信息加密技術(shù)及數(shù)字證書.ppt
《信息加密技術(shù)及數(shù)字證書.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《信息加密技術(shù)及數(shù)字證書.ppt(38頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1,作業(yè),網(wǎng)絡(luò)安全中的保密性、完整性、不可抵賴性、身份認(rèn)證性分別用什么技術(shù)解決?對(duì)稱加密與公鑰加密各有什么優(yōu)缺點(diǎn)?試述簡(jiǎn)單的數(shù)字簽名過程試述PKI和數(shù)字證書的含義,密碼技術(shù)及數(shù)字證書,信息安全講座,廣東商學(xué)院信息學(xué)院胡玉平hypzlh22@,3,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,4,網(wǎng)絡(luò)安全的四個(gè)問題,信息保密性-您的通信信息或隱私被別人偷看了嗎?信息完整性-其他人發(fā)給您的消息或者您發(fā)給其他人的消息被人篡改甚至偽造了嗎?行為不可否認(rèn)(抵賴性)-其他人會(huì)否認(rèn)他給您發(fā)送的信息內(nèi)容嗎?身份認(rèn)證性-和您通信的人是您所了解的真實(shí)的那個(gè)人嗎?,5,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,6,對(duì)稱加密的原理,明文P(plaintext):可以理解的信息原文加密E(Encryption):用某種方法偽裝明文以隱藏真正內(nèi)容的過程密文C(Ciphertext):經(jīng)過加密后將明文變成不容理解的信息解密D(Decryption):將密文恢復(fù)成明文的過程加密/解密算法(Algorithm)用于加密/解密的方法(數(shù)學(xué)函數(shù))密鑰(Key):用于控制加密和解密實(shí)現(xiàn)的字符串,加密密鑰和解密密鑰相同的密碼稱之為對(duì)稱加密。,8,對(duì)稱加密的例子-愷撒密碼,傳說在公元前一世紀(jì),古羅馬的愷撒大帝出于軍事目的發(fā)明了一種對(duì)稱密碼,我們稱之為"愷撒密碼"。這種密碼是針對(duì)26個(gè)英文字母(不區(qū)分大小寫)在字母表中的排列位置來設(shè)計(jì)的,每個(gè)字母都有一個(gè)固定的位置:,對(duì)這些字母作這樣一個(gè)變換:將每個(gè)字母變換為與它位置間隔為5的那個(gè)字母,現(xiàn)在讓我們來看看這將發(fā)生什么吧。假設(shè)愷撒在一次戰(zhàn)役中損失慘重,他需要告訴盟軍自己的處境并請(qǐng)求支援。現(xiàn)在他用"愷撒密碼"加密一條消息,"IAMINDANGER"(意思是"我處境危險(xiǎn)"),加密后將變成什么呢?根據(jù)字母轉(zhuǎn)換對(duì)照表,"IAMINDANGER"將被加密成"NFRNSIFSLJW",,10,現(xiàn)代對(duì)稱加密標(biāo)準(zhǔn),在國(guó)際上廣泛采用的而且被證明足夠安全的對(duì)稱密碼算法有DES,AES,IDEA,RC2,RC4,RC5等,當(dāng)然還有很多其它好的算法。