《信息安全基础精简版强ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全基础精简版强ppt课件.ppt(98页珍藏版)》请在三一办公上搜索。
1、第八章 信息安全基础,湖南工业大学计算机与通信学院,湖南工业大学大学计算机基础,1,学习目标,1了解计算机安全相关的概念。 2了解计算机病毒及其预防。 3了解信息安全基本技术。,2,重点难点,1重点 信息安全的概念和范畴; 计算机病毒的概念及预防; 信息安全的基本技术。2难点 病毒的概念及预防; 数字证书和数据加密。,3,1计算机信息系统安全的含义如何?2计算机安全包括哪几个主要方面?计算机安全治理的范围有哪几个方面?3什么是“黑客”? 黑客的入侵手段?黑客与入侵者有何区别?4什么是计算机病毒?主要特征有哪些?如何防治计算机病毒?5什么是防火墙?它有哪些基本功能?,课前思考题,4,目 录,5,
2、6,8.1 信息安全概述,8.1.1 信息安全及其相关概念 1信息安全的概念 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。确保信息的机密性、完整性、抗否认性和可用性。,6,7,信息安全的特征,(1)机密性(Confidentiality)。保证机密信息不被窃听,或窃听者不能了解信息的真实含义。(2)完整性(Integrity)。保证数据的一致性,防止数据被非法用户篡改。(3)抗否认性(Non-Repudiation)。建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。(4
3、)可用性(Availability)。保证合法用户对信息和资源的使用不会被不正当地拒绝。,7,信息系统面临的威胁,计算机 依附载体 数据 表现形式 程序 处理工具 网络 传递媒介 管理 人为因素,物理威胁,漏洞、病毒、木马,网络攻击,管理漏洞,8,自然灾害威胁滥用性威胁有意人为威胁,2对信息安全的威胁,9,3.信息安全是保护什么,(1)硬件工作站、磁盘、网络(2)软件源代码、程序、操作系统、通信系统 (3)数据备份数据、审计数据、通信数据(4)人管理员、用户、来访者,10,4.信息安全的组成,11,5.信息安全涉及的知识领域,信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全
4、技术、应用数学、数论、信息论等多种学科的综合性学科。,12,13,8.1.2 计算机硬件安全,1.硬件设备的物理安全2.计算机使用环境安全,13,14,8.1.3 计算机软件安全,计算机软件方面的安全主要分为设置安全和软件系统的安全防护措施两部分。,14,15,8.1.4 计算机网络安全知识,1网络的不安全因素(1)自然灾害、意外事故。(2)计算机犯罪。(3)人为错误,比如使用不当,安全意识差等。(4)“黑客” 行为。(5)信息丢失。(6)电子谍报,比如信息流量分析、信息窃取等。(7)网络协议自身缺陷缺陷,例如TCP/IP协议的安全问题等等。,15,16,2网络安全的相关概念,网络安全是指网络
5、系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。,16,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,3.网络安全威胁的类型,17,18,8.2 计算机病毒及其预防,8.2.1 计算机病毒的概念1、计算机病毒的定义 计算机病毒是人为利用计算机软、硬件所固有的脆弱性,编制
6、具有特殊功能的程序。它与生物医学上的“病毒”同样有传染和破坏的特性。,18,19,2计算机病毒的特点,(1)传染性 (2)隐蔽性 (3)潜伏性(4) 破坏性 (5) 衍生性 (6) 寄生性 (7) 针对性 (8) 不可预见性,计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。,计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。,大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。,任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机
