專題三 電子商務(wù)安全技術(shù)

1、專題三 電子商務(wù)安全技術(shù)第1頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日 2、網(wǎng)絡(luò)安全的基本要求 電子商務(wù)所需的七種安全性要求：保密性認(rèn)證性完整性可訪問(wèn)性防御性無(wú)否認(rèn)性合法性其中保密性、完整性和不可否認(rèn)性最為關(guān)鍵。第2頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日二、網(wǎng)絡(luò)安全面臨的威脅 對(duì)網(wǎng)絡(luò)安全的威脅主要有以下四個(gè)方面 網(wǎng)絡(luò)部件的不安全因素 軟件的不安全因素 工作人員的不安全因素 環(huán)境的不安全因素 第3頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日1、網(wǎng)絡(luò)部件的不安全因素電磁泄漏搭線竊聽非法終端非法入侵注入非法信息線路干擾意外原因病毒入侵第4頁(yè)，共60頁(yè)，20

2、22年，5月20日，1點(diǎn)25分，星期日2、軟件的不安全因素 網(wǎng)絡(luò)軟件安全功能不健全軟件的安全保護(hù)措施使用不當(dāng)數(shù)據(jù)的存取權(quán)限控制不當(dāng)資料標(biāo)定的不妥當(dāng)程序員對(duì)程序變更記錄、業(yè)務(wù)記錄、程序備份等工作考慮欠妥軟件變更不當(dāng)?shù)?頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日3、工作人員的不安全因素 保密觀念不強(qiáng)或不懂保密守則，隨便泄漏機(jī)密。業(yè)務(wù)不熟練，操作失誤或未遵守操作規(guī)程而造成泄密。規(guī)章制度不健全造成人為泄密事件。素質(zhì)差，缺乏責(zé)任心熟悉系統(tǒng)的工作人員故意改動(dòng)軟件或用非法的手段訪問(wèn)系統(tǒng)。系統(tǒng)操作人員超越權(quán)限的非法行為。利用系統(tǒng)故障或軟硬件錯(cuò)誤非法訪問(wèn)系統(tǒng)或破壞系統(tǒng)。利用管理上的漏洞非法獲取系統(tǒng)

3、和用戶信息。第6頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日4、環(huán)境因素 地震、火災(zāi)、水災(zāi)等自然災(zāi)害的威脅斷電、停電等意外事故信息安全威脅的來(lái)源： 60% 以上來(lái)自內(nèi)部30%左右來(lái)自物理部件來(lái)自外部的還不到10% 各種威脅對(duì)網(wǎng)絡(luò)安全性的影響見下表 第7頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日威脅保密性完整性可訪問(wèn)性法律/倫理認(rèn)證性不可否認(rèn)性防御性后門犯大錯(cuò)誤數(shù)據(jù)泄漏拒絕使用輻射盜用自然災(zāi)害偽造詐騙硬件故障假冒不準(zhǔn)確信息數(shù)據(jù)程序破壞邏輯炸彈第8頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日虛報(bào)錯(cuò)誤處理網(wǎng)絡(luò)分析器超負(fù)荷附加負(fù)載侵犯專利權(quán)編程錯(cuò)誤破壞活動(dòng)廢物利用

4、超級(jí)處理偷竊行為特洛伊木馬版本控制病毒搭線竊聽第9頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日三、網(wǎng)絡(luò)安全對(duì)策 1、技術(shù)對(duì)策 （）網(wǎng)絡(luò)安全檢測(cè)設(shè)備 網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)SAFEsuite（P129） “黑客入侵防范軟件”（）訪問(wèn)設(shè)備 美國(guó)GSA開發(fā)的Internet安全磁盤 Security Dynamics公司生產(chǎn)的SecuID Card（安全認(rèn)證卡） Dallas半導(dǎo)體公司的微型iButton數(shù)字輔助設(shè)備第10頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日（3）瀏覽器/服務(wù)器軟件將ssl協(xié)議與瀏覽器結(jié)合（4）證書國(guó)際上最著名的證書授權(quán)部門是VeriSign。（5）安全型的

