常用安全技術(shù)之加密技術(shù)培訓(xùn)教材(50張)課件

1、常用安全技術(shù)之加密技術(shù)劉玉潔 電子商務(wù)教研室 電子商務(wù)教研室第1頁，共51頁。加密技術(shù)1、加密技術(shù)能夠有效地解決何種網(wǎng)絡(luò)威脅問題2、加密技術(shù)的關(guān)鍵是什么？3、DES及RSA的主要區(qū)別是什么？ec第2頁，共51頁。1.引言發(fā)問：什么是密碼？第3頁，共51頁。1.引言發(fā)問：什么是密碼？不全面第4頁，共51頁。2.密碼概念密碼定義1：秘密的信息，比如：口令、暗號等2：原始信息按一定規(guī)則轉(zhuǎn)換成無法理解的特定符號明文加密方法密文加密過程第5頁，共51頁。3.加密技術(shù)的發(fā)展過程（1）古代加密階段（20世紀(jì)之前）我聞西方大士， 為人了卻凡心。 秋來明月照蓬門， 香滿禪房幽徑。 屈指靈山會后， 居然紫竹成林。

2、 童男童女拜觀音， 仆仆何嫌榮頓？ 加密方法：Steganography（隱寫術(shù)）加密特點(diǎn)：手工性、隱寫性第6頁，共51頁。3.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀(jì)初20世紀(jì)60年代）中途島海戰(zhàn)中途島“AF”加密方法：Replacement surgery（替換術(shù)）加密特點(diǎn)：機(jī)械性、替換性日本紫密密碼：第7頁，共51頁。3.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀(jì)初20世紀(jì)60年代）例1：Caesar replacement （凱撒替換）替換規(guī)則：字母錯開X位，比如3位ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：

3、 CHINA密文： FLMQD第8頁，共51頁。3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（ 20世紀(jì)60年代至今）密碼：光復(fù)一號（蘇聯(lián)數(shù)學(xué)家制造）加密方法：Calculation technique （計(jì)算術(shù)）加密特點(diǎn)：信息化、計(jì)算化第9頁，共51頁。3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（ 20世紀(jì)60年代至今） RSA加密技術(shù)第1步：找兩個大素?cái)?shù)P和Q，N=PQ，M=（P-1）（Q-1） 第2步：找一個和M互素的整數(shù)E（E是公鑰）第3步：找一個整數(shù)D，即ED mod M=1（D是私鑰）加密方法：明文T，密文C C=TD mod N第10頁，共51頁。3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階

4、段（ 20世紀(jì)60年代至今） RSA加密技術(shù)1：設(shè) p=7，q=17，n=7 17=119，m=(7-1)(17-1)=962：隨機(jī)找個e=5（公鑰=5）3：計(jì)算d，( d 5) mod 96=1，d=77（私鑰=77） 明文：T=19密文：C=195 mod 119 = 66 第11頁，共51頁。（二）加密技術(shù)一個密碼體制由明文、密文、密鑰與加密運(yùn)算這四個基本要素構(gòu)成。圖7-1顯示了一個明文加密解密的過程。 ec第12頁，共51頁。加密術(shù)語明文(cleartext) 最初的原始信息。密文(ciphertext) 被加密信息打亂后的信息。算法(algorithm) 將明文改為密文的方法。密鑰(

5、key)將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。加密(encryption) 將明文轉(zhuǎn)換為密文的過程。解密(decryption) 將密文轉(zhuǎn)換為明文的過程。ec第13頁，共51頁。密鑰體制密鑰是用戶按照一種密碼體制隨機(jī)選取的一個字符串，是控制明文和密文變換的唯一參數(shù)。根據(jù)密鑰類型不同將現(xiàn)代密碼技術(shù)分為兩類：1.單密鑰體制加密密鑰和解密密鑰相同或本質(zhì)相同的體制被稱為單密鑰加密體制。其特點(diǎn)是運(yùn)算速度快，適合于加解密傳輸中的信息。如美國的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES算法）。2.公鑰體制指加密密鑰和解密密鑰不相同且從其中一個很難推斷出另一個的體制。公鑰密碼體制可以使通信雙方無須事先交換密鑰就可以

