定 價:49 元
叢書名:“信息與計算科學(xué)”專業(yè)綜合改革試點項目叢書
- 作者:朱節(jié)中,姚永雷編著
- 出版時間:2017/2/14
- ISBN:9787030515131
- 出 版 社:科學(xué)出版社
- 中圖法分類:TP309
- 頁碼:320
- 紙張:膠版紙
- 版次:1
- 開本:16K
《信息安全概論》介紹了主要的信息安全技術(shù),包括密碼技術(shù)、身份認證、授權(quán)與訪問控制技術(shù)、信息隱藏技術(shù)、操作系統(tǒng)和數(shù)據(jù)庫安全、網(wǎng)絡(luò)與系統(tǒng)攻擊技術(shù)、網(wǎng)絡(luò)與系統(tǒng)安全防護及應(yīng)急響應(yīng)技術(shù)、安全審計與責任認定技術(shù),Internet 安全、無線網(wǎng)絡(luò)安全、惡意代碼、內(nèi)容安全技術(shù),所介紹的內(nèi)容涉及這些信息安全技術(shù)的基本概念、發(fā)展歷史與趨勢、面對的威脅與安全需求、采取的基本安全模型與策略、典型的安全體系結(jié)構(gòu)和安全機制以及基本實現(xiàn)方法和對策等方面。此外,《信息安全概論》還同時推出配套的PPT 等文件信息下載(請訪問網(wǎng)址,選擇“網(wǎng)上書店”,檢索圖書書名,在圖書詳情頁面“資源下載”欄目中獲取),以供讀者參考。
更多科學(xué)出版社服務(wù),請掃碼獲取。
目錄
前言
第1章緒論1
1.1信息安全的概念1
1.2信息安全發(fā)展歷程2
1.3信息安全技術(shù)體系3
1.4信息安全模型7
1.5信息安全保障技術(shù)框架8
1.5.1IATF概述8
1.5.2IATF與信息安全的關(guān)系9
1.5.3IATF對檔案信息安全的啟示10
思考題12
第2章密碼技術(shù)13
2.1基本概念13
2.2對稱密碼15
2.2.1古典密碼15
2.2.2分組密碼18
2.2.3序列密碼25
2.3公鑰密碼26
2.3.1公鑰密碼體制原理26
2.3.2RSA算法27
2.4散列函數(shù)和消息認證碼29
2.4.1散列函數(shù)29
2.4.2消息鑒別碼32
2.5數(shù)字簽名36
2.5.1數(shù)字簽名簡介36
2.5.2基于公鑰密碼的數(shù)字簽名原理37
2.5.3數(shù)字簽名算法38
2.6密鑰管理40
2.6.1公鑰分配41
2.6.2對稱密碼體制的密鑰分配44
2.6.3公鑰密碼用于對稱密碼體制的密鑰分配45
2.6.4Diffe-Hellman密鑰交換47
思考題50
第3章身份認證51
3.1用戶認證51
3.1.1基于口令的認證51
3.1.2基于智能卡的認證53
3.1.3基于生物特征的認證54
3.2認證協(xié)議55
3.2.1單向認證55
3.2.2雙向認證56
3.3Kebores58
3.3.1Kerberos版本4.59
3.3.2Kerberos版本5.63
3.4PKI技術(shù)67
3.4.1PKI體系結(jié)構(gòu)67
3.4.2X.509數(shù)字證書68
3.4.3認證機構(gòu)69
3.4.4PKIX相關(guān)協(xié)議70
3.4.5PKI信任模型71
思考題74
第4章授權(quán)與訪問控制技術(shù)75
4.1授權(quán)和訪問控制策略的概念75
4.2自主訪問控制.76
4.2.1基本概念76
4.2.2授權(quán)管理78
4.2.3不足之處79
4.2.4完善自主訪問控制機制80
4.3強制訪問控制.80
4.3.1基本概念81
4.3.2授權(quán)管理82
4.3.3不足之處82
4.4基于角色的訪問控制82
4.4.1基本概念83
4.4.2授權(quán)管理87
4.4.3RBAC的優(yōu)勢88
4.5基于屬性的訪問控制89
