第6章 认证与数字签名
网络安全管理与维护手册
网络安全管理与维护手册第1章网络安全管理基础 (3)1.1 网络安全概述 (3)1.2 网络安全管理体系 (3)1.3 网络安全策略与法规 (4)第2章网络安全风险识别与评估 (4)2.1 风险识别 (4)2.1.1 资产识别 (4)2.1.2 威胁识别 (4)2.1.3 漏洞识别 (4)2.1.4 安全事件识别 (5)2.2 风险评估 (5)2.2.1 风险量化 (5)2.2.2 风险等级划分 (5)2.2.3 风险分析 (5)2.2.4 风险评估方法 (5)2.3 风险处理策略 (5)2.3.1 风险规避 (5)2.3.2 风险降低 (5)2.3.3 风险转移 (5)2.3.4 风险接受 (5)第3章网络安全技术架构 (6)3.1 防火墙技术 (6)3.2 入侵检测与防御系统 (6)3.3 虚拟专用网络(VPN) (6)第4章数据加密与安全认证 (7)4.1 数据加密技术 (7)4.1.1 对称加密 (7)4.1.2 非对称加密 (7)4.1.3 混合加密 (7)4.2 数字签名与认证 (7)4.2.1 数字签名 (7)4.2.2 认证 (7)4.3 密钥管理 (8)4.3.1 密钥 (8)4.3.2 密钥分发 (8)4.3.3 密钥存储 (8)4.3.4 密钥更新与销毁 (8)第5章网络设备安全配置与管理 (8)5.1 网络设备安全策略 (8)5.1.1 基本原则 (8)5.1.2 安全策略制定 (8)5.2.1 设备初始配置 (9)5.2.2 系统安全配置 (9)5.2.3 网络接口配置 (9)5.3 设备管理与监控 (9)5.3.1 设备管理 (9)5.3.2 设备监控 (9)5.3.3 安全事件响应 (9)第6章网络安全运维管理 (9)6.1 安全运维概述 (9)6.1.1 安全运维基本概念 (10)6.1.2 安全运维任务 (10)6.1.3 安全运维方法 (10)6.2 安全事件监测与响应 (10)6.2.1 安全事件监测 (10)6.2.2 安全事件响应 (10)6.3 安全审计与合规性检查 (11)6.3.1 安全审计 (11)6.3.2 合规性检查 (11)第7章应用层安全 (11)7.1 应用层攻击与防御 (11)7.1.1 应用层攻击概述 (11)7.1.2 应用层攻击防御策略 (11)7.2 Web安全 (11)7.2.1 Web安全概述 (11)7.2.2 Web安全防御策略 (11)7.3 数据库安全 (12)7.3.1 数据库安全概述 (12)7.3.2 数据库安全防御策略 (12)第8章移动与无线网络安全 (12)8.1 移动网络安全 (12)8.1.1 概述 (12)8.1.2 移动网络威胁 (12)8.1.3 移动网络安全防护策略 (12)8.2 无线网络安全 (13)8.2.1 概述 (13)8.2.2 无线网络威胁 (13)8.2.3 无线网络安全防护策略 (13)8.3 移动设备管理 (13)8.3.1 概述 (13)8.3.2 移动设备管理策略 (13)8.3.3 移动设备管理技术 (13)第9章网络安全意识与培训 (14)9.1 网络安全意识 (14)9.1.2 网络安全意识的重要性 (14)9.1.3 网络安全意识提升方法 (14)9.2 安全培训策略与内容 (14)9.2.1 安全培训策略 (14)9.2.2 安全培训内容 (15)9.3 培训效果评估与改进 (15)9.3.1 培训效果评估方法 (15)9.3.2 培训改进措施 (15)第10章网络安全合规性与法律遵循 (15)10.1 法律法规与标准概述 (15)10.1.1 法律法规 (16)10.1.2 标准 (16)10.2 合规性评估与审计 (16)10.2.1 合规性评估 (16)10.2.2 审计 (17)10.3 法律遵循实践与案例分析 (17)10.3.1 实践 (17)10.3.2 案例分析 (17)第1章网络安全管理基础1.1 网络安全概述网络安全是指在网络环境下,采取各种安全措施,保证网络系统正常运行,数据完整、保密和可用性,防范和抵御各种安全威胁与攻击,维护网络空间的安全与稳定。
信息安全概论课后答案
四45五3六57十4十一34十二47没做“信息安全理论与技术"习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non—repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求.可用性(Availability)是指保障信息资源随时可提供服务的特性.即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识.除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学.信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。
信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等.3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。
信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。
信息安全应用是信息安全理论和技术的具体实践.它们之间的关系通过安全平台和安全管理来体现。
安全理论的研究成果为建设安全平台提供理论依据.安全技术的研究成果直接为平台安全防护和检测提供技术依据.平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。
IPv6技术第6章ppt课件
精选课件ppt
2
6.1 IPv6安全问题
❖ 6.1.1 IPv6安全问题概述
IPv6的安全脆弱性可以分为四类:
❖ ⑴实现和部署上的漏洞和不足,与IPv6协议有关的设计、算法和 软硬件的实现离不开人的工作
❖ ⑵非IP层攻击,IPv6的安全仅作用在IP层,其它层出现对IPv6网 络的攻击仍然存在。
❖ ⑶IPv4向IPv6过渡时期的安全脆弱性,IPv4网络和IPv6网络并存 的环境以及过渡技术存在安全隐患。
精选课件ppt
4
网络安全的特征
❖ 身份可认证性;机密性;完整性;可控性;可审查 性。
❖ 网络安全需要考虑到三个方面:
⑴安全攻击,是任何危及网络系统信息安全的活动; ⑵安全机制,用来保护网络系统不受截听,阻止安全攻
击,恢复受到攻击的系统; ⑶安全服务,提供加强网络信息传输安全的服务,利用
一种或多种安全机制阻止对网络的攻击。
明文M H
密钥K
明文M 发送 明文M
MD 得出报文摘要
加密的报文摘 要
图6.4 用报文摘要实现报文鉴别
精选课件ppt
收方算出的
报文摘要
H
MD
密钥K 比较
MD 得 出 解 密 的 报文摘要
13
6.2 Internet的安全技术
❖ 6.2.1 数据包过滤和防火墙
防火墙所起的作用是:
❖①限制访问者进入一个被严格控制的点; ❖②防止进攻者接近受到保护的设备; ❖③限制人们离开一个严格控制的点。
与操作系统OS集成实施
❖ ⑵将IPsec作为协议栈中的一块(BITS)来实现
这种方法将特殊的IPsec代码插入到网络协议栈中,在网 络协议栈的网络层和数据链路层之间实施
第6章 网络安全
认证
认证是为了防止攻击者的主动攻击,包括验 证信息真伪及防止信息在通信过程中被篡改、删 除、插入、伪造、延迟及重放等。认证过程通常 涉及加密和密钥交换。认证包括三个方面的内容: 消息认证、身份认证和数字签名。消息认证是信 息的合法接收者对消息的真伪进行判定的方法, 身份认证可以证实发送者身份的真伪,而数字签 名可以证实文件的真伪。
企业和Internet网的单点安全登录 4. 易用的管理性和高扩展性
3.
