專題三 電子商務(wù)安全技術(shù)

1、專題三 電子商務(wù)安全技術(shù)第1頁，共60頁，2022年，5月20日，1點25分，星期日 2、網(wǎng)絡(luò)安全的基本要求 電子商務(wù)所需的七種安全性要求：保密性認(rèn)證性完整性可訪問性防御性無否認(rèn)性合法性其中保密性、完整性和不可否認(rèn)性最為關(guān)鍵。第2頁，共60頁，2022年，5月20日，1點25分，星期日二、網(wǎng)絡(luò)安全面臨的威脅 對網(wǎng)絡(luò)安全的威脅主要有以下四個方面 網(wǎng)絡(luò)部件的不安全因素 軟件的不安全因素 工作人員的不安全因素 環(huán)境的不安全因素 第3頁，共60頁，2022年，5月20日，1點25分，星期日1、網(wǎng)絡(luò)部件的不安全因素電磁泄漏搭線竊聽非法終端非法入侵注入非法信息線路干擾意外原因病毒入侵第4頁，共60頁，20

2、22年，5月20日，1點25分，星期日2、軟件的不安全因素 網(wǎng)絡(luò)軟件安全功能不健全軟件的安全保護措施使用不當(dāng)數(shù)據(jù)的存取權(quán)限控制不當(dāng)資料標(biāo)定的不妥當(dāng)程序員對程序變更記錄、業(yè)務(wù)記錄、程序備份等工作考慮欠妥軟件變更不當(dāng)?shù)?頁，共60頁，2022年，5月20日，1點25分，星期日3、工作人員的不安全因素 保密觀念不強或不懂保密守則，隨便泄漏機密。業(yè)務(wù)不熟練，操作失誤或未遵守操作規(guī)程而造成泄密。規(guī)章制度不健全造成人為泄密事件。素質(zhì)差，缺乏責(zé)任心熟悉系統(tǒng)的工作人員故意改動軟件或用非法的手段訪問系統(tǒng)。系統(tǒng)操作人員超越權(quán)限的非法行為。利用系統(tǒng)故障或軟硬件錯誤非法訪問系統(tǒng)或破壞系統(tǒng)。利用管理上的漏洞非法獲取系統(tǒng)

3、和用戶信息。第6頁，共60頁，2022年，5月20日，1點25分，星期日4、環(huán)境因素 地震、火災(zāi)、水災(zāi)等自然災(zāi)害的威脅斷電、停電等意外事故信息安全威脅的來源： 60% 以上來自內(nèi)部30%左右來自物理部件來自外部的還不到10% 各種威脅對網(wǎng)絡(luò)安全性的影響見下表 第7頁，共60頁，2022年，5月20日，1點25分，星期日威脅保密性完整性可訪問性法律/倫理認(rèn)證性不可否認(rèn)性防御性后門犯大錯誤數(shù)據(jù)泄漏拒絕使用輻射盜用自然災(zāi)害偽造詐騙硬件故障假冒不準(zhǔn)確信息數(shù)據(jù)程序破壞邏輯炸彈第8頁，共60頁，2022年，5月20日，1點25分，星期日虛報錯誤處理網(wǎng)絡(luò)分析器超負(fù)荷附加負(fù)載侵犯專利權(quán)編程錯誤破壞活動廢物利用

4、超級處理偷竊行為特洛伊木馬版本控制病毒搭線竊聽第9頁，共60頁，2022年，5月20日，1點25分，星期日三、網(wǎng)絡(luò)安全對策 1、技術(shù)對策 （）網(wǎng)絡(luò)安全檢測設(shè)備 網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)SAFEsuite（P129） “黑客入侵防范軟件”（）訪問設(shè)備 美國GSA開發(fā)的Internet安全磁盤 Security Dynamics公司生產(chǎn)的SecuID Card（安全認(rèn)證卡） Dallas半導(dǎo)體公司的微型iButton數(shù)字輔助設(shè)備第10頁，共60頁，2022年，5月20日，1點25分，星期日（3）瀏覽器/服務(wù)器軟件將ssl協(xié)議與瀏覽器結(jié)合（4）證書國際上最著名的證書授權(quán)部門是VeriSign。（5）安全型的

