計算機信息安全專題第二講信息加密技術(shù)及數(shù)字證書.ppt
《計算機信息安全專題第二講信息加密技術(shù)及數(shù)字證書.ppt》由會員分享,可在線閱讀,更多相關(guān)《計算機信息安全專題第二講信息加密技術(shù)及數(shù)字證書.ppt(38頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1,作業(yè),網(wǎng)絡(luò)安全中的保密性、完整性、不可抵賴性、身份認證性分別用什么技術(shù)解決?對稱加密與公鑰加密各有什么優(yōu)缺點?試述簡單的數(shù)字簽名過程試述PKI和數(shù)字證書的含義,密碼技術(shù)及數(shù)字證書,信息安全講座,廣東商學(xué)院信息學(xué)院胡玉平hypzlh22@,3,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,4,網(wǎng)絡(luò)安全的四個問題,信息保密性-您的通信信息或隱私被別人偷看了嗎?信息完整性-其他人發(fā)給您的消息或者您發(fā)給其他人的消息被人篡改甚至偽造了嗎?行為不可否認(抵賴性)-其他人會否認他給您發(fā)送的信息內(nèi)容嗎?身份認證性-和您通信的人是您所了解的真實的那個人嗎?,5,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,6,對稱加密的原理,明文P(plaintext):可以理解的信息原文加密E(Encryption):用某種方法偽裝明文以隱藏真正內(nèi)容的過程密文C(Ciphertext):經(jīng)過加密后將明文變成不容理解的信息解密D(Decryption):將密文恢復(fù)成明文的過程加密/解密算法(Algorithm)用于加密/解密的方法(數(shù)學(xué)函數(shù))密鑰(Key):用于控制加密和解密實現(xiàn)的字符串,加密密鑰和解密密鑰相同的密碼稱之為對稱加密。,8,對稱加密的例子-愷撒密碼,傳說在公元前一世紀,古羅馬的愷撒大帝出于軍事目的發(fā)明了一種對稱密碼,我們稱之為"愷撒密碼"。這種密碼是針對26個英文字母(不區(qū)分大小寫)在字母表中的排列位置來設(shè)計的,每個字母都有一個固定的位置:,對這些字母作這樣一個變換:將每個字母變換為與它位置間隔為5的那個字母,現(xiàn)在讓我們來看看這將發(fā)生什么吧。假設(shè)愷撒在一次戰(zhàn)役中損失慘重,他需要告訴盟軍自己的處境并請求支援。現(xiàn)在他用"愷撒密碼"加密一條消息,"IAMINDANGER"(意思是"我處境危險"),加密后將變成什么呢?根據(jù)字母轉(zhuǎn)換對照表,"IAMINDANGER"將被加密成"NFRNSIFSLJW",,10,現(xiàn)代對稱加密標(biāo)準,在國際上廣泛采用的而且被證明足夠安全的對稱密碼算法有DES,AES,IDEA,RC2,RC4,RC5等,當(dāng)然還有很多其它好的算法。DES(dataencryptionstandard)20世紀70年代由IBM公司研制的首個國際加密標(biāo)準,它打破了以往加密算法研究的保密限制.AES2000年由美國商務(wù)部推薦的高級加密標(biāo)準(密鑰長128位,DES密鑰長56位),11,對稱加密的缺點,由于對稱密碼用于加密和解密的密鑰是完全相同的,因此,當(dāng)您想和誰傳遞一個秘密消息時,您不得不和他事先單獨找個地方一起協(xié)商好相互間的密鑰并非常小心地保管好它.如果和100個人通信,就要保管100個密鑰,和1000個人通信,就要保管1000個密鑰,這絕對不是一個好主意。