計算機信息安全專題第二講信息加密技術及數(shù)字證書.ppt

《計算機信息安全專題第二講信息加密技術及數(shù)字證書.ppt》由會員分享，可在線閱讀，更多相關《計算機信息安全專題第二講信息加密技術及數(shù)字證書.ppt（38頁珍藏版）》請在裝配圖網上搜索。

1,作業(yè),網絡安全中的保密性、完整性、不可抵賴性、身份認證性分別用什么技術解決?對稱加密與公鑰加密各有什么優(yōu)缺點?試述簡單的數(shù)字簽名過程試述PKI和數(shù)字證書的含義,密碼技術及數(shù)字證書,信息安全講座,廣東商學院信息學院胡玉平hypzlh22@,3,主要內容,網絡安全問題密碼技術數(shù)字簽名數(shù)字證書,4,網絡安全的四個問題,信息保密性－您的通信信息或隱私被別人偷看了嗎？信息完整性－其他人發(fā)給您的消息或者您發(fā)給其他人的消息被人篡改甚至偽造了嗎？行為不可否認(抵賴性)－其他人會否認他給您發(fā)送的信息內容嗎？身份認證性－和您通信的人是您所了解的真實的那個人嗎？,5,主要內容,網絡安全問題密碼技術數(shù)字簽名數(shù)字證書,6,對稱加密的原理,明文P(plaintext):可以理解的信息原文加密E(Encryption):用某種方法偽裝明文以隱藏真正內容的過程密文C(Ciphertext):經過加密后將明文變成不容理解的信息解密D(Decryption):將密文恢復成明文的過程加密/解密算法(Algorithm)用于加密/解密的方法(數(shù)學函數(shù))密鑰(Key):用于控制加密和解密實現(xiàn)的字符串,加密密鑰和解密密鑰相同的密碼稱之為對稱加密。,8,對稱加密的例子-愷撒密碼,傳說在公元前一世紀，古羅馬的愷撒大帝出于軍事目的發(fā)明了一種對稱密碼，我們稱之為"愷撒密碼"。這種密碼是針對26個英文字母（不區(qū)分大小寫）在字母表中的排列位置來設計的，每個字母都有一個固定的位置：,對這些字母作這樣一個變換：將每個字母變換為與它位置間隔為5的那個字母,現(xiàn)在讓我們來看看這將發(fā)生什么吧。假設愷撒在一次戰(zhàn)役中損失慘重，他需要告訴盟軍自己的處境并請求支援?，F(xiàn)在他用"愷撒密碼"加密一條消息，"IAMINDANGER"(意思是"我處境危險")，加密后將變成什么呢？根據字母轉換對照表，"IAMINDANGER"將被加密成"NFRNSIFSLJW",,10,現(xiàn)代對稱加密標準,在國際上廣泛采用的而且被證明足夠安全的對稱密碼算法有DES，AES,IDEA，RC2,RC4,RC5等，當然還有很多其它好的算法。DES(dataencryptionstandard)20世紀70年代由IBM公司研制的首個國際加密標準,它打破了以往加密算法研究的保密限制.AES2000年由美國商務部推薦的高級加密標準(密鑰長128位,DES密鑰長56位),11,對稱加密的缺點,由于對稱密碼用于加密和解密的密鑰是完全相同的，因此，當您想和誰傳遞一個秘密消息時，您不得不和他事先單獨找個地方一起協(xié)商好相互間的密鑰并非常小心地保管好它.如果和100個人通信，就要保管100個密鑰，和1000個人通信，就要保管1000個密鑰，這絕對不是一個好主意。這個問題不解決，將極大影響密碼技術在更大范圍的推廣使用。,12,公鑰加密的誕生,1976年，美國斯坦福大學的研究生Diffie和教授Hellman極富想象力和創(chuàng)造力的設想，引來了密碼學思想上的一場深刻變革。Diffie和Hellman是基于這樣一種考慮的，即用于加密和解密的密鑰是兩個不同的但又相互關聯(lián)的密鑰,13,公鑰加密—帶獨特鎖的保險箱,起初,人們把加解密比喻成利用鑰匙給堅固的保險箱上鎖開鎖。這里"帶鎖的保險箱"好比是密碼算法，可以用來保存明文文件，"鑰匙"好比是密鑰，"將明文文件放入保險箱并用鑰匙鎖上"就是加密過程，相反地，用鑰匙將"鎖有文件的保險箱"打開取出文件就是解密過程。