freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

第4章網(wǎng)絡(luò)信息安全服務(wù)(編輯修改稿)

2025-03-14 09:28 本頁面
 

【文章內(nèi)容簡介】 ,每個通信參與方都需要記住所有其他用戶的公鑰,不僅增加負擔(dān)而且無法更新維護;其次每個通信方產(chǎn)生自己的私鑰和公鑰,而它們的可信賴程度不同,一旦出現(xiàn)問題和糾紛需要權(quán)威中間機構(gòu)進行仲裁。 在實際網(wǎng)絡(luò)環(huán)境中,采用證書( certificate)的方式來分發(fā)公鑰。證書是一種特殊格式的數(shù)據(jù)記錄,它包含有證書代表的通信參與方的名字、身份信息、公鑰以及簽發(fā)機構(gòu)、簽發(fā)日期、序列號、有效期等相關(guān)數(shù)據(jù),由證書權(quán)威機構(gòu)( Certificate Authority,CA)用自己的私鑰進行簽名。證書權(quán)威機構(gòu)扮演可信第三方的角色,它是大家信任的組織、機構(gòu)。所有的公鑰認證系統(tǒng)都采用了證書方式,證書被設(shè)計存放在目錄服務(wù)系統(tǒng)中,通信參與方擁有CA的公鑰,可以從目錄服務(wù)中獲得通信對方的證書,通過驗證 CA簽名可以相信證書中列出的對方公鑰。 KDC方式和 CA方式是分發(fā)密鑰的主要技術(shù),它們各有自己明顯的優(yōu)勢和缺陷。公鑰方式的身份認證協(xié)議安全強度要高,但是計算開銷大,因此越來越多的安全系統(tǒng)傾向于利用公鑰進行認證和建立對稱的會話密鑰,利用傳統(tǒng)密鑰進行大量數(shù)據(jù)傳輸?shù)姆椒?,例?SSL協(xié)議、 PGP等。 可審性的另一個重要功能是審計。審計提供歷史事件的記錄。審計記錄將每個人及其在計算機系統(tǒng)中或在物理世界中的行動聯(lián)系起來。如果沒有正確的身份標識與身份鑒別,審計記錄也是沒有用的,因為無法保證這些記錄事件確實是誰執(zhí)行的。 在物理世界,審計的方法有入門的日志、簽名本、錄像儀等。這些物理記錄的目的是提供執(zhí)行各種行動的記錄。應(yīng)該特別指出的是,必須采用完整性服務(wù)以保證這些審計記錄沒有被修改過。否則,這些審計記錄是值得懷疑的。 審計功能 在電子世界,計算機系統(tǒng)提供日志,以記錄用戶 ID的行動。假如身份標識與身份鑒別功能的作用合適,這些事件就能跟蹤用戶的行為。同樣,必須保護好計算機系統(tǒng)上的審計記錄,防止非授權(quán)者對其進行修改,事實上,審計記錄要防止任何人的修改。 由上述分析可知,可審性服務(wù)并不能阻止攻擊。它與其他服務(wù)結(jié)合,尤其是機密性和完整性服務(wù)結(jié)合,對試圖執(zhí)行某些操作者進行正確的身份標識與身份鑒別??蓪徯苑?wù)還提供用戶對系統(tǒng)執(zhí)行的操作記錄,因此事件能重構(gòu)。 在完整性服務(wù)與可審性服務(wù)中都提到數(shù)字簽名。數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。在傳統(tǒng)密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發(fā)信方也可以抵賴他發(fā)過該密文,若產(chǎn)生糾紛,將無法裁決誰是誰非。 數(shù)字簽名 由于公鑰密碼的每個用戶都有兩個密鑰,所以實際上有兩個算法,如用戶 A,一個是加密算法 EA,一個是解密算法 DA。 若 A要向 B送去信息 m, A可用 A的保密的解密算法 DA對 m進行加密得 DA( m) ,再用 B的公開算法 EB對 DA( m)進行加密得 C= EB( DA( m)) B收到密文 C后先用他自己掌握的解密算法 DB對 C進行解密得 DB( C)= DB( EB( DA( m)))= DA( m) 再用 A的公開算法 EA對 DA( m)進行解密得 EA( DA( m))= m 從而得到了明文 m。 由于 C只有 A才能產(chǎn)生, B無法偽造或修改 C,所以 A也不能抵賴,這樣就能達到簽名的目的。不是所有公鑰系統(tǒng)都具有數(shù)字簽名的能力, RSA第一個提出這樣的功能。 Kerberos鑒別是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心( KDC)的身份認證系統(tǒng)。