第8章信息安全与社会责任
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪两者之间通过人工方法直接传递。 ▪由可信任的第三方通过人工方法分别传递通信双方。 ▪通过用旧密钥加密新密钥进行密钥的传递。 ▪由可信任的第三方通过秘密通道把密钥分别传递给通信双
方。该方法需要使用一个可信任的密钥分配中心KDC,由 KDC决定密钥的分配。
16
8.2.2 数字签名技术
信息系统安全的另一个重要方面是防止攻击者对系统的主 动攻击。认证是指对数据产生者的身份进行验证,该方法 也称数据来源验证。
1. 什么是防火墙
防火墙是一种安全手段的提供。它通过定义允许 访问和允许服务的安全策略实现此安全目的。
一个内部网络需要保护的资源主要:
▪ 工作站 ▪ 主计算机和服务器 ▪ 内连设备:网关、路由器、网桥、转发器 ▪ 终端服务器 ▪ 网络和应用程序软件 ▪ 网络电缆 ▪ 文件和数据库中的信息
25
1. 什么是防火墙
户的解密密钥才能解密。用户可以将自己的加密密钥公开, 但是解密密钥不能透露给自己不信任的任何人。
❖ 加密算法和解密算法也都是公开的。
12
2. 非对称加密技术
非对称加密模型
发送者
接收者
明文 X
E 加密算法
密文 Y = EPK(X)
D 解密算法
加密密钥 PK 解密密钥 SK
明文 X = DSK(EPK(X))
17
8.2.2 数字签名技术
❖数字签名最常用的技术是公开密钥加密技术。
发送者 A
接收者 B
X D
DSKA(X)
X
E
SKA
用秘密密钥 进行签名
PKA
用公开密钥 核实签名
数字签名模型
8.2.2 数字签名技术
具有保密性的数字签名: 可同时实现秘密通信和数字签名
发送者 A
密文
接收者 B
X
DSKA(X)
EPKB(DSKA(X))
❖ 实体安全指的是保证网络中单个结点设备的安全
性。
❖ 网络安全指的是保证整个网络的数据传输和网络
进出的安全性。
❖ 应用安全主要保证各种应用系统内部的安全性。 ❖ 管理安全主要保证整个系统包括设备、网络系统
以及各种应用系统的运营维护时的安全性。
9
8.2 信息安全技术
8.2.1 数据加密技术 用特种符号按照通信双方约定把电文的原形隐蔽起 来,不为第三者所识别的通信方式称为密码通信。 数据加密技术是对系统中所有存储和传输的数据 (明文)进行加密,使之成为密文。
➢破坏: 工作人员有时候会试图破坏计算机设 备、程序或者文件,而黑客和解密者则可能 通过传播病毒来进行对设备和数据的破坏。
➢偷窃: 偷窃的对象可以是计算机硬件、软件、 数据甚至是计算机时间。
➢操纵: 找到进入他人计算机网络的途径并进 行未经授权的操作。
8
8.1.5 网络安全体系结构
一个完整的安全体系结构主要由4个层次组成:
2
8.1.2 信息安全的现状
❖ 随着信息存储方式的变化,信息安全的概念也出现新的情况: ▪ 传统信息安全:通过物理手段和管理制度来保证信息的安 全。 ▪ 计算机安全:保护所有信息储存设备所采取的手段。 ▪ 网络安全:用于保护传输的信息和防御各种攻击的措施。
❖ 随着Internet在更大范围的普及,它所产生的负面影响也越来 越大,主要体现: ▪ 黑客阵营的悄然崛起 ▪ 网上黄毒泛滥 ▪ 网上病毒的传播 ▪ 网上偷盗之风的盛行
3
8.1.3 信息安全的需求与威胁手段
1. 信息安全的需求
➢ 保密性:系统中的信息只能由授权的用户访问。 ➢ 完整性:系统中的资源只能由授权的用户进行修改,
