信息安全-第一部分-3B.ppt

1、第2章 理解計(jì)算機(jī)網(wǎng)絡(luò)安全,1,第2章 理解計(jì)算機(jī)網(wǎng)絡(luò)安全,2.1 簡(jiǎn)介 2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù) 2.3 保護(hù)的形式 2.4 安全標(biāo)準(zhǔn),2,2.1 簡(jiǎn)介,什么是安全,3,2.1 簡(jiǎn)介,什么是安全,4,2.1 簡(jiǎn)介,什么是安全,5,2.1 簡(jiǎn)介,什么是安全,6,2.1 簡(jiǎn)介,什么是安全,7,舉個(gè)例子： 包里有10塊錢(qián)，下班坐公交打瞌睡，可能小偷偷了而晚上沒(méi)飯吃。 用風(fēng)險(xiǎn)評(píng)估的概念來(lái)描述這個(gè)案例： 資產(chǎn) = 10塊錢(qián) 威脅 = 小偷 弱點(diǎn) = 打瞌睡 暴露 = 晚上沒(méi)飯吃,2.1 簡(jiǎn)介,什么是安全,8,通過(guò)生活的事例來(lái)說(shuō)明安全-就是保護(hù)屬于自己的錢(qián)不被除自己以外的任何人拿走。 首先你的錢(qián)你不希

2、望別人知道，因?yàn)槟鞘悄愕?保密性； 其次你不希望突然有一天發(fā)現(xiàn)自己的錢(qián)少了，原來(lái)有多少錢(qián)現(xiàn)在還是多少錢(qián) 完整性； 你肯定希望自己隨時(shí)都能隨心所欲的用這筆錢(qián) 可用性,安全的含義,安全是一種保護(hù)對(duì)象（人、組織、屬性）不被未授權(quán)訪問(wèn)的連續(xù)過(guò)程，它是一種處于受保護(hù)不受危害的狀態(tài)。 韋氏詞典：安全就是一種不受關(guān)注、不擔(dān)憂或不懼怕的狀態(tài)。 安全狀態(tài)：物理狀態(tài)和理論狀態(tài),9,安全的物理狀態(tài),受到物理設(shè)施的保護(hù)，具有內(nèi)部和外部的安全區(qū)域，可以抵御入侵者的滲透。 主要是通過(guò)四種保護(hù)機(jī)制來(lái)保證： 威懾：防御入侵的第一道防線。警告、威懾。 預(yù)防：阻止入侵的訪問(wèn)過(guò)程。防火墻、秘鑰。 檢測(cè)：入侵發(fā)生時(shí)的報(bào)警。入侵檢測(cè)。

3、 響應(yīng)：對(duì)以上機(jī)制的故障做出反應(yīng),10,防火墻,防病毒,入侵檢測(cè),內(nèi)容檢測(cè),VPN 虛擬專用網(wǎng),漏洞評(píng)估,11,如果將我們內(nèi)部網(wǎng)絡(luò)比作城堡,防火墻就是城堡的護(hù)城橋（河）只允許己方的隊(duì)伍通過(guò)。 防病毒產(chǎn)品就是城堡中的將士想方設(shè)法把發(fā)現(xiàn)的敵人消滅。 入侵監(jiān)測(cè)系統(tǒng)就是城堡中的嘹望哨監(jiān)視有無(wú)敵方或其他誤入城堡的人出現(xiàn)。 VPN就是城褒外到城堡內(nèi)的一個(gè)安全地道有時(shí)城堡周?chē)椴紨耻姸鴥?nèi)外需要聯(lián)絡(luò)。 漏洞評(píng)估就是巡邏檢測(cè)城堡是否堅(jiān)固以及是否存在潛在隱患,12,安全的理論狀態(tài),常稱之為：通過(guò)隱匿來(lái)實(shí)現(xiàn)安全或偽安全 STO（security through obscurity），是一種虛假的安全期望。 建立在哲