這個問題不解決,將極大影響密碼技術(shù)在更大范圍的推廣使用。,12,公鑰加密的誕生,1976年,美國斯坦福大學(xué)的研究生Diffie和教授Hellman極富想象力和創(chuàng)造力的設(shè)想,引來了密碼學(xué)思想上的一場深刻變革。Diffie和Hellman是基于這樣一種考慮的,即用于加密和解密的密鑰是兩個不同的但又相互關(guān)聯(lián)的密鑰,13,公鑰加密—帶獨特鎖的保險箱,起初,人們把加解密比喻成利用鑰匙給堅固的保險箱上鎖開鎖。這里"帶鎖的保險箱"好比是密碼算法,可以用來保存明文文件,"鑰匙"好比是密鑰,"將明文文件放入保險箱并用鑰匙鎖上"就是加密過程,相反地,用鑰匙將"鎖有文件的保險箱"打開取出文件就是解密過程。整個過程如果沒有鑰匙,其他人即使能看到上鎖的保險箱(密文),也不可能取出該文件,從而達到了保密的效果。,14,公鑰加密—帶獨特鎖的保險箱,一般來說,對一個普通的鎖,我們總是用相同的鑰匙進行上鎖和開鎖的(對稱加密)假設(shè)有一位聰明絕頂?shù)逆i匠打造了這樣一種“獨特的鎖”,之所以說獨特,是因為這種鎖配備有兩把不同的鑰匙,而且當(dāng)我們用其中一把鑰匙把鎖鎖上時,必須而且只能用另外一把鑰匙才能打開。(公鑰加密),15,公鑰加密—帶獨特鎖的保險箱,Diffie和Hellman的想法是,我們每個人都只需要保管好其中一把鑰匙并保證它是秘密和安全的,而另一把鑰匙則需要大家慷慨解囊貢獻出來,并放在一個任何人都能夠看到,都能夠取到的地方,也就是說另一把鑰匙是需要公開的。我們把上面所說的這種獨特的鎖稱為公鑰密碼(算法)(也可稱為非對稱密碼(算法)),與鎖配對的兩把鑰匙稱為密鑰,其中公開的那把鑰匙稱為公鑰,自己保管的那把鑰匙稱為私鑰。用公鑰把鎖鎖上的過程稱為公鑰加密,用私鑰把鎖打開的過程稱為私鑰解密。,16,公鑰加密—帶獨特鎖的保險箱,假設(shè)Alice要給Bob發(fā)送如下一條訂購信息,,Alice希望能絕對保密,并只讓Bob能知道。為此,Alice可把訂單放入"保險箱"(這只是一個數(shù)字保險箱,而非真實保險箱)中,并用Bob的公鑰(Alice總是能取到)給"保險箱"上鎖(加密),然后通過Internet將"保險箱"郵寄給Bob,只有Bob才能用他的私鑰打開"保險箱"閱讀訂單,任何其他人因為沒有Bob的私鑰而無法做到這一點。,17,兩種加密算法的比較,對稱密碼保險箱的誕生和使用由來已久,迄今為止,各式各樣的對稱密碼保險箱(算法)不斷被設(shè)計、被使用,目前在國際上廣泛使用的對稱密碼保險箱(算法)具有足夠的安全強度,且加解密速度非常快,其缺點是所有這些對稱密碼保險箱(算法)均無一例外地需要事先協(xié)商好密鑰,因此帶來密鑰管理上的困難;公鑰密碼保險箱的思想自1976年由Diffie和Hellman提出來以后,在兩年后的1978年,才正式由美國麻省理工大學(xué)的三位知名教授Rivest、Shamir和Adleman等人聯(lián)合設(shè)計出來,密碼學(xué)上稱為RSA(三人名字的第一個字母)公鑰密碼系統(tǒng)。公鑰密碼用全新的方式解決了對稱密碼存在的密鑰管理難的問題,但其缺點是加密解密速度較慢,18,對稱加密與公鑰密碼的結(jié)合使用,當(dāng)您要向?qū)Ψ絺鬟f一個秘密消息的時候,您臨時產(chǎn)生一個對稱密鑰,用對稱密碼保險箱加密消息文件,同時你用公鑰密碼保險箱加密剛才產(chǎn)生的對稱密鑰(因為對稱密鑰一般數(shù)據(jù)量很小,加密起來只需用很短的時間),然后您將兩個保險箱同時傳遞給對方。