6、建立安全通信。公鑰體制廣泛地用于CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域。ec第14頁，共51頁。數(shù)據(jù)加密標(biāo)準(zhǔn)DES：基于私有密鑰體制的信息認(rèn)證基于私有密鑰(Private Key，私鑰)體制的信息認(rèn)證是一種傳統(tǒng)的信息認(rèn)證方法。這種方法采用對稱加密算法，也就是說，信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。由于通信雙方共享同一密鑰，因而通信的乙方可以確定信息是由甲方發(fā)出的。這是一種最簡單的信息來源的認(rèn)證方法。下圖是對稱加密示意圖。ec第15頁，共51頁。對稱加密示意圖 會話密鑰會話密鑰密

7、鑰預(yù)分配明文密文明文密文密文明文ec第16頁，共51頁。對稱加密算法在電子商務(wù)交易過程中存在三個問題：(1) 要求提供一條安全的渠道使通信雙方在首次通信時(shí)協(xié)商一個共同的密鑰。直接的面對面協(xié)商可能是不現(xiàn)實(shí)而且難于實(shí)施的，因此雙方可能需要借助于郵件和電話等其它相對不夠安全的手段來進(jìn)行協(xié)商。 (2) 密鑰的數(shù)目將快速增長而變得難以管理，因?yàn)槊恳粚赡艿耐ㄐ艑?shí)體需要使用不同的密鑰，這很難適應(yīng)開放社會中大量信息交流的要求。(3) 對稱加密算法一般不能提供信息完整性鑒別。 對稱加密方法DESec第17頁，共51頁?；诠_密鑰體制的信息認(rèn)證1976年，美國學(xué)者Diffie和Hellman 為解決信息公開傳

8、送和密鑰管理問題，提出了一種密鑰交換協(xié)議，允許通信雙方在不安全的媒體上交換信息，安全地達(dá)成一致的密鑰，這就是“公開密鑰體系”。 與對稱加密算法不同，公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰公開密鑰(Public Key，公鑰)和私有密鑰。如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，則只有用對應(yīng)的私有密鑰才能進(jìn)行解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，則只有用對應(yīng)的公開密鑰才能解密。圖12-3是使用公鑰加密和用對應(yīng)的私鑰解密的示意圖。非對稱加密方法RSAec第18頁，共51頁。圖 使用公鑰加密和對應(yīng)的私鑰解密的示意圖 生成會話密鑰數(shù)字信封數(shù)字信封明文明文密文密文目錄用戶B的私鑰用戶B的

9、公鑰ec第19頁，共51頁。密鑰管理技術(shù)加密體系中有兩個基本要素：加密算法和密鑰管理。其中密鑰是控制加密算法和解密算法的關(guān)鍵。存放密鑰的媒體有各種磁卡、磁盤、閃盤、智能卡等存儲介質(zhì)，他們很易被盜或損壞。因而密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。ec第20頁，共51頁。密鑰管理創(chuàng)建Your TextYour Text分發(fā)Your TextYour Text保護(hù)Your TextYour Text吊銷Your TextYour Text1234ec第21頁，共51頁。兩種管理技術(shù)比較1. 對稱密鑰管理優(yōu)點(diǎn)：即使泄露了一把密鑰也只會影響一筆交易,而不會對其它的交易產(chǎn)生影

10、響。2. 公開密鑰管理優(yōu)點(diǎn)：用于解密的私鑰不需發(fā)往別處，因而即使公鑰被截獲，因?yàn)闆]有與其匹配的私鑰，也無法解讀加密信息。另外還可用它進(jìn)行身份驗(yàn)證。ec第22頁，共51頁。安全認(rèn)證技術(shù)數(shù)字摘要數(shù)字簽名數(shù)字水印數(shù)字時(shí)間戳生物統(tǒng)計(jì)識別安全認(rèn)證技術(shù)數(shù)字證書ec第23頁，共51頁。1. 數(shù)字摘要數(shù)字摘要(digital digest)又稱安全Hash編碼法。其原理是采用單向Hash(哈希)函數(shù)將需加密的明文進(jìn)行某種變換運(yùn)算，得到固定長度的摘要碼。不同的明文摘要轉(zhuǎn)成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。 該算法與公鑰加密系統(tǒng)聯(lián)合使用，就可以生成一個與傳入的保密文件相關(guān)的數(shù)字簽名。安全認(rèn)證技術(shù)