以确保信息资源没有被篡改。 ➢ 可用性:系统中的资源对授权用户是有效可用的。 ➢ 可控性:对系统中的信息传播及内容具有控制能力。 ➢ 真实性:验证某个通信参与者的身份与其所申明的一
非法 搭线信道 搭线信道 密码分析者 入侵者 (主动攻击) (被动攻击) (窃听者)
信源
加密器
解密器
接收者
信道
密钥源
密钥信道
密钥源
保密通信模型
10
8.2.1 数据加密技术
1. 对称加密技术
加密方和解密方使用同一种加密算法且加密密钥与解密密钥 相同的密码技术,也称为私钥加密技术或秘密密钥加密技术。 若网络中有N个用户进行加密通信,则每个用户都需要保存 (N-1)个密钥才能保证任意双方收发密文,第三方无法解密。 数据加密标准(DES)算法是目前最常用的对称密钥加密算 法,是由IBM制定、于1977年由美国国家标准局颁布的一种加 密算法,是世界上第一个公认的实用密码算法标准。 DES是一种分组密码,即在加密前先对整个明文进行分组。 DES的保密性仅取决于对密钥的保密,而算法是公开的。
修改:修改原有信息中的合法信息或延迟或重新排序产 生一个非授权的效果
破坏:利用网络漏洞破坏网络系统的正常工作和管理 伪装:通过截取授权的信息伪装成已授权的用户进行攻
击
5
2.威胁手段
威胁类型
源站
wenku.baidu.com目的站 源站 目的站 源站 目的站 源站
目的站
截获
中断
修改
假冒
被动攻击
主动攻击
对付被动攻击,可采用各种数据加密技术。
11
8.2.1 数据加密技术
2. 非对称加密技术 ❖ 其特征是密钥由两个不同的部分组成,公开的加密密钥
(公钥)和保密的解密密钥(私钥)。也称为公钥加密技术。
❖ 加密密钥与解密密钥是数学相关的,它们成对出现,但却
不能由加密密钥计算出解密密钥,也不能由解密密钥计算出 加密密钥。
❖ 信息用某用户的加密密钥加密后所得到的数据只能用该用
密钥对 产生源
2. 非对称加密技术
N个用户之间使用非对称加密技术通信,则 每个用户只需保存自己的密钥对即可。
2. 非对称加密技术
❖ RSA算法是最常用的一种非对称密钥加密算法,是1977年
由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出 的,故用他们三个人的名字命名。
1. 消息认证:消息接收者能确定: ➢ 消息来源于被指定的发送者。 ➢ 消息是发送给预期的接收者。 ➢ 消息内容是完整可信的,即在传输过程中没有被修改或替 换。 ➢ 消息的序号和时间性。
2. 数字签名:网络服务中的身份验证,消息接收者能确定: ➢ 接收方能确认信息确实来自指定的发送者 ➢ 发送者不能否认所发信息的内容 ➢ 接收者不能伪造信息内容
23
8.2.4 防火墙技术
1. 什么是防火墙(firewall) “防火墙” 是一种形象的说法, 其实它是一种计算 机硬件和软件的组合, 用于在互联网与内联网之间 建立起一个安全网关,以防止企业或组织的内联网受 到不可预测的、潜在破坏性的入侵,从而可有效地保 证网络安全。
设计防火墙的根本目的就是不要让那些来自不受保 护的网络(如Internet)上的多余的未授权的信息进入专 用网络(如LAN或WAN),而仍能够允许本地网络上 的合法用户访问Internet服务。
❖ 但在网上交易时,由于交易双方并不现场交易,因此无法确认 双方的合法身份,同时交易信息是交易双方的商业秘密,在网 上传输时必须做到安全传输,防止信息被窃取。交易双方一旦 发生纠纷,必须能够提供仲裁。
