消息认证与消息完整性

第一章1、信息在存储、共享和传输中，可能会被非法窃听、截取、篡改和破坏，这些危及信息系统安全的活动称为安全攻击2、安全攻击分为被动攻击和主动攻击3、被动攻击的特征是对传输进行窃听和监测，目的是获得传输的信息，不对信息做任何改动，因此被动攻击主要威胁信息系统的保密性。

常见的被动攻击包括消息内容的泄漏和流量分析等。

4、主动攻击目的在于篡改或者伪造信息、也可以是改变系统的状态和操作。

主动攻击主要威胁信息的完整性、可用性和真实性。

常见的主动攻击包括：伪装、篡改、重放和拒绝服务等。

5、国际标准化组织ISO对“计算机安全”的定义：是指为信息处理系统建立和采取的技术上的和管理上的安全保护措施，保护系统中硬件、软件及数据，不因偶然或恶意的原因而遭受破坏、更改或泄漏。

6、网络安全是计算机安全概念在网络环境下的扩展和延伸，它的目标是保证网络中的硬件、软件和数据免遭破坏、更改和泄漏。

7、安全目标（Security Goal）是指能够满足一个组织或者个人的所有安全需求，通常包括保密性、完整性和可用性。

8、保密性(Confidentiality)：防止非授权访问信息。

完整性(Integrity)：防止非法篡改和破坏信息。

可用性(Availability)：防止系统拒绝服务。

8、信息系统安全的内容主要包括安全技术、安全管理和安全法规。

信息系统安全模型是一个层次结构，如图1-2所示7 6 5 4 3 2 1安全技术安全法规安全管理信息系统安全9、阻止安全攻击及恢复系统的机制称为安全机制。

安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。

10、安全服务：是加强信息处理和信息传输的安全性的一种服务。

是指信息系统为其应用提供的某些功能或辅助业务。

11、安全服务是利用一种或者多种安全机制阻止安全攻击，保证系统或数据传输有足够的安全性。

12、安全体系的一组安全服务包括：认证服务、访问控制服务、数据保密性服务、数据完整性服务、不可否认性服务、13、认证：用于识别对象或者身份证实。

消息认证的检验内容
消息认证是一种通过加密和验证技术来确保数据安全的方法。

在这种方法中，发送方使用密钥将消息编码，接收方使用相同的密钥进行解码和验证。

下面将详细介绍消息认证的检验内容。

1. 消息的完整性
消息的完整性是指消息在传输过程中没有被篡改。

发送方应该在发送消息时使用消息认证码来保证消息的完整性。

在接收方接收消息时，应该验证消息的完整性。

如果消息已被篡改，接收方将无法验证消息的完整性。

2. 消息的来源
消息的来源是指消息发送者的身份。

在消息认证中，发送方应该使用数字签名来验证其身份。

数字签名是通过将发送方的私钥与消息进行加密得到的。

在接收方接收消息时，应该使用发送方的公钥来验证消息的来源。

如果接收方无法验证消息的来源，它将无法确定消息是否来自所期望的发送方。

3. 消息的不可否认性
4. 密钥的保密性
消息认证中使用的密钥应该是保密的。

如果密钥泄露，攻击者可以使用该密钥来篡改消息，欺骗接收方。

因此，发送方和接收方应该采取措施来确保密钥的保密性。

5. 密钥的更新
为了保持消息认证的安全性，发送方和接收方需要定期更新密钥。

密钥更新应该在一定的时间间隔内进行，并且使用安全的方式来实现。

总之，消息认证是确保数据安全的重要方法，发送方和接收方应该采取相应的措施来确保消息的完整性，来源和不可否认性。

同时，密钥的保密性和更新也应得到重视。

电子商务安全导论简答题1，什么是保持数据的完整性？答：商务数据的完整性或称正确性是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。