5、商業(yè)軟件（6）防火墻著名的防火墻產(chǎn)品： Fire Wall-1(CheckPoint公司的產(chǎn)品） GANUTLET(基于代理技術(shù)) ANS INTERLOCK 網(wǎng)絡(luò)衛(wèi)士（7）安全工具包/軟件（8）保護(hù)傳輸線路安全第11頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日（9）防入侵措施（10）數(shù)據(jù)加密（11）訪問(wèn)控制（12）鑒別機(jī)制（13）路由選擇機(jī)制（14）通信流控制（15）數(shù)據(jù)完整性（16）端口保護(hù)第12頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日2、管理對(duì)策（1）人員管理制度嚴(yán)格網(wǎng)絡(luò)營(yíng)銷人員選拔落實(shí)工作責(zé)任制貫徹電子商務(wù)安全運(yùn)作基本原則 多人負(fù)責(zé)原則 任期有限原則 最小權(quán)

6、限原則（2）保密制度信息的安全級(jí)別 絕密級(jí) 機(jī)密級(jí) 敏感級(jí)（3）跟蹤、審計(jì)、稽核制度第13頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日（4）網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度硬件的日常維護(hù)和管理 網(wǎng)絡(luò)設(shè)備 服務(wù)器和客戶機(jī) 通信線路軟件的日常維護(hù)和管理 支撐軟件 應(yīng)用軟件數(shù)據(jù)備份制度（5）病毒防范制度（6）應(yīng)急措施硬件的恢復(fù)數(shù)據(jù)的恢復(fù)瞬時(shí)復(fù)制技術(shù)遠(yuǎn)程磁盤鏡像技術(shù) 數(shù)據(jù)庫(kù)恢復(fù)技術(shù)第14頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日四、通信安全性的分層網(wǎng)絡(luò)安全性是由數(shù)據(jù)的安全性和通信的全性兩大部風(fēng)構(gòu)成。數(shù)據(jù)的安全性是一組程序和功能，用來(lái)阻止對(duì)數(shù)據(jù)進(jìn)行非授權(quán)泄露、轉(zhuǎn)移、修改和破壞。通信安全性

7、是一種保護(hù)措施，要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施，可以拒絕非授權(quán)的人員在電信中獲取有價(jià)值的信息。通信安全性的主要內(nèi)容：保密安全性傳輸安全性輻射安全性物理安全性第15頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日通信安全性的分層：數(shù)據(jù)文件加密數(shù)據(jù)通信加密硬接線終端網(wǎng)絡(luò)用戶驗(yàn)證文件訪問(wèn)限制文件口令機(jī)長(zhǎng)號(hào)碼與口令中斷訪問(wèn)最高安全性最低安全性安全性增加安全性降低第16頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日五、OSI安全體系結(jié)構(gòu)1、開放系統(tǒng)互連參考模型Application7Network Processes to Aplications應(yīng)用層Pres

8、entation6Data Representation表示層Session5Interhost Communication會(huì)話層Transport4End-to-end Cnnnections傳輸層Network3Address and best Path網(wǎng)絡(luò)層Data Link2Access to Media鏈路層Physical1Binary Transmmision Wires,Connectors,Voltages,Data Rates物理層第17頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日2、安全業(yè)務(wù)安全業(yè)務(wù)是為增強(qiáng)信息系統(tǒng)和一個(gè)組織信息傳送的安全性而提供的活動(dòng)或活動(dòng)規(guī)