7、工作效率,占用系统资源,重者可导致系统崩溃。,病毒程序往往是由几部分组成,修改其中的某个模块能衍生出新的不同于原病毒的计算机病毒。,病毒程序一般不独立存在,而是寄生在文件中。,计算机病毒是针对特定的计算机和特定的操作系统的。,计算机病毒的千差万别,新病毒预测难度的加大,新病毒技术的不断涌现,反病毒软件滞后于病毒。,19,20,3病毒的主要传播途径,(1)硬盘(2)U 盘(3)光盘(4)网络,20,21,4病毒感染症状,(1)系统运行异常。(2)磁盘文件异常。(3)屏幕画面异常。(4)内存或磁盘可用空间异常 用户可用内存空间突然减少;磁盘可用空间减少;磁盘出现固定坏扇区。(5)外围设备异常。 除
8、了上述的直接观察法外,还可以利用DEBUG等软件工具通过检测软件来进行检查。,21,22,4计算机病毒的危害,(1)破坏文件分配表FAT,使用户存在磁盘上的文件丢失。(2)改变内存分配,减少系统可用的有效存储空间。(3)修改磁盘分配,造成数据写入错误。(4)对整个磁盘或磁盘的特定磁道或扇区进行格式化。(5)在磁盘上制造坏扇区,并隐藏病毒程序内容,减少磁盘可用空间。(6)更改或重写磁盘卷标。(7)删除磁盘上的可执行文件和数据文件。(8)修改和破坏文件中的数据。(9)影响内存常驻程序的正常执行。(10)修改或破坏系统中断向量,干扰系统正常运行,低系统运行速度。,22,23,8.2.2 病毒的种类及
9、预防措施,1计算机病毒的类型 从计算机病毒设计者的意图和病毒程序对计算机系统的破坏程度来看,已发现的计算机病毒大致可分为“良性”病毒和恶性病毒两大类。,23,24,恶性病毒大致可分为4种 : 操作系统病毒(Operating System Viruses) 外壳病毒(Shell Viruses) 嵌入型病毒(入侵病毒)(Intrusive Viruses) 源码病毒(Source Code Viruses) 后面三类病毒以攻击文件为目标,故又统称为文件型病毒。目前出现得最多的病毒是操作系统类病毒和外壳类病毒,尤以外壳类病毒最多。,恶性病毒,24,(1) 操作系统型病毒,病毒用它自己的程序意图加
10、入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。,(2)外壳型病毒,外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现。,(3)嵌入型病毒,这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。,(4)源码型病毒,该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。,2. 计算机病毒的传
11、染方式分类,(1)引导型病毒(2)文件型病毒(3)混合型病毒,计算机病毒依其传染方式(或寄生方式)可分为以下几类:,29,(1)引导型病毒,引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒会去改写磁盘上的引导扇区的内容,或是改写硬盘上的分区表,从而在启动时引导病毒发作。,(2)文件型病毒,文件型病毒就是通过操作系统的文件系统实施感染的病毒,这类病毒可以感染com文件、exe文件;也可以感染obj、doc、dot等文件。,(3)混合型病毒,混合型病毒通常都具有复杂的算法,使用非常规的方法攻击计算机系统。这类病毒既具有引导型
12、病毒的特点,又有文件型病毒的特点,即它是同时能够感染文件和磁盘引导扇区的“双料”复合型病毒。,33,(1)AV终结者(2)熊猫烧香(3)灰鸽子(4)艾妮(5)QQ尾巴(6)魔兽木马(7)征途木马(8)维金变种(9)网游盗号木马(10)罗姆,2.典型病毒,33,34,计算机病毒防治工作,涉及到法律、道德、管理、技术等诸多问题,涉及到使用计算机的系统、单位和个人,因而是一项需要全社会关注的系统工程,应成为各级单位和全体公民的义务。计算机病毒的防治工作的基本任务是,在计算机的使用管理中,利用各种行政和技术手段,防止计算机病毒的入侵、存留、蔓延。其主要工作包括:预防、检测、清除等。计算机病毒的防治工作
