第3章基礎(chǔ)安全技術(shù)

第3章物理安全技術(shù)

2023/2/62本章學(xué)習(xí)目標(biāo)掌握常用加密方法了解密碼學(xué)的基本概念掌握破解用戶密碼的方法掌握文件加密的方法理解數(shù)字簽名技術(shù)了解PKI的組成原理及其基本功能、理解PKI證書掌握構(gòu)建基于Windows2003的CA系統(tǒng)第3章物理安全技術(shù)3.1密碼學(xué)基礎(chǔ)3.2認(rèn)證基礎(chǔ)3.3PKI及數(shù)字證書3.1密碼學(xué)基礎(chǔ)引言對稱加密公鑰加密密碼從軍事走向生活電子郵件自動(dòng)提款機(jī)電話卡:IP卡、201電話卡銀行取錢信用卡購物通信系統(tǒng)典型攻擊①竊聽②業(yè)務(wù)流分析③消息篡改內(nèi)容修改：消息內(nèi)容被插入、刪除、修改。順序修改：插入、刪除或重組消息序列。時(shí)間修改：消息延遲或重放。④冒充：從一個(gè)假冒信息源向網(wǎng)絡(luò)中插入消息⑤抵賴：接受者否認(rèn)收到消息；發(fā)送者否認(rèn)發(fā)送過消息。密碼學(xué)的起源和發(fā)展三個(gè)階段：1949年之前密碼學(xué)是一門藝術(shù)（古典密碼學(xué)）1949～1975年 密碼學(xué)成為科學(xué)1976年以后 密碼學(xué)的新方向——公鑰密碼學(xué)基本概念密碼學(xué)(Cryptology):是研究信息系統(tǒng)安全保密的科學(xué)。密碼編碼學(xué)(Cryptography):主要研究對信息進(jìn)行編碼,實(shí)現(xiàn)對信息的隱蔽。密碼分析學(xué)(Cryptanalytics):主要研究加密消息的破譯或消息的偽造。2023/2/69基本術(shù)語

明文：能夠被人們直接閱讀的、需要被隱蔽的文字。密文：不能夠被人們直接閱讀的。加密（encryption）：用某種方法將文字轉(zhuǎn)換成不能直接閱讀的形式的過程。解密（decryption）：把密文轉(zhuǎn)變?yōu)槊魑牡倪^程。密鑰：是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一串字符。加密算法：在加密密鑰的控制下對明文進(jìn)行加密的一組數(shù)學(xué)變換。解密算法：在解密密鑰的控制下對密文進(jìn)行解密的一組數(shù)學(xué)變換。在密碼學(xué)中，有一個(gè)五元組：{明文、密文、密鑰、加密算法、解密算法}，對應(yīng)的加密方案稱為密碼體制。加解密過程示意圖加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的,分別稱為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)。2023/2/611加密通信的模型密碼學(xué)的目的：Alice和Bob兩個(gè)人在不安全的信道上進(jìn)行通信，而破譯者Oscar不能理解他們通信的內(nèi)容。密碼算法分類基于密鑰的算法，按照密鑰的特點(diǎn)分類： ①對稱密碼算法（symmetriccipher)：又稱傳統(tǒng)密碼算法，就是加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個(gè)易于推出另一個(gè)。又稱秘密密鑰算法或單密鑰算法。 ②非對稱密鑰算法（asymmetriccipher):加密密鑰和解密密鑰不相同，從一個(gè)很難推出另一個(gè)。又稱公開密鑰算法（public-keycipher)。公開密鑰算法用一個(gè)密鑰進(jìn)行加密,而用另一個(gè)進(jìn)行解密。其中的加密密鑰可以公開,又稱公開密鑰（publickey)，簡稱公鑰。解密密鑰必須保密,又稱私人密鑰（privatekey)私鑰.簡稱私鑰。2023/2/613傳統(tǒng)加密方法(對稱密碼)

對稱密鑰加密又稱常規(guī)密鑰加密、傳統(tǒng)密鑰加密、私鑰加密、專用密鑰加密，即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。對稱家加密不僅可用于數(shù)據(jù)加密，也可用于消息的認(rèn)證，最有影響的單鑰密碼是1977年美國國家標(biāo)準(zhǔn)局頒布的DES算法。傳統(tǒng)加密方法(對稱密碼)對稱密碼算法