對方可以首先用自己的私鑰打開公鑰密碼保險箱取出對稱密鑰,然后用對稱密鑰打開對稱密碼保險箱取出消息文件閱讀。這種傳遞秘密的方式,既克服了對稱密碼需要事先商量好密鑰的問題,又彌補了公鑰密碼直接加密消息速度慢的缺點。同時,用公鑰密碼保險箱安全傳遞對稱密鑰,就好比用保密信封郵寄鑰匙一樣,因此我們形象地稱之為"數(shù)字信封"。,加密技術(shù)能幫助我們解決了前面提到的四個問題當(dāng)中的第一個問題,即信息保密性問題。采用加密技術(shù),從此我們不用再擔(dān)心通信信息或隱私被他人偷看了!,20,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,21,網(wǎng)絡(luò)安全的四個問題,信息保密性-您的通信信息或隱私被別人偷看了嗎?信息完整性-其他人發(fā)給您的消息或者您發(fā)給其他人的消息被人篡改甚至偽造了嗎?行為不可否認性-其他人會否認他給您發(fā)送的信息內(nèi)容嗎?身份認證性-和您通信的人是您所了解的真實的那個人嗎?,22,簡單的數(shù)字簽名和驗證過程,假名Alice要發(fā)送一個消息m給BobAlice用其私鑰對消息m加密,密文s就是Alice對消息m的簽名Alice將簽名及消息(m,s)發(fā)送給BobBob用Alice的公開密鑰對s進行解密,得到M,如果M=m,則確認s是m的有效簽名,m是由Alice發(fā)來的且沒有被篡改.,23,數(shù)字簽名的特性,數(shù)字簽名是對數(shù)字消息進行簽名,以防止消息的冒名偽造或篡改可信性:任何人都可以驗證簽名的有效性.不可偽造性:任何其他人偽造合法簽名者簽名是很團難的不可篡改性:一旦簽名的消息被篡改,任何人都可以發(fā)現(xiàn)消息與簽名之間的不一致性不可抵賴性:簽名者事后不能否認自己的簽名,還記得我們前面提到的四個問題吧?"數(shù)字簽名"是不是能解決其中的第二和第三兩個問題呢?答案是肯定的。接下來我們只剩下第四個問題需要解決,即我怎么樣才能知道和我通信的那個人就是我所了解的真實的那個人呢?看起來數(shù)字簽名也幫我們解決了這個問題,因為我們總能夠用Alice的公鑰來驗證保險箱(嘗試將其打開)是不是Alice發(fā)出的。但問題在于公鑰只是一串隨機的數(shù)字,它并沒有記錄上Alice的名字,就像我們鑰匙上不會記錄鑰匙持有人的名字一樣。前面我們反復(fù)提到,我們總是能取到Alice的公鑰,但究竟怎么取呢?我們怎么知道所取到的公鑰就是Alice的呢?換句話說,我們每個人該怎樣公布我們那把公開的鑰匙,并將鑰匙和我們的名字捆綁在一起呢?,25,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,26,網(wǎng)絡(luò)信息時代的安全宣言--PKI及數(shù)字證書,公鑰基礎(chǔ)設(shè)施,即PKI,是通過使用公開密鑰技術(shù)和數(shù)字證書來提供網(wǎng)絡(luò)信息字全服務(wù)的基礎(chǔ)設(shè)施,其最主要的任務(wù)就是要確立可信賴的數(shù)字身份,并管理數(shù)字證書及與數(shù)字證書相對應(yīng)的密鑰.換句話說,我們的公鑰是要靠PKI來公布的,公鑰與身份的綁定也要靠PKI來完成。目前,國際上已逐漸形成了一整套成熟的PKI技術(shù)標(biāo)準,建設(shè)PKI這個公鑰密碼的基礎(chǔ)設(shè)施,就猶如20世紀80年代建設(shè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施一樣重要。,27,信任的原理,PKI的最基本原理是互相信任。