DES(dataencryptionstandard)20世紀(jì)70年代由IBM公司研制的首個(gè)國(guó)際加密標(biāo)準(zhǔn),它打破了以往加密算法研究的保密限制.AES2000年由美國(guó)商務(wù)部推薦的高級(jí)加密標(biāo)準(zhǔn)(密鑰長(zhǎng)128位,DES密鑰長(zhǎng)56位),11,對(duì)稱加密的缺點(diǎn),由于對(duì)稱密碼用于加密和解密的密鑰是完全相同的,因此,當(dāng)您想和誰(shuí)傳遞一個(gè)秘密消息時(shí),您不得不和他事先單獨(dú)找個(gè)地方一起協(xié)商好相互間的密鑰并非常小心地保管好它.如果和100個(gè)人通信,就要保管100個(gè)密鑰,和1000個(gè)人通信,就要保管1000個(gè)密鑰,這絕對(duì)不是一個(gè)好主意。這個(gè)問題不解決,將極大影響密碼技術(shù)在更大范圍的推廣使用。,12,公鑰加密的誕生,1976年,美國(guó)斯坦福大學(xué)的研究生Diffie和教授Hellman極富想象力和創(chuàng)造力的設(shè)想,引來了密碼學(xué)思想上的一場(chǎng)深刻變革。Diffie和Hellman是基于這樣一種考慮的,即用于加密和解密的密鑰是兩個(gè)不同的但又相互關(guān)聯(lián)的密鑰,13,公鑰加密—帶獨(dú)特鎖的保險(xiǎn)箱,起初,人們把加解密比喻成利用鑰匙給堅(jiān)固的保險(xiǎn)箱上鎖開鎖。這里"帶鎖的保險(xiǎn)箱"好比是密碼算法,可以用來保存明文文件,"鑰匙"好比是密鑰,"將明文文件放入保險(xiǎn)箱并用鑰匙鎖上"就是加密過程,相反地,用鑰匙將"鎖有文件的保險(xiǎn)箱"打開取出文件就是解密過程。整個(gè)過程如果沒有鑰匙,其他人即使能看到上鎖的保險(xiǎn)箱(密文),也不可能取出該文件,從而達(dá)到了保密的效果。,14,公鑰加密—帶獨(dú)特鎖的保險(xiǎn)箱,一般來說,對(duì)一個(gè)普通的鎖,我們總是用相同的鑰匙進(jìn)行上鎖和開鎖的(對(duì)稱加密)假設(shè)有一位聰明絕頂?shù)逆i匠打造了這樣一種“獨(dú)特的鎖”,之所以說獨(dú)特,是因?yàn)檫@種鎖配備有兩把不同的鑰匙,而且當(dāng)我們用其中一把鑰匙把鎖鎖上時(shí),必須而且只能用另外一把鑰匙才能打開。(公鑰加密),15,公鑰加密—帶獨(dú)特鎖的保險(xiǎn)箱,Diffie和Hellman的想法是,我們每個(gè)人都只需要保管好其中一把鑰匙并保證它是秘密和安全的,而另一把鑰匙則需要大家慷慨解囊貢獻(xiàn)出來,并放在一個(gè)任何人都能夠看到,都能夠取到的地方,也就是說另一把鑰匙是需要公開的。我們把上面所說的這種獨(dú)特的鎖稱為公鑰密碼(算法)(也可稱為非對(duì)稱密碼(算法)),與鎖配對(duì)的兩把鑰匙稱為密鑰,其中公開的那把鑰匙稱為公鑰,自己保管的那把鑰匙稱為私鑰。用公鑰把鎖鎖上的過程稱為公鑰加密,用私鑰把鎖打開的過程稱為私鑰解密。,16,公鑰加密—帶獨(dú)特鎖的保險(xiǎn)箱,假設(shè)Alice要給Bob發(fā)送如下一條訂購(gòu)信息,,Alice希望能絕對(duì)保密,并只讓Bob能知道。為此,Alice可把訂單放入"保險(xiǎn)箱"(這只是一個(gè)數(shù)字保險(xiǎn)箱,而非真實(shí)保險(xiǎn)箱)中,并用Bob的公鑰(Alice總是能取到)給"保險(xiǎn)箱"上鎖(加密),然后通過Internet將"保險(xiǎn)箱"郵寄給Bob,只有Bob才能用他的私鑰打開"保險(xiǎn)箱"閱讀訂單,任何其他人因?yàn)闆]有Bob的私鑰而無法做到這一點(diǎn)。