5、商業(yè)軟件（6）防火墻著名的防火墻產(chǎn)品： Fire Wall-1(CheckPoint公司的產(chǎn)品） GANUTLET(基于代理技術(shù)) ANS INTERLOCK 網(wǎng)絡(luò)衛(wèi)士（7）安全工具包/軟件（8）保護傳輸線路安全第11頁，共60頁，2022年，5月20日，1點25分，星期日（9）防入侵措施（10）數(shù)據(jù)加密（11）訪問控制（12）鑒別機制（13）路由選擇機制（14）通信流控制（15）數(shù)據(jù)完整性（16）端口保護第12頁，共60頁，2022年，5月20日，1點25分，星期日2、管理對策（1）人員管理制度嚴(yán)格網(wǎng)絡(luò)營銷人員選拔落實工作責(zé)任制貫徹電子商務(wù)安全運作基本原則 多人負(fù)責(zé)原則 任期有限原則 最小權(quán)

6、限原則（2）保密制度信息的安全級別 絕密級 機密級 敏感級（3）跟蹤、審計、稽核制度第13頁，共60頁，2022年，5月20日，1點25分，星期日（4）網(wǎng)絡(luò)系統(tǒng)的日常維護制度硬件的日常維護和管理 網(wǎng)絡(luò)設(shè)備 服務(wù)器和客戶機 通信線路軟件的日常維護和管理 支撐軟件 應(yīng)用軟件數(shù)據(jù)備份制度（5）病毒防范制度（6）應(yīng)急措施硬件的恢復(fù)數(shù)據(jù)的恢復(fù)瞬時復(fù)制技術(shù)遠(yuǎn)程磁盤鏡像技術(shù) 數(shù)據(jù)庫恢復(fù)技術(shù)第14頁，共60頁，2022年，5月20日，1點25分，星期日四、通信安全性的分層網(wǎng)絡(luò)安全性是由數(shù)據(jù)的安全性和通信的全性兩大部風(fēng)構(gòu)成。數(shù)據(jù)的安全性是一組程序和功能，用來阻止對數(shù)據(jù)進行非授權(quán)泄露、轉(zhuǎn)移、修改和破壞。通信安全性

7、是一種保護措施，要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施，可以拒絕非授權(quán)的人員在電信中獲取有價值的信息。通信安全性的主要內(nèi)容：保密安全性傳輸安全性輻射安全性物理安全性第15頁，共60頁，2022年，5月20日，1點25分，星期日通信安全性的分層：數(shù)據(jù)文件加密數(shù)據(jù)通信加密硬接線終端網(wǎng)絡(luò)用戶驗證文件訪問限制文件口令機長號碼與口令中斷訪問最高安全性最低安全性安全性增加安全性降低第16頁，共60頁，2022年，5月20日，1點25分，星期日五、OSI安全體系結(jié)構(gòu)1、開放系統(tǒng)互連參考模型Application7Network Processes to Aplications應(yīng)用層Pres

8、entation6Data Representation表示層Session5Interhost Communication會話層Transport4End-to-end Cnnnections傳輸層Network3Address and best Path網(wǎng)絡(luò)層Data Link2Access to Media鏈路層Physical1Binary Transmmision Wires,Connectors,Voltages,Data Rates物理層第17頁，共60頁，2022年，5月20日，1點25分，星期日2、安全業(yè)務(wù)安全業(yè)務(wù)是為增強信息系統(tǒng)和一個組織信息傳送的安全性而提供的活動或活動規(guī)

9、定。在OSI模型中規(guī)定的安全業(yè)務(wù)有五類：保密性鑒別完整性不可抵賴訪問控制安全業(yè)務(wù)與OSI各層的關(guān)系第18頁，共60頁，2022年，5月20日，1點25分，星期日OSI的層安全業(yè)務(wù)保密性鑒別數(shù)據(jù)完整性不可地賴訪問控制應(yīng)用層YYYYY表示層YY會話層傳輸層YYYY網(wǎng)絡(luò)層YYYY數(shù)據(jù)鏈路層Y物理層Y第19頁，共60頁，2022年，5月20日，1點25分，星期日3、安全機制安全機制指動作規(guī)程、軟硬件特征、管理規(guī)程以及他們的任意組合，用于檢測和防止對信息系統(tǒng)任何部分的被動或主動威脅。安全業(yè)務(wù)與安全機制之間的關(guān)系第20頁，共60頁，2022年，5月20日，1點25分，星期日安全業(yè)務(wù)安全機制加密數(shù)字簽名訪問