4、學(xué)思想的基礎(chǔ)上： 不具備影響安全知識(shí)，即不會(huì)產(chǎn)生危害； 只有可信的人才可以使用系統(tǒng)，并假設(shè)不會(huì)離開(kāi)。 如：可口可樂(lè)的配方。 STO 隱藏了系統(tǒng)的脆弱性和弱點(diǎn)。 1994年提出第三方契約加密標(biāo)準(zhǔn)EES,13,1、計(jì)算機(jī)安全,計(jì)算機(jī)科學(xué)的一個(gè)研究分支，為計(jì)算機(jī)的使用創(chuàng)造安全的環(huán)境。 主要包括： 計(jì)算機(jī)倫理學(xué)的研究； 硬件和軟件協(xié)議的開(kāi)發(fā)； 以及最優(yōu)方法的開(kāi)發(fā),14,2、網(wǎng)絡(luò)安全,一個(gè)更為寬泛的安全研究 對(duì)象是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò),15,3、信息安全,信息安全是一個(gè)更大的研究領(lǐng)域，包括計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)安全。 主要涉及創(chuàng)建一種狀態(tài)，其中的信息和數(shù)據(jù)都是安全的,16,2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù),保護(hù)資源,保

5、護(hù)資源不被內(nèi)部和外部的未授權(quán)的訪問(wèn)，這些資源不管是否存在物理形態(tài)，都被成為對(duì)象。 終端用戶資源（普通員工使用的工作站） 網(wǎng)絡(luò)資源（路由器、交換機(jī)、電話系統(tǒng)） 服務(wù)器資源（DNS 、Web 、FTP、E-mail等） 信息存儲(chǔ)資源（人力資源和電子商務(wù)數(shù)據(jù)庫(kù)等,17,終端用戶資源,操作系統(tǒng) Win7/8/10 威脅 錯(cuò)誤下載 ActiveX文件和Java小程序 錯(cuò)誤下載病毒和特洛伊木馬（Trojans） 錯(cuò)誤操作導(dǎo)致系統(tǒng)崩潰,18,網(wǎng)絡(luò)資源,硬件設(shè)備 路由器 交換機(jī) 機(jī)柜 配線架 威脅 物理安全,19,服務(wù)器資源,常見(jiàn)的服務(wù)器 Web FTP EMAIL DNS 威脅 字典攻擊 系統(tǒng)和服務(wù)自身的漏

6、洞 拒絕服務(wù)攻擊 病毒攻擊,20,信息存儲(chǔ)資源,信息存儲(chǔ)資源更多的是指數(shù)據(jù)庫(kù)系統(tǒng) 威脅 泄露商業(yè)機(jī)密 破壞或偽造交易行為 消費(fèi)者的重要數(shù)據(jù),21,2.3 保護(hù)的形式,防止對(duì)系統(tǒng)資源的未授權(quán)的訪問(wèn),通常感覺(jué)：“網(wǎng)絡(luò)安全就是避免危險(xiǎn)” 科學(xué)的安全定義 防止未授權(quán)的用戶訪問(wèn)信息 防止未授權(quán)而試圖破壞與修改信息 從風(fēng)險(xiǎn)的角度： 在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識(shí)別和消除不安全因素的能力。 安全就是一個(gè)系統(tǒng)地保護(hù)信息和資源相應(yīng)的機(jī)密性和完整性的能力,22,防止對(duì)系統(tǒng)資源的未授權(quán)的訪問(wèn),23,1、訪問(wèn)控制,與用戶預(yù)先提供的鑒別信息（如：口令）一起確定由誰(shuí)來(lái)使用以及使用它的什么服務(wù)。 未授權(quán)訪問(wèn)：包括未經(jīng)授