9、定。在OSI模型中規(guī)定的安全業(yè)務(wù)有五類：保密性鑒別完整性不可抵賴訪問(wèn)控制安全業(yè)務(wù)與OSI各層的關(guān)系第18頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日OSI的層安全業(yè)務(wù)保密性鑒別數(shù)據(jù)完整性不可地賴訪問(wèn)控制應(yīng)用層YYYYY表示層YY會(huì)話層傳輸層YYYY網(wǎng)絡(luò)層YYYY數(shù)據(jù)鏈路層Y物理層Y第19頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日3、安全機(jī)制安全機(jī)制指動(dòng)作規(guī)程、軟硬件特征、管理規(guī)程以及他們的任意組合，用于檢測(cè)和防止對(duì)信息系統(tǒng)任何部分的被動(dòng)或主動(dòng)威脅。安全業(yè)務(wù)與安全機(jī)制之間的關(guān)系第20頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日安全業(yè)務(wù)安全機(jī)制加密數(shù)字簽名訪問(wèn)

10、控制數(shù)據(jù)完整性鑒別業(yè)務(wù)量填充路由選擇控制公證保密性完整性鑒別訪問(wèn)控制不可抵賴性第21頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日第二節(jié)防火墻與網(wǎng)絡(luò)安全一、Internet服務(wù)及安全對(duì)策1、Internet的主要服務(wù)（1）基本服務(wù)E-mail服務(wù) FTP服務(wù) Telnet服務(wù)USENET NEWS服務(wù) WWW服務(wù)（2）應(yīng)用服務(wù)電子購(gòu)物 電子決策 信息提供服務(wù)網(wǎng)絡(luò)營(yíng)銷 網(wǎng)上支付 網(wǎng)上拍賣 網(wǎng)上炒股等第22頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日2、Internet的安全對(duì)策（1）電子郵件的安全對(duì)策實(shí)現(xiàn)電子郵件安全的手段是加密和簽名。PEM(privacy enhance

11、d mail)和PGP(pretty goog privacy)是實(shí)現(xiàn)電子郵件安全的兩個(gè)代表性的策略。（2）WWW服務(wù)器和客戶間的安全對(duì)策SHTTP和SSL是兩個(gè)著名的WWW服務(wù)器和客戶間的安全對(duì)策。（3）為實(shí)現(xiàn)應(yīng)用服務(wù)安全的加密與簽名技術(shù)SET標(biāo)準(zhǔn)。（4）Internet與Intranet的安全對(duì)策防火墻技術(shù)第23頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日二、防火墻的概念與體系結(jié)構(gòu) 防火墻是用來(lái)連接兩個(gè)網(wǎng)絡(luò)并控制兩個(gè)網(wǎng)絡(luò)之間相互訪問(wèn)的系統(tǒng)，如下圖所示。它包括用于網(wǎng)絡(luò)連接的軟件和硬件以及控制訪問(wèn)的方案。用于對(duì)進(jìn)出的所有數(shù)據(jù)進(jìn)行分析，并對(duì)用戶進(jìn)行認(rèn)證，從而防止有害信息進(jìn)入受保護(hù)網(wǎng)，

12、為網(wǎng)絡(luò)提供安全保障。第24頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日1、防火墻的概念理論上防火墻概念指的是提供對(duì)網(wǎng)絡(luò)的存取控制功能，保護(hù)信息資源，避免不正當(dāng)?shù)拇嫒?。物理上，防火墻是Internet和Intranet間設(shè)置的一種過(guò)濾器、限制器。2、防火墻的分類根據(jù)連接方式分類： 分組過(guò)濾型 應(yīng)用網(wǎng)關(guān)型（或代理服務(wù)器型) 電路層網(wǎng)關(guān)型第25頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日根據(jù)構(gòu)成方式分類 有屏蔽的子網(wǎng)型 多宿主機(jī)型 堡壘主機(jī)型第26頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日有屏蔽的子網(wǎng)型防火墻局域網(wǎng)internetISP路由分組過(guò)濾路由有屏蔽的子

