荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: georgehill (人生不定式), 信区: Linux
标 题: Intranet安全模型的分析、设计与实施(4)(转寄)
发信站: BBS 荔园晨风站 (Sat Sep 9 15:54:51 2000), 站内信件
【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: hooji (iamfury), 信区: Security
标 题: Intranet安全模型的分析、设计与实施(4)(转寄)
发信站: BBS 水木清华站 (Sat Sep 9 10:20:43 2000)
6. 加密与认证模型
加密与认证技术的目的是保证信息的机密性、完整性、非否定性和真实性。它们广泛应
用在电子商务和VPN。
(1) 加密技术
保证信息的机密性。主要有对称加密(私钥加密)、非对称加密(公钥加密)和单向加
密。密钥长度决定了破解的难度。
对称加密:加密密钥和解密密钥是相同的。主要用于数据加密。特点是速度快,问题是
通信双方很难安全的交换密钥。代表的是DES算法和IDEA算法。
非对称加密:加密密钥和解密密钥是不同的。加密密钥公开,解密密钥不公开。发送方
用接受方的公开的加密密钥(公钥)对信息加密,接受方用自己的解密密钥(私钥)解
密。主要用于数字证书和签名。特点是通信双方无需交换密钥但速度慢。代表的有RSA算
法。
单向加密:对报文进行HASH(散列),生成唯一的固定长度的摘要。摘要随原报文一同
发送,接受方按同样的方法对报文HASH,检查两个摘要的一致性,判断原报文的完整性
。主要结合公钥系统使用。
(2) 密码技术的应用
? 数字签名
数字签名来提供发送方的不可否认服务。
报文按双方约定的单向加密的HASH算法得到报文摘要以保证报文的完整性。用发送者
的私钥加密摘要,连同原报文一起发送给接收者,所产生的报文即数字签名。接收方收
到数字签名后,用同样的HASH算法得到原报文的摘要。与用发送者的公钥解开的摘要比
较,如相等则说明报文确实来自发送者。
数字签名与签名者的私钥有关,而且与报文的内容有关。签名不能复制,报文的内容不
能篡改。
? 公钥基础设施(PKI)技术
要使数字签名确实能提供不可否认服务,必须验证签名者公钥的真实性。这就要使用PK
I技术。
采用可信第三方认证。认证机构(CA)核实了用户真实身份(可以通过任何传统
的方式进行),CA会颁发一份含有用户的名字和公钥的报文给用户,该报文称为“数字
证书”。以后用户发出的任何报文中都带有这份数字证书,以便接收方核实其身份和公
钥的真实性。使用的证书主要是基于X.509标准的身份证书,如SSL协议、SET协议和SMI
ME协议等。
公钥基础设施(PKI)是发布、管理和为用户验证数字证书提供支持的系统。PKI的核心
是CA和相应的证书管理功能。PKI的主要功能可归纳为如下两个方面:第一,证实。将用
户的公钥与用户的特征捆绑。第二,确认:验证证书是否有效。
? 混合密码系统
它综合对称加密和公钥加密的优点,利用电子信封来传递对称密钥。发送者自动生成本
次会话的对称密钥,用对称密钥加密报文,用接收方的公钥加密对称密钥。将两者一起
传送出去。收信者用其私钥解密被加密的密钥来得到对称密钥,然后用它来解密密文。
每次传送都可由发送方选定不同密钥进行。
? VPN
Internet是开放的、公用的,在安全上是不设防的,而在Internet上建立的IP级VPN是专
用的(如Intranet),或按规定的访问权限只开放给特定的对象使用(如Extranet),
对访问者要进行鉴别和过滤,在安全上可提供用户身份鉴定、保证数据完整性,以及具
有公证、加密、授权等安全机制的。
--
--
※ 来源:·BBS 水木清华站 smth.org·[FROM: 202.112.73.60]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.95]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店