在存储时，要防止非法篡改，防止网站上的信息被破坏。

在传输过程中，如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。

加密的信息在传输过程，虽能保证其机密性，但并不能保证不被修改。

2，网页攻击的步骤是什么？答：第一步，创建一个网页，看似可信其实是假的拷贝，但这个拷贝和真的“一样”“假网页和真网页一样的页面和链接。

第二步：攻击者完全控制假网页。

所以浏览器和网络是的所有信息交流者经过攻击者。

第二步，攻击者利用网页做假的后果：攻击者记录受害者访问的内容，当受害者填写表单发送数据时，攻击者可以记录下所有数据。

此外，攻击者可以记录下服务器响应回来的数据。

这样，攻击者可以偷看到许多在线商务使用的表单信息，包括账号，密码和秘密信息。

如果需要，攻击者甚至可以修改数据。

不论是否使用SSL或S-HTTP，攻击者都可以对链接做假。

换句话说，就算受害者的游览器显示出安全链接图标，受害者仍可能链接在一个不安全链接上。

3，什么是Intranet?答：Intranet是指基于TCP/IP协议的内连网络。

它通过防火墙或其他安全机制与Intranet建立连接。

Intranet上可提供所有Intranet的应用服务，如WWW，E-MAIL等，只不过服务面向的是企业内部。

和Intranet一样，Intranet具有很高的灵活性，企业可以根据自己的需求，利用各种Intranet互联技术建立不同规模和功能的网络。

4，为什么交易的安全性是电子商务独有的？答：这也是电子商务系统所独有的。

在我们的日常生活中，进和一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章以作为法律凭据。

但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎么能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。

1、消息认证是验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改，即验证消息的发送者是真正的而非假冒的（数据起源认证）；同时验证信息在传送过程中未被篡改、重放或延迟等。

消息认证和信息保密是构成信息系统安全的两个方面，二者是两个不同属性上的问题：即消息认证不能自动提供保密性，保密性也不能自然提供消息认证功能。

2、消息鉴别码（Message Authentication Code ）MAC是用公开函数和密钥产生一个固定长度的值作为认证标识，并用该标识鉴别信息的完整性。

MAC是消息和密钥的函数，即MAC = C K（M），其中M是可变长的消息，C 是认证函数，K是收发双方共享的密钥，函数值C K（M）是定长的认证码。

认证码被附加到消息后以M‖MAC方式一并发送给接收方，接收方通过重新计算MAC以实现对M的认证。

3、数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。

接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，并与解密的摘要信息进行对比，若相同则说明收到的信息完整，在传输过程中未被修改；否则说明信息被修改。

1）签名应与文件是一个不可分割的整体，可以防止签名被分割后替换文件，替换签名等形式的伪造。

2）签名者事后不能否认自己的签名。

3）接收者能够验证签名，签名可唯一地生成，可防止其他任何人的伪造。

4）当双方关于签名的真伪发生争执时，一个仲裁者能够解决这种争执。

4、身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。

它通过特定的协议和算法来实现身份认证。

身份认证的目的是防止非法用户进入系统；访问控制机制将根据预先设定的规则对用户访问某项资源进行控制，只有规则允许才能访问，违反预定安全规则的访问将被拒绝。

访问控制是为了防止合法用户对系统资源的非法使用。

5、1）基于口令的认证技术：当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交口令信息，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。

