數(shù)字圖書館信息安全概述第二節(jié)信息加密技術(shù)第三節(jié)電子簽課件

第九章數(shù)字圖書館的信息安全技術(shù)第九章數(shù)字圖書館的信息安全技術(shù)第一節(jié)數(shù)字圖書館信息安全概述第二節(jié)信息加密技術(shù)第三節(jié)電子簽名的技術(shù)實現(xiàn)第四節(jié)數(shù)字證書第五節(jié)數(shù)字時間戳技術(shù)第六節(jié)PKI—公鑰基礎(chǔ)設(shè)施提要第一節(jié)數(shù)字圖書館信息安全概述提要第一節(jié)

數(shù)字圖書館信息安全概述第一節(jié)

數(shù)字圖書館信息安全概述數(shù)字圖書館信息安全的內(nèi)涵數(shù)字圖書館信息安全是指數(shù)字圖書館網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件及系統(tǒng)中的信息資源受到保護，不因偶然因素和惡意原因而遭到破壞、更改、泄露，并保證系統(tǒng)能連續(xù)工作，網(wǎng)絡(luò)信息服務(wù)不中斷。數(shù)字圖書館信息安全的內(nèi)涵數(shù)字圖書館信息安全是指數(shù)字圖書館網(wǎng)絡(luò)

信息安全的目標系統(tǒng)可靠性：是指網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成指定功能的特性，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標。服務(wù)可用性：保證合法用戶對信息資源的使用不會被不正當?shù)鼐芙^。信息安全的目標系統(tǒng)可靠性：是指網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)

信息安全的目標身份真實性：能對數(shù)字圖書館用戶的真實身份進行鑒別。信息保密性：保證信息不被泄露給非授權(quán)的用戶、實體或過程，保證信息只為授權(quán)用戶使用。信息完整性：能夠防止信息在存儲和傳輸過程被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞，要求保持信息的原樣。

信息安全的目標身份真實性：能對數(shù)字圖書館用戶的真實

信息安全的目標行為不可否認性：保證數(shù)字圖書館工作人員和用戶不可能否認或抵賴曾經(jīng)完成的操作或承諾。系統(tǒng)可控性：數(shù)字圖書館安全管理系統(tǒng)可以隨時對信息的傳播及內(nèi)容進行控制?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。信息安全的目標行為不可否認性：保證數(shù)字圖書館工作人

信息安全的目標系統(tǒng)易用性：在滿足以上安全要求的條件下，系統(tǒng)也應(yīng)當盡量保證操作簡單、維護方便。應(yīng)該說信息安全的目的是保護信息交換而非限制它或使其復(fù)雜性。信息安全的目標系統(tǒng)易用性：在滿足以上安全要求的條件信息安全機制先進的安全技術(shù)嚴格的安全管理完善的法律約束有效的安全教育信息安全機制先進的安全技術(shù)第二節(jié)信息加密技術(shù)第二節(jié)信息加密技術(shù)

一、加密技術(shù)概述加密算法E解密算法D明文數(shù)據(jù)M密文數(shù)據(jù)C明文數(shù)據(jù)M發(fā)送端接收端

一、加密技術(shù)概述加密算法E解密算法D明文密文明文發(fā)送端接收Ek(M)=CDk(C)=M加密算法E解密算法D明文數(shù)據(jù)M密文數(shù)據(jù)C明文數(shù)據(jù)M發(fā)送端接收端密鑰K密鑰K加密算法解密算法明文密文Ek(M)=C加密算法E解密算法D明文密文明文發(fā)送端接收端密根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同、能否由加密過程推導(dǎo)出解密過程（或者由解密過程推導(dǎo)出加密過程），可將密碼體制分為對稱密碼體制和非對稱密碼體制。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同、能否由加密過二、對稱密鑰密碼體制二、對稱密鑰密碼體制如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但是由其中的任意一個可以很容易地推導(dǎo)出另一個，則該系所采用的就是對稱密碼體制（也叫作單鑰密碼體制、秘密密鑰密碼體制、對稱密鑰密碼體制）。如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但對稱加密示意圖對稱加密示意圖三、非對稱密鑰密碼體制三、非對稱密鑰密碼體制如果一個加密系統(tǒng)把加密和解密的能力分開，加密和解密分別用兩個不同的密鑰實現(xiàn)，并且不可能由加密密鑰推導(dǎo)出解密密鑰（或者不可能由解密密鑰推導(dǎo)出加密密鑰），則該系統(tǒng)所采用的就是非對稱密碼體制（也叫作雙鑰密碼體制、公開密鑰密碼體制、非對稱密鑰密碼體制）