10、控制數(shù)據(jù)完整性鑒別業(yè)務(wù)量填充路由選擇控制公證保密性完整性鑒別訪問控制不可抵賴性第21頁，共60頁，2022年，5月20日，1點25分，星期日第二節(jié)防火墻與網(wǎng)絡(luò)安全一、Internet服務(wù)及安全對策1、Internet的主要服務(wù)（1）基本服務(wù)E-mail服務(wù) FTP服務(wù) Telnet服務(wù)USENET NEWS服務(wù) WWW服務(wù)（2）應(yīng)用服務(wù)電子購物 電子決策 信息提供服務(wù)網(wǎng)絡(luò)營銷 網(wǎng)上支付 網(wǎng)上拍賣 網(wǎng)上炒股等第22頁，共60頁，2022年，5月20日，1點25分，星期日2、Internet的安全對策（1）電子郵件的安全對策實現(xiàn)電子郵件安全的手段是加密和簽名。PEM(privacy enhance

11、d mail)和PGP(pretty goog privacy)是實現(xiàn)電子郵件安全的兩個代表性的策略。（2）WWW服務(wù)器和客戶間的安全對策SHTTP和SSL是兩個著名的WWW服務(wù)器和客戶間的安全對策。（3）為實現(xiàn)應(yīng)用服務(wù)安全的加密與簽名技術(shù)SET標(biāo)準(zhǔn)。（4）Internet與Intranet的安全對策防火墻技術(shù)第23頁，共60頁，2022年，5月20日，1點25分，星期日二、防火墻的概念與體系結(jié)構(gòu) 防火墻是用來連接兩個網(wǎng)絡(luò)并控制兩個網(wǎng)絡(luò)之間相互訪問的系統(tǒng)，如下圖所示。它包括用于網(wǎng)絡(luò)連接的軟件和硬件以及控制訪問的方案。用于對進出的所有數(shù)據(jù)進行分析，并對用戶進行認(rèn)證，從而防止有害信息進入受保護網(wǎng)，

12、為網(wǎng)絡(luò)提供安全保障。第24頁，共60頁，2022年，5月20日，1點25分，星期日1、防火墻的概念理論上防火墻概念指的是提供對網(wǎng)絡(luò)的存取控制功能，保護信息資源，避免不正當(dāng)?shù)拇嫒?。物理上，防火墻是Internet和Intranet間設(shè)置的一種過濾器、限制器。2、防火墻的分類根據(jù)連接方式分類： 分組過濾型 應(yīng)用網(wǎng)關(guān)型（或代理服務(wù)器型) 電路層網(wǎng)關(guān)型第25頁，共60頁，2022年，5月20日，1點25分，星期日根據(jù)構(gòu)成方式分類 有屏蔽的子網(wǎng)型 多宿主機型 堡壘主機型第26頁，共60頁，2022年，5月20日，1點25分，星期日有屏蔽的子網(wǎng)型防火墻局域網(wǎng)internetISP路由分組過濾路由有屏蔽的子

13、網(wǎng)第27頁，共60頁，2022年，5月20日，1點25分，星期日局域網(wǎng)internetISP路由多宿主機多宿主機型防火墻有屏蔽的子網(wǎng)第28頁，共60頁，2022年，5月20日，1點25分，星期日局域網(wǎng)internetISP路由分組過濾路由堡壘主機堡壘主機型防火墻有屏蔽的子網(wǎng)第29頁，共60頁，2022年，5月20日，1點25分，星期日三、防火墻的優(yōu)點與用途理想的防火墻應(yīng)該具有高度安全性、高度透明性及良好的網(wǎng)絡(luò)性能，而這些特性本身互相制約、互相影響。防火墻發(fā)展的方向之一是設(shè)計融合分組過濾和代理范圍優(yōu)先的新型防火墻。1、防火墻可以作為內(nèi)部網(wǎng)絡(luò)的安全屏障。2、防火墻限制Intranet對Intern

14、et 的暴露程度，避免Internet的安全問題對Intranet 的傳播。3、防火墻是設(shè)置網(wǎng)絡(luò)地址翻譯器NAT的最佳位置。第30頁，共60頁，2022年，5月20日，1點25分，星期日四、防火墻的設(shè)計1、基本的防火墻設(shè)計涉及防火墻時應(yīng)該考慮的幾個關(guān)鍵問題： 防火墻的姿態(tài) 結(jié)構(gòu)的整體安全策略 防火墻的經(jīng)濟費用 防火墻系統(tǒng)的組件和構(gòu)件（1）防火墻的姿態(tài)防火墻的姿態(tài)從根本上闡述了一個機構(gòu)對安全的看法。Internet防火墻可能扮演兩種截然不同的姿態(tài)： 允許沒有特別拒絕的任何事情 拒絕沒有特別允許的任何事情第31頁，共60頁，2022年，5月20日，1點25分，星期日（2）機構(gòu)的安全策略機構(gòu)的安全策