6.6.3
Windows2000的加密文件系统
1.EFS的组成 2.Windows 3.设置EFS
2000 EFS 的工作原理
6.6.4
Windows2000安全级别设置
1.Windows
2000 的默认安全设置可以概 括为对4个默认组和3个特殊组的权限许可。
(1)防火墙运行于特定的计算机上,它需 要客户预先安装好的计算机操作系统的支 持,一般来说这台计算机就是整个网络的 网关。软件防火墙就像其它的软件产品一 样需要先在计算机上安装并做好配置才可 以使用。
(2)目前市场上大多数防火墙都是基于专 用的硬件平台的硬件防火墙,他们都基于 PC架构。传统硬件防火墙一般至少应具备 三个端口,分别接内网,外网和DMZ区 (非军事化区),现在一些新的硬件防火 墙往往扩展了端口,常见四端口防火墙一 般将第四个端口做为配置口、管理端口。 很多防火墙还可以进一步扩展端口数目。
第6章 网络安全
6.1网络安全的重要性 6.2网络的安全机制 6.3 防火墙技术 6.4 病毒及其防护 6.5 系统安全措施 6.6 Windows 2000的安全设计
6.1网络安全的重要性
6.1.1网络安全基本概念
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了 . C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议.A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密.B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务.D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和 .D.上述三点(2)网络安全保障体系框架的外围是 .D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
认证与数字签名
(4)甲随机产生一个加密密钥(如DES 密钥),并用此密钥对要发送的信息进行 加密,形成密文。
(5)甲用乙的公钥(PK)对刚才随机产 生的加密密钥进行加密,将加密后的DES 密钥连同密文一起传送给乙。
(6)乙收到甲传送过来的密文和加过密的 DES密钥,先用自己的私钥(SK)对加密 的DES密钥进行解密,得到DES密钥。
(1)注册服务器:通过 Web Server 建立的 站点,可为客户提供每日24小时的服务。因此客 户可在自己方便的时候在网上提出证书申请和填 写相应的证书申请表,免去了排队等候等烦恼。
(2)证书申请受理和审核机构:负责证书的申 请和审核。它的主要功能是接受客户证书申请并 进行审核。
(3)认证中心服务器:是数字证书生成、发放 的运行实体,同时提供发放证书的管理、证书废 止列表(CRL)的生成和处理等服务。
为什么要用数字证书
因而Internet电子商务系统必须保证具有 十分可靠的安全保密技术。也就是说,必 须保证网络安全的四大要素,即信息传输 的保密性、数据交换的完整性、发送信息 的不可否认性、交易者身份的确定性。
我们可以使用数字证书,通过运用对称和 非对称密码体制等密码技术建立起一套严 密的身份认证系统,从而保证:信息除发 送方和接收方外不被其他人窃取;信息在 传输过程中不被篡改;发送方能够通过数 字证书来确认接收方的身份;发送方对于 自己的信息不能抵赖。
通过数字签名能够实现对原始报文鉴别与 验证,保证报文的完整性、权威性和发送 者对所发报文的不可抵赖性。数字签名机 制提供了一种鉴别方法,普遍用于银行、 电子贸易等,以解决伪造、抵赖、冒充、 篡改等问题。
数字签名与数据加密完全独立。数据可以 既签名又加密,只签名,只加密,当然, 也可以既不签名也不加密。
6第6章电子认证
2.电子认证机构的设立
(3)未经许可提供电子认证服务应承担的 法律责任
《电子签名法》第二十九条规定“未经许可提供电子认 证服务的,由国务院信息产业主管部门责令停止违法行 为;有违法所得的,没收违法所得;违法所得三十万元 以上的,处违法所得一倍以上三倍以下的罚款;没有违 法所得或者违法所得不足三十万元的,处十万元以上三 十万元以下的罚款。”
第6章《电子认证》
• 电子认证概述 • 认证机构
• 数字证书
• 法律关系
6.1电子认证概述
电子签名虽然将电子文件与其签署人紧密的 联系在一起,解决了电子文件的辨别问题,但是 并没有在陌生的商事主体之间,建立起交易所需 的起码的信任度。电子签名侧重于解决身份辨别 与文件归属问题。(技术) 电子认证解决的是密钥及其持有人的可信度 问题,因为密钥存在着丢失、被盗、被破译等风 险。这就产生了公开密钥的辨别与认证的有效性 问题,即需要由一个权威的机构对公开密钥进行 管理、认证。(组织)
三、认证机构的设立条件
1认证机构应具备的条件 (1)是独立的法律实体,以自己的名义从事认 证服务并独立承担责任; (2)具有中立性、可靠性、权威性,不直接参 与用户与信赖方之间的商事交易,不以营 利为目的; (3)被交易的当事人所接受,在社会上具有相 当的影响力和可信度。
2、认证机构的行业准入条件
6.1.2 电子认证的作用
对外防止欺诈、对内防止否认 防止欺诈:防范交易当事人以外的人, 故意入侵而造成风险所必须的; 防止否认:则是针对交易当事人之间, 可能产生的误解或抵赖而设置的,以 便在电子商务交易当事人之间预防纠 纷。其目的都是为了减少交易风险。
防止欺诈
