退出
信息安全技术丛书
? 了解数据完整性、数据备份、数据压缩和数据
容错技术
? 了解数据的保密与鉴别技术
? 掌握互联网模型应用保密和鉴别技术
? 掌握端对端保密和鉴别通信技术
? 掌握应用层上加数据保密和鉴别模块技术
学习目的,
学习重点,
? 数据的保密与鉴别技术
? 互联网模型应用保密和鉴别技术
? 端对端保密和鉴别通信技术
? 应用层上加数据保密和鉴别模块技术
8.1
数据安全技
术简介
8.1.1 数据完整性
数据的完整性是指数据在存储和传输的过程中不
被篡改和破坏。
产生不完整性数据有三种情况,
1.事务并行性错误 ;
解决 方法是使用锁
2.恶意篡改和破坏 ;
数据加密, 加强数据系统的管理;
3.偶然性破坏
数据备份
数据完整性检测工具,
1,Tripwire。 其目的是建立一个工具, 通过这
个工具监视一些重要的文件和目录发生的任何改
变 。
2,COPS 是一个能够支持很多 UNIX平台的安全
工具集, 使用 CRC(循环冗余校验 )监视系统的文件 。
3.TAMU是一个脚本集, 通过一个操作系统的特
征码数据库来判断文件是否被修改 。
4,ATP对系统做快照并建立一个文件属性的数据
库 。 使用 32位 CRC和 MD校验文件 。
8.1.2 数据备份
1,网络数据备份 的重要性
企业将很多重要的业务转移到互联网上,随之出
现的数据安全问题困扰着企业的信息化。
2,网络信息 的特点,
① 分散性强;
② 流动性大;
③ 安全性更难保障。
完善的网络备份 系统包括,
( 1)构造容错系统 ;
( 2)集中式管理 ;
( 3)自动数据备份;
( 4)归档管理;
( 5)有效的媒体管理 ;
( 6)系统灾难恢复 ;
( 7)满足系统不断增加的需求 。
网络数据备份工具 —— VERITAS NetBackup
先进的企业级数据备份解决方案。采用四层体
系结构,通过一个管理界面来提供集中管理,为客
户提供快速而可靠的大容量数据的备份与恢复,其
主要特性包括介质管理、智能灾难恢复支持和直观
的 Java和 Windows NT管理界面。支持多种数据库环
境 。
8.1.3 数据压缩
数据压缩,就是以最少的数码表示信息,减
少容纳给定消息集合或数据采样集合的信号空间。
数据压缩技术分类,
( 1)无损压缩,
无失真,可逆
( 2)有损压缩,
有失真,不可逆
数据压缩的常用工具,
(1)WINZIP简介,
WINZIP是一个应用得较广泛的共享软件,操作
简便、压缩运行速度快,几乎支持目前所有常见的
压缩文件格式,由 Nico Mak Computing公司开发。
(2)WinRar简介,
WinRar是 流行好用的压缩工具,界面友好,使
用方便,支持鼠标拖放及外壳扩展,完美支持 ZIP
档案,可以解开 多种类型的压缩文件,采用了比
Zip 更先进的压缩算法,压缩率相当高 。
( 3)硬盘压缩工具 FreeSpace简介,
FreeSpace是一个动态压缩 /解压缩数据硬盘
压缩工具,较好解决了兼容性问题的硬盘, 扩容,
软件,可以在 Windows95(包括支持 OSR2 及
FAT32 分区)和 NTFS 分区上的 NT 4.0环境中运
行。 FreeSpace 的主要组件是一个驱动程序。在
Windows 每次启动时都会自动装载。经
FreeSpace 压缩过的文件无论看起来还是使用以
来就都象是没有压缩过一样。该驱动程序只在
Windows95 中装载。
8.1.4 数据容错技术
计算机系统能否真正运作于实际工作的
一个关键问题就是计算的可靠性,而容错计
算技术是计算可靠性的重要保证。容错技术
是指当计算机由于器件老化、错误输入、外
部环境影响及原始设计错误等等因素产生异
常行为时维持系统正常工作的技术总和。
计算机容错技术包括,
( 1)磁盘容错技术,