❖ 因此,在电子商务中,必须从技术上保证在交易过程中能够实 现:身份认证、安全传输、不可否认性、数据一致性。这就是 数字证书认证技术。
❖过滤子网防火墙:在一个分割的系统上放置防火墙的每一个
组件,每一个组件仅需实现一个特定任务,该结构中两个路 由器用来创建一个内部的、过滤子网,这个子网(有时称为 非军事区DMZ)包含应用网关、信息服务器、Modem池等。
《计算机导论》
第8章 信息安全与社会责任
8.1 信息安全概述 8.2 信息安全技术 8.3 计算机病毒及其防治 8.4 社会责任与职业道德规范
8.1 信息安全概述
8.1.1 信息安全的重要性 ❖ 随着全球信息化过程的不断推进,越来越多的信息
将依靠计算机来处理、存储和转发,信息资源的保 护又成为一个新的问题。 ❖ 信息安全不仅涉及传输过程,还包括网上复杂的人 群可能产生的各种信息安全问题。 ❖ 用于保护传输的信息和防御各种攻击的措施称为网 络安全。 ❖ 要实现“安全”,也不是某个技术能够解决的,它 实际上是一个过程。
❖ 设计策略: ▪ 服务访问策略:特定于一个出口,定义受保护网络中
哪些服务是允许的,哪些服务是明确禁止的,服务是 怎样被使用的等。 ▪ 实施策略:描述防火墙实施中是怎样体现服务访问策 略,即怎样去限制访问和过滤服务。 ❖ 应用网关:运行代理服务的主机称为应用网关,这些 程序根据预先制定的安全规则将用户对外部网的服务 请求向外提交、转发外部网对内部网用户的访问。代 理服务替代了用户和外部网的联接。
❖ 非对称密码体制与对称密码体制相比,主要有下面3个方
面的优点
▪ 密码分发简单 ▪ 秘密保存的密钥减少 ▪ 非对称密码体制可以容易地实现对称密码体制难以实
现的签名验证机制。
15
8.2.1 数据加密技术
3.密钥管理与分配
密码系统的安全强度在很大程度上取决于密钥分配 技术,密钥分配可通过四种方法获得:
21
8.2.3 数字证书技术
❖ 数字认证是以数字证书为核心的加密技术,可以对网络上传输 的信息进行加密和解密、数字签名和签名验证,确保网上传递 信息的安全性、完整性。
❖ 数字证书是一段包含用户身份信息、用户公钥信息以及身份验 证机构数字签名的数据。
❖ 用户的数字签名可以保证数字信息的不可否认性,用户公钥信 息可以保证数字信息传输的完整性,身份验证机构的数字签名 可以确保证书信息的真实性。
❖ 数字证书是各类终端实体和最终用户在网上进行信息交流及商 务活动的身份证明。
❖ 数字证书也必须具有唯一性和可靠性。
22
8.2.3 数字证书技术
❖ 数字证书是一个经证书认证中心(CA)数字签名的包含公开密 钥拥有者信息以及公开密钥的文件。CA作为权威的、可信赖的、 公正的第三方机构,专门负责为各种认证需求提供数字证书服 务。认证中心颁发的数字证书均遵循X.509 V3标准。
26
2.防火墙的类型
❖包过滤防火墙:在Internet连接处安装包过滤路由器,在路由
器中配置包过滤规则来阻塞或过滤报文的协议和地址。
❖双宿主网关防火墙:由一个带有两个网络接口的主机系统组
成。一个网络接口用于连接内部网,另一个用于连接外部网。
❖过滤主机防火墙:由一个包过滤路由器和一个位于路由器旁
边保护子网的应用网关组成。
致,确保该通信参与者不是冒名顶替。 ➢ 不可抵赖性(不可否认性):防止通信参与者事后否
认参与通信。
4
8.1.3 信息安全的需求与威胁手段
2. 威胁手段
➢ 被动攻击:通过偷听和监视来获得存储和传输的信息。 ➢ 主动攻击:修改信息、创建假信息。