。如果一個加密系統(tǒng)把加密和解密的能力分開，加密和解密分別用兩個非對稱密鑰密碼體制非對稱密鑰密碼體制示意圖非對稱密鑰密碼體制非對稱密鑰密碼體制示意圖公開密鑰與對稱密鑰相結(jié)合的加密方式公開密鑰與對稱密鑰相結(jié)合的加密方式第三節(jié)

電子簽名的技術(shù)實現(xiàn)第三節(jié)

電子簽名的技術(shù)實現(xiàn)《中華人民共和國電子簽名法》已于2004年８月２８日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，自２００５年４月１日起施行。第一條為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護有關(guān)各方的合法權(quán)益，制定本法?！吨腥A人民共和國電子簽名法》已于2004年８月２８日第十屆全

2000年6月30日美國總統(tǒng)克林頓正式簽署了美國的《全球及全國商業(yè)電子簽名法》，這是美國歷史上第一部聯(lián)邦級的電子簽名法，它于2000年10月1日起生效。2000年6月30日美國總統(tǒng)克林頓正式簽署了美國的《全球及一、什么是電子簽名？能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵賴性，起到與手寫簽名或者蓋章同等作用的簽名的電子技術(shù)手段，稱之為電子簽名。一、什么是電子簽名？能夠在電子文件中識別雙方交易人的真實身份聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù),它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指《中華人民共和國電子簽名法》第二條本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。《中華人民共和國電子簽名法》二、什么是數(shù)字簽名？所謂“數(shù)字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術(shù)驗證，其驗證的準確度是一般手工簽名和圖章的驗證無法比擬的。二、什么是數(shù)字簽名？所謂“數(shù)字簽名”就是通過某種密碼運算生成數(shù)字簽名的設(shè)計要求:

簽名必須是依賴于被簽名信息的一個位串模式簽名必須使用某些對發(fā)送者是惟一的信息，以防止雙方的偽造與否認。必須相對容易生成該數(shù)字簽名。必須相對容易識別和驗證該數(shù)字簽名偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名。在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的。數(shù)字簽名的設(shè)計要求:

簽名必須是依賴于被簽名信息的一個位串模三、數(shù)字簽名的技術(shù)實現(xiàn)

三、數(shù)字簽名的技術(shù)實現(xiàn)使用公開密鑰的認證方式使用公開密鑰的認證方式在實際應(yīng)用操作中發(fā)出的文件簽名并非是對原文本身進行加密，而是要對原文進行所謂的“哈希”（Hash）運算，即對原文做數(shù)字摘要。該密碼算法也稱單向散列運算，其運算結(jié)果稱為哈希值，或稱數(shù)字摘要，也有人將其稱為“數(shù)字指紋”。哈希值有固定的長度，運算是不可逆的，不同的明文其哈希值是不同的，而同樣的明文其哈希值是相同并且是惟一的，原文有任何改動，其哈希值就要發(fā)生變化。數(shù)字簽名是用私鑰對數(shù)字摘要進行加密，用公鑰進行解密和驗證。

在實際應(yīng)用操作中發(fā)出的文件簽名并非是對原文本身進行加密，而是常見的Hash算法有：MD算法（MessageDigestAlgorithm，信息摘要算法）是由Rivest從20世紀80年代末起所開發(fā)的系列散列算法的合稱，歷經(jīng)MD2、MD3和MD4發(fā)展到現(xiàn)在的MD5。SHA（SecureHashAlgorithm，安全散列算法）由美國國家標準和技術(shù)協(xié)會開發(fā)，SHA-1是該協(xié)會于1994年發(fā)布的SHA算法的修訂版。常見的Hash算法有：MD算法（MessageDigest公開密鑰與對稱密鑰相結(jié)合的認證方式公開密鑰與對稱密鑰相結(jié)合的認證方式真實性、完整性、保密性、不可否認性完整的公鑰加密和數(shù)字簽名流程真實性、完整性、保密性、不可否認性完整的公鑰加密和數(shù)字簽名流第四節(jié)數(shù)字證書第四節(jié)數(shù)字證書一、什么是數(shù)字證書

數(shù)字證書（DigitalID），又叫“數(shù)字身份證”、“網(wǎng)絡(luò)身份證”是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。一、什么是數(shù)字證書