认证机构通过向其用户提供可靠的在线目录(在 线证书状态查询),保证证书名单上的用户名字 与公开密钥是正确的,满足用户实时证书验证的 要求,从而解决了可能被欺骗的问题。 如果甲与乙都是用户,认证机构的在线目录,就 将同时包含二者的证书。该证书是包括用户姓名, 公开密钥,电子邮件地址,以及其他信息的数字 化的文件。认证机构还对每个证书,都附加有数 字签名,以此证明证书的内容是可靠的。
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。
A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。
B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。
D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。
D.上述三点(2)网络安全保障体系框架的外围是。
D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
网络安全基础应用与标准(第二版)复习题答案(完整版)——sogood
网络安全基础应用与标准(第二版)复习题答案(完整版)——sogood复习题答案1、什么是OSI安全体系结构?(P6)安全攻击:任何可能会危及机构的信息安全的行为安全机制:用来检测、防范安全攻击并从中恢复系统的机制安全服务:一种用了增强机构的数据处理系统安全性和信息传递安全性的服务。
这些服务是用来防范安全攻击的,它们利用了一种或多种安全机制来提供服务。
2、被动和主动安全威胁之间有什么不同?(p6)被动攻击的本质是窃听或监视数据传输,被动攻击非常难以检测,因为它们根本不改变数据,因此,对付被动攻击的重点是防范而不是检测;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?(p6)被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?(p9)认证:确保通信实体就是它所声称的那个实体访问控制:防止对资源的非授权使用数据机密性:防止非授权数据的泄露数据完整性:确保被认证实体发送的数据与接收到的数据完全相同不可抵赖性:提供对被全程参与或部分参与通信实体之一拒绝的防范5、列出并简要定义安全机制的分类?(p11-12)加密:使用数学算法将数据转换为不可轻易理解的形式。
这种转换和随后的数据恢复都依赖与算法本身以及零个或者更多的加密密钥数字签名:为了允许数据单元接收方证明数据源和数据单元的完整性,并且防止数据伪造而追加到数据源中的数据或者是以上数据单元的密码转换访问控制访问控制:强制执行对源的访问权限的各种机制数据完整性:确保数据单元或者数据单元流完整性的各种机制可信功能:相对应某个标准而言正确的功能(例如,由安全策略建立的标准)安全标签:绑定在资源(可能是数据单元)上的记号,用来命名或者指定该资源的安全属性事件检测:与安全相关的事件的检测安全审计跟踪:收集可能对安全审计有用的数据,它对系统记录和活动记录进行单独的检查和分析认证交换:通过信息交换以确保一个实体身份的一种机制流量填充:通过填充数据流空余位的方式来干扰流量分析路由控制:支持对某些数据的特定物理安全通道的选择,并且允许路由改变,特别是当安全性受到威胁时公证:使用可信的第三方以确保某种数据交换的属性安全恢复:处理来自机制的请求,例如事件处理和管理功能,并且采取恢复措施。
第6章 数字签名技术_1
第6章 数字签名技术
(3) 签名验证过程
假设用户B要验证用户A 对消息M的签名,用户计算 M’=SAe mod n ;其中e为签名方A的公钥。 并判断M’与M是否相等。如果相等则相信签名确实为A所产生,否则拒绝确认该 签名消息。 RSA数字签名算法如图6.1所示。
12
第6章 数字签名技术 对于RSA数字签名方案的应用及安全性需要注意以下的几个问题: (1) 上述RSA数字签名算法采用了对整个消息进行签名的方法,由于公开密 钥密码体制一般速度都比较慢,这样当消息比较长时,整个签名与验证过程 都会相当的慢。 (2) RSA数字签名算法的安全性取决于RSA公开密钥密码算法的安全性( 基于大整数分解的困难性)。 (3) 如果消息M1、M2的签名分别是S1和S2,则任何知道M1,S1,M2,S2的人都 可以伪造对消息M1M2的签名S1S2,这是因为在RSA的数字签名方案中, Sig(M1M2) = Sig(M1)Sig(M2)。
接收方B在收到消息M与数字签名(r,s)后: ① 计算消息M的散列码H(M); ② 计算yrrs mod p 和 H(M) mod p ;其中y为签名方A的公钥。 若两式相等,即 yrrs= H(M) mod p 则确认(r,s)为有效签名,否 则则认为签名是伪造的。 把EIGamal数字签名方案总结如图6.2所示。(见下页) 2. ElGamal数字签名算法安全性 (1) EIGamal数字签名算法是一个非确定性的数字签名算法,对同一个 消息M所产生的签名依赖于随机数k。 (2) 由于用户的签名密钥x是保密的,攻击者要从公开的验证密钥y得到 签名密钥x必须求解有限域上的离散对数问题(x=log,p y)。因此ElGamal 数字签名算法的安全性是基于有限域上计算离散对数的困难性。
信息安全考试重点
第1章信息安全概述1.被动攻击:攻击者在未被授权的情况下,非法获取信息或数据文件,但不对数据信息作任何修改。
被动攻击手段:搭线监听、无线截获、其他截获、流量分析阻止被动攻击:加密对付被动攻击的重点是预防,不是检测被动攻击使得机密信息被泄露,破坏了信息的机密性2.主动攻击:包括对数据流进行篡改或伪造主动攻击四种类型:伪装、重放、消息篡改、拒绝服务伪装、重放、消息篡改,破坏了信息的完整性,拒绝服务,破坏了信息系统的可用性3.信息安全的目标:机密性:Confidentiality,指保证信息不被非授权访问。