,17,兩種加密算法的比較,對(duì)稱密碼保險(xiǎn)箱的誕生和使用由來已久,迄今為止,各式各樣的對(duì)稱密碼保險(xiǎn)箱(算法)不斷被設(shè)計(jì)、被使用,目前在國(guó)際上廣泛使用的對(duì)稱密碼保險(xiǎn)箱(算法)具有足夠的安全強(qiáng)度,且加解密速度非??欤淙秉c(diǎn)是所有這些對(duì)稱密碼保險(xiǎn)箱(算法)均無一例外地需要事先協(xié)商好密鑰,因此帶來密鑰管理上的困難;公鑰密碼保險(xiǎn)箱的思想自1976年由Diffie和Hellman提出來以后,在兩年后的1978年,才正式由美國(guó)麻省理工大學(xué)的三位知名教授Rivest、Shamir和Adleman等人聯(lián)合設(shè)計(jì)出來,密碼學(xué)上稱為RSA(三人名字的第一個(gè)字母)公鑰密碼系統(tǒng)。公鑰密碼用全新的方式解決了對(duì)稱密碼存在的密鑰管理難的問題,但其缺點(diǎn)是加密解密速度較慢,18,對(duì)稱加密與公鑰密碼的結(jié)合使用,當(dāng)您要向?qū)Ψ絺鬟f一個(gè)秘密消息的時(shí)候,您臨時(shí)產(chǎn)生一個(gè)對(duì)稱密鑰,用對(duì)稱密碼保險(xiǎn)箱加密消息文件,同時(shí)你用公鑰密碼保險(xiǎn)箱加密剛才產(chǎn)生的對(duì)稱密鑰(因?yàn)閷?duì)稱密鑰一般數(shù)據(jù)量很小,加密起來只需用很短的時(shí)間),然后您將兩個(gè)保險(xiǎn)箱同時(shí)傳遞給對(duì)方。對(duì)方可以首先用自己的私鑰打開公鑰密碼保險(xiǎn)箱取出對(duì)稱密鑰,然后用對(duì)稱密鑰打開對(duì)稱密碼保險(xiǎn)箱取出消息文件閱讀。這種傳遞秘密的方式,既克服了對(duì)稱密碼需要事先商量好密鑰的問題,又彌補(bǔ)了公鑰密碼直接加密消息速度慢的缺點(diǎn)。同時(shí),用公鑰密碼保險(xiǎn)箱安全傳遞對(duì)稱密鑰,就好比用保密信封郵寄鑰匙一樣,因此我們形象地稱之為"數(shù)字信封"。,加密技術(shù)能幫助我們解決了前面提到的四個(gè)問題當(dāng)中的第一個(gè)問題,即信息保密性問題。采用加密技術(shù),從此我們不用再擔(dān)心通信信息或隱私被他人偷看了!,20,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,21,網(wǎng)絡(luò)安全的四個(gè)問題,信息保密性-您的通信信息或隱私被別人偷看了嗎?信息完整性-其他人發(fā)給您的消息或者您發(fā)給其他人的消息被人篡改甚至偽造了嗎?行為不可否認(rèn)性-其他人會(huì)否認(rèn)他給您發(fā)送的信息內(nèi)容嗎?身份認(rèn)證性-和您通信的人是您所了解的真實(shí)的那個(gè)人嗎?,22,簡(jiǎn)單的數(shù)字簽名和驗(yàn)證過程,假名Alice要發(fā)送一個(gè)消息m給BobAlice用其私鑰對(duì)消息m加密,密文s就是Alice對(duì)消息m的簽名Alice將簽名及消息(m,s)發(fā)送給BobBob用Alice的公開密鑰對(duì)s進(jìn)行解密,得到M,如果M=m,則確認(rèn)s是m的有效簽名,m是由Alice發(fā)來的且沒有被篡改.,23,數(shù)字簽名的特性,數(shù)字簽名是對(duì)數(shù)字消息進(jìn)行簽名,以防止消息的冒名偽造或篡改可信性:任何人都可以驗(yàn)證簽名的有效性.