數(shù)字證書（DigitalID），又叫“一個標準的X.509數(shù)字證書包含以下內(nèi)容：證書的版本信息。證書的序列號證書所使用的簽名算法。證書的發(fā)行機構(gòu)名稱（認證機構(gòu)）證書的有效期證書所有人的名稱證書所有人的公開密鑰證書發(fā)行者對證書的簽名一個標準的X.509數(shù)字證書包含以下內(nèi)容：證書的版本信息。數(shù)字證書示意圖數(shù)字證書示意圖二、證書授權(quán)中心

證書授權(quán)（CertificateAuthority）中心，認證機構(gòu)CA，CA機構(gòu)，認證中心，CA，CA認證機構(gòu)在《電子簽名法》中被稱做“電子認證服務(wù)提供者”。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。二、證書授權(quán)中心

證書授權(quán)（CertificateAuth根CA一級子CA1一級子CA2二級子CA2終端實體A二級子CA2終端實體C認證機構(gòu)（CA）層次結(jié)構(gòu)認證機構(gòu)（CA）層次結(jié)構(gòu)根CA一級子CA1一級子CA2二級子CA2終端實體A二級子C

第五節(jié)數(shù)字時間戳技術(shù)

第五節(jié)數(shù)字時間戳技術(shù)數(shù)字時間認證包括兩層含義：其一是指對數(shù)字文檔自身產(chǎn)生或更改的時間進行認證；其二是指對以數(shù)字化形式表示的時間的真實性進行認證。目前實現(xiàn)數(shù)字時間認證的主要方法是加蓋數(shù)字時間戳。數(shù)字時間認證包括兩層含義：數(shù)字時間戳的實行，需要一個可信任的第三方—

時間戳權(quán)威TSA(timestampauthority)，來提供可信賴的且不可抵賴的數(shù)字時間戳服務(wù)（DTS，digitaltimestampservice).TSA的主要功能是提供可靠的時間信息，證明某份文件(或某條信息)在某個時間(或以前)存在，防止用戶在這個時間后偽造數(shù)據(jù)進行欺騙活動,時間戳服務(wù)提供商擔當著中介者的角色，負責TSA與最終使用者之間的溝通.數(shù)字時間戳的實行，需要一個可信任的第三方—時間戳權(quán)威TSA對單方請求的時間認證技術(shù)對單方請求的時間認證技術(shù)對雙方請求的時間認證技術(shù)

如果Alice和Bob已經(jīng)對一份合同達成了一致，他們兩方?jīng)Q定在某一天共同簽署該合同。如何證明在這一天確實發(fā)生了簽署合同的行為？對雙方請求的時間認證技術(shù)

如果Alice和Bob已經(jīng)對一份合Bob的簽名Alice的簽名合同的Hash值（數(shù)字摘要）TSA的數(shù)字時間戳Alice的簽名Bob的簽名合同的Hash值（數(shù)字摘要）TSA的數(shù)字時間戳圖1圖2圖形合同的TSA的數(shù)字時間戳合同的TSA的數(shù)字時間戳圖1圖2圖形第六節(jié)PKI—公鑰基礎(chǔ)設(shè)施第六節(jié)PKI—公鑰基礎(chǔ)設(shè)施一、什么是PKI？

PKI是“PublicKeyInfrastructure”的縮寫，PKI就是利用公共密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。一、什么是PKI？