整個過程如果沒有鑰匙，其他人即使能看到上鎖的保險箱（密文），也不可能取出該文件，從而達到了保密的效果。,14,公鑰加密—帶獨特鎖的保險箱,一般來說，對一個普通的鎖，我們總是用相同的鑰匙進行上鎖和開鎖的(對稱加密)假設有一位聰明絕頂?shù)逆i匠打造了這樣一種“獨特的鎖”，之所以說獨特，是因為這種鎖配備有兩把不同的鑰匙，而且當我們用其中一把鑰匙把鎖鎖上時，必須而且只能用另外一把鑰匙才能打開。(公鑰加密),15,公鑰加密—帶獨特鎖的保險箱,Diffie和Hellman的想法是，我們每個人都只需要保管好其中一把鑰匙并保證它是秘密和安全的，而另一把鑰匙則需要大家慷慨解囊貢獻出來，并放在一個任何人都能夠看到，都能夠取到的地方，也就是說另一把鑰匙是需要公開的。我們把上面所說的這種獨特的鎖稱為公鑰密碼（算法）（也可稱為非對稱密碼（算法）），與鎖配對的兩把鑰匙稱為密鑰，其中公開的那把鑰匙稱為公鑰，自己保管的那把鑰匙稱為私鑰。用公鑰把鎖鎖上的過程稱為公鑰加密，用私鑰把鎖打開的過程稱為私鑰解密。,16,公鑰加密—帶獨特鎖的保險箱,假設Alice要給Bob發(fā)送如下一條訂購信息,，Alice希望能絕對保密，并只讓Bob能知道。為此，Alice可把訂單放入"保險箱"（這只是一個數(shù)字保險箱，而非真實保險箱）中，并用Bob的公鑰（Alice總是能取到）給"保險箱"上鎖（加密），然后通過Internet將"保險箱"郵寄給Bob,只有Bob才能用他的私鑰打開"保險箱"閱讀訂單，任何其他人因為沒有Bob的私鑰而無法做到這一點。,17,兩種加密算法的比較,對稱密碼保險箱的誕生和使用由來已久，迄今為止，各式各樣的對稱密碼保險箱（算法）不斷被設計、被使用，目前在國際上廣泛使用的對稱密碼保險箱（算法）具有足夠的安全強度，且加解密速度非?？?，其缺點是所有這些對稱密碼保險箱（算法）均無一例外地需要事先協(xié)商好密鑰，因此帶來密鑰管理上的困難；公鑰密碼保險箱的思想自1976年由Diffie和Hellman提出來以后，在兩年后的1978年，才正式由美國麻省理工大學的三位知名教授Rivest、Shamir和Adleman等人聯(lián)合設計出來，密碼學上稱為RSA（三人名字的第一個字母）公鑰密碼系統(tǒng)。公鑰密碼用全新的方式解決了對稱密碼存在的密鑰管理難的問題，但其缺點是加密解密速度較慢,18,對稱加密與公鑰密碼的結合使用,當您要向對方傳遞一個秘密消息的時候，您臨時產生一個對稱密鑰，用對稱密碼保險箱加密消息文件，同時你用公鑰密碼保險箱加密剛才產生的對稱密鑰（因為對稱密鑰一般數(shù)據量很小，加密起來只需用很短的時間），然后您將兩個保險箱同時傳遞給對方。對方可以首先用自己的私鑰打開公鑰密碼保險箱取出對稱密鑰，然后用對稱密鑰打開對稱密碼保險箱取出消息文件閱讀。這種傳遞秘密的方式，既克服了對稱密碼需要事先商量好密鑰的問題，又彌補了公鑰密碼直接加密消息速度慢的缺點。同時，用公鑰密碼保險箱安全傳遞對稱密鑰，就好比用保密信封郵寄鑰匙一樣，因此我們形象地稱之為"數(shù)字信封"。,加密技術能幫助我們解決了前面提到的四個問題當中的第一個問題，即信息保密性問題。采用加密技術，從此我們不用再擔心通信信息或隱私被他人偷看了！,20,主要內容,網絡安全問題密碼技術數(shù)字簽名數(shù)字證書,21,網絡安全的四個問題,信息保密性－您的通信信息或隱私被別人偷看了嗎？信息完整性－其他人發(fā)給您的消息或者您發(fā)給其他人的消息被人篡改甚至偽造了嗎？行為不可否認性－其他人會否認他給您發(fā)送的信息內容嗎？身份認證性－和您通信的人是您所了解的真實的那個人嗎？,22,簡單的數(shù)字簽名和驗證過程,假名Alice要發(fā)送一個消息m給BobAlice用其私鑰對消息m加密,密文s就是Alice對消息m的簽名Alice將簽名及消息(m,s)發(fā)送給BobBob用Alice的公開密鑰對s進行解密,得到M,如果M=m,則確認s是m的有效簽名,m是由Alice發(fā)來的且沒有被篡改.,23,數(shù)字簽名的特性,數(shù)字簽名是對數(shù)字消息進行簽名,以防止消息的冒名偽造或篡改可信性:任何人都可以驗證簽名的有效性.