在互聯(lián)網(wǎng)上的安全隱患中,最難解決的就是"可信任的關(guān)系",也即"我如何才能夠被人信任?什么樣的人我才可以相信?"的問題,因為在互聯(lián)網(wǎng)中人們彼此不直接見面,完全處于一種虛擬的境界,"在Internet上,沒人知道你是一條狗",這一"名言"就是對網(wǎng)民虛擬身份的生動寫照。PKI目前已經(jīng)成為網(wǎng)絡(luò)信息安全的信任基礎(chǔ)平臺。,28,什么是認證中心(CA)?,在PKI當(dāng)中,認證中心(CertificateAuthority,CA)是負責(zé)創(chuàng)建或者證明身份的可信賴的權(quán)威機構(gòu)。認證中心的權(quán)威來自于國家的授權(quán)。通常,國家授權(quán)一個第三方機構(gòu)負責(zé)創(chuàng)建數(shù)字身份并允許其在一定范圍內(nèi)使用.被授權(quán)的認證中心在一定范圍內(nèi)頒發(fā)數(shù)字證書,人們通過在網(wǎng)絡(luò)上彼此出示數(shù)字證書來證明各自的身份目前我們國家的認證中心是以省(直轄市)為區(qū)域來劃分范圍的。即國家在每個省(或省級市)都授權(quán)成立一個認證中心,由它們來負責(zé)各自省內(nèi)數(shù)字證書的頒發(fā)和管理,并維護各自省內(nèi)的信任環(huán)境。,如圖所示,Alice和Bob都信任認證權(quán)威CA,并都擁有CA頒發(fā)的數(shù)字證書。當(dāng)Alice和Bob要在網(wǎng)絡(luò)上通信時,他們彼此向?qū)Ψ匠鍪緮?shù)字證書,當(dāng)雙方各自都驗證對方的數(shù)字證書是有效的之后,他們便認為彼此是值得信賴的。在這里,Alice和Bob之間的信任關(guān)系是通過第三方認證中心CA建立起來的,我們稱這種信任關(guān)系為第三方信任關(guān)系。,30,數(shù)字證書(DigitalCertificate)?,數(shù)字證書是由權(quán)威機構(gòu)CA發(fā)行的一種權(quán)威性的文檔,是網(wǎng)絡(luò)環(huán)境中的一種身份證,用于證明某一用戶的身份以及公開密鑰的合法性。數(shù)字證書綁定了公鑰及其持有者的真實身份,它類似于現(xiàn)實生活中的居民身份證,所不同的是數(shù)字證書不再是紙質(zhì)的證照,而是一段含有證書持有者身份信息并經(jīng)過認證中心審核簽發(fā)的電子數(shù)據(jù),可以更加方便靈活地運用在電子商務(wù)和電子政務(wù)中。,31,與身份證一樣,數(shù)字證書也需要發(fā)放到用戶手中。但由于數(shù)字證書不再是紙質(zhì)的,而是一些電子數(shù)據(jù),因此需要一定的存儲介質(zhì)。目前,我們采用一個叫電子智能鑰匙的硬件產(chǎn)品(類似于U盤)存儲數(shù)字證書。電子智能鑰匙小巧美觀,攜帶方便,它保存用戶的數(shù)字證書及私鑰并能保證其安全,用戶使用時,只需將電子智能鑰匙插入電腦,就能方便地使用數(shù)字證書。目前數(shù)字證書的格式普遍采用的是X.509V3國際標(biāo)準,內(nèi)容包括證書序列號、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等。數(shù)字證書和居民身份證內(nèi)容大致對應(yīng)關(guān)系如下,數(shù)字證書(DigitalCertificate)?,33,假如您要從名叫Alice的賬戶上劃撥一筆款項,怎么樣才能夠安全地進行呢?,第一,您需要通過網(wǎng)絡(luò)向銀行出示您的數(shù)字證書;第二,您需要向銀行提交您的劃款請求,當(dāng)然您的請求是需要放在保險箱中并用您的私鑰鎖上的(因為請求中將涉及到賬號或金額等敏感信息)。