11、ec第24頁，共51頁。2、 數(shù)字簽名 在網(wǎng)絡(luò)環(huán)境中，由于參與交易的各方在整個交易過程中有可能自始至終不見面，因此多采用數(shù)字簽名方式來解決這個問題。 (1)概念：加密后的數(shù)字摘要 數(shù)字簽名是指通過使用非對稱加密系統(tǒng)和哈希函數(shù)來變換電子記錄的一種電子簽名。 人們可以準(zhǔn)確地判斷信息的變換是否是使用與簽名人公開密匙相配的私人密匙作成的，進(jìn)行變換后初始電子記錄是否被改動過。 安全認(rèn)證技術(shù)ec第25頁，共51頁。2、 數(shù)字簽名 數(shù)字簽名與用戶的姓名及手寫簽名形式毫無關(guān)系，它實(shí)際上是采用了非對稱加密技術(shù)，用信息發(fā)送者的私鑰變換所需傳輸?shù)男畔?，因而不能?fù)制，安全可靠。安全認(rèn)證技術(shù)ec第26頁，共51頁。2、

12、 數(shù)字簽名 （2）實(shí)現(xiàn)方法 實(shí)現(xiàn)數(shù)字簽名的方法有多種，目前采用較多的技術(shù)有兩類： 一類是對稱加密，要求雙方具有共享的密鑰,只有在雙方都知道密鑰的情況下才能使用。 另一類是非對稱加密： 如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能進(jìn)行解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，則只有用對應(yīng)的公開密鑰才能解密。因此，通常一個用戶擁有兩個密鑰對。安全認(rèn)證技術(shù)ec第27頁，共51頁。2、 數(shù)字簽名 (3)數(shù)字簽名文檔的法律地位 中華人民共和國電子簽名法2004年8月28日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，該法自2005年4月1日起施行。安全認(rèn)證技術(shù)ec第28頁，共51頁。3、數(shù)字水印

13、 由于圖形、圖像、視頻和聲音等數(shù)字信息很易通過網(wǎng)絡(luò)、CD進(jìn)行傳遞與復(fù)制，存在非法拷貝、傳播或篡改有版權(quán)的作品的問題，因此，能對數(shù)字產(chǎn)品實(shí)施有效的版權(quán)保護(hù)及信息保密的數(shù)字水印技術(shù)應(yīng)運(yùn)而生。 （1）概念 數(shù)字水印技術(shù)是通過一定的算法將數(shù)字、序列號、文字、圖像標(biāo)志等版權(quán)信息嵌入到多媒體數(shù)據(jù)中，但不影響原內(nèi)容的價(jià)值和使用，并且不能被人的感知系統(tǒng)覺察或注意到。安全認(rèn)證技術(shù)ec第29頁，共51頁。3、數(shù)字水印 （1）概念 被其保護(hù)的信息可以是任何一種數(shù)字媒體，如軟件、圖像、音頻、視頻或一般性的電子文檔等。 在產(chǎn)生版權(quán)糾紛時(shí)，可通過相應(yīng)的算法提取出該數(shù)字水印，從而驗(yàn)證版權(quán)的歸屬，確保媒體著作權(quán)人的合法利益，

14、避免非法盜版的威脅。安全認(rèn)證技術(shù)ec第30頁，共51頁。3、數(shù)字水印 (2) 數(shù)字水印的應(yīng)用 信息隱藏及數(shù)字水印技術(shù)在版權(quán)保護(hù)、真?zhèn)舞b別、隱藏通信、標(biāo)志隱含等方面具有重要的應(yīng)用價(jià)值，有著巨大的商業(yè)前景。安全認(rèn)證技術(shù)ec第31頁，共51頁。4. 時(shí)間戳在電子商務(wù)交易文件中，時(shí)間是十分重要的信息。同書面文件類似，文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時(shí)間戳服務(wù)(Digita1 Time Stamp sever，DTS)是網(wǎng)上電子商務(wù)安全服務(wù)項(xiàng)目之一，它能提供電子文件的日期和時(shí)間信息的安全保護(hù)。 安全認(rèn)證技術(shù)ec第32頁，共51頁。4. 時(shí)間戳?xí)r間戳（time-stamp）是一

