搜索
第2章信息安全技术上海财经大学劳帼龄22.1信息安全概述2.2信息传输中的加密方式2.3对称加密与不对称加密2.4数字签名技术2.5密钥管理技术2.6验证技术目录上海财经大学劳帼龄3引例——网银的三种加密认证方式为什么数字证书是最安全的方式?它所采用的技术是怎样实现安全保障的?除了这些技术,还需要哪些技术来保障信息安全?上海财经大学劳帼龄42.1信息安全概述安全问题安全目标安全技术机密性信息的保密加密完整性探测信息是否被篡改数字摘要验证验证身份数字签名,提问-应答,口令,生物测定法不可否认性不能否认信息的发送、接收及信息内容数字签名,数字证书,时间戳访问控制只有授权用户才能访问防火墙,口令,生物测定法信息安全问题与信息安全技术:上海财经大学劳帼龄52.2信息传输中的加密方式2.2.1几种常用的加密方式链路-链路加密节点加密端-端加密ATM网络加密卫星通信加密2.2.2加密方式的选择策略上海财经大学劳帼龄62.2.1几种常用的加密方式链路-链路加密节点加密端-端加密ATM网络加密卫星通信加密2.2.2加密方式的选择策略多个网络互联环境下:端-端加密链路数不多、要求实时通信、不支持端-端加密远程调用通信场合:链路-链路加密链路较多,文件保护、邮件保护、支持端-端加密的远程调用、实时性要求不高:端-端加密需要防止流量分析的场合:链路-链路加密和端-端加密组合2.2信息传输中的加密方式结点1结点2结点3Eki为加密变换,Dki为解密变换Ek1Dk1Ek2Dk2明文明文明文密文密文Ek为加密变换,Dk为解密变换EkDk密文密文密文明文明文结点1加密设备结点2结点3解密设备上海财经大学劳帼龄72.3对称加密与不对称加密2.3.1对称加密系统对称加密对称加密算法信息验证码2.3.2不对称加密系统公开密钥加密RSA算法加密与验证模式的结合2.3.3两种加密方法的联合使用上海财经大学劳帼龄8所谓加密,就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也就是把明文变成密文。2.3对称加密与不对称加密上海财经大学劳帼龄92.3.1对称加密系统——私有密钥1.对称加密特点:•数据的发送方和接受方使用的是同一把密钥过程:•发送方对信息加密•发送方将加密后的信息传送给接收方•接收方对收到信息解密,得到信息明文2.3对称加密与不对称加密密文明文发送方Internet密文密钥发送方(=密钥接收方)加密明文接收方密钥接收方解密上海财经大学劳帼龄102.3.1对称加密系统2.对称加密算法•数据加密标准(DES)•高级加密标准(AES)•三重DES•Rivest密码3.信息验证码(MAC)•MAC也称为完整性校验值或信息完整校验•常用生成MAC的方法:–基于散列函数的方法–基于对称加密的方法2.3对称加密与不对称加密上海财经大学劳帼龄112.3对称加密与不对称加密2.3.1对称加密系统信息验证码(MAC)的使用过程:上海财经大学劳帼龄122.3对称加密与不对称加密2.3.2不对称加密系统——公开密钥1.公开密钥加密•加密模式过程–发送方用接收方的公开密钥对要发送的信息进行加密–发送方将加密后的信息通过网络传送给接收方–接收方用自己的私有密钥对接收到的加密信息进行解密,得到信息明文发送方明文密文密文公开密钥接收方明文接收方私有密钥接收方Internet上海财经大学劳帼龄132.3对称加密与不对称加密2.3.2不对称加密系统2.RSA算法•1997,麻省理工,RonaldRivest、AdiShamir、LeonardAdleman•可逆的公开密钥加密系统•通过一个称为公共模数的数字来形成公开密钥,公共模数是通过两个形成私人密钥的两个质数的乘数来获得的。上海财经大学劳帼龄142.3对称加密与不对称加密2.3.2不对称加密系统3.加密与验证模式的结合•保障信息机密性&验证发送方的身份•使用过程:两次加密两次加密私有密钥发送方明文密文公开密钥接收方私有密钥接收方密文明文公开密钥发送方Internet发送方接收方上海财经大学劳帼龄152.3对称加密与不对称加密2.3.3两种加密方法的联合使用使用过程:明文密文加密后的密钥公有密钥接收方网络加密后的密钥私有密钥接收方秘密密钥发送方秘密密钥发送方密文明文发送方接收方上海财经大学劳帼龄162.4数字签名技术2.4.1数字签名的基本原理2.4.2RSA数字签名2.4.3美国数字签名标准算法2.4.4椭圆曲线数字签名算法2.4.5特殊数字签名算法上海财经大学劳帼龄172.4.1数字签名的基本原理数字签名,其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项。