格式的证书注：查看证书在命令窗口输入：Certmgr.msc打开浏览器的“工具”-》“Internet选项”-》“内容”-》“证书”PKI的信任模型严格层次模型分布式信任关系WEB模型以用户为中心的信任模型交叉认证模型5.1消息认证实现方法：信息加密：将明文加密后以密文作为认证符。信息认证码：用一个密钥控制的公开函数作用后，产生固定长度的数值作为认证符，也成密码校验和。散列函数：定义一个函数将任意长度的消息映射为定长的散列值，以散列值作为认证符。对称密码体制加密认证收发双方秘密共享一个密钥发方加密的信息只有收方能够还原敌手没有密钥。所以不知道如何修改密文以让明文产生所期望的变化接收者能够在密文解密后判断出明文是否有效明文应该具有某种结构公钥密码体制的加密认证公钥加密只能提供保密功能，不提供认证性私钥加密可提供认证功能，不提供保密性接收者为了判定明文的有效性，要求明文也有某种特征结构这种方式还可以提供数字签名5.1.2消息认证码（MAC）MAC：在密钥的控制下，将任意长度的