2015年软考系统架构设计师学习笔记第十一章(2)
发布时间:2010/12/4 22:35:22 来源:城市学习网 编辑:ziteng
2. 数字水印(Digital Watermarking)是实现版权保护的有效办法,也是信息隐藏技术研究领域的重要分支。
通过在原始数据中嵌入秘密信息——水印(Watermark)来证实该数据段所有权。
水印可以是一段 文字、标识、序列号 等,通常是不可见或不可察的,与原始数据紧密结合并隐藏其中。
数字水印技术必须具有较强的 鲁棒性、安全性、透明性。
数字水印主要应用领域:
版权保护,作品被盗版或出现版权纠纷时,所有者即可从盗版作品或水印版作品中 获取水印信号作为依据。
加指纹,将不同用户端ID或序列号 作为不同的水印(指纹)嵌入作品的合法备份中,一旦发现未授权的备份,就可以确定它的来源。
标题与注释。
篡改提示,可将原始图像分成多个独立块,再将每个块加入不同的水印,来确定作品的完整性,这类水印必须是脆弱的,并且检测水印信号时,不需要原始数据。
使用控制,防复制。
空域算法、变换域算法、压缩域算法、NEC算法、生理模型算法 等。
11.1.3 密钥分配中心与公钥基础设施
现代密码系统中,算法本身的保密已经不重要了,只要密钥能够保密,即使加密算法公开,甚至加密设备丢失,也不会对加密系统的坚固性和正常使用产生多大影响。
如何高效地分配密钥、安全地管理密钥 对保证数据安全来说至关重要。
1、密钥分配中心
密钥自动分配 是 密钥分配中心(Key Distribution Center,KDC)技术。
2、数字证书和公开密钥基础设施
数字证书的内容一般包括:唯一标识证书所有者的名称、唯一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期、证书的序列号等。
PKI(Public Key Infrastructure,公钥基础设施)的结构模型有三类实体:管理实体、端实体、证书库。
管理实体是PKI的核心,是服务的提供者,端实体是PKI的用户。
CA 和 RA 是两种管理实体,CA 能够 发布和撤销 证书,维护证书的生命周期。RA负责处理用户请求。
证书库的存取对象为证书和CRL,其完整性由数字签名来保证,因此不需要额外的安全机制。 [NextPage] 11.1.4 访问控制
自动、有效地防止对系统资源进行非法访问或者不当使用。
它是建立在身份认证的基础之上的。
1、身份认证技术
识别用户的身份有两种不同形式:身份认证、身份鉴定。
认证的方法 归结为 3大类:知道什么、拥有什么、是什么。
是什么,是一种基于生物识别技术的认证。
1. 用户名和口令认证,三种简单的认证方式:明文传送、单向散列、单向散列函数和随机函数。
2. 使用令牌认证,密钥存储于令牌中。
令牌是一个可以加密存储并运行相应加密算法的设备,完成对用户必须拥有某物的验证。
令牌的实现分为:质询响应令牌、时间戳令牌,常用的是时间戳令牌。
系统的安全强度大大增加:私钥采用令牌存储的方式解决了 私钥自身的安全问题,安全强度大大增加。
而且令牌有 PIN码 保护,对令牌的非法访问超过一定次数后,令牌会死锁。
时间戳令牌利用时间代替随机数,需要重点考虑时间同步问题,目前在安全性较高的认证系统中,多是采用这种方案。
3. 生物识别与三因素认证
基于生物识别技术的认证,主要根据认证者的 图像、指纹、气味、声音等作为认证数据。
2、访问控制技术
根据 控制手段 和 具体目的 的不同,通常将 访问控制技术 划分为几个方面:入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制等。
入网访问控制,控制准许用户 入网的时间、准许的工作站等。
由于用户口令验证方式容易被攻破,很多网络都开始采用 基于数字证书的验证方式。
用户 和 用户组 被 赋予一定的权限。
访问机制 两种实现方式:“受托者指派”和“继承权限屏蔽”
“受托者指派”控制用户 和 用户组 如何使用网络服务器。
“继承权限屏蔽”相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
特殊用户、一般用户、审计用户。
对目录和文件的访问权限 一般有 8种:系统管理员权限、读、写、创建、删除、修改、查找、访问控制。
属性 能够控制以下几个方面的权限:写 数据、复制 文件、删除 目录或文件、察看 目录和文件、执行 文件、隐含 文件、共享、系统属性等。