重现:捕获网上的一个数据单元,然后重新传输来产生 一个非授权的效果
❖ 数字证书颁发过程:用户首先产生自己的密钥对,并将公共密 钥及部分个人身份信息传送给认证中心;认证中心在核实身份 后,将执行一些必要的步骤,以确信请求确实由用户发送而来; 然后,认证中心将发给用户一个数字证书,该证书内包含用户 的个人信息和他的公钥信息,同时还附有认证中心的签名信息。
❖ 当双方关于签名的真伪发生争执时,由CA来仲裁。
DSKA(X)
X
D
E
D
E
SKA
用秘密密钥 签名
PKB
用公开密钥 加密
SKB
用秘密密钥 解密
PKA
用公开密钥 核实签名
SKA和SKB分别为A和B的秘密密钥 PKA和PKB分别为A和B的公开密钥
8.2.2 数字签名技术
数据加密和数字签名的区别
作用不同:对在网络中传输的数据信息进 行加密是为了保证数据信息传输的安全。 而数字签名是为了证实某一信息确实由某 一人发出,并且没有被网络中的其他人修 改过,它对网络中是否有人看到该信息则 不加关心。
数据加密使用接收者的公钥对数据进行运 算,而数字签名则使用发送者自己的私钥 对数据进行运算。
8.2.3 数字证书技术
❖ 随着Internet的日益普及,以网上银行、网上购物为代表的电子 商务已越来越受到人们的重视,深入到普通百姓的生活中。
❖ 在常规业务中,交易双方现场交易,可以确认购买双方的身份, 即对客户而言,商家是我要购物的地方;对商家而言,购买者 在现场无须担心假冒。同时,由于有商场开具的发票和客户现 场支付商品费用,无须担心发生纠纷时无凭证可依。
对付主动攻击,则需将加密技术与适当的鉴别 技术相结合。
8.1.4 计算机信息安全的因素
❖计算机罪犯的类型:
▪ 工作人员 ▪ 外部使用者 ▪ 黑客(hacker)和解密者 ▪ 有组织的罪犯
❖其他的威胁因素
➢自然危害 ➢内战和恐怖活动 ➢技术失误 ➢人为错误
7
8.1.4 计算机信息安全的因素
❖ 信息安全犯罪的形式
方。该方法需要使用一个可信任的密钥分配中心KDC,由 KDC决定密钥的分配。
16
8.2.2 数字签名技术
信息系统安全的另一个重要方面是防止攻击者对系统的主 动攻击。认证是指对数据产生者的身份进行验证,该方法 也称数据来源验证。
1. 什么是防火墙
防火墙是一种安全手段的提供。它通过定义允许 访问和允许服务的安全策略实现此安全目的。
一个内部网络需要保护的资源主要:
▪ 工作站 ▪ 主计算机和服务器 ▪ 内连设备:网关、路由器、网桥、转发器 ▪ 终端服务器 ▪ 网络和应用程序软件 ▪ 网络电缆 ▪ 文件和数据库中的信息
25
1. 什么是防火墙
户的解密密钥才能解密。用户可以将自己的加密密钥公开, 但是解密密钥不能透露给自己不信任的任何人。
❖ 加密算法和解密算法也都是公开的。
12
2. 非对称加密技术
非对称加密模型
发送者
接收者
明文 X
E 加密算法
密文 Y = EPK(X)
D 解密算法
加密密钥 PK 解密密钥 SK
明文 X = DSK(EPK(X))
17
8.2.2 数字签名技术
❖数字签名最常用的技术是公开密钥加密技术。
发送者 A
接收者 B
X D
DSKA(X)
X
E
SKA
用秘密密钥 进行签名
PKA
用公开密钥 核实签名
数字签名模型
8.2.2 数字签名技术
具有保密性的数字签名: 可同时实现秘密通信和数字签名
发送者 A
密文
接收者 B
X
DSKA(X)
EPKB(DSKA(X))
❖ 实体安全指的是保证网络中单个结点设备的安全
性。
❖ 网络安全指的是保证整个网络的数据传输和网络