15、略必須考慮方方面面，進行安全分析、風(fēng)險評估和商業(yè)需求分析。（3）防火墻的經(jīng)濟費用在保證基本安全需求的基礎(chǔ)之上費用最低。（4）防火墻的組件典型的防火墻由一個或多個構(gòu)建組成：組過濾路由器、應(yīng)用層網(wǎng)關(guān)（或代理服務(wù)器）和電路層網(wǎng)關(guān)。2、基于分組過濾的防火墻設(shè)計作為過濾的項目有：IP地址（源地址、目的地址）、協(xié)議（TCP、UDP、ICMP）和接口（源接口、目的接口）。第32頁，共60頁，2022年，5月20日，1點25分，星期日3、基于代理服務(wù)的防火墻設(shè)計代理系統(tǒng)包括兩個部分：代理服務(wù)程序和客戶程序。所謂代理就是指進行存取控制和過濾的程序，是位于客戶機與服務(wù)器之間的中繼。4、虛擬專用網(wǎng)在Internet

16、上接續(xù)了具有加密功能的路由和防火墻，把網(wǎng)絡(luò)上的數(shù)據(jù)進行加密后再傳送，這種方法叫虛擬專用網(wǎng)功能。第33頁，共60頁，2022年，5月20日，1點25分，星期日五、防火墻技術(shù)的發(fā)展1、ATM防火墻關(guān)于ATM防火墻的兩種爭議： ATM防火墻系統(tǒng)在建立呼叫時需要具備確認(rèn)裝置。利用公用密鑰辦法對ATM單元層進行加密，不需要確認(rèn)裝置。2、智能化的防火墻與侵襲監(jiān)視系統(tǒng)3、病毒防火墻4、動態(tài)防火墻技術(shù)與WEB安全性5、防火墻的新紀(jì)元每個系統(tǒng)都有自己的防火墻第34頁，共60頁，2022年，5月20日，1點25分，星期日 SET，即安全電子交易協(xié)議 （SET Secure Electronic Transacti

17、on） 第三節(jié) 安全認(rèn)證協(xié)議及加密技術(shù)一、 SET協(xié)議 SET最初是由VISA CARD 和MASTER CARD合作開發(fā)完成的，其它合作開發(fā)伙伴還包括GTE、IBM、Microsoft、Netscape、SAIC、Terisa和VeriSign等。 SET協(xié)議主要使用的技術(shù)包括： 對稱密鑰加密、公共密鑰加密、哈希（HASH）算法、數(shù)字簽名技術(shù)以及公共密鑰授權(quán)機制等。 SET采用RSA公開密鑰體系對通信雙方進行認(rèn)證，利用DES、RC4或任何標(biāo)準(zhǔn)對稱加密方法進行信息的加密傳輸，并用HASH算法來鑒別消息真?zhèn)危袩o涂改。 第35頁，共60頁，2022年，5月20日，1點25分，星期日SET體系中有

18、一個關(guān)鍵的認(rèn)證機構(gòu)（CA），CA根據(jù)X.509標(biāo)準(zhǔn)發(fā)布和管理證書。SET協(xié)議運行的目標(biāo) 保障信息傳遞的安全性 保密性 保證交易各方身份的真實性 保證網(wǎng)上交易的實時性 標(biāo)準(zhǔn)化、規(guī)范化 SET協(xié)議涉及的對象 消費者 在線商店 收單銀行 電子貨幣發(fā)行機構(gòu) 認(rèn)證中心（CA） 第36頁，共60頁，2022年，5月20日，1點25分，星期日 安全套接層協(xié)議 SSL （ SSL Secure Sockets Layer）二、 SSL協(xié)議 SSL協(xié)議提供的服務(wù)可以歸納為以下三個方面： 用戶和服務(wù)器的合法性認(rèn)證 數(shù)據(jù)加密 維護數(shù)據(jù)的完整性SSL協(xié)議層包括兩個協(xié)議子層：SSL記錄協(xié)議與SSL握手協(xié)議 （1）SSL