不可偽造性:任何其他人偽造合法簽名者簽名是很團(tuán)難的不可篡改性:一旦簽名的消息被篡改,任何人都可以發(fā)現(xiàn)消息與簽名之間的不一致性不可抵賴性:簽名者事后不能否認(rèn)自己的簽名,還記得我們前面提到的四個(gè)問題吧?"數(shù)字簽名"是不是能解決其中的第二和第三兩個(gè)問題呢?答案是肯定的。接下來我們只剩下第四個(gè)問題需要解決,即我怎么樣才能知道和我通信的那個(gè)人就是我所了解的真實(shí)的那個(gè)人呢?看起來數(shù)字簽名也幫我們解決了這個(gè)問題,因?yàn)槲覀兛偰軌蛴肁lice的公鑰來驗(yàn)證保險(xiǎn)箱(嘗試將其打開)是不是Alice發(fā)出的。但問題在于公鑰只是一串隨機(jī)的數(shù)字,它并沒有記錄上Alice的名字,就像我們鑰匙上不會(huì)記錄鑰匙持有人的名字一樣。前面我們反復(fù)提到,我們總是能取到Alice的公鑰,但究竟怎么取呢?我們?cè)趺粗浪〉降墓€就是Alice的呢?換句話說,我們每個(gè)人該怎樣公布我們那把公開的鑰匙,并將鑰匙和我們的名字捆綁在一起呢?,25,主要內(nèi)容,網(wǎng)絡(luò)安全問題密碼技術(shù)數(shù)字簽名數(shù)字證書,26,網(wǎng)絡(luò)信息時(shí)代的安全宣言--PKI及數(shù)字證書,公鑰基礎(chǔ)設(shè)施,即PKI,是通過使用公開密鑰技術(shù)和數(shù)字證書來提供網(wǎng)絡(luò)信息字全服務(wù)的基礎(chǔ)設(shè)施,其最主要的任務(wù)就是要確立可信賴的數(shù)字身份,并管理數(shù)字證書及與數(shù)字證書相對(duì)應(yīng)的密鑰.換句話說,我們的公鑰是要靠PKI來公布的,公鑰與身份的綁定也要靠PKI來完成。目前,國(guó)際上已逐漸形成了一整套成熟的PKI技術(shù)標(biāo)準(zhǔn),建設(shè)PKI這個(gè)公鑰密碼的基礎(chǔ)設(shè)施,就猶如20世紀(jì)80年代建設(shè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施一樣重要。,27,信任的原理,PKI的最基本原理是互相信任。在互聯(lián)網(wǎng)上的安全隱患中,最難解決的就是"可信任的關(guān)系",也即"我如何才能夠被人信任?什么樣的人我才可以相信?"的問題,因?yàn)樵诨ヂ?lián)網(wǎng)中人們彼此不直接見面,完全處于一種虛擬的境界,"在Internet上,沒人知道你是一條狗",這一"名言"就是對(duì)網(wǎng)民虛擬身份的生動(dòng)寫照。PKI目前已經(jīng)成為網(wǎng)絡(luò)信息安全的信任基礎(chǔ)平臺(tái)。,28,什么是認(rèn)證中心(CA)?,在PKI當(dāng)中,認(rèn)證中心(CertificateAuthority,CA)是負(fù)責(zé)創(chuàng)建或者證明身份的可信賴的權(quán)威機(jī)構(gòu)。認(rèn)證中心的權(quán)威來自于國(guó)家的授權(quán)。通常,國(guó)家授權(quán)一個(gè)第三方機(jī)構(gòu)負(fù)責(zé)創(chuàng)建數(shù)字身份并允許其在一定范圍內(nèi)使用.被授權(quán)的認(rèn)證中心在一定范圍內(nèi)頒發(fā)數(shù)字證書,人們通過在網(wǎng)絡(luò)上彼此出示數(shù)字證書來證明各自的身份目前我們國(guó)家的認(rèn)證中心是以?。ㄖ陛犑校閰^(qū)域來劃分范圍的。