PKI是“PublicKeyInfrPKI技術(shù)以公鑰技術(shù)為基礎(chǔ)，以數(shù)字證書為媒介，結(jié)合對稱加密和非對稱加密技術(shù)，將個人、組織、設(shè)備的標識信息與各自的公鑰捆綁在一起，其主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全、可信的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，在互聯(lián)網(wǎng)上驗證用戶的身份，從而保證了互聯(lián)網(wǎng)上所傳輸信息的真實性、完整性、機密性和不可否認性。PKI是目前為止既能實現(xiàn)用戶身份認證，又能保證互聯(lián)網(wǎng)上所傳輸數(shù)據(jù)安全的惟一技術(shù)。PKI技術(shù)以公鑰技術(shù)為基礎(chǔ)，以數(shù)字證書為媒介，結(jié)合對稱加密和二、PKI的組成1）證書機構(gòu)（CertificateAuthority）2）證書庫（Repository）3）證書撤消處理系統(tǒng)4）密鑰備份與恢復(fù)系統(tǒng)5）自動密鑰更新系統(tǒng)6）密鑰文檔管理系統(tǒng)7）交叉認證系統(tǒng)8）數(shù)字時間認證系統(tǒng)9）客戶端軟件二、PKI的組成1）證書機構(gòu)（CertificateAut三、PKI的構(gòu)建對于任何想要建立自己的PKI系統(tǒng)的組織來說，目前存在兩種模式：自建托管三、PKI的構(gòu)建對于任何想要建立自己的PKI系統(tǒng)的組織來說，自建模式（In-houseModel）是指用戶購買整套的PKI軟件和所需的硬件設(shè)備，按照PKI的構(gòu)建要求自行建立起一套完整的服務(wù)體系。在這種模式下，用戶將參與PKI系統(tǒng)的建立、維護、運營以及可信雇員專業(yè)培訓的整個過程，并對PKI系統(tǒng)的所有事務(wù)負全責，其中包括系統(tǒng)、通信、數(shù)據(jù)庫以及物理安全、網(wǎng)絡(luò)安全配置、高可靠性的冗余系統(tǒng)、災(zāi)難恢復(fù)，用戶還需提供龐大的運營資金作后盾。這種模式需要將PKI運營人員培訓成為PKI技術(shù)專家、法律專家。自建模式（In-houseModel）是指用戶購買整套的P托管模式（OutsourcingModel）是指用戶利用現(xiàn)有的可信第三方（TrustedThirdPart，TTP）——認證中心CA提供的PKI服務(wù)，用戶只需配置并全權(quán)管理一套集成的PKI平臺即可建立起一套完整的服務(wù)體系，對內(nèi)、對外提供全部的PKI服務(wù)。此模式下，用戶只需通過前臺系統(tǒng)完成簡單的系統(tǒng)配置，而復(fù)雜、專業(yè)的其他PKI核心服務(wù)及其維護工作將交與可信的第三方來完成，用戶不需要資深的PKI技術(shù)專家、法律專家，只需對其內(nèi)部相關(guān)人員進行簡單的培訓即可提供服務(wù)，用戶也不需要單獨承擔全部的投資與風險。托管模式（OutsourcingModel）是指用戶利用現(xiàn)四、PKI技術(shù)的應(yīng)用1、Web安全一般來講，Web上的交易可能帶來的安全問題有：詐騙泄漏篡改攻擊四、PKI技術(shù)的應(yīng)用1、Web安全SSL（SecureSocketsLayer）安全套接層協(xié)議，是Netscape公司設(shè)計的主要用于Web的安全傳輸協(xié)議。SSL是一個介于HTTP協(xié)議與TCP之間的一可選層，它在TCP之上建立了一個安全通道，提供基于證書的認證、信息完整性和數(shù)據(jù)保密性，通過這一層的數(shù)據(jù)經(jīng)過了加密，因此達到保密的效果。SSL（SecureSocketsLayer）安全套接層客戶端WEB服務(wù)器請求建立安全連接通道服務(wù)器發(fā)送服務(wù)器證書用服務(wù)器證書公鑰加密會話密鑰客戶端發(fā)送用戶證書用用戶端證書公鑰加密會話密鑰建立安全連接通道SSL技術(shù)原理圖SSL技術(shù)原理圖

客戶端WEB請求建立安全連接通道服務(wù)器發(fā)送服務(wù)器證書用服務(wù)器2、安全電子郵件電子郵件安全問題：消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉；沒有辦法可以確定一封電子郵件是否真的來自某人（發(fā)信者的身份可能被人偽造）。2、安全電子郵件電子郵件安全問題：S/MIME(Secure/MultipurposeInternetMailExtension，安全/多用途互聯(lián)網(wǎng)郵件擴展標準）是RSA數(shù)據(jù)安全公司于1995年向互聯(lián)網(wǎng)工程任務(wù)組IETF提交的規(guī)范，該標準使用公鑰加密來保護數(shù)據(jù)不被未授權(quán)的用戶看到，并擁有驗證加密郵件發(fā)送者的功能。S/MIME的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織之間相互認證。S/MIME(Secure/MultipurposeOpenPGP（PrettyGoodPrivacy高質(zhì)量保密標準）是一個屬于網(wǎng)絡(luò)聯(lián)盟（NetworkAssociates)的受專利保護的協(xié)議。OpenPGP（PrettyGoodPrivacy高質(zhì)量思考題1、數(shù)字圖書館系統(tǒng)的安全需求有哪些？2、對稱密鑰系統(tǒng)有什么特點？3、非對稱密鑰系統(tǒng)有什么特點？4、請分析數(shù)字簽名的實現(xiàn)原理。5、請分析數(shù)字時間戳的實現(xiàn)原理。6、試述數(shù)字證書的作用。7、PKI有哪些組成部分？思考題1、數(shù)字圖書館系統(tǒng)的安全需求有哪些？數(shù)字圖書館信息安全概述第二節(jié)信息加密技術(shù)第三節(jié)電子簽課件數(shù)字圖書館信息安全概述第二節(jié)信息加密技術(shù)第三節(jié)電子簽課件