7、權(quán)的使用、泄露、修改、銷(xiāo)毀信息以及頒發(fā)指令等。 非法用戶對(duì)系統(tǒng)資源的使用 合法用戶對(duì)系統(tǒng)資源的非法使用 作用：機(jī)密性、完整性和可用性,24,1、訪問(wèn)控制,訪問(wèn)控制系統(tǒng)功能包括： 文件權(quán)限，如在文件服務(wù)器上執(zhí)行“新建”、“只讀”、“編輯”或“刪除”。 程序權(quán)限，如在應(yīng)用服務(wù)器上執(zhí)行程序的權(quán)限。 數(shù)據(jù)權(quán)限，如在數(shù)據(jù)庫(kù)中提取或更新信息的權(quán)限。 硬件訪問(wèn)控制系統(tǒng)：訪問(wèn)終端、可視事件監(jiān)控、身份證、生物識(shí)別技術(shù)、視頻監(jiān)控； 軟件訪問(wèn)控制系統(tǒng)：訪問(wèn)控制點(diǎn)、遠(yuǎn)程監(jiān)控點(diǎn),25,身份證感應(yīng)卡,硬件 與外界通信前，先完成智能卡與終端間的認(rèn)證 加入安全傳感器，防止在數(shù)據(jù)被讀出或?qū)懭霑r(shí)被修改 發(fā)生異常，智能卡復(fù)位，或者

8、置標(biāo)志位，使智能卡操作系統(tǒng)做出相應(yīng)反應(yīng) 存儲(chǔ)器加密，不保存任何明文 軟件 使用需要通過(guò)雙因素認(rèn)證，進(jìn)入操作智能卡的安全狀態(tài) 信息采用文件系統(tǒng)進(jìn)行保存，依據(jù)類(lèi)型或密鑰的不同，提供不同的訪問(wèn)操作 支持DES、3DES和RSA等密碼算法,26,生物識(shí)別技術(shù)的特點(diǎn),生物識(shí)別技術(shù)在身份認(rèn)證方面的優(yōu)點(diǎn)包括： 與生俱來(lái)、無(wú)需賦予； 無(wú)需記憶、不會(huì)遺失； 難以仿冒和復(fù)制； 比其它認(rèn)證信息具有更高的安全性； 身份認(rèn)證技術(shù)的缺點(diǎn)有： 需要專業(yè)設(shè)備，成本較高； 識(shí)別精度還有待提高； 接受度受到成本、性能、習(xí)慣、文化等因素制約,27,2、認(rèn)證,認(rèn)證是一種用于鑒別用戶的身份。 認(rèn)證的三種方式 他知道的內(nèi)容（someth

9、ing a person knows） 根據(jù)知識(shí)進(jìn)行認(rèn)證 他持有的證明（something a person has） 根據(jù)所有權(quán)進(jìn)行認(rèn)證 他就是這個(gè)人（something a person is） 根據(jù)特征進(jìn)行認(rèn)證,28,概念性的問(wèn)題：這個(gè)人是不是他所宣稱的那個(gè)人嗎？ The conceptual question is, “Who is this person,2、認(rèn)證,認(rèn)證的主要手段： 用戶名 口令 視網(wǎng)膜圖像 指紋 物理位置 身份卡,29,3、機(jī)密性,機(jī)密性服務(wù)保護(hù)系統(tǒng)數(shù)據(jù)和信息不被未授權(quán)的泄露。 當(dāng)數(shù)據(jù)離開(kāi)一個(gè)系統(tǒng)時(shí)，它就冒險(xiǎn)進(jìn)入了不可信的環(huán)境中，數(shù)據(jù)的接收者不可能完全相信沒(méi)有第三方