进出的安全性。
❖ 应用安全主要保证各种应用系统内部的安全性。 ❖ 管理安全主要保证整个系统包括设备、网络系统
以及各种应用系统的运营维护时的安全性。
9
8.2 信息安全技术
8.2.1 数据加密技术 用特种符号按照通信双方约定把电文的原形隐蔽起 来,不为第三者所识别的通信方式称为密码通信。 数据加密技术是对系统中所有存储和传输的数据 (明文)进行加密,使之成为密文。
➢破坏: 工作人员有时候会试图破坏计算机设 备、程序或者文件,而黑客和解密者则可能 通过传播病毒来进行对设备和数据的破坏。
➢偷窃: 偷窃的对象可以是计算机硬件、软件、 数据甚至是计算机时间。
➢操纵: 找到进入他人计算机网络的途径并进 行未经授权的操作。
8
8.1.5 网络安全体系结构
一个完整的安全体系结构主要由4个层次组成:
2
8.1.2 信息安全的现状
❖ 随着信息存储方式的变化,信息安全的概念也出现新的情况: ▪ 传统信息安全:通过物理手段和管理制度来保证信息的安 全。 ▪ 计算机安全:保护所有信息储存设备所采取的手段。 ▪ 网络安全:用于保护传输的信息和防御各种攻击的措施。
❖ 随着Internet在更大范围的普及,它所产生的负面影响也越来 越大,主要体现: ▪ 黑客阵营的悄然崛起 ▪ 网上黄毒泛滥 ▪ 网上病毒的传播 ▪ 网上偷盗之风的盛行
3
8.1.3 信息安全的需求与威胁手段
1. 信息安全的需求
➢ 保密性:系统中的信息只能由授权的用户访问。 ➢ 完整性:系统中的资源只能由授权的用户进行修改,
以确保信息资源没有被篡改。 ➢ 可用性:系统中的资源对授权用户是有效可用的。 ➢ 可控性:对系统中的信息传播及内容具有控制能力。 ➢ 真实性:验证某个通信参与者的身份与其所申明的一
非法 搭线信道 搭线信道 密码分析者 入侵者 (主动攻击) (被动攻击) (窃听者)
信源
加密器
解密器
接收者
信道
密钥源
密钥信道
密钥源
保密通信模型
10
8.2.1 数据加密技术
1. 对称加密技术
加密方和解密方使用同一种加密算法且加密密钥与解密密钥 相同的密码技术,也称为私钥加密技术或秘密密钥加密技术。 若网络中有N个用户进行加密通信,则每个用户都需要保存 (N-1)个密钥才能保证任意双方收发密文,第三方无法解密。 数据加密标准(DES)算法是目前最常用的对称密钥加密算 法,是由IBM制定、于1977年由美国国家标准局颁布的一种加 密算法,是世界上第一个公认的实用密码算法标准。 DES是一种分组密码,即在加密前先对整个明文进行分组。 DES的保密性仅取决于对密钥的保密,而算法是公开的。
修改:修改原有信息中的合法信息或延迟或重新排序产 生一个非授权的效果
破坏:利用网络漏洞破坏网络系统的正常工作和管理 伪装:通过截取授权的信息伪装成已授权的用户进行攻
击
5
2.威胁手段
威胁类型
源站
wenku.baidu.com目的站 源站 目的站 源站 目的站 源站
目的站
截获
中断
修改
假冒
被动攻击
主动攻击
对付被动攻击,可采用各种数据加密技术。
11
8.2.1 数据加密技术
2. 非对称加密技术 ❖ 其特征是密钥由两个不同的部分组成,公开的加密密钥
(公钥)和保密的解密密钥(私钥)。也称为公钥加密技术。
❖ 加密密钥与解密密钥是数学相关的,它们成对出现,但却
不能由加密密钥计算出解密密钥,也不能由解密密钥计算出 加密密钥。
❖ 信息用某用户的加密密钥加密后所得到的数据只能用该用
密钥对 产生源
2. 非对称加密技术