4.5.1ABAC模型89
4.5.2ABE基本概念91
4.6PMI技術(shù)92
4.6.1PMI基礎(chǔ)92
4.6.2PKI和PMI的關(guān)系93
4.6.3PMI授權(quán)管理模式、體系及模型94
4.6.4PMI基礎(chǔ)設(shè)施的結(jié)構(gòu)和應(yīng)用模型96
4.6.5屬性權(quán)威與屬性證書97
思考題100
第5章信息隱藏技術(shù)101
5.1信息隱藏的概念101
5.2隱藏信息的基本方法103
5.2.1空域算法103
5.2.2變換域算法103
5.2.3壓縮域算法104
5.2.4NEC算法104
5.2.5生理模型算法104
5.3數(shù)字水印104
5.3.1數(shù)字水印的技術(shù)模型104
5.3.2數(shù)字水印的分類與應(yīng)用105
5.3.3空域水印106
5.3.4DCT域水印107
5.4數(shù)字隱寫108
5.4.1隱寫的技術(shù)模型108
5.4.2典型數(shù)字圖像隱寫算法108
5.5數(shù)字指紋111
5.5.1基本概念和模型111
5.5.2數(shù)字指紋編碼112
5.5.3數(shù)字指紋協(xié)議113
思考題113
第6章主機系統(tǒng)安全技術(shù)114
6.1操作系統(tǒng)安全技術(shù)114
6.1.1基本概念114
6.1.2可信計算機評價標準(TCSEC)114
6.1.3操作系統(tǒng)安全的基本原理117
6.1.4操作系統(tǒng)安全機制121
6.1.5Linux的安全機制124
6.2數(shù)據(jù)庫安全技術(shù)127
6.2.1傳統(tǒng)數(shù)據(jù)庫安全技術(shù)127
6.2.2外包數(shù)據(jù)庫安全129
6.2.3云數(shù)據(jù)庫/云存儲安全135
6.3可信計算技術(shù)136
6.3.1概念和基本思想136
6.3.2TCG可信計算系統(tǒng)137
思考題138
第7章網(wǎng)絡(luò)與系統(tǒng)攻擊技術(shù)139
7.1網(wǎng)絡(luò)攻擊概述139
7.1.1網(wǎng)絡(luò)攻擊的概念139
7.1.2網(wǎng)絡(luò)攻擊的一般流程139
7.2網(wǎng)絡(luò)探測140
7.2.1網(wǎng)絡(luò)踩點140
7.2.2網(wǎng)絡(luò)掃描140
7.2.3常見的掃描工具142
7.3緩沖區(qū)溢出攻擊144
7.3.1緩沖區(qū)溢出的基本原理144
7.3.2緩沖區(qū)溢出的防范145
7.4拒絕服務(wù)攻擊145
7.4.1常見的拒絕服務(wù)攻擊145
7.4.2分布式拒絕服務(wù)攻擊147
7.4.3拒絕服務(wù)攻擊的防范148
7.5僵尸網(wǎng)絡(luò)149
思考題151
第8章網(wǎng)絡(luò)與系統(tǒng)安全防護152
8.1防火墻技術(shù)152
8.1.1防火墻的概念152
8.1.2防火墻的特性152
8.1.3防火墻的技術(shù)154
8.1.4自適應(yīng)代理技術(shù)161
8.1.5防火墻的體系結(jié)構(gòu)161
8.1.6防火墻的應(yīng)用與發(fā)展164
8.2入侵檢測技術(shù)166
8.2.1入侵檢測概述166
8.2.2入侵檢測系統(tǒng)分類168
8.2.3分布式入侵檢測174
8.2.4入侵檢測技術(shù)發(fā)展趨勢175
8.3“蜜罐”技術(shù)176
8.3.1蜜罐的概念176
8.3.2蜜罐技術(shù)的分類177
8.3.3蜜罐技術(shù)關(guān)鍵機制178
8.3.4蜜罐部署結(jié)構(gòu)180