運(yùn)算速度快、密鑰短、歷史悠久密鑰管理困難（分發(fā)、更換）2023/2/6153.2.1對稱密鑰加密算法DES算法IDEA算法公鑰加密（非對稱密碼）問題的提出：密鑰管理量的困難傳統(tǒng)密鑰管理：兩兩分別用一對密鑰時(shí)，則n個(gè)用戶需要C(n,2)=n(n-1)/2個(gè)密鑰，當(dāng)用戶量增大時(shí)，密鑰空間急劇增大。如:n=100時(shí)，C(100,2)=4,995n=5000時(shí)，C(5000,2)=12,497,500數(shù)字簽名的問題傳統(tǒng)加密算法無法實(shí)現(xiàn)抗抵賴的需求。2023/2/6173.3公鑰加密（非對稱密碼）

非對稱加密（公開密鑰加密）是由Diffie和Hellman于1976年提出的，指在加密過程中，密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開，而另一把作為私有密鑰進(jìn)行保存。公開密鑰用于對信息進(jìn)行加密，私有密鑰則用于對加密信息進(jìn)行解密。

公鑰密碼體制的優(yōu)點(diǎn)是可以公開加密密鑰，適應(yīng)網(wǎng)絡(luò)的開放性要求，且僅需保密解密密鑰，所以密鑰管理問題比較簡單。此外，雙鑰密碼可以用于數(shù)字簽名等新功能。最有名的雙鑰密碼體系是1977年由Rivest，Shamir和Adleman人提出的RSA密碼體制。公鑰加密（非對稱密碼）公鑰加密（非對稱密碼）非對稱密碼算法只需保管私鑰、可以相當(dāng)長的時(shí)間保持不變、需要的數(shù)目較小運(yùn)算速度慢、密鑰尺寸大、歷史短2023/2/620基于公開密鑰的加密過程基于公開密鑰的鑒別過程2023/2/622公開密鑰的應(yīng)用范圍加密/解密數(shù)字簽名(身份鑒別)密鑰交換非對稱加密算法RSADSADHECC非對稱加密算法產(chǎn)生一對密鑰是計(jì)算可行的已知公鑰和明文，產(chǎn)生密文是計(jì)算可行的接收方利用私鑰來解密密文是計(jì)算可行的對于攻擊者，利用公鑰來推斷私鑰是計(jì)算不可行的已知公鑰和密文，恢復(fù)明文是計(jì)算不可行的加密和解密的順序可交換3.2認(rèn)證基礎(chǔ)引言消息認(rèn)證數(shù)字簽名身份認(rèn)證引言密碼技術(shù)——機(jī)密性認(rèn)證技術(shù)——完整性、防抵賴、防篡改基本的認(rèn)證技術(shù)：數(shù)字簽名消息認(rèn)證簡單的身份認(rèn)證消息認(rèn)證消息認(rèn)證（MAC，MessageAuthenticationCode）用來保護(hù)通信雙方免受第三方的攻擊。認(rèn)證方案：發(fā)方將消息和認(rèn)證密鑰輸入認(rèn)證算法，得到消息的認(rèn)證標(biāo)簽；一起發(fā)送消息和認(rèn)證標(biāo)簽；收方將同樣的認(rèn)證密鑰和收到的消息輸入認(rèn)證算法；檢驗(yàn)計(jì)算結(jié)果是否與收到的認(rèn)證標(biāo)簽相同，若相同，則認(rèn)為消息未經(jīng)篡改，否則認(rèn)為消息被入侵者篡改。數(shù)字簽名消息認(rèn)證無法防止通信雙方的相互攻擊（欺騙、抵賴等）?；驹恚菏褂靡粚Σ豢苫ハ嗤茖?dǎo)的密鑰，一個(gè)用于簽名（加密），一個(gè)用于驗(yàn)證（解密），簽名者用加密密鑰（保密）簽名（加密）文件，驗(yàn)證者用（公開的）解密密鑰解密文件，確定文件的真?zhèn)?。?shù)字簽名與加、解密過程相反。