完整性:Integrity,指信息在生成、传输、存储和使用过程中不应被第三方篡改。
可用性:Availability,指授权用户可以根据需要随时访问所需信息。
其它信息安全性质:可靠性,不可抵赖性,可审查性,可控性4.信息安全基础研究的主要内容:密码学研究和网络信息安全基础理论研究密码理论是信息安全的基础,信息安全的机密性,完整性和抗否认性都依赖密码算法密码学的主要研究内容是:加密算法(保护信息机密性)消息认证算法(保护信息的完整性)数字签名算法(保护信息的抗否认性)密钥管理5.网络攻击方式:①泄密:将消息透露给未被授权的任何人或程序②传输分析:分析通信双方的通信模式③伪装:欺诈源向网络中插入一条消息④内容修改:对消息内容进行插入、删除、转换或修改⑤顺序修改:对通信双方的消息顺序进行插入、删除或重新排序⑥计时修改:对消息的延时和重放⑦发送方否认:发送方否认发过来某消息⑧接收方否认:接收方否认接收到某消息6.安全理论的主要内容:身份认证、授权和访问控制、安全审计和安全协议7.安全技术:防火墙技术、漏洞扫描和分析、入侵检测、防病毒等8.平台安全:物理安全、网络安全、系统安全、数据安全、用户安全和边界安全物理安全是指保障信息网络物理设备不受物理损害,或是损坏时能及时修复或替换,通常是针对设备的自然损害、人为破坏或灾害损害而提出的网络安全的目标是防止针对网络平台的实现和访问模式的安全威胁9.信息安全管理研究:①安全策略研究,主要内容包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等安全策略是安全系统设计、实施、管理和评估的依据②安全标准研究,主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工程实施标准等③安全测评研究,主要内容有测评模型、测评方法、测评工具、测评规程等第2章密码学基础1.研究各种加密方案的学科称为密码编码学,加密方案则被称为密码体制或者密码,研究破译密码的学科称为密码分析学数据安全基于密钥而不是算法的保密,也就是说,对于一个密码体制,其算法是可以公开的,但具体对于某次加密过程中所使用的密钥则是保密的2.根据密钥的使用方式分类:对称密码体制(秘密钥密码体制)和非对称密码体制(公钥密码体制)对称密码体制分为两类:序列密码或流密码,分组密码3.攻击密码体制一般有两种方法:密码分析和穷举攻击穷举攻击是指攻击者对一条密文尝试所有可能的密钥,直到把它转化成为可读的有意义明文如果无论有多少可以使用的密文,都不足以唯一地确定在该体制下地密文所对应的明文,则此加密体制是无条件安全的5.加密算法应该至少满足下面的两个条件之一:①破译密码的代价超出密文信息的价值②破译密码的时间超出密文信息的有效期满足上述两个条件之一的密码体制被称为在计算上是安全的第3章对称密码体制1.雪崩效应:明文或密钥的微小改变将对密文产生很大的影响2.弱密钥:DES算法在每次迭代时都有一个子密钥供加密用,如果一个外部密钥所产生的所有子密钥都是一样的,则这个密钥就称为弱密钥。
第6章 (1)身份认证
6.2 身份认证系统与数字签名
2.动态口令认证(ACE)系统 动态口令认证系统也称为一次性口令(One Time Password,OTP)认证系统,在登录过程中 加入不确定因素,使每次登录过程中传送的密码信息 都不相同,从而可以增强认证系统的安全性。动态口 令认证系统的组成包括:
图6-1 认证系统网络结构图
6.1 身份认证技术
【案例5-1】AAA认证系统现阶段应用最广。认证
案例6-2
(Authentication)是验证用户身份与可使用网络服 务的过程;授权(Authorization)是依据认证结果 开放网络服务给用户的过程;审计(Accounting)是 记录用户对各种网络服务的操作及用量,审查并计费 的过程。
6.2 身份认证系统与数字签名
3. 双因素安全令牌及认证系统
双因子安全令牌及认证系统,如图6-5所示。 (1)E-Securer的组成 ①安全身份认证服务器。 ②双因子安全令牌(Secure Key)。 (2)E-Securer的安全性 (3)双因子身份认证系统的技术特点与优势
图6-5 E-Securer安全认证系统
6.1 身份认证技术
表6-1 数字证书的类型与作用 证书名称 证书类型
个人证书 个人证书
主要功能描述
个人网上交易、网上支付、 电子邮件等相关网络作业
单位身份证 用于企事业单位网上交易、 书 网上支付等 单位证书 Email证书 用于企事业单位内安全电子 邮件通信 用于企事业单位内某个部门 的身份认证 用于服务器、安全站点认证 用于个人软件开发者对其软 件的签名
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。
A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。
B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。
D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。
D.上述三点(2)网络安全保障体系框架的外围是。
D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
网络安全基础应用与标准_第四版思考题答案