19、記錄協(xié)議基本特點 連接是專用的 連接是可靠的 （2）SSL握手協(xié)議基本特點 能對通信雙方的身份的認(rèn)證 進行協(xié)商的雙方的秘密是安全的 協(xié)商是可靠的 第37頁，共60頁，2022年，5月20日，1點25分，星期日SSL安全技術(shù)在互聯(lián)網(wǎng)服務(wù)器和客戶機間提供了安全的TCP/IP通道。 SSL可用于加密任何基于TCP/IP的應(yīng)用，如HTTP、Telnet、FTP等。 在復(fù)雜的電子商務(wù)應(yīng)用中，往往采取SET和SSL結(jié)合的做法SSL協(xié)議屬于網(wǎng)絡(luò)對話層的標(biāo)準(zhǔn)協(xié)議，而SET協(xié)議是在對話層之上的應(yīng)用層的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議 比較有名的安全協(xié)議 CommerceNet提出的S-HTTP Phillip Hallam-Bak

20、er of CERN提出的Shen 它們都是針對Web應(yīng)用中著名的HTTP協(xié)議 的安全漏洞而提出的一種高層解決方案第38頁，共60頁，2022年，5月20日，1點25分，星期日三、 加密技術(shù)介紹 加密技術(shù)：計算機加密技術(shù)是解決計算機數(shù)據(jù)的加密及其解密的技術(shù)，它是數(shù)學(xué)和計算機學(xué)的交叉技術(shù)任何加密系統(tǒng)無論其形式多么復(fù)雜，至少應(yīng)包括以下四個組成部分： 待加密的報文，也稱明文 加密后的報文，也稱密文 加密、解密裝置或算法 用于加密和解密的鑰匙，簡稱密鑰所謂加密就是通過密碼算術(shù)對數(shù)據(jù)進行轉(zhuǎn)化，使之成為沒有正確密鑰任何人都無法讀懂的報文 密鑰：加密和解密過程中使用的加解密可變參數(shù)第39頁，共60頁，202

21、2年，5月20日，1點25分，星期日明文MAC明文明文隨機產(chǎn)生密鑰用自己的私人密鑰對MAC加密形成電子簽名用商家的公開密鑰對密鑰加密用消費者的公開密鑰對電子簽名解密用DES進行加密用DES進行解密HashMAC1商家消費者用商家的私有密鑰對密鑰解密比較明文明文明文MAC明文MAC明文MACHashHash傳輸 第40頁，共60頁，2022年，5月20日，1點25分，星期日1、 對稱密鑰加密體制 對稱密鑰體系（Symmetric Cryptography）又稱對稱密鑰技術(shù)，在對稱密鑰體系中，對信息的加密和解密均使用同一個密鑰（或者是密鑰對，但其中一個密鑰可用通過另一個密鑰推導(dǎo)而得對稱密鑰體系的優(yōu)

22、點在于算法比較簡單，加密、解密速度快，但是也有不可避免的缺點，那就是密鑰分發(fā)和管理非常困難數(shù)據(jù)加密標(biāo)準(zhǔn)DES （DES Data Encrytion Standard） 第41頁，共60頁，2022年，5月20日，1點25分，星期日 DES算法數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard）是IBM公司1977年為美國政府研制的一種算法。DES是以56 位密鑰為基礎(chǔ)的密碼塊加密技術(shù)。它的加密過程一般如下： 一次性把64位明文塊打亂置換。 把64位明文塊拆成兩個32位塊； 用機密DES密鑰把每個32位塊打亂位置16次； 使用初始置換的逆置換。三重加密（triple Data En

23、cryption Standard） 高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard） 第42頁，共60頁，2022年，5月20日，1點25分，星期日3DES和AES比較第43頁，共60頁，2022年，5月20日，1點25分，星期日對稱加密體制的原理第44頁，共60頁，2022年，5月20日，1點25分，星期日使用兩個不同的密鑰 加密密鑰，公鑰 解密密鑰，私鑰 另一個用處是身份驗證2、 非對稱密鑰加密體制 非對稱密鑰系統(tǒng)優(yōu)點在于密鑰的管理非常簡單和安全非對稱密鑰體系缺點，是密鑰較長，加、解密速度比較慢，對系統(tǒng)的要求較高第45頁，共60頁，2022年，5月20日，1點25

