1.数字签名
书信或文件是根据亲笔签名或印章来证明其真实性的,但在计算机网络中传送的文电又如何盖章呢?这时就出现了数字签名。
数字签名必须保证能够实现以下三点功能:
1)接收者能够核实对报文的签名。也就是说,接收者能够确信该报文的确是发送者发送的,其他人无法伪造对报文的签名,称为报文鉴别。
2)接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过。称为报文的完整性。
3)发送者事后不能抵赖对报文的签名。称为不可否认。
举例如下,为了进行签名,A用其私钥SKa对报文X进行D运算,得到不可读的密文,然后传送给B,B为了核实签名,用A的公钥PKa进行E运算,还原出明文X。
注意:任何人用A的公钥PKa进行E运算,都能得出A发出的明文。
这样可以实现数字签名的问题,但是无法实现保密的效果,可以使用双重数字签名,可以实现加密和签名的效果,如下图,
2.鉴别
鉴别(authentication)是网络安全中一个很重要的问题。
鉴别是要验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者,并且所传送的报文是完整的,没有被他人篡改过。
鉴别与授权不同,授权涉及的问题是:所进行的过程是否被允许(如是否可以对某文件进行读写)。
鉴别可细分为两种,
1)报文鉴别
鉴别所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。包括端点鉴别和报文完整性的鉴别。
2)实体鉴别
仅仅鉴别发送报文的实体,实体可以是一个人,也可以是一个进程(客户或服务器)。只包括端点鉴别。
3.防火墙
防火墙(firewall)作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。
由于防火墙不可能阻止所有入侵行为,作为系统防御的第二道防线,入侵检测系统IDS(intrusiong detection system)通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动,并进行报警以便进一步采取相应措施。
第七章小结
第八章小结