第一章1.什么是osi安全体系结构?为了有效评估某个机构的安全需求,并选择各种安全产品和策略,负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法,这一套系统体系架构便称为安全体系架构。
2.被动和主动威胁之间有什么不同?被动威胁的本质是窃听或监视数据传输,主动威胁包含数据流的改写和错误数据流的添加。
3.列出并简要定义被动和主动安全攻击的分类?被动攻击:消息内容泄漏和流量分析。
主动攻击:假冒,重放,改写消息和拒绝服务。
4.列出并简要定义安全服务的分类认证,访问控制,数据机密性,数据完整性,不可抵赖性。
5.列出并简要定义安全机制的分类。
特定安全机制:为提供osi安全服务,可能并到适当的协议层中。
普通安全机制:没有特定osi安全服务或者协议层的机制。
第二章1.对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法。
2.加密算法使用的两个基本功能是什么?替换和排列组合3.分组密码和流密码区别是什么?分组时若干比特同时加密。
比如DES是64bit的明文一次性加密成密文。
流密码是一个比特一个比特的加密,密码分析方面有很多不同。
比如说密码中,比特流的很多统计特性影响到算法的安全性。
密码实现方面有很多不同,比如流密码通常是在特定硬件设备上实现。
分组密码可以在硬件实现,也可以在计算机软件上实现。
4.攻击密码的两个通用方法是什么?密码分析与穷举法(暴力解码)5.为什么一些分组密码操作模式只使用了加密,而其他的操作模式使用了加密又使用了解密出于加密与解密的考虑,一个密码模式必须保证加密与解密的可逆性。
在密码分组链接模式中,对明文与前一密文分组异或后加密,在解密时就要先解密再异或才能恢复出明文;在计数器模式中,对计数器值加密后与明文异或产生密文,在解密时,只需要相同的计数器加密值与密文异或就可得到明文。
6.为什么3DES的中间部分是解密而不是加密?3DES加密过程中使用的解密没有密码方面的意义。
保密技术及管理期末知识点汇总
《保密技术管理》期末考试范围知识点总结第一章绪论一、保密技术概念是指保护秘密信息安全,避免秘密信息失窃和泄漏的所有相关保障性技术。
从广义上讲,指所有避免秘密信息泄漏的技术。
这里所说的秘密信息不单单指国家秘密,还可以指商业秘密、工作秘密,乃至个人隐私。
二、保密技术与信息安全技术关系(1)保密技术与信息安全技术具有一路的核心内容,即确保信息保密性。
(2)保密技术与信息安全技术在安全需求、保护对象和保护品级等方面不尽相同,发展至今成为既彼此关联,又各自独立的两门技术学科。
(3)总之,保密技术与信息安全技术既有一路的基础性技术,也有彼此不能覆盖的技术领域,保密的目标有赖于二者一路的基础支撑和保障作用。
3、保密技术发展历程第一阶段:通信保密发展时期(20世纪40年代-70年代)第二阶段:计算机及网络保密发展时期(20世纪80年代-90年代)第三阶段:信息保障与全方位保障技术阶段(20世纪90年代以后)4、保密技术分类(从信息安全的角度)物理安全保密技术:防窃听、防窃照、防复印、信息清除、涉密物品管控等平台安全保密技术:身份辨别、信息认证、访问控制等数据安全保密技术:加密、容灾恢复、信息隐藏、数据备份等通信安全保密技术:猝发通信、通信干扰等网络安全保密技术:防火墙、入侵检测系统、网络隔离等五、保密技术体系框架(文字描述,不用画图)(1)保密技术可以按照技术对保密的支撑作用和功能特点划分成保密防护技术和保密检查技术两大类,直接表现了保密技术的对抗性特点。
同时组成体系框架图中的最底层。
(2)保密技术可以按照应用对象进一步细分,划分为网络保密技术、通信保密技术、物理安全保密技术、TEMPEST、保密检测技术。
在体系框架图中的组成保密防护技术和保密检查技术的上一层。
(3)网络保密技术和通信保密技术都以密码技术、信息隐藏技术作为基础技术,同时网络保密技术还包括身份认证、访问控制、监控审计、边界防护和主机安全等技术。
通信保密技术可以划分为有线通信保密技术和无线通信保密技术。
网络安全技术与实践第6章 (3)访问控制
6.3 访问控制技术
在Linux系统中,访问控制采用了DAC(自主 访问控制)模式,如下图中所示。高优先级主体可将客体 的访问权限授予其他主体。
案例6-3
Linux系统中的自主访问控制
6.3 访问控制技术
(2)强制访问控制 强制访问控制(MAC)是系统强制主体服从访问控制 策略. 是由系统对用户所创建的对象,按照规则控制用户 权限及操作对象的访问.主要特征是对所有主体及其所控 制的进程、文件、段、设备等客体实施强制访问控制. MAC安全级别常用4级:绝密级、秘密级、机密级和无级 别级,其中T>S>C>U.系统中的主体(用户,进程)和客体 (文件,数据)都分配安全标签,以标识安全等级。
6.4 计算机安全审计
2. 安全审计的类型 从审计级别上可分为3种类型: (1)系统级审计。主要针对系统的登入情况、 用户识别号、登入尝试的日期和具体时间、退出的 日期和时间、所使用的设备、登入后运行程序等事 件信息进行审查。 (2)应用级审计。主要针对的是应用程序的活 动信息。 (3)用户级审计。主要是审计用户的操作活动 信息。
6.3 访问控制技术
3. 综合访问控制策略
(1)入网访问控制 (2)网络的权限控制 从用户角度,网络的权限控制可分为3类: ①特殊用户,指具有系统管理权限的用户。 ②一般用户,系统管理员根据用户的实际需要为这些用户 分配操作权限. ③审计用户,负责网络的安全控制与资源使用情况的审计。 (3)目录级安全控制 (4)属性安全控制 (5)网络服务器安全控制 (6)网络监控和锁定控制 (7)网络端口和结点的安全控制