① 双份目录和双份文件分配表
② 热修复重定向
③ 写后读校验
④ 磁盘镜像
⑤ 磁盘双工
( 2) IDE磁盘阵列技术,
① RAID 0 利用了并行交叉存取技术, 没有
冗余校验功能,磁盘系统的可靠性不高 ;
② RAID 1利用磁盘镜像功能,同时对主盘和
镜像盘并行读写,整体利用率为 50% ;
③ RAID 3,5 多块硬盘并发读写,能够提供
更好的性能,有校验位,具有容错的功能;
④ RAID 6,7增设了专用的,可快速访问的异
步校验盘, 有较高的传输速度及优异的性能,
是目前最高档次的磁盘阵列,价格也较高。
( 3) 集群容错技术 简介
群集备份技术是解决由软硬件引起可靠性降
低的有效措施。它通过网络将两台以上的服务器
连接起来,当一台服务器停机时,其他服务器在
保证自身业务的基础上,接管停机服务器的业务
。
常见的群集解决方案有,
① Microsoft在 Windows NT和 Windows 2000中
都提供了群集技术( CLUSTER) ;
② NOVELL的容错解决方案 ;
③ Lifekeeper for NT容错解决方案
8.1.5 数据的保密与鉴别
数据保密和鉴别技术是一项相当复杂的工程,
它是一门跨学科的综合技术,两者 结合起来保证端
对端通讯的安全性。
1.数据软件加密,
( 1)伪随机加密法 ;
( 2)密码表加密 ;
( 3)序列号加密 ;
2.依赖于硬件的加密方式,
( 1)软盘加密 ;
( 2)卡加密;
( 3)软件锁加密 ;
( 4)光盘加密 ;
① 外壳保护技术 给可执行文件加上一个外
壳, 在外壳程序中加入对软件锁或钥匙盘的验证 ;
② 光盘狗技术 通过识别光盘上的特征来区
分是原版盘还是盗版盘。
3.数据的鉴别技术
数字证书是互联网通讯中标志通讯双方身份信
息的一系列数据,提供了一种在 Internet上验证身
份的方式。
8,2
数据通信安
全技术
8.2.1 互联网模型应用保密和鉴别技术
? 传输层安全协议,
1,SSL 协议
由 Netscape公司制定,主要包括,
( 1) SSL记录协议;
( 2) SSL握手协议 。
? 安全服务
2,TLSP协议
1996,传输层安全 (TLS)工作组制定 。包括如
下安全机制,
①安全标签:在 TPDU之前加上安全标签,②方向
标志:一个前缀标志,指示 TPDU的传输方向;③完
整性检验值:计算 ICV并作为 PDU的附件;④加密填
充:如果加密算法需要要求填充,或者需要掩盖
PDU的长度,还应做一次填充。⑤加密:经过以上
过程,再加密数据。
? 网络层安全协议,
1,IPSec规范
于 1998年制定,主要包括,
( 1) 认证协议头( AH);
( 2)安全加载封装( ESP);
( 3) 密钥管理。
2.协议是 NLSP
主要参考了三个标准。一是美国在 SDNS项目中
发表的安全协议 3( SP3),它专为无连接模式设计,
另一个是美国和加拿大联合提出的分组交换网络的
安全协议;再一个是英国提出的面向连接和无连接
模式的建议。 NLSP有效的将三个协议合并到一起。
?局域网安全协议 SILS,
该标准由以下四个部分组成,
① 模型:描述提供安全的局域网体系结构
框架和其它三部分的范围;
② 安全数据交换 ( SDE),描述局域网上站
与站之间的安全传输协议;
③ 密钥管理:定义高层密钥管理协议以支
持 SDE;
④ 系统 /安全管理:描述网络管理以支持
SDE协议。
8.2.2 端对端保密和鉴别通信技术
? VPN采用的主要技术,
( 1)隧道技术 ;
( 2)加解密技术;
( 3)密钥管理技术 ;
( 4)身份认证技术 。
? PPTP协议
PPTP是第 2层协议,它将 PPP帧装入 IP数据报里
在 IP网络中传输。它是微软开发的一个较旧的协议,
格式为,
原始数据报首先封装在 PPP帧里,然后将 PPP帧封装