13、,应坚持统一组织、统一规章、预防为主、防治结合的原则。,3.计算机病毒防治,34,35,(1) 计算机要专机专用,专盘专用。(2) 建立备份。(3) 系统引导固定。(4) 保存重要参数区。(5) 充分利用写保护。(6) 做好磁盘及其文件的分类管理。(7) 慎用来历不明的程序。(8)定期或经常地运行防治病毒软件。,4.计算机病毒防治措施,35,36,8.2.3 网络黑客及其防范,1什么是网络黑客 中文名称:黑客 英文名称:hacker 定义:利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。 “黑客”一词是由英语Hacker音译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着
14、计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。,36,37,2.网络黑客攻击方法,(1)获取口令。(2)放置特洛伊木马程序。(3)WWW的欺骗技术。(4)电子邮件攻击。(5)寻找系统漏洞。,37,38,3防范措施,(1) 选用安全的口令(2) 实施存取控制(3)保证数据的完整性(4)确保数据的安全(5)使用安全的服务器系统(6)谨慎开放缺乏安全保障的应用和端口(7)定期分析系统日志(8)不断完善服务器系统的安全性能(9)谨慎利用共享
15、软件(10)使用防火墙,38,39,8.2.4 杀毒软件的使用,一旦检测到计算机病毒,就应该想办法将病毒立即清除,由于病毒的防治技术总是滞后于病毒的制作,所以并不是所有病毒都能马上得以清除。目前市场上的查杀毒软件有许多种,可以根据自己的需要选购。常见的杀毒软件有:360,可牛,瑞星,江民,金山毒霸,卡巴斯基(Kaspersky Anti-Virus),macfee,诺顿等。其中卡巴,macfee,诺顿又被誉为世界三大杀毒软件。,39,40,常见的杀毒软件,1金山毒霸(免费使用)2KV江民杀毒软件3瑞星杀毒软件(免费使用)4. 360杀毒软件(免费使用),40,41,8.3 信息安全基本技术,8
16、.3.1 访问控制技术措施 1访问控制的概念 访问控制(Access Control)是对信息系统资源进行保护的重要措施,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。,41,42,2访问控制的基本原则,访问控制机制是用来实施对资源访问加以限制的策略,这种策略把对资源的访问只限于那些被授权用户。 三个基本原则: (1)最小特权原则 (2)多人负责原则 (3)职责分离原则,42,43,防火墙在计算机系统中的位置,8.3.2 防火墙及其使用,43,1. 防火墙的定义,“防火墙”这个术语参考来自建筑结构里的安全技术。原指在楼
17、宇里用来起分隔与防火作用的墙。一旦某个单元起火,它会保护其它的居住者。然而,多数防火墙里都有一个重要的门,允许人们出入大楼。因此,它既保护了人们的安全,又同时允许必要的访问。,原意:,44,1. 防火墙的定义,firewall隔离风险又不妨碍对网络的合法使用,定义:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列软件和硬件设备的组合。,45,2. 防火墙的功能,防火墙能做什么防火墙不能防范什么,46,防火墙能做什么,防火墙并不能为网络防范一切,也不应该把它作为对所有安全问题的一个最终解决方案,所以懂得哪些工作是防火墙能做的非常重要: (1)实现安全策略
18、(2)创建一个阻塞点 (3)记录网络活动 (4)限制网络暴露,47,(1)实现安全策略,安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的Web站点,但是不允许telnet登录到服务器上。,(2)创建一个阻塞点,防火墙在一个公司私有网络和外网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。,没有防火墙,分散管理,效率低下 使用防火墙,集中管理,效率高,(3)记录网络活动,防火墙还能够监视并记录网络活动,并且提供警报功能。通过防火墙记录的数据,管
19、理员可以发现网络中的各种问题。,例如,通过查看安全日志,管理员可以找到非法入侵的相关记录,从而可以做出相应的措施。,(4)限制网络暴露,防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。,例如,防火墙的NAT功能可以隐藏内部的IP地址;代理服务器防火墙可以隐藏内部主机信息。,防火墙不能做什么,总体来说,除了不能防止物理故障等错误外,防火墙本身并不能防范经过授权的东西。,例如,员工接收了一封包含木马的邮件,木马是以普通程序的形式放在了附件里,防火墙不能避免