6.3 访问控制技术
6.3.5 准入控制技术及发展
1. 准入控制技术概述
思科公司和微软的网络准入控制NAP其原理和本质一 致,不仅对用户身份进行认证,还对用户的接入设备进行 安全状态评估(包括防病毒软件、系统补丁等),使每个 接入点AP都具有较高的可信度和健壮性,从而保护网络 基础设施。华为2005年推出端点准入防御产品。
精品文档-密码学基础(范九伦)-第6章
第6章 数字签名
从上面的对比可以看出,数字签名必须能够实现与手书签名 同等的甚至更强的功能。为了达到这个目的,签名者必须向验证 者提供足够多的非保密信息,以便验证者能够确认签名者的数字 签名;但签名者又不能泄露任何用于产生数字签名的机密信息, 以防止他人伪造他的数字签名。因此,签名算法必须能够提供签 名者用于签名的机密信息与验证者用于验证签名 的公开信息,但二者的交叉不能太多,联系也不能太直观,从公 开的验证信息不能轻易地推测出用于产生数字签名的机密信息。 这是对签名算法的基本要求之一。
true
VERvk
(m,
s)
fals
e
s SIGsk (m) s SIGsk (m)
第6章 数字签名
由上面的定义可以看出,数字签名算法与公钥加密算法在某 些方面具有类似的性质,甚至在某些具体的签名体制中,二者的 联系十分紧密,但是从根本上来讲,它们之间还是有本质的不同。 比如对消息的加解密一般是一次性的,只要在消息解密之前是安 全的就行了;而被签名的消息可能是一个具体法定效用的文件, 如合同等,很可能在消息被签名多年以后才需要验证它的数字签 名,而且可能需要多次重复验证此签名。因此,签名的安全性和 防伪造的要求应更高一些,而且要求签名验证速度比签名生成速 度还要快一些,特别是联机的在线实时验证。
第6章 数字签名
在人们的日常生活中,为了表达事件的真实性并使文件核 准、生效,常常需要当事人在相关的纸质文件上手书签字或盖 上表示自己身份的印章。在数字化和网络化的今天,大量的社 会活动正在逐步实现电子化和无纸化,活动参与者主要是在计 算机及其网络上执行活动过程,因而传统的手书签名和印章已 经不能满足新形势下的需求,在这种背景下,以公钥密码理论 为支撑的数字签名技术应运而生。
网络安全技术及应用实践教程 第4版 部分答案-教材[5页]
![网络安全技术及应用实践教程 第4版 部分答案-教材[5页]](https://img.taocdn.com/s3/m/c2d6b03826d3240c844769eae009581b6ad9bd50.png)
附录A 练习与实践部分习题答案(个别有更新)第1章练习与实践一部分答案1.选择题(1) A (2) C (3) D (4) C(5) B (6) A (7) B (8) D2.填空题(1) 计算机科学、网络技术、信息安全技术(2) 保密性、完整性、可用性、可控性、不可否认性(3) 实体安全、运行安全、系统安全、应用安全、管理安全(4) 物理上逻辑上、对抗(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复(6) 多维主动、综合性、智能化、全方位防御(7) 技术和管理、偶然和恶意(8) 网络安全体系和结构、描述和研究第2章练习与实践二部分答案1. 选择题(1) D (2) A (3) B(4) B (5) D (6)D2. 填空题(1) 保密性、可靠性、SSL协商层、记录层(2) 物理层、数据链路层、传输层、网络层、会话层、表示层、应用层(3) 有效性、保密性、完整性、可靠性、不可否认性、不可否认性(4) 网络层、操作系统、数据库(5) 网络接口层、网络层、传输层、应用层(6) 客户机、隧道、服务器(7) 安全保障、服务质量保证、可扩充性和灵活性、可管理性第3章练习与实践三部分答案1. 选择题(1)D (2)D (3)C (4)A (5)B (6)C2. 填空题(1)信息安全战略、信息安全政策和标准、信息安全运作、信息安全管理、信息安全技术。
(2)分层安全管理、安全服务与机制(认证、访问控制、数据完整性、抗抵赖性、可用可控性、审计)、系统安全管理(终端系统安全、网络系统、应用系统)。
(3)信息安全管理体系、多层防护、认知宣传教育、组织管理控制、审计监督(4)一致性、可靠性、可控性、先进性和符合性(5)安全立法、安全管理、安全技术(6) 信息安全策略、信息安全管理、信息安全运作和信息安全技术(7) 安全政策、可说明性、安全保障(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力(9)环境安全、设备安全和媒体安全(10)应用服务器模式、软件老化第4章练习与实践四部分答案1. 选择题(1)A (2)C (3)B (4)C (5)D.2. 填空题(1) 隐藏IP、踩点扫描、获得特权攻击、种植后门、隐身退出。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过数字签名能够实现对原始报文鉴别与 验证,保证报文的完整性、 验证,保证报文的完整性、权威性和发送 者对所发报文的不可抵赖性。 者对所发报文的不可抵赖性。数字签名机 制提供了一种鉴别方法,普遍用于银行、 制提供了一种鉴别方法,普遍用于银行、 电子贸易等,以解决伪造、抵赖、冒充、 电子贸易等,以解决伪造、抵赖、冒充、 篡改等问题。 篡改等问题。 数字签名与数据加密完全独立。 数字签名与数据加密完全独立。数据可以 既签名又加密,只签名,只加密,当然, 既签名又加密,只签名,只加密,当然, 也可以既不签名也不加密。 也可以既不签名也不加密。
1.数字签名应具有的性质 . 2.数字签名的设计要求 . 3.数字签名分类 .