N个用户之间使用非对称加密技术通信,则 每个用户只需保存自己的密钥对即可。
2. 非对称加密技术
❖ RSA算法是最常用的一种非对称密钥加密算法,是1977年
由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出 的,故用他们三个人的名字命名。
1. 消息认证:消息接收者能确定: ➢ 消息来源于被指定的发送者。 ➢ 消息是发送给预期的接收者。 ➢ 消息内容是完整可信的,即在传输过程中没有被修改或替 换。 ➢ 消息的序号和时间性。
2. 数字签名:网络服务中的身份验证,消息接收者能确定: ➢ 接收方能确认信息确实来自指定的发送者 ➢ 发送者不能否认所发信息的内容 ➢ 接收者不能伪造信息内容
23
8.2.4 防火墙技术
1. 什么是防火墙(firewall) “防火墙” 是一种形象的说法, 其实它是一种计算 机硬件和软件的组合, 用于在互联网与内联网之间 建立起一个安全网关,以防止企业或组织的内联网受 到不可预测的、潜在破坏性的入侵,从而可有效地保 证网络安全。
设计防火墙的根本目的就是不要让那些来自不受保 护的网络(如Internet)上的多余的未授权的信息进入专 用网络(如LAN或WAN),而仍能够允许本地网络上 的合法用户访问Internet服务。
❖ 但在网上交易时,由于交易双方并不现场交易,因此无法确认 双方的合法身份,同时交易信息是交易双方的商业秘密,在网 上传输时必须做到安全传输,防止信息被窃取。交易双方一旦 发生纠纷,必须能够提供仲裁。
❖ 因此,在电子商务中,必须从技术上保证在交易过程中能够实 现:身份认证、安全传输、不可否认性、数据一致性。这就是 数字证书认证技术。
❖过滤子网防火墙:在一个分割的系统上放置防火墙的每一个
组件,每一个组件仅需实现一个特定任务,该结构中两个路 由器用来创建一个内部的、过滤子网,这个子网(有时称为 非军事区DMZ)包含应用网关、信息服务器、Modem池等。
《计算机导论》
第8章 信息安全与社会责任
8.1 信息安全概述 8.2 信息安全技术 8.3 计算机病毒及其防治 8.4 社会责任与职业道德规范
8.1 信息安全概述
8.1.1 信息安全的重要性 ❖ 随着全球信息化过程的不断推进,越来越多的信息
将依靠计算机来处理、存储和转发,信息资源的保 护又成为一个新的问题。 ❖ 信息安全不仅涉及传输过程,还包括网上复杂的人 群可能产生的各种信息安全问题。 ❖ 用于保护传输的信息和防御各种攻击的措施称为网 络安全。 ❖ 要实现“安全”,也不是某个技术能够解决的,它 实际上是一个过程。
❖ 设计策略: ▪ 服务访问策略:特定于一个出口,定义受保护网络中
哪些服务是允许的,哪些服务是明确禁止的,服务是 怎样被使用的等。 ▪ 实施策略:描述防火墙实施中是怎样体现服务访问策 略,即怎样去限制访问和过滤服务。 ❖ 应用网关:运行代理服务的主机称为应用网关,这些 程序根据预先制定的安全规则将用户对外部网的服务 请求向外提交、转发外部网对内部网用户的访问。代 理服务替代了用户和外部网的联接。
❖ 非对称密码体制与对称密码体制相比,主要有下面3个方
面的优点
▪ 密码分发简单 ▪ 秘密保存的密钥减少 ▪ 非对称密码体制可以容易地实现对称密码体制难以实
现的签名验证机制。
15
8.2.1 数据加密技术
3.密钥管理与分配
密码系统的安全强度在很大程度上取决于密钥分配 技术,密钥分配可通过四种方法获得:
21
8.2.3 数字证书技术