8.4應(yīng)急響應(yīng)技術(shù)181
8.4.1應(yīng)急響應(yīng)的概念181
8.4.2應(yīng)急響應(yīng)策略184
8.4.3應(yīng)急事件處理流程184
8.4.4應(yīng)急響應(yīng)技術(shù)及工具186
思考題186
第9章安全審計與責任認定技術(shù)187
9.1安全審計187
9.1.1安全審計概念187
9.1.2審計系統(tǒng)的結(jié)構(gòu)188
9.1.3審計的數(shù)據(jù)來源190
9.2數(shù)字取證193
9.2.1數(shù)字取證概述193
9.2.2電子證據(jù)的特點和取證基本原則194
9.2.3數(shù)字取證的過程195
9.3數(shù)字取證關(guān)鍵技術(shù)和工具198
9.3.1證據(jù)信息類別198
9.3.2來自文件的數(shù)據(jù)198
9.3.3來自操作系統(tǒng)的數(shù)據(jù)201
9.3.4來自網(wǎng)絡(luò)的數(shù)據(jù)202
9.3.5來自應(yīng)用軟件的數(shù)據(jù)204
思考題205
第10章Internet安全206
10.1OSI安全體系結(jié)構(gòu)206
10.1.1安全攻擊206
10.1.2安全服務(wù)209
10.1.3安全機制211
10.2IPSec協(xié)議213
10.3SSL/TLS協(xié)議223
10.4安全電子交易232
10.4.1SET的需求232
10.4.2SET系統(tǒng)構(gòu)成233
10.4.3雙向簽名235
10.4.4支付處理236
10.5安全電子郵件240
思考題249
第11章無線網(wǎng)絡(luò)安全250
11.1IEEE802.11無線網(wǎng)絡(luò)安全250
11.1.1IEEE802.11無線網(wǎng)絡(luò)背景250
11.1.2WEP251
11.1.3802.11i255
11.2移動通信系統(tǒng)的安全266
11.2.1GSM的安全266
11.2.2GPRS的安全.271
11.2.3第三代移動通信系統(tǒng)(3G)的安全275
思考題277
第12章惡意代碼檢測與防范技術(shù)278
12.1惡意代碼概述278
12.1.1惡意代碼研究背景278
12.1.2惡意代碼種類279
12.1.3惡意代碼攻擊流程280
12.1.4惡意代碼攻擊技術(shù)280
12.1.5惡意代碼生存技術(shù)281
12.2常見惡意代碼282
12.2.1計算機病毒282
12.2.2木馬285
12.2.3蠕蟲288
12.3惡意代碼檢測與分析技術(shù)289
12.3.1惡意代碼靜態(tài)分析方法290
12.3.2惡意代碼動態(tài)分析方法291
12.3.3惡意代碼分類方法292
思考題294
第13章內(nèi)容安全技術(shù)295
13.1內(nèi)容安全的概念295
13.2文本過濾297
13.2.1不良文本過濾主要方法297
13.2.2中文分詞300
13.3話題發(fā)現(xiàn)和跟蹤301
13.4內(nèi)容安全分級監(jiān)管303
13.5多媒體內(nèi)容安全技術(shù)簡介304
思考題305
參考文獻306
第1章 緒論
21 世紀是信息的時代,信息已成為一種重要的戰(zhàn)略資源。由計算機技術(shù)與通信技術(shù)相結(jié)合而誕生的計算機互聯(lián)網(wǎng)絡(luò)迅速發(fā)展和廣泛應(yīng)用,以此為平臺的信息傳遞打破了傳統(tǒng)的時間和空間的局限性,極大地改變了人們的工作方式和生活方式。信息日益成為一種戰(zhàn)略資源,信息的應(yīng)用涵蓋國防、政治、經(jīng)濟、科技、文化等各個領(lǐng)域,在社會生產(chǎn)和生活中的作用越來越顯著,信息產(chǎn)業(yè)成為新的經(jīng)濟增長點。