数字签名类似于MAC,但不同于MAC,数字签名可以支持不可否认服务。数字签名的过程:2.4数字签名技术发送方的私钥发送方的公钥上海财经大学劳帼龄182.4.1数字签名的基本原理数字签名的要求数字签名的分类•基于签字内容的分类•基于数学难题的分类•基于签名用户的分类•基于数字签名所具有特性的分类•基于数字签名所涉及的通信角色分类2.4数字签名技术上海财经大学劳帼龄192.4.1数字签名的基本原理数字签名的使用数字签名与手写签名的区别•手写签名-模拟的,因人而异•数字签名-0和1的字符串,因消息而异2.4数字签名技术上海财经大学劳帼龄202.4.2RSA数字签名简化的RSA数字签名:2.4数字签名技术上海财经大学劳帼龄212.4.2RSA数字签名用散列函数进行的RSA数字签名:2.4数字签名技术上海财经大学劳帼龄222.4.3美国数字签名标准算法•基于离散对数问题•单项不可逆的公开密钥系统•验证过程中对资源的处理要比RSA更彻底2.4.4椭圆数字签名算法•利用离散对数•一种运用RSA和DSA来实施数字签名的方法•在生成签名和进行验证时比RSA和DSA快2.4数字签名技术上海财经大学劳帼龄232.4.5特殊数字签名算法盲签名多重签名代理签名定向签名双联签名团体签名不可争签名2.4数字签名技术上海财经大学劳帼龄242.5密钥管理技术2.5.1密钥管理概述2.5.2RSA密钥传输2.5.3Diffie-Hellman密钥协议2.5.4公开密钥的分发上海财经大学劳帼龄252.5.1密钥管理概述密钥都有时间期限,因为:•攻击者可以使用数学分析方法来进行密码分析从而破解加密系统,攻击者获得大量有效的密文可以帮助他们加快密码的分析。密钥使用的时间越长,攻击者收集密文的机会就越多;•密钥有可能被泄漏,攻击者可以对用某个特定密钥进行的加密处理进行密码分析,所以缩短密钥的使用期可以减少危险的发生。密钥的生命周期•密钥建立(包括生成密钥和发布密钥)•密钥备份/恢复或密钥的第三者保管•密钥替换/更新•密钥吊销•密钥期满/终止(其中可能包含密钥的销毁或归档)2.5密钥管理技术上海财经大学劳帼龄262.5.2RSA密钥传输用RSA密钥传输来加密电子邮件:2.5密钥管理技术明文的内容上海财经大学劳帼龄272.5.3Diffie-Hellman密钥协议这一协议提出了公开密钥加密技术两个在线通信系统可以通过Diffie-Hellman密钥协议来建立会话密钥2.5.4公开密钥的分发公开密钥的分发并不要求保密,但必须保证公开密钥的完整性2.5密钥管理技术上海财经大学劳帼龄282.6验证技术2.6.1基于口令的验证2.6.2验证协议2.6.3基于个人令牌的验证2.6.4基于生物统计特征的验证2.6.5基于地址的验证2.6.6数字时间戳验证上海财经大学劳帼龄292.6验证技术验证是在远程通信中获得信任的手段,是安全服务中最为基本的内容。当事人/申请人通常基于以下因素:•申请人表示所知道的某些事务•申请人出示一些所有物•申请人展示一些不可改变的特征•申请人展示在某些特定场所或网络地址上的证据•需要证明申请人身份的一方接受已经对申请人进行了验证的其他可信任方上海财经大学劳帼龄302.6.1基于口令的验证面临威胁:•外部泄漏•猜测•通信窃取•重放•危及主机安全2.6.2验证协议用来对与系统有关的被验证方和系统本身之间的与验证有关的数据通信进行管理,常要依靠验证决策2.6验证技术上海财经大学劳帼龄312.6.3基于个人令牌的验证运作方式:•储存式令牌•同步一次性口令生成器•提问-答复•数字签名令牌令牌存在的物理方式:•人-机界面令牌•智能卡•PCMCIA卡•USB令牌2.6验证技术上海财经大学劳帼龄322.6.4基于生物统计特征的验证常用生物测定技术:•指纹识别•声音识别•书写识别•面容识别•视网膜识别•手形识别2.6验证技术上海财经大学劳帼龄332.6.5基于地址的验证依据某个呼叫的发送地址来对用户进行验证2.6.6数字时间戳验证内容包括:•需要加时间戳的信息的摘要•数字时间戳服务机构收到该信息的日期和时间•数字时间戳服务机构的数字签名2.6验证技术Thanks!