13、網(wǎng)第27頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日局域網(wǎng)internetISP路由多宿主機(jī)多宿主機(jī)型防火墻有屏蔽的子網(wǎng)第28頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日局域網(wǎng)internetISP路由分組過(guò)濾路由堡壘主機(jī)堡壘主機(jī)型防火墻有屏蔽的子網(wǎng)第29頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日三、防火墻的優(yōu)點(diǎn)與用途理想的防火墻應(yīng)該具有高度安全性、高度透明性及良好的網(wǎng)絡(luò)性能，而這些特性本身互相制約、互相影響。防火墻發(fā)展的方向之一是設(shè)計(jì)融合分組過(guò)濾和代理范圍優(yōu)先的新型防火墻。1、防火墻可以作為內(nèi)部網(wǎng)絡(luò)的安全屏障。2、防火墻限制Intranet對(duì)Intern

14、et 的暴露程度，避免Internet的安全問(wèn)題對(duì)Intranet 的傳播。3、防火墻是設(shè)置網(wǎng)絡(luò)地址翻譯器NAT的最佳位置。第30頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日四、防火墻的設(shè)計(jì)1、基本的防火墻設(shè)計(jì)涉及防火墻時(shí)應(yīng)該考慮的幾個(gè)關(guān)鍵問(wèn)題： 防火墻的姿態(tài) 結(jié)構(gòu)的整體安全策略 防火墻的經(jīng)濟(jì)費(fèi)用 防火墻系統(tǒng)的組件和構(gòu)件（1）防火墻的姿態(tài)防火墻的姿態(tài)從根本上闡述了一個(gè)機(jī)構(gòu)對(duì)安全的看法。Internet防火墻可能扮演兩種截然不同的姿態(tài)： 允許沒有特別拒絕的任何事情 拒絕沒有特別允許的任何事情第31頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日（2）機(jī)構(gòu)的安全策略機(jī)構(gòu)的安全策

15、略必須考慮方方面面，進(jìn)行安全分析、風(fēng)險(xiǎn)評(píng)估和商業(yè)需求分析。（3）防火墻的經(jīng)濟(jì)費(fèi)用在保證基本安全需求的基礎(chǔ)之上費(fèi)用最低。（4）防火墻的組件典型的防火墻由一個(gè)或多個(gè)構(gòu)建組成：組過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)（或代理服務(wù)器）和電路層網(wǎng)關(guān)。2、基于分組過(guò)濾的防火墻設(shè)計(jì)作為過(guò)濾的項(xiàng)目有：IP地址（源地址、目的地址）、協(xié)議（TCP、UDP、ICMP）和接口（源接口、目的接口）。第32頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日3、基于代理服務(wù)的防火墻設(shè)計(jì)代理系統(tǒng)包括兩個(gè)部分：代理服務(wù)程序和客戶程序。所謂代理就是指進(jìn)行存取控制和過(guò)濾的程序，是位于客戶機(jī)與服務(wù)器之間的中繼。4、虛擬專用網(wǎng)在Internet

16、上接續(xù)了具有加密功能的路由和防火墻，把網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行加密后再傳送，這種方法叫虛擬專用網(wǎng)功能。第33頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日五、防火墻技術(shù)的發(fā)展1、ATM防火墻關(guān)于ATM防火墻的兩種爭(zhēng)議： ATM防火墻系統(tǒng)在建立呼叫時(shí)需要具備確認(rèn)裝置。利用公用密鑰辦法對(duì)ATM單元層進(jìn)行加密，不需要確認(rèn)裝置。2、智能化的防火墻與侵襲監(jiān)視系統(tǒng)3、病毒防火墻4、動(dòng)態(tài)防火墻技術(shù)與WEB安全性5、防火墻的新紀(jì)元每個(gè)系統(tǒng)都有自己的防火墻第34頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日 SET，即安全電子交易協(xié)議 （SET Secure Electronic Transacti