15、個經(jīng)加密后形成的憑證文檔，它包括三個部分： （1） 需加時(shí)間戳的文件的摘要（digest）。 （2） DTS收到文件的日期和時(shí)間。 （3）DTS的數(shù)字簽名。 時(shí)間戳將日期和時(shí)間與數(shù)字文檔以加密的方式關(guān)聯(lián)。數(shù)字時(shí)間戳可用于證明電子文檔在其時(shí)間戳所述的時(shí)間期限內(nèi)有效。安全認(rèn)證技術(shù)/dealer.do?method=myDealerec第33頁，共51頁。 5、數(shù)字證書 根據(jù)聯(lián)合國電子簽字示范法第一條，“證書”系指可證實(shí)簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄。中華人民共和國電子簽名法規(guī)定，電子簽名認(rèn)證證書是指可證實(shí)電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄。安全認(rèn)證技術(shù)

16、ec第34頁，共51頁。圖數(shù)字證書的組成 證書格式版本證書序列號碼(證書識別號)簽字法識別符(發(fā)證機(jī)構(gòu))證書發(fā)行機(jī)構(gòu)名使用期限(起止日期、時(shí)間)主體名主體公司信息 算法識別 公鑰值發(fā)證者身份識別符主體者身份識別符證實(shí)機(jī)構(gòu)簽字?jǐn)?shù)字簽字證實(shí)機(jī)構(gòu)的簽字密鑰證書ec第35頁，共51頁。帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng)安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書，其基本流程如下圖所示。ec第36頁，共51頁。圖12-11 帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng) ec第37頁，共51頁。四、安全體系構(gòu)建素材網(wǎng)收集提供,版權(quán)歸原作者所有第38頁，共51頁。（一）構(gòu)建安全體系一個完善的網(wǎng)絡(luò)安全體系必須合

17、理地協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護(hù)、監(jiān)控和恢復(fù)三種技術(shù)。 國外的一項(xiàng)安全調(diào)查顯示，超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部，其危害程度更是遠(yuǎn)遠(yuǎn)超過黑客攻擊及病毒造成的損失，而這些威脅絕大部分是內(nèi)部各種非法和違規(guī)的操作行為所造成的。1、集中管理的認(rèn)證機(jī)制 對網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等信息系統(tǒng)而言，只有明確了訪問者的身份，才可決定提供何種相應(yīng)的服務(wù),才可能采用正確的安全策略實(shí)現(xiàn)訪問控制、安全審計(jì)等安全功能。 ec第39頁，共51頁。（一）構(gòu)建安全體系2、集中權(quán)限分配與管理 集中授權(quán)管理，是指集中對用戶使用信息系統(tǒng)資源的權(quán)限進(jìn)行合理分配，并在此基礎(chǔ)上實(shí)現(xiàn)不同用戶對系統(tǒng)不同部分資源的訪問控制。具體來說

18、，就是集中實(shí)現(xiàn)對各用戶（主 3、高效靈活的策略化審計(jì)與響應(yīng)機(jī)制 審計(jì)和響應(yīng)功能可以簡單地描述為：某個特定的網(wǎng)絡(luò)資源或服務(wù)（如主機(jī)、服務(wù)器、數(shù)據(jù)庫、FTP、Telnet等）可以（或不可以）被某個特定的用戶怎樣地訪問，這需要審計(jì)系統(tǒng)具有很強(qiáng)的針對性和準(zhǔn)確性，具體說來，針對具體的應(yīng)用需求，如系統(tǒng)維護(hù)操作、數(shù)ec第40頁，共51頁。思考思考題：怎樣進(jìn)行網(wǎng)絡(luò)安全體系設(shè)計(jì)？如何實(shí)施網(wǎng)絡(luò)安全體系？ec第41頁，共51頁。（二）綜合安全體系1、設(shè)計(jì)原則（1） “木桶”原則，即根據(jù)系統(tǒng)中最薄弱的地方最易受到攻擊的原則，有效防止最常見的攻擊手段。（2）整體性原則，即對系統(tǒng)建立安全防護(hù)機(jī)制、安全監(jiān)測機(jī)制、安全恢復(fù)機(jī)