它是美國麻省理工學(xué)院( MIT)為了保護Athena項目中的網(wǎng)絡(luò)服務(wù)和資源而開發(fā)的,Kerberos版本 5的協(xié)議已被 Inter工程部 IEIF正式接受為 RFC 1510。 Kerberos鑒別 Kerberos在學(xué)術(shù)界和工業(yè)界都獲得了廣泛的支持,被眾多系統(tǒng)選作身份認證的基礎(chǔ)平臺。例如,開放軟件基金會 (Open Soft Foundation, OSF)開發(fā)的分布式計算環(huán)境 DCE就是以 Kerberos為身份認證平臺的,而在國外應(yīng)用最廣泛的分布式文件系統(tǒng)( Andrew File System, AFS)也采用了 Kerberos作為身份認證平臺。目前各主要操作系統(tǒng)都支持Kerberos認證系統(tǒng),例如, SUN Microsoft公司在其高端服務(wù)器產(chǎn)品 Windows NT Kerberos系統(tǒng)。 Kerberos實際上已經(jīng)成為工業(yè)界的事實標準。 Kerberos使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心的認證服務(wù),它提供了網(wǎng)絡(luò)通信方之間相互的身份認證手段,而且并不依賴于主機操作系統(tǒng)和地址。 Kerberos設(shè)計的目標是在開放網(wǎng)絡(luò)上運行,不要求網(wǎng)絡(luò)上所有主機的物理安全,同時還假設(shè)通過網(wǎng)絡(luò)傳輸?shù)陌梢员蝗我饨孬@、修改和插入。 Kerberos系統(tǒng)非常適合在一個物理網(wǎng)絡(luò)并不安全的環(huán)境下使用,它的安全性經(jīng)過了實踐的考驗。 Kerberos協(xié)議中有 3個通信參與方:需要驗證身份的通信雙方及一個雙方都信任的第三方,即密鑰分發(fā)中心( KDC)。當(dāng)某個網(wǎng)絡(luò)應(yīng)用進程需要訪問另外一個服務(wù)進程時,需要構(gòu)成了雙向的身份認證。將發(fā)起認證服務(wù)的一方稱為客戶方,將客戶方需要訪問的對象稱為服務(wù)器方。在 Kerberos中客戶方是通過向服務(wù)器方遞交自己的“憑據(jù)”( ticket)來證明自己的身份的,該憑據(jù)是由 KDC專門為客戶方和服務(wù)器方在某一階段內(nèi)通信而生成的。憑據(jù)中包括有客戶和服務(wù)器方的身份信息、在下一階段雙方使用的臨時加密密鑰(稱為會話密鑰,Session Key),還有證明客戶方擁有會話密鑰的身份認證者( authenticator)信息。身份認證者信息的作用是防止攻擊者將來將同樣的憑據(jù)再次使用。 憑據(jù)是 KDC發(fā)出的。 Kerberos在 NeedhamSchroeder原始模型中加入了時間標記( timestamp)以檢測重放攻擊( Replay Attack)。與 KDC共享的密鑰構(gòu)成了客戶方或者服務(wù)器方相信它接收到的憑據(jù)的真實性的基礎(chǔ)。為了提高安全性能,一個 Kerberos憑據(jù)只在一段有限的時間內(nèi)有效,稱為憑據(jù)的生命期。當(dāng)生命期過后憑據(jù)自動失效,以后的通信必須從KDC獲得新的憑據(jù)進行認證。 KDC自治管理的計算機和用戶等通信參與方的全體稱為領(lǐng)域( realm) ,領(lǐng)域是從管理角度提出的概念,與物理網(wǎng)絡(luò)或者地理范圍等無關(guān)。在實際使用中,為了方便, 通常選擇與 Inter域名系統(tǒng)一致的名字來命名領(lǐng)域。不同領(lǐng)域中的用戶之間的身份認證也是可以進行的, Kerberos定義了通過共享密鑰進行領(lǐng)域間用戶認證的方式。 Kerberos保持一個它的客戶方以及密鑰的數(shù)據(jù)庫,這些密鑰是 KDC與客戶方之間共享的,是不能被第三方知道的。如果客戶是用戶,該密鑰就是用戶口令經(jīng)過 Hash生成的,需要使用 Kerberos認證服務(wù)的其他網(wǎng)絡(luò)服務(wù)也需要進行登記并且在登記時協(xié)商共享密鑰,這些密鑰往往是機器隨機生成的。 公鑰基礎(chǔ)設(shè)施( PKI)是在分布式計算系統(tǒng)中提供的使用公鑰密碼系統(tǒng)和 。PKI產(chǎn)品和服務(wù)允許使用者在網(wǎng)絡(luò)上
點擊復(fù)制文檔內(nèi)容
外語相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1