24、分，星期日 RSA算法 RAS算法是由羅納多瑞維斯特（Rivet）、艾迪夏彌爾（Shamir）和里奧納多艾德拉曼（Adelman）聯(lián)合推出的，RAS算法由此而得名，它得具體算法如下： 找兩個非常大的質(zhì)數(shù)，越大越安全。把這兩個質(zhì)數(shù)叫做P和Q。 找一個能滿足下列條件得數(shù)字E：A 是一個奇數(shù)。B 小于PQ。C 與（P1）（Q1）互質(zhì)，只是指E和該方程的計算結(jié)果沒有相同的質(zhì)數(shù)因子。 計算出數(shù)值D，滿足下面性質(zhì)：（DE）1）能被（P1）（Q1）整除。公開密鑰對是（PQ，E）。私人密鑰是D。公開密鑰是E。解密函數(shù)是：假設(shè)T是明文，C是密文。加密函數(shù)用公開密鑰E和模PQ；加密信息（TE）模PQ。解密函數(shù)用私

25、人密鑰D和模PQ；解密信息（CD）模PQ。 第46頁，共60頁，2022年，5月20日，1點25分，星期日非對稱密鑰加密體制的原理第47頁，共60頁，2022年，5月20日，1點25分，星期日3、數(shù)字信封數(shù)字信封（也稱為電子信封）并不是一種新的加密體系，它只是把兩種密鑰體系結(jié)合起來，獲得了非對稱密鑰技術(shù)的靈活和對稱密鑰技術(shù)的高效數(shù)字信封使網(wǎng)上的信息傳輸?shù)谋Ｃ苄缘靡越鉀Q數(shù)字信封：用公開秘鑰對對稱秘鑰進行加密就形成了數(shù)字信封第48頁，共60頁，2022年，5月20日，1點25分，星期日第49頁，共60頁，2022年，5月20日，1點25分，星期日4、數(shù)字簽名數(shù)字簽名就是通過一個單向函數(shù)對要傳送的報

26、文進行處理得到的，用以認(rèn)證報文來源并檢驗報文是否發(fā)生變化的一個字母數(shù)字串，用這個字符串來代替簽名或印章，起到與書寫簽名或印章同樣的法律效用。數(shù)字簽名技術(shù)的目的是保證信息的完整性和真實性數(shù)字簽名技術(shù)就要保證以下兩點 文件內(nèi)容沒有被改變 文件出自簽字人之手和經(jīng)過簽字人批準(zhǔn)（即簽字沒有被改動）數(shù)字簽名：簡單講經(jīng)過加密的信息摘要就形成了數(shù)字簽名第50頁，共60頁，2022年，5月20日，1點25分，星期日第51頁，共60頁，2022年，5月20日，1點25分，星期日5、數(shù)字證書數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗證身份的方式數(shù)字證書最重要的信息是一對

27、公用密鑰體系中的密鑰數(shù)字證書的關(guān)鍵就是認(rèn)證中心網(wǎng)絡(luò)發(fā)證機關(guān)（CA，Certificate Authority）是專門負(fù)責(zé)頒發(fā)公用鑰匙持有證書的機構(gòu)。 其與網(wǎng)絡(luò)用戶的關(guān)系如圖所示第52頁，共60頁，2022年，5月20日，1點25分，星期日6、 Hash函數(shù) Hash函數(shù)又名信息摘要（message digest）函數(shù)，可將一任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。其特點是： 1.濃縮結(jié)果與源信息密切相關(guān)，源信息每一微小變化，都會使?jié)饪s結(jié)果發(fā)生變化。 2. Hash函數(shù)所生成的映射關(guān)系是多對一關(guān)系。因此無法由濃縮結(jié)果推算出源信息。 3.運算效率較高。 Hash函數(shù)一般用于為信息產(chǎn)生驗證值，此外

28、它也被用于用戶密碼存儲。為避免密碼被盜用，許多操作系統(tǒng)（如Windows NT、Unix）都只存儲用戶密碼的Hash值，當(dāng)用戶登錄時，則計算其輸入密碼的Hash值，并與系統(tǒng)儲存的值進行比對，如果結(jié)果相同，就允許用戶登錄。 Hash函數(shù)另一著名的應(yīng)用是與公用鑰匙加密法聯(lián)合使用，以產(chǎn)生數(shù)字簽名。 第53頁，共60頁，2022年，5月20日，1點25分，星期日7 、 密鑰的分發(fā)與保護 對稱加密密鑰的分發(fā) 非對稱密鑰加密中公鑰的分發(fā) 使用公鑰數(shù)據(jù)庫管理公鑰 使用認(rèn)證公鑰的數(shù)字證書 密鑰的安全是保證密鑰有效的重要前提 保密模塊 不適合用在公共網(wǎng)絡(luò)上許多事先互不認(rèn) 識的通信者之間的信息傳送 第54頁，共60頁，2022年，5月