其實，世上最溫暖的語言，“不是我愛你，而是在一起。”

所以懂得才是最美的相遇！只有彼此以誠相待，彼此尊重，相互包容，相互懂得，才能走的更遠。相遇是緣，相守是愛。緣是多么的妙不可言，而懂得又是多么的難能可貴。否則就會錯過一時，錯過一世！擇一人深愛，陪一人到老。一路相扶相持，一路心手相牽，一路笑對風雨。在平凡的世界，不求愛的轟轟烈烈；不求誓言多么美麗；唯愿簡單的相處，真心地付出，平淡地相守，才不負最美的人生；不負善良的自己。人海茫茫，不求人人都能刻骨銘心，但求對人對己問心無愧，無怨無悔足矣。大千世界，與萬千人中遇見，只是相識的開始，只有彼此真心付出，以心交心，以情換情，相知相惜，才能相伴美好的一生，一路同行。然而，生活不僅是詩和遠方，更要面對現(xiàn)實。如果曾經(jīng)的擁有，不能天長地久，那么就要學會華麗地轉(zhuǎn)身，學會忘記。忘記該忘記的人，忘記該忘記的事兒，忘記苦樂年華的悲喜交集。人有悲歡離合，月有陰晴圓缺。對于離開的人，不必折磨自己脆弱的生命，虛度了美好的朝夕；不必讓心靈痛苦不堪，弄丟了快樂的自己。擦汗眼淚，告訴自己，日子還得繼續(xù)，誰都不是誰的唯一，相信最美的風景一直在路上。人生，就是一場修行。你路過我，我忘記你；你有情，他無意。誰都希望在正確的時間遇見對的人，然而事與愿違時，你越渴望的東西，也許越是無情無義地棄你而去。所以美好的愿望，就會像肥皂泡一樣破滅，只能在錯誤的時間遇到錯的人。歲月匆匆像一陣風，有多少故事留下感動。愿曾經(jīng)的相遇，無論是錦上添花，還是追悔莫及；無論是青澀年華的懵懂賞識，還是成長歲月無法躲避的經(jīng)歷……愿曾經(jīng)的過往，依然如花芬芳四溢，永遠無悔歲月賜予的美好相遇。其實，人生之路的每一段相遇，都是一筆財富，尤其親情、友情和愛情。在漫長的旅途上，他們都會豐富你的生命，使你的生命更充實，更真實；豐盈你的內(nèi)心，使你的內(nèi)心更慈悲，更善良。所以生活的美好，緣于一顆善良的心，愿我們都能善待自己和他人。一路走來，愿相親相愛的人，相濡以沫，同甘共苦，百年好合。愿有情有意的人，不離不棄，相惜相守，共度人生的每一個朝夕……直到老得哪也去不了，依然是彼此手心里的寶，感恩一路有你！感謝您對文章的閱讀跟下載，希望本篇文章能幫助到您，建議您下載后自己先查看一遍，把用不上的部分頁面刪掉哦，當然包括最后一頁，最后祝您生活愉快!其實，世上最溫暖的語言，“不是我愛你，而是在一起?！?/p>

第九章數(shù)字圖書館的信息安全技術(shù)第九章數(shù)字圖書館的信息安全技術(shù)第一節(jié)數(shù)字圖書館信息安全概述第二節(jié)信息加密技術(shù)第三節(jié)電子簽名的技術(shù)實現(xiàn)第四節(jié)數(shù)字證書第五節(jié)數(shù)字時間戳技術(shù)第六節(jié)PKI—公鑰基礎(chǔ)設(shè)施提要第一節(jié)數(shù)字圖書館信息安全概述提要第一節(jié)

數(shù)字圖書館信息安全概述第一節(jié)