在 GRE( Generic Routing Encapsulation)帧里,该
帧是 PPTP客户机和 PPTP服务器之间发送的新 IP数据报
的有效负载。新数据报的源和目标 IP地址将和 PPTP客
户机及 PPTP服务器的 IP地址相对应。
?L2TP协议
L2TP是基于 Cisco 的, 第 2层转发 ( L2F),
协议和微软的 PPTP协议的较新协议 。 它可以封装
在 IP,X.25,帧中继, 异步传输模式等上发送的
PPP帧, 比 PPTP更灵活, 但它比 PPTP需要占用更
多的 CPU。 封装分两个阶段完成,
8.2.3 应用层上加数据保密和鉴
别模块技术
网络层(或传输层)的安全协议为主机(进
程)之间的数据通道增加安全属性,但对同一通
道上传输的具体文件的安全性要求却不能区分,
应用层是唯一能够提供这种安全服务的层次。
应用层安全服务的几种情况,
( 1) 对每个应用(或应用协议)分别修改。如
TCP/IP应用 S-HTTP。
( 2)安全外壳( SSH)采用密钥交换协议,主机及
客户端认证协议,允许用户安全地进行远程操作。
( 3)认证和密钥分配协议:把认证和密钥分配系统
是 SSH思路的发展,本质上,认证和密钥分配系统
提供的是一个应用编程接口( API),可以用来为任
何网络应用程序提供安全服务。
( 4)通用安全服务编程接口( GSS-API)。
8.3
本章小节
本章介绍了数据安全的防护技术,主要包括:
数据的完整性、数据的备份、网络冗余及网络通
讯数据的安全传输技术等内容。其中数据的备份、
网络冗余都是为了确保数据的可靠性,一是传输
的可靠性,不因为硬件故障而发生传输错误,二
是存储的可靠性,使数据因硬件故障或其它原因
造成损坏时可以迅速恢复。因为网路是一个分层
的结构体系,其通讯的安全性体现在不同层次的
安全上,这需要根据具体的应用而定。
信息安全技术丛书
? 了解数据完整性、数据备份、数据压缩和数据
容错技术
? 了解数据的保密与鉴别技术
? 掌握互联网模型应用保密和鉴别技术
? 掌握端对端保密和鉴别通信技术
? 掌握应用层上加数据保密和鉴别模块技术
学习目的,
学习重点,
? 数据的保密与鉴别技术
? 互联网模型应用保密和鉴别技术
? 端对端保密和鉴别通信技术
? 应用层上加数据保密和鉴别模块技术
8.1
数据安全技
术简介
8.1.1 数据完整性
数据的完整性是指数据在存储和传输的过程中不
被篡改和破坏。
产生不完整性数据有三种情况,
1.事务并行性错误 ;
解决 方法是使用锁
2.恶意篡改和破坏 ;
数据加密, 加强数据系统的管理;
3.偶然性破坏
数据备份
数据完整性检测工具,
1,Tripwire。 其目的是建立一个工具, 通过这
个工具监视一些重要的文件和目录发生的任何改
变 。
2,COPS 是一个能够支持很多 UNIX平台的安全
工具集, 使用 CRC(循环冗余校验 )监视系统的文件 。
3.TAMU是一个脚本集, 通过一个操作系统的特
征码数据库来判断文件是否被修改 。
4,ATP对系统做快照并建立一个文件属性的数据
库 。 使用 32位 CRC和 MD校验文件 。
8.1.2 数据备份
1,网络数据备份 的重要性
企业将很多重要的业务转移到互联网上,随之出
现的数据安全问题困扰着企业的信息化。
2,网络信息 的特点,
① 分散性强;
② 流动性大;
③ 安全性更难保障。
完善的网络备份 系统包括,
( 1)构造容错系统 ;
( 2)集中式管理 ;
( 3)自动数据备份;
( 4)归档管理;
( 5)有效的媒体管理 ;
( 6)系统灾难恢复 ;
( 7)满足系统不断增加的需求 。
网络数据备份工具 —— VERITAS NetBackup
先进的企业级数据备份解决方案。采用四层体
系结构,通过一个管理界面来提供集中管理,为客