消息认证的概念
消息认证是指通过特定的算法和方法，确保消息的完整性和可信性，以防止消息被篡改、伪造或替换。

认证机制可以验证消息的真实性和发送者的身份，并确认消息在传输过程中未被篡改。

消息认证的概念通常包括以下几个方面：
1. 数据完整性：认证机制使用哈希函数等算法，对消息进行计算和生成摘要，将该摘要附加到消息中。

接收者可以使用同样的算法计算摘要，比对发送者附加的摘要，以判断消息是否在传输过程中被篡改。

2. 数据源认证：认证机制使用数字签名等方法，发送者使用私钥来对消息进行签名，接收者使用对应的公钥来验证签名的有效性。

通过验证签名，接收者可以确认消息的来源和发送者的身份。

3. 重播攻击防护：认证机制可能使用时间戳或随机数等方法，防止重放攻击的发生。

接收者会检查消息的时间戳或随机数，确保消息不是之前发送的重复消息。

4. 防止伪造：认证机制使用加密算法或密钥交换协议等方法，确保通信的安全性，防止第三方伪造消息，窃听通信或篡改通信内容。

消息认证在保障通信安全性和防范网络攻击方面起着重要的作用。

它可以用于保护重要数据和信息的传输，确保消息的可信度和完整性。

关于即时通信软件数据库安全技术的研究摘要：充分了解即时通信软件的数据库安全的定义、特点，以及关于数据泄漏的危害性。

即时通信软件数据泄漏会使用户丢失账号信息，导致利益受到损失，或许还会将用户的个人隐私公之于众，引起复杂的结果。

基于此迫切需要就即时通信软件的数据库的安全问题做进一步的研究工作。

本文主要探讨了即时通信软件数据库系统方面所面临的安全问题，并据此提出了建议。

关键词：即时通信；数据库安全；数据库加密中图分类号：g250文献标识码： a 文章编号：一、引言近年随着网络通讯事业的迅猛发展，即时通信软件使用量成几何数量增加，它所面临的数据库系统中的安全问题也变得日益突出，数据的安全使用任务也愈变沉重，以往对即时通信软件数据库安全的认识已经跟不上形势，因此迫切要求给用户提供一个全面、安全的即时通信网络环境。

目前已经有许多专家学者在即时通信软件的数据库安全领域做了大量的研究工作，并取得了不少的研究成果。

本文在这些研究成果的基础上，做了一定的总结，并提出了部分见解。

二、即时通信软件数据库安全现状即时通信软件是一种基于互联网的即时交流软件。

该软件可以让人们通过internet网随时与另一在线网民交流，还可以通过视频音频看到对方的实时图像和声音。

同时人们又不必担心昂贵的通话费用，从而可以畅快交流。

数据库安全是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取或修改。

数据库安全主要包含两层含义：第一层是指系统运行安全,第二层是指系统信息安全。

随着即时通信软件迅猛发展，其功能呈现出多样化、复杂化的趋势。

与此同时对数据库系统也提出了更多、更高的要求。

要求数据库在提供数据共享的同时，可以集中统一管理数据；简化应用程序对数据的访问；解决数据有效性问题，保证数据的逻辑一致性；保证数据独立性问题，降低程序对数据及数据结构的依赖；保证数据的安全性，在共享环境下保证数据所有者的利益等。

以上要求中最重要的问题就是数据的安全问题，目前大多数即时通信软件在设计的时候都考虑了可扩展性，但却没有充分地考虑安全问题。

1.信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

2、对计算机信息系统的威胁：直接对计算机系统的硬件设备进行破坏；对存放在系统存储介质上的信息进行非法获取、篡改和破坏等；在信息传输过程中对信息非法获取、篡改和破坏等。

影响计算机信息安全的因素：人为的无意失误；人为恶意攻击(主动/被动)；软件设计不完善。

3信息安全特征：（数据机密性数据完整性可用性）不可否认性鉴别。

4.计算机信息安全研究的内容：计算机外部安全：安全规章制度；电磁辐射/泄漏（如使用低辐射设备、利用噪声干扰源、电磁屏蔽、滤波技术、光纤传输）。

计算机内部安全：计算机软件保护、软件安全、数据安全。

5计算机网络安全是指信息在通过网络系统交换数据时确保信息的完整性、可靠性和保密性。

可采用的技术：边界防卫、入侵检测、安全反应。

网络安全工作的目的：进不来、拿不走、看不懂、改不了、跑不了。

6对称秘钥体制的加密过程：明文经过加密器形成密文，秘闻经过解密器形成明文，其中加密与解密中使用的秘钥是相同的。

7加密：Alice将秘密信息用Bob公钥的加密后发送给Bob。

Bob用其私钥解密获得秘密信息；签名：Alice 将用自己私钥签名后的信息发送给Bob，用Bob用Alice的公钥解签确认信息来自于Alice。

8非对称优点：秘钥分发相对容易；秘钥管理简单；可以有效地实现数字签名。

缺点：加密/解密相对对称密码体制速度较慢；在同等的安全强度下，它要求的秘钥长度要长一些；秘闻的长度往往大于明文长度；9对称优点：加密解密的速度快，具有较高的数据吞吐率，效率较高；所使用的秘钥相对较短；秘闻的长度往往与明文的长度相同；缺点：秘钥分发繁琐；秘钥难于管理；难以解决不可否认性。

10一个安全的认证系统应满足以下条件：合法的接收者能够检验所接收消息的合法性和真实性。

合法的发送方对所发送的消息无法进行否认。