6.2.2 数字签名算法
1.Hash签名 . 签名 2.RSA签名 . 签名 3.DSS签名 . 签名
6.3 数 字 证 书
6.3.1 什么是数字证书 数字证书就是互联网通信中标志通信各方身份信息 的一系列数据,提供了一种在Internet上验证您 的一系列数据,提供了一种在 上验证您 身份的方式, 身份的方式,其作用类似于司机的驾驶执照或日常 生活中的身份证。它是由一个权威机构——CA机 生活中的身份证。它是由一个权威机构 机 又称为证书授权( 构,又称为证书授权(Certificate Authority) ) 中心发行的, 是负责签发证书 认证证书、 是负责签发证书、 中心发行的,CA是负责签发证书、认证证书、管 理已颁发证书的机关。 理已颁发证书的机关。它要制定政策和具体步骤来 验证、识别用户身份,并对用户证书进行签名, 验证、识别用户身份,并对用户证书进行签名,以 确保证书持有者的身份和公钥的拥有权。 确保证书持有者的身份和公钥的拥有权。 CA也拥有一个证书(内含公钥)和私钥。网上的 也拥有一个证书( 也拥有一个证书 内含公钥)和私钥。 公众用户通过验
6.3.2 为什么要用数字证书
因而Internet电子商务系统必须保证具有 电子商务系统必须保证具有 因而 十分可靠的安全保密技术。也就是说, 十分可靠的安全保密技术。也就是说,必 须保证网络安全的四大要素, 须保证网络安全的四大要素,即信息传输 的保密性、数据交换的完整性、 的保密性、数据交换的完整性、发送信息 的不可否认性、交易者身份的确定性。 的不可否认性、交易者身份的确定性。
6.1.2.1 散列函数的用途 1.验证数据的完整性 2.用户认证 6.1.2.2 散列函数的要求 6.1.2.3 报文摘要算法 1.安全散列算法 2.MDx散列算法
6.2 数 字 签 名
6.2.1 数字签名基本概念 数字签名就是通过一个单向函数对要传送 的报文进行处理得到的用以认证报文来源 并核实报文是否发生变化的一个字母数字 用这个字符串来代替书写签名或印章, 串。用这个字符串来代替书写签名或印章, 起到与书写签名或印章同样的法律效用。 起到与书写签名或印章同样的法律效用。 国际社会已开始制定相应的法律、法规, 国际社会已开始制定相应的法律、法规, 把数字签名作为执法的依据。 把数字签名作为执法的依据。
第6章 认证与数字签名 章
6.1 6.2 6.3 6.4
信息认证技术 数字签名 数字证书 公钥基础设施(PKI) 公钥基础设施( )
6.1 信息认证技术
6.1.1 信息认证技术简介 1.数字摘要(报文摘要) 2.数字信封 3.数字签名 3 4.数字时间戳 5.数字证书
6.1.2 报文摘要
信息的完整性和认证是指信息的接受者能 够检验收到的消息是否真实。 够检验收到的消息是否真实。检验的内容 包括:消息的来源、 包括:消息的来源、消息的内容是否被篡 消息是否被重放。 改、消息是否被重放。消息的完整性经常 通过散列技术来实现。 通过散列技术来实现。
密钥对收到的密文进行解密, (7)乙用 )乙用DES密钥对收到的密文进行解密,得 密钥对收到的密文进行解密 到明文的数字信息,然后将DES密钥抛弃(即 到明文的数字信息,然后将 密钥抛弃( 密钥抛弃 DES密钥作废)。 密钥作废)。 密钥作废 (8)乙用甲的公钥(PK)对甲的数字签名进行 )乙用甲的公钥( ) 解密,得到信息摘要。乙用相同的hash算法对 解密,得到信息摘要。乙用相同的 算法对 收到的明文再进行一次hash运算,得到一个新 运算, 收到的明文再进行一次 运算 的信息摘要。 的信息摘要。 (9)乙将收到的信息摘要和新产生的信息摘要 ) 进行比较,如果一致, 进行比较,如果一致,说明收到的信息没有被修 改过。 改过。
6.3.4 数字证书的工作流程
现有持证人甲向持证人乙传送数字信息, 现有持证人甲向持证人乙传送数字信息,为了保 证信息传送的真实性、完整性和不可否认性, 证信息传送的真实性、完整性和不可否认性,需 要对要传送的信息进行数字加密和数字签名, 要对要传送的信息进行数字加密和数字签名,其 传送过程如下。 传送过程如下。 (1)甲准备好要传送的数字信息(明文)。 )甲准备好要传送的数字信息(明文)。 (2)甲对数字信息进行哈希(hash)运算,得 )甲对数字信息进行哈希( )运算, 到一个信息摘要。 到一个信息摘要。 (3)甲用自己的私钥(SK)对信息摘要进行加 )甲用自己的私钥( ) 密得到甲的数字签名,并将其附在数字信息上。 密得到甲的数字签名,并将其附在数字信息上。