17、on） 第三節(jié) 安全認(rèn)證協(xié)議及加密技術(shù)一、 SET協(xié)議 SET最初是由VISA CARD 和MASTER CARD合作開發(fā)完成的，其它合作開發(fā)伙伴還包括GTE、IBM、Microsoft、Netscape、SAIC、Terisa和VeriSign等。 SET協(xié)議主要使用的技術(shù)包括： 對(duì)稱密鑰加密、公共密鑰加密、哈希（HASH）算法、數(shù)字簽名技術(shù)以及公共密鑰授權(quán)機(jī)制等。 SET采用RSA公開密鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，利用DES、RC4或任何標(biāo)準(zhǔn)對(duì)稱加密方法進(jìn)行信息的加密傳輸，并用HASH算法來(lái)鑒別消息真?zhèn)危袩o(wú)涂改。 第35頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日SET體系中有

18、一個(gè)關(guān)鍵的認(rèn)證機(jī)構(gòu)（CA），CA根據(jù)X.509標(biāo)準(zhǔn)發(fā)布和管理證書。SET協(xié)議運(yùn)行的目標(biāo) 保障信息傳遞的安全性 保密性 保證交易各方身份的真實(shí)性 保證網(wǎng)上交易的實(shí)時(shí)性 標(biāo)準(zhǔn)化、規(guī)范化 SET協(xié)議涉及的對(duì)象 消費(fèi)者 在線商店 收單銀行 電子貨幣發(fā)行機(jī)構(gòu) 認(rèn)證中心（CA） 第36頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日 安全套接層協(xié)議 SSL （ SSL Secure Sockets Layer）二、 SSL協(xié)議 SSL協(xié)議提供的服務(wù)可以歸納為以下三個(gè)方面： 用戶和服務(wù)器的合法性認(rèn)證 數(shù)據(jù)加密 維護(hù)數(shù)據(jù)的完整性SSL協(xié)議層包括兩個(gè)協(xié)議子層：SSL記錄協(xié)議與SSL握手協(xié)議 （1）SSL

19、記錄協(xié)議基本特點(diǎn) 連接是專用的 連接是可靠的 （2）SSL握手協(xié)議基本特點(diǎn) 能對(duì)通信雙方的身份的認(rèn)證 進(jìn)行協(xié)商的雙方的秘密是安全的 協(xié)商是可靠的 第37頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日SSL安全技術(shù)在互聯(lián)網(wǎng)服務(wù)器和客戶機(jī)間提供了安全的TCP/IP通道。 SSL可用于加密任何基于TCP/IP的應(yīng)用，如HTTP、Telnet、FTP等。 在復(fù)雜的電子商務(wù)應(yīng)用中，往往采取SET和SSL結(jié)合的做法SSL協(xié)議屬于網(wǎng)絡(luò)對(duì)話層的標(biāo)準(zhǔn)協(xié)議，而SET協(xié)議是在對(duì)話層之上的應(yīng)用層的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議 比較有名的安全協(xié)議 CommerceNet提出的S-HTTP Phillip Hallam-Bak

20、er of CERN提出的Shen 它們都是針對(duì)Web應(yīng)用中著名的HTTP協(xié)議 的安全漏洞而提出的一種高層解決方案第38頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日三、 加密技術(shù)介紹 加密技術(shù)：計(jì)算機(jī)加密技術(shù)是解決計(jì)算機(jī)數(shù)據(jù)的加密及其解密的技術(shù)，它是數(shù)學(xué)和計(jì)算機(jī)學(xué)的交叉技術(shù)任何加密系統(tǒng)無(wú)論其形式多么復(fù)雜，至少應(yīng)包括以下四個(gè)組成部分： 待加密的報(bào)文，也稱明文 加密后的報(bào)文，也稱密文 加密、解密裝置或算法 用于加密和解密的鑰匙，簡(jiǎn)稱密鑰所謂加密就是通過(guò)密碼算術(shù)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)化，使之成為沒有正確密鑰任何人都無(wú)法讀懂的報(bào)文 密鑰：加密和解密過(guò)程中使用的加解密可變參數(shù)第39頁(yè)，共60頁(yè)，202