19、制三種控制機(jī)制，以提高系統(tǒng)的整體防御能力。（3） 一致性與易操作性原則，即制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致且易于操作。ec第42頁，共51頁。（二）綜合安全體系1、設(shè)計(jì)原則（4）動態(tài)化原則，即安全措施應(yīng)具有良好的可擴(kuò)展性，能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化。 （5）安全性評價(jià)原則，即對網(wǎng)絡(luò)安全系統(tǒng)是否安全的評價(jià)決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境。（6）等級性原則，即應(yīng)針對不同的安全對象進(jìn)行分級，包括：對信息保密程度、用戶操作權(quán)限、網(wǎng)絡(luò)安全程度、系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級。ec第43頁，共51頁。2、安全體系設(shè)計(jì)內(nèi)容制定安全管理措施。 建立安全模型。 制定完備的安全策略。 確定面臨的各種

20、攻擊和風(fēng)險(xiǎn)。 ec第44頁，共51頁。3、安全設(shè)備的選擇安全設(shè)備安全實(shí)用性價(jià)比路由器攻防檢測產(chǎn)品防火墻殺毒軟件ec第45頁，共51頁。（三）網(wǎng)絡(luò)安全體系的實(shí)施首先，對網(wǎng)絡(luò)安全的重要性要有一個清醒的認(rèn)識，對必購的安全產(chǎn)品要舍得購買。其次，要加強(qiáng)外部防范，對一些重要設(shè)備（如主機(jī)、服務(wù)器等）獨(dú)立存放。第三，識別并驗(yàn)證用戶，將用戶的訪問限制在授權(quán)的活動和資源范圍之內(nèi)。第四，人事控制，對欲雇用人員做背景審查，對新雇人員進(jìn)行安全培訓(xùn)。ec第46頁，共51頁。（三）網(wǎng)絡(luò)安全體系的實(shí)施第五，操作控制，防止網(wǎng)絡(luò)系統(tǒng)及其管理人員出現(xiàn)失誤及對出錯后的恢復(fù)操作。第六，服務(wù)器控制，為文件服務(wù)器購買防火墻、配置備份服務(wù)器

21、等。第七，工作站控制，如使用無盤工作站；對工作站的每個用戶設(shè)置登錄口令等。第八，防止無意識信息泄露，如對PC機(jī)安裝屏幕消隱程序，剪碎被廢棄的有價(jià)值的信息等。ec第47頁，共51頁。（四）網(wǎng)絡(luò)安全的控制標(biāo)準(zhǔn)TextTextText美國7個安全級別,從低到高依次為D、C1、C2、B1、B2、B3和A級。 中國5個等級:自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。 TextTextec第48頁，共51頁。4.小結(jié) 本節(jié)課主要內(nèi)容：（1）密碼的概念；（2）加密技術(shù)發(fā)展階段以及各階段的加密方法。 ec第49頁，共51頁。謝 謝！電子商務(wù)教研室第50頁，共51頁。激勵學(xué)生學(xué)習(xí)的名言格言220、每一個成功者都有一個開始。勇于開始，才能找到成功的路。221、世界會向那些有目標(biāo)和遠(yuǎn)見的人讓路（馮兩努香港著名推銷商）222、絆腳石乃是進(jìn)身之階。223、銷售世界上第一號的產(chǎn)品不是汽車，而是自己。在你成功地把自己推銷給別人之前，你必須百分之百的把自己推銷給自己。224、即使爬到最高的山上，一次也只能腳踏實(shí)地地邁一步。225、積極思考造成積極人生，消極思考造成消極人生。226、