20、该情况的发生。,52,3. 防火墙的类型,包过滤防火墙状态/动态检测防火墙应用代理防火墙自适应代理防火墙,53,(1) 包过滤防火墙,产品:通常使用路由器或双网卡的主机来完成包过滤防火墙功能,当然,许多防火墙硬件产品也都提供了包过滤功能。,router dualhomed-host firewall,(1) 包过滤防火墙,简单规则例子只允许访问外网WEB站点,目前,路由器都有建立访问列表(ACL)的功能,使用相关的命令就可以建立如上表所示的规则。,(1) 包过滤防火墙,简单规则例子只允许访问外网WEB站点,前面的规则只允许内网主机访问外网的Web网站,此外不允许任何其他的数据交换。,请求浏览,
21、满足规则1允许通过,WWW.NCIAE.EDU.CN,回应的网页,满足规则2允许通过,Telnet登录外网主机,根据规则3拒绝通过,(2) 状态/动态检测防火墙,简述:与包过滤只孤立地检查每个数据包不同,状态检测防火墙会记录每一个已建立的合法连接。如果接收到的数据包属于某一个已建立的合法连接,则允许通过,否则拒绝。(特殊地,对于建立连接的包它会进行单独验证),(2) 状态/动态检测防火墙,工作流程图:,接收到数据包,(2) 状态/动态检测防火墙,与包过滤的区别:,(2) 状态/动态检测防火墙,状态检测防火墙的优点:,大大减少了被伪装数据包欺骗的可能性;具有包过滤防火墙的大部分优点;,状态检测防
22、火墙的缺点:,所作的记录、检测和分析工作会造成一些网络的迟滞,特别是有许多连接激活的时候。,(3) 应用代理防火墙,简述:应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立与公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信。,(3) 应用代理防火墙,类比:代理防火墙的作用类似日常生活中的律师。如果在与他人的交涉中由律师作为自己的代理,那么别人并不能直接与自己接触,当遇见麻烦时会由律师与他人交涉,显然律师比普通人更能处理相关问题。,律师中间代理、善于处理各种问题,用户安全得到了保证,他人只能与用户律师打交道,(4
23、) 自适应代理防火墙,简介:自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。,64,8.3.3 数据加密技术,1数据加密 在保障信息安全各种功能特性的诸多技术中,加密技术是信息安全的核心和关键技术。,64,密码技术的起源和历史,传统密码学阶段,计算机密 码学阶段,采用传
24、统方法的计算机密码学阶段,采用现代方法的计算机密码学阶段,数据加密标准DES,公开密钥密码体制RSA,靠人工对消息加密、传输和防破译,靠计算机对消息加密、解密和传输,沿用传统密码学的基本观念进行信息的保密,沿用现代思想进行信息的保密,加密和解密使用相同的密钥,加密和解密使用不同的密钥,65,密码技术介绍,密码技术是保护信息安全的主要手段之一,它是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。,数学,计算机科学,电子与通讯,密码技术,66,密码技术介绍,密码技术不仅具有信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而
25、且可以保证信息的完整性,防止信息被篡改、伪造或假冒。,密码技术的功能,数字签名,身份验证,秘密分存,系统安全,67,(1)密码技术基本概念,明文:信息的原始形态(plaintext, 记作P)。 密文:明文经过变换加密后的形式 (ciphertext,记作C)。 加密:由明文变成密文的过程称为加密 (enciphering,记作E),加密 通常由加密算法来实现。,68,(1) 密码技术基本概念,解密:将密文变成明文的过程称为解密(deciphering,记作D),解密由某种解密算法来实现。 密钥:为了有效地控制加密和解密算法实 现,在某处理过程中要有通讯双方 掌握的专门信息参与,这种专门信 息