10、竊聽(tīng)了數(shù)據(jù)。 這種服務(wù)使用加密算法，以便保證在數(shù)據(jù)仍處于自然狀態(tài)的同時(shí)，不會(huì)發(fā)生意外,30,嗅探器,加密保護(hù)通信信息不被嗅探器竊聽(tīng)。 嗅探器是為了竊聽(tīng)網(wǎng)絡(luò)流量而編寫(xiě)的程序，并安裝在通信信道上，可在所選擇的網(wǎng)段上檢車(chē)所有流量,31,偉大的密碼勝于利劍,明朝抗倭將領(lǐng)、軍事家戚繼光：“反切碼,32,“柳邊求氣低，波他爭(zhēng)日時(shí)。鶯蒙語(yǔ)出喜，打掌與君知,“春花香，秋山開(kāi)，嘉賓歡歌須金杯，孤燈光輝燒銀缸。之東郊，過(guò)西橋，雞聲催初天，奇梅歪遮溝。,再將當(dāng)時(shí)字音的八種聲調(diào)，也按順序編上號(hào)碼1到8,密文：5-25-2,di,敵,對(duì)照聲調(diào)是2,取前15個(gè)字的聲母，依次分別編號(hào)1到15,取36字的韻母，順序編號(hào)1到3

11、6,戚繼光還專門(mén)編寫(xiě)了一本八音字義便覽,密碼的基本原理,密碼是一種用來(lái)混淆（加密）的技術(shù)，它希望將明文轉(zhuǎn)變?yōu)闊o(wú)法識(shí)別的密文,33,加密 算法,明文： 明天刺殺希特勒,發(fā)送方甲,解密 算法,接收方乙,明文： 明天刺殺希特勒,密文： Lk9Mn85ThfgshkYU,現(xiàn)代密碼體制,現(xiàn)代密碼學(xué)（對(duì)稱密鑰、非對(duì)稱密鑰,34,加密 算法,明文： 明天刺殺希特勒,發(fā)送方甲,解密 算法,接收方乙,明文： 明天刺殺希特勒,密文： Lk9Mn85ThfgshkYU,加密 密鑰,解密 密鑰,K,一些重要概念,密碼編碼學(xué)(cryptography)是密碼體制的設(shè)計(jì)學(xué)，而密碼分析學(xué)(cryptanalysis)則是在

12、未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來(lái)即為密碼學(xué)(cryptology)。 如果不論截取者獲得了多少密文，但在密文中都沒(méi)有足夠的信息來(lái)唯一地確定出對(duì)應(yīng)的明文，則這一密碼體制稱為無(wú)條件安全的，或稱為理論上是不可破的。 如果密碼體制中的密碼不能被可使用的計(jì)算資源破譯，則這一密碼體制稱為在計(jì)算上是安全的,35,4、完整性,完整性服務(wù)保證數(shù)據(jù)不被非授權(quán)篡改。 通過(guò)加密和哈希算法，保證傳輸數(shù)據(jù)的完整性不被更改。 哈希函數(shù)獲取輸入信息并從中創(chuàng)建一個(gè)代碼，代碼通常是指哈?；蛐畔⒄瑔蜗蚬：瘮?shù)用于創(chuàng)建信息的簽名就像人的指紋一樣,36,哈希函數(shù)的定義,Hash函數(shù)常用來(lái)構(gòu)

13、造數(shù)據(jù)的短“指紋”：消息的發(fā)送者使用所有的消息產(chǎn)生一個(gè)附件也就是短“指紋”，并將該短“指紋”與消息一起傳輸給接收者。 即使數(shù)據(jù)存儲(chǔ)在不安全的地方，接收者重新計(jì)算數(shù)據(jù)的指紋，并驗(yàn)證指紋是否改變，就能夠檢測(cè)數(shù)據(jù)的完整性。這是因?yàn)橐坏?shù)據(jù)在中途被破壞，或改變，短指紋就不再正確,37,哈希函數(shù)的作用,Hash函數(shù)最主要的作用于是用于鑒別，鑒別在網(wǎng)絡(luò)安全中起到舉足輕重的地位。鑒別的目的有以下兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，同時(shí)發(fā)信息者也不能抵賴，此為信源識(shí)別；第二，驗(yàn)證信息完整性，在傳遞或存儲(chǔ)過(guò)程中未被篡改，重放或延遲等,38,哈希函數(shù)的性質(zhì),hash函數(shù)在現(xiàn)代密碼學(xué)中起著重要的作用