不可偽造性:任何其他人偽造合法簽名者簽名是很團難的不可篡改性:一旦簽名的消息被篡改,任何人都可以發(fā)現(xiàn)消息與簽名之間的不一致性不可抵賴性:簽名者事后不能否認自己的簽名,還記得我們前面提到的四個問題吧？"數(shù)字簽名"是不是能解決其中的第二和第三兩個問題呢？答案是肯定的。接下來我們只剩下第四個問題需要解決，即我怎么樣才能知道和我通信的那個人就是我所了解的真實的那個人呢？看起來數(shù)字簽名也幫我們解決了這個問題，因為我們總能夠用Alice的公鑰來驗證保險箱（嘗試將其打開）是不是Alice發(fā)出的。但問題在于公鑰只是一串隨機的數(shù)字，它并沒有記錄上Alice的名字，就像我們鑰匙上不會記錄鑰匙持有人的名字一樣。前面我們反復提到，我們總是能取到Alice的公鑰，但究竟怎么取呢？我們怎么知道所取到的公鑰就是Alice的呢？換句話說，我們每個人該怎樣公布我們那把公開的鑰匙，并將鑰匙和我們的名字捆綁在一起呢？,25,主要內容,網絡安全問題密碼技術數(shù)字簽名數(shù)字證書,26,網絡信息時代的安全宣言--PKI及數(shù)字證書,公鑰基礎設施，即PKI,是通過使用公開密鑰技術和數(shù)字證書來提供網絡信息字全服務的基礎設施，其最主要的任務就是要確立可信賴的數(shù)字身份，并管理數(shù)字證書及與數(shù)字證書相對應的密鑰.換句話說，我們的公鑰是要靠PKI來公布的，公鑰與身份的綁定也要靠PKI來完成。目前，國際上已逐漸形成了一整套成熟的PKI技術標準，建設PKI這個公鑰密碼的基礎設施，就猶如20世紀80年代建設網絡的基礎設施一樣重要。,27,信任的原理,PKI的最基本原理是互相信任。在互聯(lián)網上的安全隱患中，最難解決的就是"可信任的關系"，也即"我如何才能夠被人信任？什么樣的人我才可以相信？"的問題，因為在互聯(lián)網中人們彼此不直接見面，完全處于一種虛擬的境界，"在Internet上，沒人知道你是一條狗"，這一"名言"就是對網民虛擬身份的生動寫照。PKI目前已經成為網絡信息安全的信任基礎平臺。,28,什么是認證中心（CA）？,在PKI當中，認證中心（CertificateAuthority,CA）是負責創(chuàng)建或者證明身份的可信賴的權威機構。認證中心的權威來自于國家的授權。通常，國家授權一個第三方機構負責創(chuàng)建數(shù)字身份并允許其在一定范圍內使用.被授權的認證中心在一定范圍內頒發(fā)數(shù)字證書，人們通過在網絡上彼此出示數(shù)字證書來證明各自的身份目前我們國家的認證中心是以?。ㄖ陛犑校閰^(qū)域來劃分范圍的。即國家在每個?。ɑ蚴〖壥校┒际跈喑闪⒁粋€認證中心，由它們來負責各自省內數(shù)字證書的頒發(fā)和管理，并維護各自省內的信任環(huán)境。,如圖所示，Alice和Bob都信任認證權威CA,并都擁有CA頒發(fā)的數(shù)字證書。當Alice和Bob要在網絡上通信時，他們彼此向對方出示數(shù)字證書，當雙方各自都驗證對方的數(shù)字證書是有效的之后,他們便認為彼此是值得信賴的。在這里，Alice和Bob之間的信任關系是通過第三方認證中心CA建立起來的，我們稱這種信任關系為第三方信任關系。,30,數(shù)字證書（DigitalCertificate）?,數(shù)字證書是由權威機構CA發(fā)行的一種權威性的文檔，是網絡環(huán)境中的一種身份證，用于證明某一用戶的身份以及公開密鑰的合法性。數(shù)字證書綁定了公鑰及其持有者的真實身份，它類似于現(xiàn)實生活中的居民身份證，所不同的是數(shù)字證書不再是紙質的證照，而是一段含有證書持有者身份信息并經過認證中心審核簽發(fā)的電子數(shù)據，可以更加方便靈活地運用在電子商務和電子政務中。