21、2年，5月20日，1點(diǎn)25分，星期日明文MAC明文明文隨機(jī)產(chǎn)生密鑰用自己的私人密鑰對(duì)MAC加密形成電子簽名用商家的公開密鑰對(duì)密鑰加密用消費(fèi)者的公開密鑰對(duì)電子簽名解密用DES進(jìn)行加密用DES進(jìn)行解密HashMAC1商家消費(fèi)者用商家的私有密鑰對(duì)密鑰解密比較明文明文明文MAC明文MAC明文MACHashHash傳輸 第40頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日1、 對(duì)稱密鑰加密體制 對(duì)稱密鑰體系（Symmetric Cryptography）又稱對(duì)稱密鑰技術(shù)，在對(duì)稱密鑰體系中，對(duì)信息的加密和解密均使用同一個(gè)密鑰（或者是密鑰對(duì)，但其中一個(gè)密鑰可用通過(guò)另一個(gè)密鑰推導(dǎo)而得對(duì)稱密鑰體系的優(yōu)

22、點(diǎn)在于算法比較簡(jiǎn)單，加密、解密速度快，但是也有不可避免的缺點(diǎn)，那就是密鑰分發(fā)和管理非常困難數(shù)據(jù)加密標(biāo)準(zhǔn)DES （DES Data Encrytion Standard） 第41頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日 DES算法數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard）是IBM公司1977年為美國(guó)政府研制的一種算法。DES是以56 位密鑰為基礎(chǔ)的密碼塊加密技術(shù)。它的加密過(guò)程一般如下： 一次性把64位明文塊打亂置換。 把64位明文塊拆成兩個(gè)32位塊； 用機(jī)密DES密鑰把每個(gè)32位塊打亂位置16次； 使用初始置換的逆置換。三重加密（triple Data En

23、cryption Standard） 高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard） 第42頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日3DES和AES比較第43頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日對(duì)稱加密體制的原理第44頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日使用兩個(gè)不同的密鑰 加密密鑰，公鑰 解密密鑰，私鑰 另一個(gè)用處是身份驗(yàn)證2、 非對(duì)稱密鑰加密體制 非對(duì)稱密鑰系統(tǒng)優(yōu)點(diǎn)在于密鑰的管理非常簡(jiǎn)單和安全非對(duì)稱密鑰體系缺點(diǎn)，是密鑰較長(zhǎng)，加、解密速度比較慢，對(duì)系統(tǒng)的要求較高第45頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25

24、分，星期日 RSA算法 RAS算法是由羅納多瑞維斯特（Rivet）、艾迪夏彌爾（Shamir）和里奧納多艾德拉曼（Adelman）聯(lián)合推出的，RAS算法由此而得名，它得具體算法如下： 找兩個(gè)非常大的質(zhì)數(shù)，越大越安全。把這兩個(gè)質(zhì)數(shù)叫做P和Q。 找一個(gè)能滿足下列條件得數(shù)字E：A 是一個(gè)奇數(shù)。B 小于PQ。C 與（P1）（Q1）互質(zhì)，只是指E和該方程的計(jì)算結(jié)果沒有相同的質(zhì)數(shù)因子。 計(jì)算出數(shù)值D，滿足下面性質(zhì)：（DE）1）能被（P1）（Q1）整除。公開密鑰對(duì)是（PQ，E）。私人密鑰是D。公開密鑰是E。解密函數(shù)是：假設(shè)T是明文，C是密文。加密函數(shù)用公開密鑰E和模PQ；加密信息（TE）模PQ。解密函數(shù)用私