14、，主要用于對(duì)數(shù)據(jù)完整性和消息認(rèn)證 壓縮性：任意長(zhǎng)度的數(shù)據(jù)，算出的摘要長(zhǎng)度都固定。 容易計(jì)算：從原數(shù)據(jù)容易算出摘要。 抗修改性：對(duì)原數(shù)據(jù)進(jìn)行任何改動(dòng)，哪怕只修改1個(gè)字節(jié)，所得到的摘要都有很大區(qū)別。 弱抗碰撞：已知原數(shù)據(jù)和其摘要，想找到一個(gè)具有相同摘要的數(shù)據(jù)（即偽造數(shù)據(jù)），在計(jì)算上是困難的。 強(qiáng)抗碰撞：想找到兩個(gè)不同的數(shù)據(jù)，使它們具有相同的摘要，在計(jì)算上是困難的,39,5、不可否認(rèn)性,在實(shí)際中，很可能出現(xiàn)發(fā)送者否認(rèn)源自他的交換過(guò)的數(shù)字?jǐn)?shù)據(jù)。 不可否認(rèn)性安全服務(wù)，提供來(lái)源和發(fā)送服務(wù)或信息的保證。 通過(guò)數(shù)字簽名和加密算法，保證數(shù)字?jǐn)?shù)據(jù)不被否認(rèn)通過(guò)所提供的難于抵賴的來(lái)源證據(jù),40,數(shù)字簽名,數(shù)字簽名是一

15、種加密機(jī)制，等價(jià)于以發(fā)送者的身份書(shū)寫(xiě)簽名的電子形式的認(rèn)證,41,數(shù)字簽名：在公鑰體制下的簽名，用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密，然后信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要，并通過(guò)與用自己收到的原始數(shù)據(jù)產(chǎn)生的哈希摘要對(duì)照，便可確信原始信息是否被篡改，這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。同時(shí)數(shù)字簽名還用于消息鑒別和身份識(shí)別,不可否認(rèn)的定義,術(shù)語(yǔ)“不可否認(rèn)”具有法律界和加密技術(shù)界的雙重含義。 在加密技術(shù)界的定義： 在認(rèn)證中，提供完整性證據(jù)的服務(wù)和數(shù)據(jù)的源，兩個(gè)都是偽造證據(jù)（防偽）的關(guān)系，這可以在任意時(shí)候被任何第三方驗(yàn)證； 在認(rèn)證中，具有較高保障的認(rèn)證

16、可以被斷定是真實(shí)的，不能被隨后的反駁所否認(rèn),42,不可否認(rèn)的定義,在法律界的關(guān)于否認(rèn)的定義： 簽名是偽造的； 簽名不是偽造的，但是可經(jīng)過(guò)一下情況獲得： 未知覺(jué)的情況下由交易的一方進(jìn)行； 由第三方發(fā)起的欺詐； 由第三方強(qiáng)制施加的不恰當(dāng)?shù)挠绊?43,數(shù)字簽名,Hash簽名也是主要的簽名，稱為數(shù)字摘要法或數(shù)字指紋法。 HASH 函數(shù)h = H(M) H(M): 輸入為任意長(zhǎng)度的消息M，輸出為一個(gè)固定長(zhǎng)度的散列值，稱為消息摘要MessageDigest,44,數(shù)字簽名,數(shù)字簽名必須保證以下三點(diǎn)： (1) 消息鑒別接收者能夠核實(shí)發(fā)送者對(duì)消息的簽名； (2) 消息的完整性發(fā)送者事后不能抵賴對(duì)消息的簽名；