,31,與身份證一樣，數(shù)字證書也需要發(fā)放到用戶手中。但由于數(shù)字證書不再是紙質的，而是一些電子數(shù)據，因此需要一定的存儲介質。目前，我們采用一個叫電子智能鑰匙的硬件產品（類似于U盤）存儲數(shù)字證書。電子智能鑰匙小巧美觀，攜帶方便，它保存用戶的數(shù)字證書及私鑰并能保證其安全，用戶使用時，只需將電子智能鑰匙插入電腦，就能方便地使用數(shù)字證書。目前數(shù)字證書的格式普遍采用的是X.509V3國際標準，內容包括證書序列號、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等。數(shù)字證書和居民身份證內容大致對應關系如下,數(shù)字證書（DigitalCertificate）?,33,假如您要從名叫Alice的賬戶上劃撥一筆款項，怎么樣才能夠安全地進行呢？,第一，您需要通過網絡向銀行出示您的數(shù)字證書；第二，您需要向銀行提交您的劃款請求，當然您的請求是需要放在保險箱中并用您的私鑰鎖上的（因為請求中將涉及到賬號或金額等敏感信息）。那么銀行在收到您的數(shù)字證書及劃款請求后,首先，銀行將確信數(shù)字證書的持有人就是Alice(看看數(shù)字證書中“證書持有者名稱”一項即可)；然后銀行將驗證該數(shù)字證書是否是有效的，這點和驗證居民身份證的有效性完全類似，即驗證數(shù)字證書是否在有效期之內,是否是可信的認證中心頒發(fā)的，是否有認證中心的簽名（類似于蓋章）等等；接著，銀行還將用數(shù)字證書中綁定的公鑰（類似于身份證上的照片）來驗證您向銀行提交的保險箱（里面有您的劃款請求），比如用公鑰能打開保險箱的話，則證明保險箱就是您本人，也就是Alice提交的(因為只有您才有鎖上保險箱的私鑰)，這有點類似于比對身份證上的照片和您本人，因為只有您才能照出您自己的照片。,34,什么是注冊機構（RA，RegistrationAuthority）?,注冊機構是從認證中心分離出來的專門負責對用戶身份信息進行登記審核的機構。認證中心在給用戶頒發(fā)數(shù)字證書之前，用戶需要攜帶自己的有效身份證件（個人攜帶身份證或其它有效身份證件，企業(yè)攜帶法人營業(yè)執(zhí)照等）到認證中心登記辦理，認證中心需要對其身份進行審核。但由于用戶遍及各地市，而認證中心通常只設在省級城市，這勢必會給外地用戶帶來辦理的不便。因此，認證中心通常會選擇在各地市設立注冊機構，用戶可就近在當?shù)氐淖詸C構登記辦理數(shù)字證書而不用直接到認證中心。這就像您辦理身份證，只需就近在您所在的街道派出所登記而不用親自到公安局身份證頒發(fā)中心辦理一樣。,35,什么是證書發(fā)布系統(tǒng)（DA，DistributedAuthority）？,證書發(fā)布系統(tǒng)把認證中心頒發(fā)的所有數(shù)字證書集中起來統(tǒng)一發(fā)布在一個公眾目錄服務器上，任何人都可以在這個公眾目錄服務器上查看自己想要的證書，這有點像現(xiàn)實生活中的電話號碼簿一樣，它把電話號碼集中在一塊供人查看。此外，認證中心還將維護這些自己頒發(fā)的證書，一旦發(fā)現(xiàn)有過期或失效的證書，將主動將其吊銷，并以"黑名單"（CRL）的形式發(fā)布在公眾目錄服務器上，用戶可通過查看"黑名單"獲知哪些證書是可信的，哪些證書是不可信的,37,數(shù)字證書的應用,電子商務：網上證券，網上銀行，企業(yè)ERP（企業(yè)資源計劃）系統(tǒng)，網絡遠程教育，網上購物等。電子政務：網上稅務申報，工商年檢、企業(yè)組織代碼申領、政府網上采購招標、網上審批和統(tǒng)計、企業(yè)年報、網上報關、網上駕證申請與變更等。個人應用：個人電子郵件安全，個人隱私保護，個人數(shù)據資源保護，個人計算機安全保護等。,THANKYOU！,