系统架构设计师-信息安全技术（1）

CA中心给会银行颁发数字证书，客户端访问银行服务器前首先要验证服务器的真实性，这时候会从服务器下载证书，使用CA的公钥验证CA的签名（每个证书都会有签名），以此判断出证书的真伪，为真的化则从证书提取出银行的公钥，接下来客户端会随机生成一个密钥，使用银行的公钥对客户端的私钥进行加密，然后发送给银行服务器，银行服务器在使用自己的私钥对接收的内容进行解密，获得客户端发来的密钥，接下来客户端和服务器就可以使用这个密钥进行对称加密的通信了。

四、访问控制技术

1、访问控制基本模型

访问控制的目标有两个：

（1）阻止非法用户进入系统。

（2）阻止合法用户对系统资源的非法使用。

访问控制的三要素：

（1）主体：可以对其他实体施加动作的主动实体，记为S。

（2）客体：是接受其他实体访问的被动实体，记为O。

（3）控制策略：是主体对客体的操作行为集合约束条件集，记为KS。

2、访问控制的实现技术

（1）访问控制矩阵（ACM）： 矩阵中的每一格表示所在行的主体对所在列的客体的访问授权。 r、w、x分别是可读、可写、可执行(execute)。

（2）**访问控制列表：**访问控制矩阵按列分解。

（3）能力表：访问控制矩阵按行分解。

（4）**授权关系表：**对应访问矩阵中每一个非空元素的实现技术。像安全数据库系统通常用授权关系表来实现其访问控制安全机制。

五、数字签名技术

1、信息摘要

单向散列函数【不可逆】、固定长度的散列值。

摘要用途：确保信息【完整性】，防篡改。

常用的消息摘要算法有MD5、SHA等，市场上广泛使用的MD5、SHA算法的散列值分别为128位和160位，由于SHA通常采用的密钥长度较长，因此安全性高于MD5。

2、数字签名过程分析

发送方A通过HASH（MD5或SHA等）算法对信息进行加密产生信息摘要，再使用自己的私钥对摘要进行签名，得到签名的信息摘要，然后将信息明文和签名的信息摘要一起发送给接收方B，B对接收到的信息明文使用和A相同的HASH算法进行加密得到信息摘要，再将接收到签名的信息摘要使用A的公钥进行验证签名，得到信息摘要，比较两个信息摘要，如果完全一致则代表信息没有被修改过。

3、国产密码算法

练习题。：

请设计一个安全邮件传输系统，要求：该邮件已加密方式传输，邮件最大附件内容可达2GB，发送者不可抵赖，若邮件被第三方截获，第三方无法篡改。

解：

将发送方A的邮件明文使用随机密钥K加密，得到邮件密文，使用HASH算法对邮件明文加密得到信息摘要，使用A的私钥对信息摘要进行签名，得到摘要密文，将随机密钥K使用B的公钥加密，得到加密后的随机密钥K。将邮件密文、摘要密文和加密后的随机密钥K发送给接收方B，B接受成功后，首先将加密后的随机密钥K使用自己的私钥解密，得到随机密钥K，再使用随机密钥K对邮件密文进行解密得到邮件明文，然后使用和A相同的HASH算法对得到的明文加密得到邮件摘要，再使用A的公钥对摘要密文进行验证签名，得到邮件摘要，再将两个邮件摘要进行对比，内容一致的话代表内容没有被修改，实现第三方无法修改。通过验证签名可以实现发送者不可抵赖。

六、信息安全保障体系

1、计算机信息系统安全保护等级

计算机信息系统安全保护等级划分准则（GB17859-1999）

（1）用户自主保护级： 适用于普通内联网用户。系统被破坏后，对公民、法人和其他组织权益有损害，但不损害国家安全社会秩序和公共利益。

（2）系统审计保护级： 适用于通过内联网进行商务活动，需要保密的非重要单位。系统被破坏后，对公民、法人和其他组织权益有严重损害，或损害社会秩序和公共利益，但不损害国家安全。

（3）安全标记保护级： 适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术产业、重点工程建设等单位。系统被破坏后，对社会秩序和公共利益造成严重损害，或对国家造成损害。

（4）结构化保护级： 适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。系统被破坏后，对社会秩序和公共利益造成特别严重损害，或对国家安全造成严重损害。

（5）访问验证保护级： 适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。系统被破坏后，对国家安全造成特别严重损害。