1 概述
自1994年國(guó)務(wù)院頒布《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院[19941147號(hào)令)以來,信息系統(tǒng)安全等級(jí)保護(hù)體系逐步完善成熟。在傳統(tǒng)架構(gòu)的信息系統(tǒng)下發(fā)揮了很大的作用。
密碼技術(shù)是保障信息安全的核心技術(shù),是等級(jí)保護(hù)建設(shè)中必不可少的基礎(chǔ)技術(shù)。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密,而且完成數(shù)字簽名、身份驗(yàn)證、系統(tǒng)安全等功能。所以,使用密碼技術(shù)不僅可以保證信息的機(jī)密性,而且可以保證信息的完整性和確證性,防止信息被篡改、偽造和假冒。
2 密碼學(xué)技術(shù)
密碼技術(shù),如加密技術(shù)、數(shù)字簽名技術(shù)是解決網(wǎng)絡(luò)安全的核心技術(shù),是實(shí)現(xiàn)所有安全服務(wù)的重要基礎(chǔ)。密碼體制是密碼技術(shù)中最為核心的概念。目前主要的加密技術(shù)有:對(duì)稱加密技術(shù)、公開密鑰技術(shù)。
2.1對(duì)稱加密技術(shù)
對(duì)稱加密技術(shù)即常規(guī)加密技術(shù),是指加密和解密使用同一個(gè)密鑰,通信雙方必須交換彼此密鑰。發(fā)送消息時(shí),發(fā)送方使用自己的密鑰對(duì)傳輸信息進(jìn)行加密,接收方收到信息后,用發(fā)送方所給的密鑰進(jìn)行解密。
2.2公開密鑰技術(shù)
公開密鑰算法的理論依據(jù)來源于數(shù)論,公私鑰對(duì)是基于一對(duì)大素?cái)?shù),對(duì)于攻擊者來說,采用窮舉法把使用的大素?cái)?shù)猜測(cè)出或把密鑰的因子算出是 件非常困難的事,公開密鑰算法的安全性基于密鑰的安全性,一般使用的密鑰長(zhǎng)度為512位或1024位可以保證密鑰的安全性。常用的公開密鑰加密算法有RSA公開密鑰加密算法、E1Gamal算法、橢圓曲線密碼算法等。公開密鑰算法的優(yōu)點(diǎn)是通信雙方事先無需使用秘密通道和復(fù)雜的協(xié)議來交換密鑰即可建立起保密通信。網(wǎng)絡(luò)中的每一用戶只需保存自己的解密密鑰,密鑰便于管理,密鑰分配簡(jiǎn)單,最廣泛的應(yīng)用就是實(shí)現(xiàn)數(shù)字簽名以及身份認(rèn)證。公鑰技術(shù)的缺點(diǎn)就是算法處理速度相對(duì)于對(duì)稱密鑰慢。
2.3 對(duì)稱加密技術(shù)和公開密鑰技術(shù)的綜合應(yīng)用
對(duì)稱加密技術(shù)和公開密鑰技術(shù)各有其優(yōu)缺點(diǎn),在實(shí)際應(yīng)用中往往把兩者結(jié)合起來,綜合應(yīng)用,互相取長(zhǎng)補(bǔ)短,具體應(yīng)用中,并不直接使用公開加密算法加密明文,而僅用它來保護(hù)實(shí)際加密明文的對(duì)稱密鑰。
3 身份認(rèn)證實(shí)現(xiàn)
身份認(rèn)證的本質(zhì)是被認(rèn)證方有一些信息,除被認(rèn)證方自己外,任何第三方不能偽造,被認(rèn)證方能夠使認(rèn)證方相信他確實(shí)擁有那些秘密,則他的身份就得到了認(rèn)證。以下介紹幾種常用的身份認(rèn)證技術(shù):
3.1 口令核對(duì)
鑒別用戶身份最常見也是最簡(jiǎn)單的方法就是口令核對(duì)法:系統(tǒng)為每一個(gè)合法用戶建立一個(gè)用戶名/口令對(duì),當(dāng)用戶登錄系統(tǒng)或使用某項(xiàng)功能時(shí),提示用戶輸入自己的用戶名和口令,系統(tǒng)通過核對(duì)用戶輸入的用戶名、口令與系統(tǒng)內(nèi)已有的合法用戶的用戶名/口令對(duì)是否匹配,如與某一項(xiàng)用戶名/N令對(duì)匹配,則該用戶的身份得到了認(rèn)證。
3.2 單向認(rèn)證
如果通信的雙方只需要一方被另一方鑒別身份,這樣的認(rèn)證過程就是一種單向認(rèn)證,前面提到的口令核對(duì)法實(shí)際也可以算是一種單向認(rèn)證,只是這種簡(jiǎn)單的單向認(rèn)證還沒有與密鑰分發(fā)相結(jié)合。
與密鑰分發(fā)相結(jié)合的單向認(rèn)證主要有兩類方案:一類采用對(duì)稱密鑰加密體制,需要一個(gè)可信賴的第三方—— 通常稱為KDC(密鑰分發(fā)中心)或AS(認(rèn)證服務(wù)器),由這個(gè)第三方來實(shí)現(xiàn)通信雙方的身份認(rèn)證和密鑰分發(fā);另一類采用非對(duì)稱密鑰加密體制,無需第三方參與。
需第三方參與的單向認(rèn)證:
(1)A—KDC:IDA||IDB||N1
(2)KDC—A:EKa[k||IDB||N1||EKbEs||IDA]]
(3)A—B:Ekb||IDA]||Eks[M]
無需第三方參與的單向認(rèn)證:
A—B:EKub[Ks]||EKs[M]
當(dāng)信息不要求保密時(shí),這種無需第三方的單向認(rèn)證可簡(jiǎn)化為:
A—B:M||Ekra(M)]
3.3雙向認(rèn)證
在雙向認(rèn)證過程中,通信雙方需要互相認(rèn)證鑒別各自的身份,然后交換會(huì)話密鑰,雙向認(rèn)證的典型方案是Needham/Schroeder協(xié)議:
(1)A—KDC:IDA||IDB||N1
(2)KDC—A:EKa[k||IDB||N1||Ekb[Es||IDA]]
(3)A—B:Ekb[Ks||IDA]
(4)B—A:Eks[N2]
(5)A—B:EKs(f(N2)]
3.4 身份的零知識(shí)證明
通常的身份認(rèn)證都要求傳輸口令或身份信息,如果不傳輸這些信息,身份也能得到證明就好了,這就需要身份的零知識(shí)證明技術(shù)。
零知識(shí)證明是這樣一種技術(shù),被認(rèn)證方P掌握某些秘密信息,P想設(shè)法讓認(rèn)證方v相信他確實(shí)掌握那些信息,但又不想讓v也知道那些信息。
被認(rèn)證方P掌握的秘密信息可以是某些長(zhǎng)期沒有解決的猜想問題的證明,如:費(fèi)爾瑪最后定理,圖的三色問題,也可以是缺乏有效算法的難題解法,如:大數(shù)因式分解等,信息的本質(zhì)是可以驗(yàn)證的,即可通過具體的步驟來檢測(cè)它的正確性。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:等級(jí)保護(hù)密碼技術(shù)的應(yīng)用探索
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112154746.html