數(shù)字簽名數(shù)字簽名的性質(zhì)：每個(gè)用戶能有效（容易）地在他選擇的文件上產(chǎn)生自己的簽名；每個(gè)用戶能有效（容易）地驗(yàn)證一給定的數(shù)字串是否是另一特定用戶在某特定文件上的簽名；沒人能在其他用戶沒簽名的文件上有效（容易）地產(chǎn)生他們的簽名。數(shù)字簽名數(shù)字簽名與消息認(rèn)證的差別消息認(rèn)證不要求通信雙方以外的任何人能有效地驗(yàn)證認(rèn)證標(biāo)簽的真實(shí)性。數(shù)字簽名方案是消息認(rèn)證的一種方式，但消息認(rèn)證方案不必構(gòu)成數(shù)字簽名方案。身份認(rèn)證定義：證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程。認(rèn)證依據(jù)：客戶所知：密碼、口令等；客戶所有：身份證、護(hù)照、信用卡、密鑰盤等；客戶個(gè)人特征：指紋、虹膜、聲音、筆跡、DNA等。身份認(rèn)證的作用：訪問控制服務(wù)的必要支撐；提供數(shù)據(jù)源認(rèn)證的可能方法；責(zé)任原則的直接支持。身份認(rèn)證與消息認(rèn)證的差別身份認(rèn)證一般要求實(shí)時(shí)性，消息認(rèn)證通常不提供實(shí)時(shí)性；身份認(rèn)證只證實(shí)實(shí)體的身份，消息認(rèn)證除了要證實(shí)報(bào)文的合法性和完整性外，還需要知道消息的含義。3.3PKI及數(shù)字證書什么是PKIPKI的組成PKI的應(yīng)用2023/2/635什么是PKI公開密鑰基礎(chǔ)設(shè)施（PKI，PublicKeyInfrastructure）PKI是一個(gè)用公鑰概念與技術(shù)來實(shí)施和提供安全服務(wù)的普適性基礎(chǔ)設(shè)施。PKI是一種標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務(wù)所必須的密鑰和證書管理。PKI提供的基本服務(wù)鑒別采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上完整性PKI采用了兩種技術(shù)：數(shù)字簽名和消息認(rèn)證碼保密性用公鑰分發(fā)隨機(jī)密鑰，然后用隨機(jī)密鑰對數(shù)據(jù)加密不可否認(rèn)性

