欢迎来到天天文库
浏览记录
ID:39833839
大小:478.10 KB
页数:87页
时间:2019-07-12
《信息安全体系结构安全机制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第4章安全机制安全机制是信息系统安全服务的基础,具有安全的安全机制,才能有可靠的安全服务。一种安全服务的实施可以使用不同的机制,单独使用或组合使用多种机制。4.1加密机制密码技术与加密加密密码算法密钥及密钥管理4.1.1密码技术与加密密码学是许多安全服务与机制的基础。密码函数可以作为加密、解密、数据完整性、鉴别交换、口令存储与校验等的一部分,借以达到保密、完整性和鉴别的目的。用于机密性的加密把敏感数据(即受保护的数据)变换成敏感性较弱的形式。用于完整性或鉴别时,密码技术用来计算不可伪造的函数。4.1.2加密加密是安全机制中最基础、最核心的机制。加密是把可以理解的明文消息,通过密码算法变换成不可
2、理解的密文的过程;解密是加密过程的逆操作。加密信源编码器信道译码器信宿随机干扰mm’受到干扰的通信系统模型信源加密信道解密信宿mm’通信保密系统模型密文密文密钥K1分析者密钥K24.1.3密码算法密码算法是在密钥控制下的一簇数学运算,根据消息的密级的不同,密码算法的强度可以不同,其强度和算法本身由相应的审批机关进行审批。密码算法分类传统密码算法(对称密码算法)加密和解密密钥相同明文:待加密的信息和解密后的信息密文:加密后的信息加密:加密装置或密码算法密钥:密码算法中可变的部分加密秘密传送解密K1明文密钥E1明文E2K2密钥密码算法分类公开密钥密码算法(非对称密码算法)加密密钥是公开的,解密密钥
3、不公开非对称密码体制E1和E2分别代表加密算法和解密算法,不相同加密解密K1明文密钥E1明文E2K2密钥序列密码算法序列密码又称流密码。序列产生器明文数据密文K(密钥)+加、解密器伪随机序列序列密码体制序列密码优缺点对称密钥体制使用方便,加、解密速度较高低的错误扩散,明文和密文是逐比特对应加、解密的,传输过程中的每比特错误只能影响该比特的明文最大的缺陷是密钥分发问题,n(n-1)/2个密钥分组密码体制分组密码体制,是一种数据扩散体制(在一有限的分组内)。采用数量固定的明文加上全部密钥,产生与明文分组长度相同的密文分组。分组加密算法Ybit密钥Xbit明文Xbit密文分组加密算法Ybit密钥Xb
4、it密文Xbit明文分组密码体制分组密码体制优缺点分组密码具有良好的扩散特性对插入和修改具有免疫性分组密码加密速度慢分组密码错误扩散特性公开密钥密码体制1976年由Deffie和Hellman提出的,最初的目的是解决网上众多用户密钥分配时,全网密钥数量过大的问题。贡献在于:引入了一个与传统密码体制不同的概念,密钥成对出现,一个为加密密钥,另一个为解密密钥,不能从一个推导出另一个。特点:加密和解密密钥不相同且加、解密算法也不相同,加密密钥可以公开的密码体制。公开密钥密码算法的优缺点加密速度低简化密钥管理可以提供比传统密码体制更多的安全服务寻找更有效的算法难度大。4.1.4密钥及密钥管理密钥的产生
5、密钥的分发密钥输入和输出密钥的更换密钥的存储密钥的保存和备份密钥的寿命密钥的销毁4.2访问控制机制访问控制的目的是防止对信息系统资源的非授权访问和非授权使用信息系统资源。为了从整体上维护系统的安全,访问控制应遵循最小特权原则,即用户和代表用户的进程只应拥有完成其职责的最小的访问权限的集合,系统不应给用户超过执行任务所需特权以外的特权。客体、主体客体(Object):在系统中,包含有数据的实体通常称之为客体,是一种信息实体,或者它们是从主体或客体接收信息的实体。如:文件,I/O设备,数据库中的表、记录等。主体(Subject),能访问或使用客体的活动实体称为主体,可使信息在客体之间流动。用户是主
6、体,系统内代表用户进行操作的进程自然被看作是主体。系统内所有的活动都可看作是主体对客体的一系列操作。访问权限主体对客体的访问权一般可以分为以下几种类型:读(r),写(w),添加(a),删除(d),程序执行(e)权。拥有权(Own):客体o是由主体s所创建的,则主体s对o具有拥有权,称s是o的拥有者。控制权(c):若主体s对客体o具有控制权,则意味着s有权授予或撤销其他主体对客体o的访问权。4.2.1访问控制距阵模型实施了访问控制的系统,其状态可以用一个三元组(S,O,A)来表示,其中:S——主体的集合O——客体的集合A——访问矩阵。行对应主体,列队应客体,第i行j列的元素aij是访问权的集合,
7、列出了允许主体si对客体oj可进行的访问权。4.2.1访问控制距阵模型例如,有两个进程、两个存储器段和两个文件的简单系统的访问矩阵。M1M2F1F2P1P2P1A=P2{r,w,e}{r,w,a,d,e}{r,a}{r,w,a,d}S={P1,P2},O={M1,M2,F1,F2,P1,P2}访问控制类型两种类型的访问控制:自主访问控制(DiscretionaryAccessControl,简称D
此文档下载收益归作者所有