❖ 数字认证是以数字证书为核心的加密技术,可以对网络上传输 的信息进行加密和解密、数字签名和签名验证,确保网上传递 信息的安全性、完整性。
❖ 数字证书是一段包含用户身份信息、用户公钥信息以及身份验 证机构数字签名的数据。
❖ 用户的数字签名可以保证数字信息的不可否认性,用户公钥信 息可以保证数字信息传输的完整性,身份验证机构的数字签名 可以确保证书信息的真实性。
❖ 数字证书是各类终端实体和最终用户在网上进行信息交流及商 务活动的身份证明。
❖ 数字证书也必须具有唯一性和可靠性。
22
8.2.3 数字证书技术
❖ 数字证书是一个经证书认证中心(CA)数字签名的包含公开密 钥拥有者信息以及公开密钥的文件。CA作为权威的、可信赖的、 公正的第三方机构,专门负责为各种认证需求提供数字证书服 务。认证中心颁发的数字证书均遵循X.509 V3标准。
26
2.防火墙的类型
❖包过滤防火墙:在Internet连接处安装包过滤路由器,在路由
器中配置包过滤规则来阻塞或过滤报文的协议和地址。
❖双宿主网关防火墙:由一个带有两个网络接口的主机系统组
成。一个网络接口用于连接内部网,另一个用于连接外部网。
❖过滤主机防火墙:由一个包过滤路由器和一个位于路由器旁
边保护子网的应用网关组成。
致,确保该通信参与者不是冒名顶替。 ➢ 不可抵赖性(不可否认性):防止通信参与者事后否
认参与通信。
4
8.1.3 信息安全的需求与威胁手段
2. 威胁手段
➢ 被动攻击:通过偷听和监视来获得存储和传输的信息。 ➢ 主动攻击:修改信息、创建假信息。
重现:捕获网上的一个数据单元,然后重新传输来产生 一个非授权的效果
❖ 数字证书颁发过程:用户首先产生自己的密钥对,并将公共密 钥及部分个人身份信息传送给认证中心;认证中心在核实身份 后,将执行一些必要的步骤,以确信请求确实由用户发送而来; 然后,认证中心将发给用户一个数字证书,该证书内包含用户 的个人信息和他的公钥信息,同时还附有认证中心的签名信息。
❖ 当双方关于签名的真伪发生争执时,由CA来仲裁。
DSKA(X)
X
D
E
D
E
SKA
用秘密密钥 签名
PKB
用公开密钥 加密
SKB
用秘密密钥 解密
PKA
用公开密钥 核实签名
SKA和SKB分别为A和B的秘密密钥 PKA和PKB分别为A和B的公开密钥
8.2.2 数字签名技术
数据加密和数字签名的区别
作用不同:对在网络中传输的数据信息进 行加密是为了保证数据信息传输的安全。 而数字签名是为了证实某一信息确实由某 一人发出,并且没有被网络中的其他人修 改过,它对网络中是否有人看到该信息则 不加关心。
数据加密使用接收者的公钥对数据进行运 算,而数字签名则使用发送者自己的私钥 对数据进行运算。
8.2.3 数字证书技术
❖ 随着Internet的日益普及,以网上银行、网上购物为代表的电子 商务已越来越受到人们的重视,深入到普通百姓的生活中。
❖ 在常规业务中,交易双方现场交易,可以确认购买双方的身份, 即对客户而言,商家是我要购物的地方;对商家而言,购买者 在现场无须担心假冒。同时,由于有商场开具的发票和客户现 场支付商品费用,无须担心发生纠纷时无凭证可依。
对付主动攻击,则需将加密技术与适当的鉴别 技术相结合。
8.1.4 计算机信息安全的因素
❖计算机罪犯的类型:
▪ 工作人员 ▪ 外部使用者 ▪ 黑客(hacker)和解密者 ▪ 有组织的罪犯
❖其他的威胁因素
➢自然危害 ➢内战和恐怖活动 ➢技术失误 ➢人为错误
7
8.1.4 计算机信息安全的因素
❖ 信息安全犯罪的形式