另一方面,隨著信息化技術(shù)的發(fā)展,越來越多的業(yè)務(wù)依賴于信息系統(tǒng)處理,安全問題日益凸顯。信息安全問題已經(jīng)威脅到國家的政治、經(jīng)濟和國防等多個關(guān)鍵領(lǐng)域,必須采取措施確保我國的信息安全。信息安全事關(guān)國家安全、社會穩(wěn)定,已成為當今信息化建設(shè)的核心問題之一。
1.1 信息安全的概念
信息安全指信息系統(tǒng)的軟件、硬件以及系統(tǒng)中存儲和傳輸?shù)臄?shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,信息系統(tǒng)連續(xù)、可靠、正常地運行,信息服務(wù)不中斷。
信息安全問題在人類發(fā)展歷史過程中始終存在,其內(nèi)涵也在不斷發(fā)展豐富。目前,在信息安全領(lǐng)域得到廣泛認可的信息安全屬性包括以下幾種。
(1)機密性(secrecy):能夠確保敏感數(shù)據(jù)或機密數(shù)據(jù)在存儲和傳輸過程中不被非授權(quán)的實體瀏覽,甚至可以保證不暴露保密通信的事實。
(2)完整性(integrality):能夠保障被傳輸、接收、存儲的數(shù)據(jù)是完整和未被非法修改的,在被非法修改的情況下能夠發(fā)現(xiàn)被非法修改的事實和位置。
(3)真實性(authenticity):可以保證參與通信或操作的實體(用戶、進程、系統(tǒng)等)身份的真實以及信息來源的真實。
(4)不可否認性(non-repudiation):能夠保證信息系統(tǒng)的操作者和信息的處理者不能夠否認其操作行為和處理結(jié)果,防止參與操作或通信的某一方事后否認該操作和通信行為的發(fā)生。
(5)可靠性(dependability):信息系統(tǒng)運行的過程和結(jié)果是可以被信賴的。
(6)可用性(usability):當突發(fā)事件(故障、攻擊等)發(fā)生時,用戶依然能夠得到或使用信息系統(tǒng)的數(shù)據(jù),信息系統(tǒng)的服務(wù)亦能維持運行。
(7)可控性(controllability):能夠掌握和控制信息及信息系統(tǒng)的情況,對信息和信息系統(tǒng)的使用進行可靠的授權(quán)、審計、責任認定、傳播源與傳播路徑的跟蹤和監(jiān)管等。
當前,在信息技術(shù)迅猛發(fā)展和廣泛應(yīng)用的大背景下,信息安全可被理解為信息系統(tǒng)抵御信息安全威脅,保證信息系統(tǒng)處理維護的數(shù)據(jù)以及提供的服務(wù)的機密性、完整性、真實性、不可否認性、可靠性、可用性、可控性等安全屬性的能力。
所謂信息安全威脅,就是對信息資源或信息系統(tǒng)的安全使用可能造成的危害,主要包括意外事件和惡意攻擊兩大類。具體地,信息安全威脅大致上包括以下方面。
(1) 信息泄露:保護的信息被泄露或透露給某個非授權(quán)的實體。典型攻擊手段是竊聽和通信業(yè)務(wù)流分析。竊聽是指用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息,例如對通信線路中傳輸?shù)男盘柎罹監(jiān)聽;通信業(yè)務(wù)流分析則通過對系統(tǒng)進行長期監(jiān)聽,利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究,從中發(fā)現(xiàn)有價值的信息和規(guī)律。
(2) 非授權(quán)的篡改:信息的內(nèi)容被非授權(quán)地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務(wù):信息使用者對信息或其他資源的合法訪問被無條件地阻止。