26、称为密钥(key,记作K)。,69,(2)传统密码技术概述,在传统的加密算法中,加密密钥与解密密钥匙相同或者可以由其中一个推知另一个,称为对称密钥算法。授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。,70,(2)传统密码技术概述,传统加密方法的密钥由简单的字符串组成,密钥可以经常改变。因此,这种基本加密模型是稳定的,是人所共知的。其好处是可以秘密而方便地变换密钥,从而达到保密的目的。传统密码技术可以分为两大类:替代密码和换位密码。,传统密码技术,替代密码,换位密码,71,单表替代密码,单表替代密码的代表是凯撒密码,又叫循环移位密码。其加密方法是把明文中的所有字母都用它右边的第k个字母
27、替代,并认为Z后面又是A。其映射关系函数为:F(a)=(a+k) mod na明文字母;n字符集字母个数;k密钥,A B C D E F V W X Y Z (k=3),D E F G H I Y Z A B C,多表替代密码,周期替代密码是一种常用的多表替代密码,又叫维吉尼亚密码。其加密表是以字母表移位为基础把26个英文字母进行循环移位,排列在一起,形成26*26方阵,称为维吉尼亚表。,多表替代密码,周期替代密码在实际使用时,往往把某个容易记忆的词或词组当作密钥,然后把密钥反复写在明文下方。加密时,以明文字母选择列,以密钥字母选择行,两者的交点就是加密生成的密文字母;解密时做逆操作即可。,(
28、3)换位密码概述,换位密码是采用移位法进行加密的。它把明文中的字母重新排列,本身不变,但位置变了。换位密码是靠重新安排字母的次序,而不是隐藏他们。换位加密方法有列换位法和矩阵换位法等。,换位密码,列换位法,矩阵换位法,列换位法,列换位法是将明文字符分割成若干个(例如3个)一列的分组,并按一组后面跟着另一组的形式排好,不全的组用不常用的字符填满。最后取各列来产生密文。密钥为组中字符的个数。,明文,分组换位,C1 C2 C3 C4 C5 C6 C7 C8 C9 ,C1 C2 C3,C4 C5 C6,C7 C8 C9,C1 C2 C3,C4 C5 C6,C7 C8 C9,C1C4C7,C2C5C8,
29、C3C6C9,C1 C4 C7,C2 C5 C8,C3 C6 C9,C1 C4 C7C2 C5 C8C3 C6 C9,密文,77,例 如果按某一规则排列明文中的字符顺序,即改变字符的位置,字符本身不变,这样的加密方式称为置换加密。例如,明文为“国防科技大学计算机科学技术学院计算机应用教研室”的文字按7个字一行顺序重新排,不足7个字时,假设用“嘿”填补,写成如下形式:国防科技大学计算机科学技术学院计算机应用教研室嘿嘿嘿嘿嘿 发送时,按列的顺序“国算院研防机计室科科算嘿技学机嘿大技应嘿学术用嘿计学教嘿”发送。合法的接收者收到这样的密文只需按一定的间隔读取一个字符即可还原成明文,而对非法窃取密文的来
30、说就是一串无意义的文字。,矩阵换位法,矩阵换位法是将明文字符按给定的顺序排列在一矩阵中,然后用另一种顺序选出矩阵的字母来产生密文。密钥为矩阵的行数、列数以及给定的置换矩阵。,明文,矩阵换位,C1 C2 C3 C4 C5 C6 C7 C8 C9 ,C1 C2 C3,C4 C5 C6,C7 C8 C9,C1 C2 C3,C4 C5 C6,C7 C8 C9,C1C4C7,C2C5C8,C3C6C9,密文,C1C4C7,C2C5C8,C3C6C9,C3 C1 C2,C6 C4 C5,C9 C7 C8, ,C3 C1 C2,C6 C4 C5,C9 C7 C8,.,C3 C1 C2 C6 C4 C5 C9
31、 C7 C8 .,(4)数据加密标准DES,DES是一种单钥密码算法,它是一种典型的按分组方式工作的密码,是两种基本的加密组块替代和换位的细致而复杂的结构,它通过反复依次应用这两项技术来提高其强度。DES算法是对称的,即可用于加密也可用于解密。,加密E,解密D,密钥K,79,DES加密算法原理,DES算法经过16轮替代和换位后,使密码分析者无法获得该算法一般特性以外更多的信息。 该算法大致分为四部分:初始置换、迭代过程、逆置换、子密钥生成。,初始置换,64位明文(密文),64位密钥组,迭代过程,逆置换,子密钥生成,64位密文(明文),80,DES加密算法的优缺点,DES算法的优点:加密算法简便