17、(3) 不可否認(rèn)接收者不能偽造對(duì)消息的簽名。 現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法。但采用公鑰算法更容易實(shí)現(xiàn),45,密文,數(shù)字簽名的實(shí)現(xiàn),D 運(yùn)算,明文 X,明文 X,A,B,A 的私鑰 SKA,因特網(wǎng),簽名,核實(shí)簽名,E 運(yùn)算,密文,A 的公鑰 PKA,46,數(shù)字簽名的實(shí)現(xiàn),因?yàn)槌?A 外沒(méi)有別人能具有 A 的私鑰，所以除 A 外沒(méi)有別人能產(chǎn)生這個(gè)密文。因此 B 相信消息 X 是 A 簽名發(fā)送的。 若 A 要抵賴曾發(fā)送消息給 B，B 可將明文和對(duì)應(yīng)的密文出示給第三者。第三者很容易用 A 的公鑰去證實(shí) A 確實(shí)發(fā)送 X 給 B。 反之，若 B 將 X 偽造成 X，則 B 不能在第三者前出示對(duì)應(yīng)的

18、密文。這樣就證明了 B 偽造了消息,47,具有保密性的數(shù)字簽名,核實(shí)簽名,解密,加密,簽名,E 運(yùn)算,D 運(yùn)算,明文 X,明文 X,A,B,A 的私鑰 SKA,因特網(wǎng),E 運(yùn)算,B 的私鑰 SKB,D 運(yùn)算,加密與解密,簽名與核實(shí)簽名,B 的公鑰 PKB,A 的公鑰 PKA,密文,48,鑒別,在信息的安全領(lǐng)域中，對(duì)付被動(dòng)攻擊的重要措施是加密，而對(duì)付主動(dòng)攻擊中的篡改和偽造則要用鑒別(authentication) 。 消息鑒別使得通信的接收方能夠驗(yàn)證所收到的消息（發(fā)送者和消息內(nèi)容、發(fā)送時(shí)間、序列等）的真?zhèn)巍?使用加密就可達(dá)到消息鑒別的目的。但在網(wǎng)絡(luò)的應(yīng)用中，許多消息并不需要加密。應(yīng)當(dāng)使接收者能用

19、很簡(jiǎn)單的方法鑒別消息的真?zhèn)?49,鑒別與授權(quán)不同,鑒別與授權(quán)(authorization)是不同的概念。 授權(quán)涉及到的問(wèn)題是：所進(jìn)行的過(guò)程是否被允許（如是否可以對(duì)某文件進(jìn)行讀或?qū)?50,消息鑒別,許多消息并不需要加密但卻需要數(shù)字簽名，以便讓消息的接收者能夠鑒別消息的真?zhèn)巍?然而對(duì)很長(zhǎng)的消息進(jìn)行數(shù)字簽名會(huì)使計(jì)算機(jī)增加很大的負(fù)擔(dān)（需要進(jìn)行很長(zhǎng)時(shí)間的運(yùn)算。 當(dāng)我們傳送不需要加密的消息時(shí)，應(yīng)當(dāng)使接收者能用很簡(jiǎn)單的方法鑒別消息的真?zhèn)?51,消息摘要 MD (Message Digest,A 將消息 X 經(jīng)過(guò)消息摘要算法運(yùn)算后得出很短的消息摘要 H。然后然后用自己的私鑰對(duì) H 進(jìn)行 D 運(yùn)算，即進(jìn)行數(shù)字簽

20、名。得出已簽名的消息摘要 D(H)后，并將其追加在消息 X 后面發(fā)送給 B。 B 收到消息后首先把已簽名的 D(H) 和消息 X 分離。然后再做兩件事。 用A的公鑰對(duì) D(H) 進(jìn)行E運(yùn)算，得出消息摘要 H 。 對(duì)消息 X 進(jìn)行消息摘要運(yùn)算，看是否能夠得出同樣的消息摘要 H。如一樣，就能以極高的概率斷定收到的消息是 A 產(chǎn)生的。否則就不是,52,消息摘要的優(yōu)點(diǎn),僅對(duì)短得多的定長(zhǎng)消息摘要 H 進(jìn)行數(shù)字簽名要比對(duì)整個(gè)長(zhǎng)消息進(jìn)行數(shù)字簽名要簡(jiǎn)單得多，所耗費(fèi)的計(jì)算資源也小得多。 但對(duì)鑒別消息 X 來(lái)說(shuō)，效果是一樣的。也就是說(shuō)，消息 X 和已簽名的消息摘要 D(H) 合在一起是不可偽造的，是可檢驗(yàn)的和不可