户提供快速而可靠的大容量数据的备份与恢复,其
主要特性包括介质管理、智能灾难恢复支持和直观
的 Java和 Windows NT管理界面。支持多种数据库环
境 。
8.1.3 数据压缩
数据压缩,就是以最少的数码表示信息,减
少容纳给定消息集合或数据采样集合的信号空间。
数据压缩技术分类,
( 1)无损压缩,
无失真,可逆
( 2)有损压缩,
有失真,不可逆
数据压缩的常用工具,
(1)WINZIP简介,
WINZIP是一个应用得较广泛的共享软件,操作
简便、压缩运行速度快,几乎支持目前所有常见的
压缩文件格式,由 Nico Mak Computing公司开发。
(2)WinRar简介,
WinRar是 流行好用的压缩工具,界面友好,使
用方便,支持鼠标拖放及外壳扩展,完美支持 ZIP
档案,可以解开 多种类型的压缩文件,采用了比
Zip 更先进的压缩算法,压缩率相当高 。
( 3)硬盘压缩工具 FreeSpace简介,
FreeSpace是一个动态压缩 /解压缩数据硬盘
压缩工具,较好解决了兼容性问题的硬盘, 扩容,
软件,可以在 Windows95(包括支持 OSR2 及
FAT32 分区)和 NTFS 分区上的 NT 4.0环境中运
行。 FreeSpace 的主要组件是一个驱动程序。在
Windows 每次启动时都会自动装载。经
FreeSpace 压缩过的文件无论看起来还是使用以
来就都象是没有压缩过一样。该驱动程序只在
Windows95 中装载。
8.1.4 数据容错技术
计算机系统能否真正运作于实际工作的
一个关键问题就是计算的可靠性,而容错计
算技术是计算可靠性的重要保证。容错技术
是指当计算机由于器件老化、错误输入、外
部环境影响及原始设计错误等等因素产生异
常行为时维持系统正常工作的技术总和。
计算机容错技术包括,
( 1)磁盘容错技术,
① 双份目录和双份文件分配表
② 热修复重定向
③ 写后读校验
④ 磁盘镜像
⑤ 磁盘双工
( 2) IDE磁盘阵列技术,
① RAID 0 利用了并行交叉存取技术, 没有
冗余校验功能,磁盘系统的可靠性不高 ;
② RAID 1利用磁盘镜像功能,同时对主盘和
镜像盘并行读写,整体利用率为 50% ;
③ RAID 3,5 多块硬盘并发读写,能够提供
更好的性能,有校验位,具有容错的功能;
④ RAID 6,7增设了专用的,可快速访问的异
步校验盘, 有较高的传输速度及优异的性能,
是目前最高档次的磁盘阵列,价格也较高。
( 3) 集群容错技术 简介
群集备份技术是解决由软硬件引起可靠性降
低的有效措施。它通过网络将两台以上的服务器
连接起来,当一台服务器停机时,其他服务器在
保证自身业务的基础上,接管停机服务器的业务
。
常见的群集解决方案有,
① Microsoft在 Windows NT和 Windows 2000中
都提供了群集技术( CLUSTER) ;
② NOVELL的容错解决方案 ;
③ Lifekeeper for NT容错解决方案
8.1.5 数据的保密与鉴别
数据保密和鉴别技术是一项相当复杂的工程,
它是一门跨学科的综合技术,两者 结合起来保证端
对端通讯的安全性。
1.数据软件加密,
( 1)伪随机加密法 ;
( 2)密码表加密 ;
( 3)序列号加密 ;
2.依赖于硬件的加密方式,
( 1)软盘加密 ;
( 2)卡加密;
( 3)软件锁加密 ;
( 4)光盘加密 ;
① 外壳保护技术 给可执行文件加上一个外
壳, 在外壳程序中加入对软件锁或钥匙盘的验证 ;
② 光盘狗技术 通过识别光盘上的特征来区
分是原版盘还是盗版盘。
3.数据的鉴别技术
数字证书是互联网通讯中标志通讯双方身份信
息的一系列数据,提供了一种在 Internet上验证身
份的方式。
8,2
数据通信安
全技术