(4)非法使用(非授權(quán)訪問):某一資源被某個非授權(quán)的人或系統(tǒng)使用,或以非授權(quán)的方式使用(越權(quán)使用)。
(5)假冒:一個非法用戶或信息系統(tǒng)通過冒充成為另一個合法用戶或合法系統(tǒng),或者特權(quán)小的用戶/系統(tǒng)冒充成為特權(quán)大的用戶/系統(tǒng)。
(6) 抵賴:一種來自用戶的攻擊,涵蓋范圍比較廣泛,比如,否認自己曾經(jīng)發(fā)布過的某條消息,否認曾經(jīng)處理過某些信息等。
(7) 網(wǎng)絡(luò)與系統(tǒng)攻擊:利用網(wǎng)絡(luò)系統(tǒng)和協(xié)議的缺陷和漏洞,進行惡意的侵入和破壞。
(8) 惡意代碼:開發(fā)、傳播意在破壞計算機系統(tǒng)、竊取機密或遠程控制的程序,主要包括計算機病毒、蠕蟲、木馬、僵尸網(wǎng)絡(luò)等。
(9) 自然災(zāi)害:如火災(zāi)、水災(zāi)等意外事件,損毀、破壞信息系統(tǒng)的硬件設(shè)備,從而使得信息和信息系統(tǒng)不可用。
(10) 人為失誤和故意破壞:惡意的人故意破壞,或者授權(quán)用戶的操作失誤,使得信息或信息系統(tǒng)遭到損壞。
以上安全威脅分別破壞不同的信息安全屬性。比如,信息泄露危及機密性,非授權(quán)篡改破壞完整性,假冒威脅真實性,自然災(zāi)害和操作失誤破壞可用性等。當然,信息安全的威脅來自方方面面,很難一一羅列,以上只是列出了現(xiàn)實中的主要威脅種類。
1.2 信息安全發(fā)展歷程
信息是從人類社會誕生就隨之出現(xiàn)的,信息安全技術(shù)自人類社會誕生就受到了關(guān)注,其發(fā)展歷史由來已久。事實上,很久以前人們便想嘗試通過秘密的文字來傳遞信息,最早的安全事件可以追溯到凱撒時期(約為公元前1世紀),凱撒大帝為了軍隊保密通信的需要而設(shè)計了自己的加密方法。但是,在悠長的人類歷史上,信息安全的發(fā)展較為緩慢,直到計算機和網(wǎng)絡(luò)的出現(xiàn)。
計算機的出現(xiàn),尤其是網(wǎng)絡(luò)出現(xiàn)以后,各種信息電子化,信息能夠更加方便地獲取、攜帶與傳輸。相對于傳統(tǒng)的信息安全保障,電子信息需要更加有力的技術(shù)保障,而不單單是對接觸信息的人和信息本身進行管理。區(qū)別于傳統(tǒng)意義上的信息介質(zhì)安全,現(xiàn)代信息安全是專指電子信息的安全。
大體上,信息安全發(fā)展經(jīng)歷了4個時期。
第一個時期是通信安全時期,其主要標志是1949年香農(nóng)發(fā)表的《保密通信的信息理論》。在這個時期通信技術(shù)還不發(fā)達,電腦只是零散地位于不同的地點,信息系統(tǒng)的安全僅限于保證電腦的物理安全以及通過密碼(主要是序列密碼)解決通信安全的保密問題。把電腦安置在相對安全的地點,不容許非授權(quán)用戶接近,就基本可以保證數(shù)據(jù)的安全性了。這個時期的安全性是指信息的保密性,對安全理論和技術(shù)的研究也僅限于密碼學(xué)。這一階段的信息安全可以簡稱為通信安全,關(guān)注如何保證數(shù)據(jù)在從一地傳送到另一地時的安全性。