即國(guó)家在每個(gè)省(或省級(jí)市)都授權(quán)成立一個(gè)認(rèn)證中心,由它們來負(fù)責(zé)各自省內(nèi)數(shù)字證書的頒發(fā)和管理,并維護(hù)各自省內(nèi)的信任環(huán)境。,如圖所示,Alice和Bob都信任認(rèn)證權(quán)威CA,并都擁有CA頒發(fā)的數(shù)字證書。當(dāng)Alice和Bob要在網(wǎng)絡(luò)上通信時(shí),他們彼此向?qū)Ψ匠鍪緮?shù)字證書,當(dāng)雙方各自都驗(yàn)證對(duì)方的數(shù)字證書是有效的之后,他們便認(rèn)為彼此是值得信賴的。在這里,Alice和Bob之間的信任關(guān)系是通過第三方認(rèn)證中心CA建立起來的,我們稱這種信任關(guān)系為第三方信任關(guān)系。,30,數(shù)字證書(DigitalCertificate)?,數(shù)字證書是由權(quán)威機(jī)構(gòu)CA發(fā)行的一種權(quán)威性的文檔,是網(wǎng)絡(luò)環(huán)境中的一種身份證,用于證明某一用戶的身份以及公開密鑰的合法性。數(shù)字證書綁定了公鑰及其持有者的真實(shí)身份,它類似于現(xiàn)實(shí)生活中的居民身份證,所不同的是數(shù)字證書不再是紙質(zhì)的證照,而是一段含有證書持有者身份信息并經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù),可以更加方便靈活地運(yùn)用在電子商務(wù)和電子政務(wù)中。,31,與身份證一樣,數(shù)字證書也需要發(fā)放到用戶手中。但由于數(shù)字證書不再是紙質(zhì)的,而是一些電子數(shù)據(jù),因此需要一定的存儲(chǔ)介質(zhì)。目前,我們采用一個(gè)叫電子智能鑰匙的硬件產(chǎn)品(類似于U盤)存儲(chǔ)數(shù)字證書。電子智能鑰匙小巧美觀,攜帶方便,它保存用戶的數(shù)字證書及私鑰并能保證其安全,用戶使用時(shí),只需將電子智能鑰匙插入電腦,就能方便地使用數(shù)字證書。目前數(shù)字證書的格式普遍采用的是X.509V3國(guó)際標(biāo)準(zhǔn),內(nèi)容包括證書序列號(hào)、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等。數(shù)字證書和居民身份證內(nèi)容大致對(duì)應(yīng)關(guān)系如下,數(shù)字證書(DigitalCertificate)?,33,假如您要從名叫Alice的賬戶上劃撥一筆款項(xiàng),怎么樣才能夠安全地進(jìn)行呢?,第一,您需要通過網(wǎng)絡(luò)向銀行出示您的數(shù)字證書;第二,您需要向銀行提交您的劃款請(qǐng)求,當(dāng)然您的請(qǐng)求是需要放在保險(xiǎn)箱中并用您的私鑰鎖上的(因?yàn)檎?qǐng)求中將涉及到賬號(hào)或金額等敏感信息)。那么銀行在收到您的數(shù)字證書及劃款請(qǐng)求后,首先,銀行將確信數(shù)字證書的持有人就是Alice(看看數(shù)字證書中“證書持有者名稱”一項(xiàng)即可);然后銀行將驗(yàn)證該數(shù)字證書是否是有效的,這點(diǎn)和驗(yàn)證居民身份證的有效性完全類似,即驗(yàn)證數(shù)字證書是否在有效期之內(nèi),是否是可信的認(rèn)證中心頒發(fā)的,是否有認(rèn)證中心的簽名(類似于蓋章)等等;接著,銀行還將用數(shù)字證書