32、高效;密钥简短;安全性高,破译极其困难,用穷举法来确定密钥的机会极小。DES算法的缺点:密钥安全地传送和保管问题严峻;无法对信息的真实性进行验证。公开密钥密码RSA很好地解决了以上问题。,81,(5)公开密钥密码体制RSA,公开密钥密码体制的加密和解密使用不同的密钥,即公开密钥PK和秘密密钥SK。其中,公钥即加密密钥,是公开的;私钥即解密密钥,是保密的。加密和解密算法公开,但是算法完全不同,用加密算法推断解密算法极其困难。,82,2.数字签名,数字签名是指通过一个单向函数对传送的报文进行处理得到的,用以认证报文来源并核实报文是否发生改变的一个字母数字串。数字签名可以提供有力的证据,表明自从数据
33、被签名以来数据尚未发生更改,并且它可以确认对数据签名的人或实体的身份。,83,(1)数字签名的特征,签名是可信的,可以被确认的; 签名是不能被伪造的; 签名是不可重复使用的; 签名后的文件是不能被更改的; 签名是不能被否认的;,84,(2)数字签名的功能,身份认证 接收方可以确定数据来源或发送方的身份。 数据完整性 接收方可以确定数据在传输过程中有没有被 非法篡改。 认可性(不可抵赖性) 发送方对发送的数据不能否认,无法抵赖。,85,(3)数字签名的实现方法,数字签名的实现方法有很多种,大致可以分为由加密算法生成数字签名和由签字算法生成数字签名两类,其中由加密算法生成数字签名又可以细分为单钥加
34、密算法生成数字签名和公钥加密算法生成数字签名。,86,87,数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。,3数字证书,87,(1)数字证书定义,数字证书也叫电子证书,是随公钥基础设施PKI的形成而新发展起来的安全机制,是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。它实现身份的鉴别与识别(认证)、完整性、保密性及不可否认性等安全服务。,88,(2)数字证书概述,数字证书是电子商务中各实体的网上
35、身份的证明,它证明实体所声明的身份与其公钥的匹配关系,使得实体身份与证书上的公钥相绑定;从公钥管理的机制来讲,数字证书是公钥体制密钥管理的媒体,即在公钥体制中,公钥的分发、传送是靠证书机制来实现的,所以有时也将数字证书称为公钥证书;数字证书是一种权威性的电子文档,它是由具有权威性、可信任性及公正性的第三方机构(CA)所颁发。,89,(3)数字证书的格式,90,(4)数字证书存放方式,使用IC卡存放使用磁盘或终端存放使用USB卡(U盾)存放,91,使用IC卡存放,使用IC卡存放用户证书,即把用户的数字证书写到IC卡中,供用户随身携带。这样,用户在所有能够读IC卡证书的电子商务终端上都可以享受电子
36、商务服务。,92,使用磁盘或终端存放,用户将从CA申请来的证书下载或复制到磁盘、PC机或智能终端上,当用户使用自己的终端进行电子商务业务时,直接从终端读入即可。,93,使用USB卡(U盾)存放,使用USB卡存放证书时,用户的证书等安全信息被加密存放在USB卡中,无法被盗用。在进行加密的过程中,密钥不出卡,安全级别高,成本较低,携带和使用方便,目前,广泛应用于网上银行和电子商务类业务。,94,(5)数字证书认证中心,认证中心(CA,Certificate Authority)是各方都承认的一个值得信赖的、公正的第三方机构。正因为CA是一个各方都信任的机构,所以它签发的数字证书也值得各方信任,而相
37、应的数字证书所代表的通信双方的身份也就可以信任。,95,(6)数字证书的典型应用,网上银行由于网络技术和信息技术的飞速发展,给传统的银行业带来了前所未有的机遇和挑战。只要银行界的决策者们把握住了网络与信息技术的发展趋势,使网络及信息技术与传统银行业的有机结合,银行业就会在人类社会发展中获得新生,即网上银行。网上银行是PKI应用系统。,96,本章小结,本章首先介绍了信息安全的基本概念。 信息安全是一个动态的、相对的概念,它涉及计算机硬件安全、软件安全和计算机网络安全。 计算机病毒和网络黑客是威协计算机网络信息安全的主要因素。 利用访问控制技术、防火墙技术、数据加密技术等信息安全技术,能够有效地维护信息安全,更好地保护计算机。 通过本章的学习使读者对信息安全及其相关知识有一个基本了解,为后面的学习打下良好的基础。,97,作 业,1. 教材P224思考题;2.在线作业与考试系统的作业。,98,