21、否認(rèn)的,53,消息摘要算法,消息摘要算法就是一種散列函數(shù)。這種散列函數(shù)也叫做密碼編碼的檢驗(yàn)和。消息摘要算法是防止消息被人惡意篡改。 消息摘要算法是精心選擇的一種單向函數(shù)。 可以很容易地計(jì)算出一個(gè)長(zhǎng)消息 X 的消息摘要 H，但要想從消息摘要 H 反過(guò)來(lái)找到原始的消息 X，則實(shí)際上是不可能的。 若想找到任意兩個(gè)消息，使得它們具有相同的消息摘要，那么實(shí)際上也是不可能的,54,消息摘要的實(shí)現(xiàn),A,比較,簽名,核實(shí)簽名,消息 X,H,D 運(yùn)算,D(H,A 的私鑰,消息 X,D(H,B,消息摘要,消息 X,D(H,發(fā)送,E 運(yùn)算,H,簽名的消息摘要,H,消息摘要 運(yùn)算,A 的公鑰,消息摘要 運(yùn)算,消息摘要

22、,消息摘要,因特網(wǎng),55,消息摘要,56,2.4 安全標(biāo)準(zhǔn),由于不同的類(lèi)型所使用不同的技術(shù)導(dǎo)致了接口的不兼容性、胡操作性較差； 在系統(tǒng)內(nèi)和系統(tǒng)之間由于使用不同的技術(shù)導(dǎo)致許多系統(tǒng)資源之間缺乏一致性。 每一個(gè)標(biāo)準(zhǔn)化組織都有自己的一套標(biāo)準(zhǔn),57,2.4 安全標(biāo)準(zhǔn),標(biāo)準(zhǔn)化組織： 國(guó)際化組織，如因特網(wǎng)工程任務(wù)（IETF），電氣和電子工程師協(xié)會(huì)（IEEE），國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電信聯(lián)盟（ITU）。 多國(guó)組織，如歐洲標(biāo)準(zhǔn)化委員會(huì)（CEN），歐盟委員會(huì)（CEU），歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）。 國(guó)家政府組織，如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST），歐洲計(jì)算機(jī)廠商協(xié)會(huì)（ANSI），加拿大標(biāo)準(zhǔn)委員會(huì)（CSC,58,2.4 安全標(biāo)準(zhǔn),特定行業(yè)組織，如歐洲銀行標(biāo)準(zhǔn)委員會(huì)（ECBS），歐洲計(jì)算機(jī)制造商協(xié)會(huì)（ECMA），電氣和電子工程師協(xié)會(huì)（IEEE）。 工業(yè)標(biāo)準(zhǔn)，如RSA、Open Group，對(duì)象管理者（OMG），萬(wàn)維網(wǎng)聯(lián)盟（W3C），結(jié)構(gòu)信息標(biāo)準(zhǔn)化促進(jìn)組織（OASIS,59,1、基于服務(wù)/行業(yè)的安全標(biāo)準(zhǔn),60,公鑰密碼標(biāo)準(zhǔn),公鑰密碼標(biāo)準(zhǔn)（PKCS，Public-Key Cryptography Standards）由美國(guó)RSA數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn)，其中包括證書(shū)申請(qǐng)、證書(shū)更新、證書(shū)作廢表發(fā)布、擴(kuò)展證書(shū)內(nèi)容以及數(shù)字簽名