發(fā)送方的不可否認(rèn)——數(shù)字簽名接受方的不可否認(rèn)——收條+數(shù)字簽名密鑰生命周期PKI中的證書證書(certificate)，有時(shí)候簡稱為cert，是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的、包含公開密鑰擁有者信息以及公開密鑰的文件?？梢韵蛳到y(tǒng)中其他實(shí)體證明自己的身份公鑰分發(fā)證書是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明，所以證書的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性一個(gè)證書中，最重要的信息是個(gè)體名字、個(gè)體的公鑰、機(jī)構(gòu)的簽名、算法和用途簽名證書和加密證書分開PKI中的證書PKI適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一最常用的證書格式為X.509標(biāo)準(zhǔn)(X.509v3)X.509的證書包括：證書內(nèi)容、簽名算法和使用簽名算法對證書內(nèi)容所作的簽名。PKI的組成基本組件：注冊機(jī)構(gòu)RA（RegistrationAuthority）認(rèn)證機(jī)構(gòu)CA（CertificateAuthority）證書庫密鑰備份及恢復(fù)系統(tǒng)證書作廢處理系統(tǒng)PKI應(yīng)用接口系統(tǒng)注冊機(jī)構(gòu)RARA的職能：受理用戶證書業(yè)務(wù)；審核用戶身份；向CA中心申請簽發(fā)證書；接收和授權(quán)密鑰備份和恢復(fù)請求；接收和授權(quán)證書注銷請求；管理本地在線證書狀態(tài)協(xié)議服務(wù)器，并提供證書狀態(tài)的實(shí)時(shí)查詢；按需分發(fā)或恢復(fù)硬件設(shè)備。認(rèn)證機(jī)構(gòu)CA整個(gè)PKI體系中各方都承認(rèn)的一個(gè)值得信賴的、公正的第三方機(jī)構(gòu)。CA職能（簽發(fā)證書和管理證書）：用戶注冊證書簽發(fā)證書注銷密鑰恢復(fù)密鑰更新證書使用安全管理認(rèn)證機(jī)構(gòu)CA層次結(jié)構(gòu)。N級PKI體系中：根CA（RootCA）——2級CA——3級CA……n－1級CA——n級CA——最終用戶。交叉認(rèn)證：擴(kuò)展CA的信任范圍，允許不同信任體系中的CA建立起可信任的相互依賴關(guān)系，從而使各自簽發(fā)的證書可以相互認(rèn)證和校驗(yàn)。證書庫證書庫是CA頒發(fā)證書和撤銷證書的集中存放地,是網(wǎng)上的一種公共信息庫,供廣大公眾進(jìn)行開放式查詢。證書庫是一種網(wǎng)上公共信息庫，用于證書的發(fā)布和集中存放，用戶可以從此處獲得其他用戶的證書和公鑰。密鑰備份及恢復(fù)系統(tǒng)為了防止用戶丟失用于數(shù)據(jù)解密的密鑰或防止該密鑰被破壞，密文數(shù)據(jù)無法被解密，從而造成數(shù)據(jù)丟失，PKI應(yīng)該提供解密密鑰的備份和恢復(fù)的機(jī)制。解密密鑰的備份和恢復(fù)應(yīng)該由可信機(jī)構(gòu)來完成，如CA、專用的備份服務(wù)器。用于簽名和校驗(yàn)的密鑰對不可備份，否則將無法保證用戶簽名信息的不可否認(rèn)性。證書的注銷機(jī)制由于各種原因，證書需要被注銷比如：私鑰泄漏、密鑰更換、用戶變化PKI中注銷的方法CA維護(hù)一個(gè)CRL(CertificateRevocationList)證書撤銷列表來進(jìn)行PKI中的證書撤銷。PKI應(yīng)用接口系統(tǒng)透明性：PKI必須盡可能地向上層應(yīng)用屏蔽密碼實(shí)現(xiàn)服務(wù)的實(shí)現(xiàn)細(xì)節(jié)，向用戶屏蔽復(fù)雜的安全解決方案，使密碼服務(wù)對用戶而言簡單易用，并且便于單位、企業(yè)完全控制其信息資源?？蓴U(kuò)展性：滿足系統(tǒng)不斷發(fā)展的需要，證書庫和CRL有良好的可擴(kuò)展性。支持多種用戶：提供文件傳送、文件存儲(chǔ)、電子郵件、電子表單、WEB應(yīng)用等的安全服務(wù)?；ゲ僮餍裕翰煌髽I(yè)、不同單位的PKI實(shí)現(xiàn)可能是不同的，必須支持多環(huán)境、多操作系統(tǒng)的PKI的互操作性。PKI應(yīng)用基本的應(yīng)用文件保護(hù)E-mailWeb應(yīng)用其他VPNSSL/TLSXML/e-businessWAP……2023/2/649PGPPGP（PrettyGoodPrivacy）是全球著名的、在信息安全傳輸領(lǐng)域首選的加密軟件，其技術(shù)特性是采用了非對稱的“公鑰”和“私鑰”加密體系，創(chuàng)造性地把RSA公匙體系的方便性和傳統(tǒng)加密體系的高速度結(jié)合起來，可以用來加密文件，用于數(shù)字簽名的郵件摘要算法，加密前壓縮等，是目前最難破譯的密碼體系之一。實(shí)驗(yàn)一使用加密軟件PGP

【實(shí)驗(yàn)?zāi)康摹空莆誔GP的使用通過學(xué)習(xí)PGP加深對數(shù)字簽名的理解了解加密算法和數(shù)字簽名在實(shí)際應(yīng)用中的使用方法【實(shí)驗(yàn)內(nèi)容】利用PGPKey生成密鑰利用PGP加解密文件創(chuàng)建與使用PGPdisk實(shí)驗(yàn)二實(shí)例構(gòu)建基于windows2003的CA系統(tǒng)

【實(shí)驗(yàn)?zāi)康摹空莆誛indowsCA服務(wù)器的建立與配置掌握證書的申請與頒發(fā)掌握IIS服務(wù)器的安全配置

【實(shí)驗(yàn)內(nèi)容】建立CA服務(wù)器申請服務(wù)器證書、客戶端證書實(shí)現(xiàn)IIS雙向認(rèn)證