如果用户想得到一份属于自己的证书, 如果用户想得到一份属于自己的证书,他 应先向CA提出申请。在CA判明申请者的 提出申请。 应先向 提出申请 判明申请者的 身份后,便为他分配一个公钥,并且CA将 身份后,便为他分配一个公钥,并且 将 该公钥与申请者的身份信息绑在一起, 该公钥与申请者的身份信息绑在一起,为 之签字后便形成证书发给申请者。 之签字后便形成证书发给申请者。如果一 个用户想鉴别另一个证书的真伪, 个用户想鉴别另一个证书的真伪,他就用 CA的公钥对那个证书上的签字进行验证, 的公钥对那个证书上的签字进行验证, 的公钥对那个证书上的签字进行验证 一旦验证通过,该证书就被认为是有效的。 一旦验证通过,该证书就被认为是有效的。 人们可以在网上用它来识别对方的身份。 人们.3 证书与证书授权中心
CA机构作为电子商务交易中受信任的第三 机构作为电子商务交易中受信任的第三 方,承担公钥体系中公钥的合法性检验的 责任。 中心为每个使用公开密钥的用户 责任。CA中心为每个使用公开密钥的用户 发放一个数字证书, 发放一个数字证书,数字证书的作用是证 明证书中列出的用户合法拥有证书中列出 的公开密钥。 机构的数字签名使得攻击 的公开密钥。CA机构的数字签名使得攻击 者不能伪造和篡改证书。它负责产生、 者不能伪造和篡改证书。它负责产生、分 配并管理所有参与网上交易的个体所需的 数字证书, 数字证书,因此是安全电子交易的核心环 节。
6.3.5 数字证书的应用
1.网上交易 2.网上办公 3.网上招标 4.网上报税 4 5.安全电子邮件
6.4 公钥基础设施(PKI) 公钥基础设施( )
PKI技术采用证书管理公钥,通过第三方的 技术采用证书管理公钥, 技术采用证书管理公钥 可信任机构—认证中心 (Certificate 认证中心CA( 可信任机构 认证中心 Authority),把用户的公钥和用户的其他 ),把用户的公钥和用户的其他 ), 标识信息(如名称、 标识信息(如名称、E-mail、身份证号等) 、身份证号等) 捆绑在一起, 捆绑在一起,在Internet上验证用户的身 上验证用户的身 目前,通用的办法是采用建立在PKI基 份。目前,通用的办法是采用建立在 基 础之上的数字证书, 础之上的数字证书,通过把要传输的数字信 息进行加密和签名,保证信息传输的机密性、 息进行加密和签名,保证信息传输的机密性、 真实性、完整性和不可否认性, 真实性、完整性和不可否认性,从而保证信 息的安全传输。 息的安全传输。
认证中心为了实现其功能, 认证中心为了实现其功能,主要由以下三部分组 成。 (1)注册服务器:通过 Web Server 建立的 )注册服务器: 站点,可为客户提供每日24小时的服务 小时的服务。 站点,可为客户提供每日 小时的服务。因此客 户可在自己方便的时候在网上提出证书申请和填 写相应的证书申请表,免去了排队等候等烦恼。 写相应的证书申请表,免去了排队等候等烦恼。 (2)证书申请受理和审核机构:负责证书的申 )证书申请受理和审核机构: 请和审核。 请和审核。它的主要功能是接受客户证书申请并 进行审核。 进行审核。 (3)认证中心服务器:是数字证书生成、发放 )认证中心服务器:是数字证书生成、 的运行实体,同时提供发放证书的管理、 的运行实体,同时提供发放证书的管理、证书废 止列表( 止列表(CRL)的生成和处理等服务。 )的生成和处理等服务。
其使用方式是: 其使用方式是:报文的发送方从报文文本 中生成一个128位或 位或160位的单向散列值 中生成一个 位或 位的单向散列值 或报文摘要), ),并用自己的私有密钥对 (或报文摘要),并用自己的私有密钥对 这个散列值进行加密, 这个散列值进行加密,形成发送方的数字 签名,然后, 签名,然后,将这个数字签名作为报文的 附件和报文一起发送给报文的接收方。 附件和报文一起发送给报文的接收方。报 文的接收方首先从接收到的原始报文中计 算出散列值(或报文摘要), ),接着再用发 算出散列值(或报文摘要),接着再用发 送方的公开密钥来对报文附加的数字签名 进行解密,如果这两个散列值相同, 进行解密,如果这两个散列值相同,那么 接收方就能确认该数字签名是发送方的。 接收方就能确认该数字签名是发送方的。
我们可以使用数字证书, 我们可以使用数字证书,通过运用对称和 非对称密码体制等密码技术建立起一套严 密的身份认证系统,从而保证: 密的身份认证系统,从而保证:信息除发 送方和接收方外不被其他人窃取; 送方和接收方外不被其他人窃取;信息在 传输过程中不被篡改; 传输过程中不被篡改;发送方能够通过数 字证书来确认接收方的身份; 字证书来确认接收方的身份;发送方对于 自己的信息不能抵赖。 自己的信息不能抵赖。 用户也可以采用自己的私钥对信息加以处 由于密钥仅为本人所有, 理,由于密钥仅为本人所有,这样就产生 了别人无法生成的文件, 了别人无法生成的文件,也就形成了数字 签名。 签名。