中綁定的公鑰(類似于身份證上的照片)來驗(yàn)證您向銀行提交的保險(xiǎn)箱(里面有您的劃款請(qǐng)求),比如用公鑰能打開保險(xiǎn)箱的話,則證明保險(xiǎn)箱就是您本人,也就是Alice提交的(因?yàn)橹挥心庞墟i上保險(xiǎn)箱的私鑰),這有點(diǎn)類似于比對(duì)身份證上的照片和您本人,因?yàn)橹挥心拍苷粘瞿约旱恼掌?34,什么是注冊(cè)機(jī)構(gòu)(RA,RegistrationAuthority)?,注冊(cè)機(jī)構(gòu)是從認(rèn)證中心分離出來的專門負(fù)責(zé)對(duì)用戶身份信息進(jìn)行登記審核的機(jī)構(gòu)。認(rèn)證中心在給用戶頒發(fā)數(shù)字證書之前,用戶需要攜帶自己的有效身份證件(個(gè)人攜帶身份證或其它有效身份證件,企業(yè)攜帶法人營(yíng)業(yè)執(zhí)照等)到認(rèn)證中心登記辦理,認(rèn)證中心需要對(duì)其身份進(jìn)行審核。但由于用戶遍及各地市,而認(rèn)證中心通常只設(shè)在省級(jí)城市,這勢(shì)必會(huì)給外地用戶帶來辦理的不便。因此,認(rèn)證中心通常會(huì)選擇在各地市設(shè)立注冊(cè)機(jī)構(gòu),用戶可就近在當(dāng)?shù)氐淖?cè)機(jī)構(gòu)登記辦理數(shù)字證書而不用直接到認(rèn)證中心。這就像您辦理身份證,只需就近在您所在的街道派出所登記而不用親自到公安局身份證頒發(fā)中心辦理一樣。,35,什么是證書發(fā)布系統(tǒng)(DA,DistributedAuthority)?,證書發(fā)布系統(tǒng)把認(rèn)證中心頒發(fā)的所有數(shù)字證書集中起來統(tǒng)一發(fā)布在一個(gè)公眾目錄服務(wù)器上,任何人都可以在這個(gè)公眾目錄服務(wù)器上查看自己想要的證書,這有點(diǎn)像現(xiàn)實(shí)生活中的電話號(hào)碼簿一樣,它把電話號(hào)碼集中在一塊供人查看。此外,認(rèn)證中心還將維護(hù)這些自己頒發(fā)的證書,一旦發(fā)現(xiàn)有過期或失效的證書,將主動(dòng)將其吊銷,并以"黑名單"(CRL)的形式發(fā)布在公眾目錄服務(wù)器上,用戶可通過查看"黑名單"獲知哪些證書是可信的,哪些證書是不可信的,37,數(shù)字證書的應(yīng)用,電子商務(wù):網(wǎng)上證券,網(wǎng)上銀行,企業(yè)ERP(企業(yè)資源計(jì)劃)系統(tǒng),網(wǎng)絡(luò)遠(yuǎn)程教育,網(wǎng)上購(gòu)物等。電子政務(wù):網(wǎng)上稅務(wù)申報(bào),工商年檢、企業(yè)組織代碼申領(lǐng)、政府網(wǎng)上采購(gòu)招標(biāo)、網(wǎng)上審批和統(tǒng)計(jì)、企業(yè)年報(bào)、網(wǎng)上報(bào)關(guān)、網(wǎng)上駕證申請(qǐng)與變更等。個(gè)人應(yīng)用:個(gè)人電子郵件安全,個(gè)人隱私保護(hù),個(gè)人數(shù)據(jù)資源保護(hù),個(gè)人計(jì)算機(jī)安全保護(hù)等。,THANKYOU!,- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息 加密 技術(shù) 數(shù)字證書
鏈接地址:http://www.820124.com/p-3204825.html