8.2.1 互联网模型应用保密和鉴别技术
? 传输层安全协议,
1,SSL 协议
由 Netscape公司制定,主要包括,
( 1) SSL记录协议;
( 2) SSL握手协议 。
? 安全服务
2,TLSP协议
1996,传输层安全 (TLS)工作组制定 。包括如
下安全机制,
①安全标签:在 TPDU之前加上安全标签,②方向
标志:一个前缀标志,指示 TPDU的传输方向;③完
整性检验值:计算 ICV并作为 PDU的附件;④加密填
充:如果加密算法需要要求填充,或者需要掩盖
PDU的长度,还应做一次填充。⑤加密:经过以上
过程,再加密数据。
? 网络层安全协议,
1,IPSec规范
于 1998年制定,主要包括,
( 1) 认证协议头( AH);
( 2)安全加载封装( ESP);
( 3) 密钥管理。
2.协议是 NLSP
主要参考了三个标准。一是美国在 SDNS项目中
发表的安全协议 3( SP3),它专为无连接模式设计,
另一个是美国和加拿大联合提出的分组交换网络的
安全协议;再一个是英国提出的面向连接和无连接
模式的建议。 NLSP有效的将三个协议合并到一起。
?局域网安全协议 SILS,
该标准由以下四个部分组成,
① 模型:描述提供安全的局域网体系结构
框架和其它三部分的范围;
② 安全数据交换 ( SDE),描述局域网上站
与站之间的安全传输协议;
③ 密钥管理:定义高层密钥管理协议以支
持 SDE;
④ 系统 /安全管理:描述网络管理以支持
SDE协议。
8.2.2 端对端保密和鉴别通信技术
? VPN采用的主要技术,
( 1)隧道技术 ;
( 2)加解密技术;
( 3)密钥管理技术 ;
( 4)身份认证技术 。
? PPTP协议
PPTP是第 2层协议,它将 PPP帧装入 IP数据报里
在 IP网络中传输。它是微软开发的一个较旧的协议,
格式为,
原始数据报首先封装在 PPP帧里,然后将 PPP帧封装
在 GRE( Generic Routing Encapsulation)帧里,该
帧是 PPTP客户机和 PPTP服务器之间发送的新 IP数据报
的有效负载。新数据报的源和目标 IP地址将和 PPTP客
户机及 PPTP服务器的 IP地址相对应。
?L2TP协议
L2TP是基于 Cisco 的, 第 2层转发 ( L2F),
协议和微软的 PPTP协议的较新协议 。 它可以封装
在 IP,X.25,帧中继, 异步传输模式等上发送的
PPP帧, 比 PPTP更灵活, 但它比 PPTP需要占用更
多的 CPU。 封装分两个阶段完成,
8.2.3 应用层上加数据保密和鉴
别模块技术
网络层(或传输层)的安全协议为主机(进
程)之间的数据通道增加安全属性,但对同一通
道上传输的具体文件的安全性要求却不能区分,
应用层是唯一能够提供这种安全服务的层次。
应用层安全服务的几种情况,
( 1) 对每个应用(或应用协议)分别修改。如
TCP/IP应用 S-HTTP。
( 2)安全外壳( SSH)采用密钥交换协议,主机及
客户端认证协议,允许用户安全地进行远程操作。
( 3)认证和密钥分配协议:把认证和密钥分配系统
是 SSH思路的发展,本质上,认证和密钥分配系统
提供的是一个应用编程接口( API),可以用来为任
何网络应用程序提供安全服务。
( 4)通用安全服务编程接口( GSS-API)。
8.3
本章小节
本章介绍了数据安全的防护技术,主要包括:
数据的完整性、数据的备份、网络冗余及网络通
讯数据的安全传输技术等内容。其中数据的备份、
网络冗余都是为了确保数据的可靠性,一是传输
的可靠性,不因为硬件故障而发生传输错误,二
是存储的可靠性,使数据因硬件故障或其它原因
造成损坏时可以迅速恢复。因为网路是一个分层
的结构体系,其通讯的安全性体现在不同层次的
安全上,这需要根据具体的应用而定。