第二個時期為計算機安全時期,以20世紀70~80年代推出的《可信計算機評估準則》(Trusted Computer System Evaluation Criteria,俗稱橘皮書,1985年再版)為標志。在20世紀60年代后,半導(dǎo)體和集成電路技術(shù)的飛速發(fā)展推動了計算機軟硬件的發(fā)展,計算機和網(wǎng)絡(luò)技術(shù)的應(yīng)用進入了實用化和規(guī)模化階段,數(shù)據(jù)的傳輸已經(jīng)可以通過電腦網(wǎng)絡(luò)來完成。這時候的信息已經(jīng)分成靜態(tài)信息和動態(tài)信息。人們對安全的關(guān)注已經(jīng)逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段,主要保證動態(tài)信息在傳輸過程中不被竊取,即使竊取了也不能讀出正確的信息;還要保證數(shù)據(jù)在傳輸過程中不被篡改,讓讀取信息的人能夠看到正確無誤的信息。
1977年美國國家標準局(NBS)公布的國家數(shù)據(jù)加密標準(DES)和1983年美國國防部公布的可信計算機系統(tǒng)評估準則標志著解決計算機信息系統(tǒng)保密性問題的研究和應(yīng)用邁上了歷史的新臺階。
第三個時期是在20世紀90年代興起的網(wǎng)絡(luò)安全時代。從20世紀90年代開始,由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,信息無論是企業(yè)內(nèi)部還是外部都得到了極大的開放,而由此產(chǎn)生的信息安全問題跨越了時間和空間,信息安全的焦點已經(jīng)從傳統(tǒng)的保密性、完整性和可用性三個原則衍生為可控性、抗抵賴性、真實性等其他的原則和目標。
第四個時期是進入21世紀的信息安全保障時代,其主要標志是《信息保障技術(shù)框架》(IATF)。如果說對信息的保護,主要還是處于從傳統(tǒng)安全理念到信息化安全理念的轉(zhuǎn)變過程中,那么面向業(yè)務(wù)的安全保障,就完全是從信息化的角度來考慮信息的安全了。體系性的安全保障理念,不僅是關(guān)注系統(tǒng)的漏洞,而且是從業(yè)務(wù)的生命周期著手,對業(yè)務(wù)流程進行分析,找出流程中的關(guān)鍵控制點,從安全事件出現(xiàn)的前、中、后三個階段進行安全保障。面向業(yè)務(wù)的安全保障不是只建立防護屏障,而是建立一個“深度防御體系”,通過更多的技術(shù)手段把安全管理與技術(shù)防護聯(lián)系起來,不再是被動地保護自己,而是主動地防御攻擊。也就是說,面向業(yè)務(wù)的安全防護已經(jīng)從被動走向主動,安全保障理念從風險承受模式走向安全保障模式。信息安全階段也轉(zhuǎn)化為從整體角度考慮其體系建設(shè)的信息安全保障時代。
1.3 信息安全技術(shù)體系
從當前人們對信息安全技術(shù)的認知程度來看,可將現(xiàn)有的主要信息安全技術(shù)歸納為以下5類(圖1-1):核心基礎(chǔ)安全技術(shù)(包括密碼技術(shù)、信息隱藏技術(shù)等),安全基礎(chǔ)設(shè)施技術(shù)(包括標識與認證技術(shù)、授權(quán)與訪問控制技術(shù)等),基礎(chǔ)設(shè)施安全技術(shù)(包括主機系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)系統(tǒng)安全技術(shù)等),應(yīng)用安全技術(shù)(包括網(wǎng)絡(luò)與系統(tǒng)攻擊技術(shù)、網(wǎng)絡(luò)與系統(tǒng)安全防護與應(yīng)急響應(yīng)技術(shù)、安全審計與責任認定技術(shù)、惡意代碼檢測與防范技術(shù)、內(nèi)容安全技術(shù)等) ,支撐安全技術(shù)(包括信息安全保障技術(shù)框架、信息安全測評與管理技術(shù)等)。
圖1-1信息安全技術(shù)體系框圖
本書將在后面的章節(jié)中逐一介紹這些技術(shù),這里先概述一下其基本內(nèi)容。
1) 信息安全保障技術(shù)框架