那么銀行在收到您的數(shù)字證書及劃款請求后,首先,銀行將確信數(shù)字證書的持有人就是Alice(看看數(shù)字證書中“證書持有者名稱”一項即可);然后銀行將驗證該數(shù)字證書是否是有效的,這點和驗證居民身份證的有效性完全類似,即驗證數(shù)字證書是否在有效期之內(nèi),是否是可信的認證中心頒發(fā)的,是否有認證中心的簽名(類似于蓋章)等等;接著,銀行還將用數(shù)字證書中綁定的公鑰(類似于身份證上的照片)來驗證您向銀行提交的保險箱(里面有您的劃款請求),比如用公鑰能打開保險箱的話,則證明保險箱就是您本人,也就是Alice提交的(因為只有您才有鎖上保險箱的私鑰),這有點類似于比對身份證上的照片和您本人,因為只有您才能照出您自己的照片。,34,什么是注冊機構(gòu)(RA,RegistrationAuthority)?,注冊機構(gòu)是從認證中心分離出來的專門負責(zé)對用戶身份信息進行登記審核的機構(gòu)。認證中心在給用戶頒發(fā)數(shù)字證書之前,用戶需要攜帶自己的有效身份證件(個人攜帶身份證或其它有效身份證件,企業(yè)攜帶法人營業(yè)執(zhí)照等)到認證中心登記辦理,認證中心需要對其身份進行審核。但由于用戶遍及各地市,而認證中心通常只設(shè)在省級城市,這勢必會給外地用戶帶來辦理的不便。因此,認證中心通常會選擇在各地市設(shè)立注冊機構(gòu),用戶可就近在當(dāng)?shù)氐淖詸C構(gòu)登記辦理數(shù)字證書而不用直接到認證中心。這就像您辦理身份證,只需就近在您所在的街道派出所登記而不用親自到公安局身份證頒發(fā)中心辦理一樣。,35,什么是證書發(fā)布系統(tǒng)(DA,DistributedAuthority)?,證書發(fā)布系統(tǒng)把認證中心頒發(fā)的所有數(shù)字證書集中起來統(tǒng)一發(fā)布在一個公眾目錄服務(wù)器上,任何人都可以在這個公眾目錄服務(wù)器上查看自己想要的證書,這有點像現(xiàn)實生活中的電話號碼簿一樣,它把電話號碼集中在一塊供人查看。此外,認證中心還將維護這些自己頒發(fā)的證書,一旦發(fā)現(xiàn)有過期或失效的證書,將主動將其吊銷,并以"黑名單"(CRL)的形式發(fā)布在公眾目錄服務(wù)器上,用戶可通過查看"黑名單"獲知哪些證書是可信的,哪些證書是不可信的,37,數(shù)字證書的應(yīng)用,電子商務(wù):網(wǎng)上證券,網(wǎng)上銀行,企業(yè)ERP(企業(yè)資源計劃)系統(tǒng),網(wǎng)絡(luò)遠程教育,網(wǎng)上購物等。電子政務(wù):網(wǎng)上稅務(wù)申報,工商年檢、企業(yè)組織代碼申領(lǐng)、政府網(wǎng)上采購招標(biāo)、網(wǎng)上審批和統(tǒng)計、企業(yè)年報、網(wǎng)上報關(guān)、網(wǎng)上駕證申請與變更等。個人應(yīng)用:個人電子郵件安全,個人隱私保護,個人數(shù)據(jù)資源保護,個人計算機安全保護等。,THANKYOU!,- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 計算機信息 安全 專題 第二 信息 加密 技術(shù) 數(shù)字證書
鏈接地址:http://www.820124.com/p-3590293.html