25、人密鑰D和模PQ；解密信息（CD）模PQ。 第46頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日非對(duì)稱密鑰加密體制的原理第47頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日3、數(shù)字信封數(shù)字信封（也稱為電子信封）并不是一種新的加密體系，它只是把兩種密鑰體系結(jié)合起來(lái)，獲得了非對(duì)稱密鑰技術(shù)的靈活和對(duì)稱密鑰技術(shù)的高效數(shù)字信封使網(wǎng)上的信息傳輸?shù)谋Ｃ苄缘靡越鉀Q數(shù)字信封：用公開秘鑰對(duì)對(duì)稱秘鑰進(jìn)行加密就形成了數(shù)字信封第48頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日第49頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日4、數(shù)字簽名數(shù)字簽名就是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)

26、文進(jìn)行處理得到的，用以認(rèn)證報(bào)文來(lái)源并檢驗(yàn)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串，用這個(gè)字符串來(lái)代替簽名或印章，起到與書寫簽名或印章同樣的法律效用。數(shù)字簽名技術(shù)的目的是保證信息的完整性和真實(shí)性數(shù)字簽名技術(shù)就要保證以下兩點(diǎn) 文件內(nèi)容沒有被改變 文件出自簽字人之手和經(jīng)過(guò)簽字人批準(zhǔn)（即簽字沒有被改動(dòng)）數(shù)字簽名：簡(jiǎn)單講經(jīng)過(guò)加密的信息摘要就形成了數(shù)字簽名第50頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日第51頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日5、數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證身份的方式數(shù)字證書最重要的信息是一對(duì)

27、公用密鑰體系中的密鑰數(shù)字證書的關(guān)鍵就是認(rèn)證中心網(wǎng)絡(luò)發(fā)證機(jī)關(guān)（CA，Certificate Authority）是專門負(fù)責(zé)頒發(fā)公用鑰匙持有證書的機(jī)構(gòu)。 其與網(wǎng)絡(luò)用戶的關(guān)系如圖所示第52頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日6、 Hash函數(shù) Hash函數(shù)又名信息摘要（message digest）函數(shù)，可將一任意長(zhǎng)度的信息濃縮為較短的固定長(zhǎng)度的數(shù)據(jù)。其特點(diǎn)是： 1.濃縮結(jié)果與源信息密切相關(guān)，源信息每一微小變化，都會(huì)使?jié)饪s結(jié)果發(fā)生變化。 2. Hash函數(shù)所生成的映射關(guān)系是多對(duì)一關(guān)系。因此無(wú)法由濃縮結(jié)果推算出源信息。 3.運(yùn)算效率較高。 Hash函數(shù)一般用于為信息產(chǎn)生驗(yàn)證值，此外

28、它也被用于用戶密碼存儲(chǔ)。為避免密碼被盜用，許多操作系統(tǒng)（如Windows NT、Unix）都只存儲(chǔ)用戶密碼的Hash值，當(dāng)用戶登錄時(shí)，則計(jì)算其輸入密碼的Hash值，并與系統(tǒng)儲(chǔ)存的值進(jìn)行比對(duì)，如果結(jié)果相同，就允許用戶登錄。 Hash函數(shù)另一著名的應(yīng)用是與公用鑰匙加密法聯(lián)合使用，以產(chǎn)生數(shù)字簽名。 第53頁(yè)，共60頁(yè)，2022年，5月20日，1點(diǎn)25分，星期日7 、 密鑰的分發(fā)與保護(hù) 對(duì)稱加密密鑰的分發(fā) 非對(duì)稱密鑰加密中公鑰的分發(fā) 使用公鑰數(shù)據(jù)庫(kù)管理公鑰 使用認(rèn)證公鑰的數(shù)字證書 密鑰的安全是保證密鑰有效的重要前提 保密模塊 不適合用在公共網(wǎng)絡(luò)上許多事先互不認(rèn) 識(shí)的通信者之間的信息傳送 第54頁(yè)，共60頁(yè)，2022年，5月