信息安全保障技術(shù)框架(IATF)定義了對一個系統(tǒng)進行信息安全保障的過程,以及該系統(tǒng)中硬件和軟件部件的安全要求,遵循這些要求可以對信息基礎(chǔ)設(shè)施進行深度防御。其基本內(nèi)容是深度防御策略、信息保障框架域和信息系統(tǒng)安全。深度防御策略的出現(xiàn)使人們清晰地意識到,實施信息安全保障的難度之所以在持續(xù)不斷地增大,既源于技術(shù)革新帶來的挑戰(zhàn),又源于操作和管理方式的調(diào)整需求,同時也時刻接受處于不間斷增強過程中人類智力的挑戰(zhàn),必須全面考慮人、技術(shù)和操作(與管理)這三個要素。相對于信息安全保障的豐富內(nèi)涵而言,深度防御策略只是一個思路,由保護網(wǎng)絡(luò)與基礎(chǔ)設(shè)施、保護區(qū)域邊界和外部連接、保護計算環(huán)境及支持性基礎(chǔ)設(shè)施這四個框架域所共同組成的技術(shù)細節(jié)和滲透其中的眾多操作與管理規(guī)則才是信息安全保障得以有效實施的基石。信息系統(tǒng)安全工程集中體現(xiàn)了信息安全保障的過程化需求,使信息安全保障呈現(xiàn)一個多維的、多角度的操作場景,將其視為信息安全保障可以遵循的基礎(chǔ)方法論。
2) 密碼技術(shù)
密碼技術(shù)主要包括密碼算法和密碼協(xié)議的設(shè)計與分析技術(shù)。密碼算法包括分組密碼、序列密碼、公鑰密碼、雜湊函數(shù)、數(shù)字簽名等,它們在不同的場合分別用于提供機密性、完整性、真實性、可控性和不可否認性,是構(gòu)建安全信息系統(tǒng)的基本要素。密碼協(xié)議是在消息處理環(huán)節(jié)采用了密碼算法的協(xié)議,它們運行在計算機系統(tǒng)、網(wǎng)絡(luò)或分布式系統(tǒng)中,為安全需求方提供安全的交互操作。密碼分析技術(shù)指在獲得一些技術(shù)或資源的條件下破解密碼算法或密碼協(xié)議的技術(shù)。其中,資源條件主要指分析者可能截獲了密文、掌握了明文或能夠控制和欺騙合法的用戶等。密碼分析可被密碼設(shè)計者用于提高密碼算法和協(xié)議的安全性,也可被惡意的攻擊者利用。
3) 標識與認證技術(shù)
在信息系統(tǒng)中出現(xiàn)的主體包括人、進程或系統(tǒng)等實體。從信息安全的角度看,需要對實體進行標識和身份鑒別,這類技術(shù)稱為標識與認證技術(shù)。所謂標識(identity)是指實體的表示,信息系統(tǒng)通過標識可以對應(yīng)到一個實體。標識的例子在計算機系統(tǒng)中比比皆是,如用戶名、用戶組名、進程名、主機名等,沒有標識就難以對系統(tǒng)進行安全管理。認證技術(shù)就是鑒別實體身份的技術(shù),主要包括口令技術(shù)、公鑰認證技術(shù)、在線認證服務(wù)技術(shù)、生物認證技術(shù)與公鑰基礎(chǔ)設(shè)施(public key infrastructure,PKI)技術(shù)等,還包括對數(shù)據(jù)起源的驗證。隨著電子商務(wù)和電子政務(wù)等分布式安全系統(tǒng)的出現(xiàn),公鑰認證及基于它的PKI技術(shù)在經(jīng)濟和社會生活中的作用越來越大。
4) 授權(quán)與訪問控制技術(shù)
為了使得合法用戶正常使用信息系統(tǒng),需要給已通過認證的用戶授予相應(yīng)的操作權(quán)限,這個過程被稱為授權(quán)。在信息系統(tǒng)中,可授予的權(quán)限包括讀/寫文件、運行程序和網(wǎng)絡(luò)訪問等,實施和管理這些權(quán)限的技術(shù)稱為授權(quán)技術(shù)。訪問控制技術(shù)和授權(quán)管理基礎(chǔ)設(shè)施(privilegemanagementinfrastructure,PMI)技術(shù)是兩種常用的
查看全部↓