數(shù)字圖書館信息安全概述數(shù)字圖書館信息安全的內(nèi)涵數(shù)字圖書館信息安全是指數(shù)字圖書館網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件及系統(tǒng)中的信息資源受到保護，不因偶然因素和惡意原因而遭到破壞、更改、泄露，并保證系統(tǒng)能連續(xù)工作，網(wǎng)絡(luò)信息服務(wù)不中斷。數(shù)字圖書館信息安全的內(nèi)涵數(shù)字圖書館信息安全是指數(shù)字圖書館網(wǎng)絡(luò)

信息安全的目標系統(tǒng)可靠性：是指網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成指定功能的特性，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標。服務(wù)可用性：保證合法用戶對信息資源的使用不會被不正當?shù)鼐芙^。信息安全的目標系統(tǒng)可靠性：是指網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)

信息安全的目標身份真實性：能對數(shù)字圖書館用戶的真實身份進行鑒別。信息保密性：保證信息不被泄露給非授權(quán)的用戶、實體或過程，保證信息只為授權(quán)用戶使用。信息完整性：能夠防止信息在存儲和傳輸過程被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞，要求保持信息的原樣。

信息安全的目標身份真實性：能對數(shù)字圖書館用戶的真實

信息安全的目標行為不可否認性：保證數(shù)字圖書館工作人員和用戶不可能否認或抵賴曾經(jīng)完成的操作或承諾。系統(tǒng)可控性：數(shù)字圖書館安全管理系統(tǒng)可以隨時對信息的傳播及內(nèi)容進行控制。可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。信息安全的目標行為不可否認性：保證數(shù)字圖書館工作人

信息安全的目標系統(tǒng)易用性：在滿足以上安全要求的條件下，系統(tǒng)也應(yīng)當盡量保證操作簡單、維護方便。應(yīng)該說信息安全的目的是保護信息交換而非限制它或使其復(fù)雜性。信息安全的目標系統(tǒng)易用性：在滿足以上安全要求的條件信息安全機制先進的安全技術(shù)嚴格的安全管理完善的法律約束有效的安全教育信息安全機制先進的安全技術(shù)第二節(jié)信息加密技術(shù)第二節(jié)信息加密技術(shù)

一、加密技術(shù)概述加密算法E解密算法D明文數(shù)據(jù)M密文數(shù)據(jù)C明文數(shù)據(jù)M發(fā)送端接收端

一、加密技術(shù)概述加密算法E解密算法D明文密文明文發(fā)送端接收Ek(M)=CDk(C)=M加密算法E解密算法D明文數(shù)據(jù)M密文數(shù)據(jù)C明文數(shù)據(jù)M發(fā)送端接收端密鑰K密鑰K加密算法解密算法明文密文Ek(M)=C加密算法E解密算法D明文密文明文發(fā)送端接收端密根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同、能否由加密過程推導(dǎo)出解密過程（或者由解密過程推導(dǎo)出加密過程），可將密碼體制分為對稱密碼體制和非對稱密碼體制。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同、能否由加密過二、對稱密鑰密碼體制二、對稱密鑰密碼體制如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但是由其中的任意一個可以很容易地推導(dǎo)出另一個，則該系所采用的就是對稱密碼體制（也叫作單鑰密碼體制、秘密密鑰密碼體制、對稱密鑰密碼體制）。如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但對稱加密示意圖對稱加密示意圖三、非對稱密鑰密碼體制三、非對稱密鑰密碼體制如果一個加密系統(tǒng)把加密和解密的能力分開，加密和解密分別用兩個不同的密鑰實現(xiàn)，并且不可能由加密密鑰推導(dǎo)出解密密鑰（或者不可能由解密密鑰推導(dǎo)出加密密鑰），則該系統(tǒng)所采用的就是非對稱密碼體制（也叫作雙鑰密碼體制、公開密鑰密碼體制、非對稱密鑰密碼體制）

。如果一個加密系統(tǒng)把加密和解密的能力分開，加密和解密分別用兩個非對稱密鑰密碼體制非對稱密鑰密碼體制示意圖非對稱密鑰密碼體制非對稱密鑰密碼體制示意圖公開密鑰與對稱密鑰相結(jié)合的加密方式公開密鑰與對稱密鑰相結(jié)合的加密方式第三節(jié)

電子簽名的技術(shù)實現(xiàn)第三節(jié)

電子簽名的技術(shù)實現(xiàn)《中華人民共和國電子簽名法》已于2004年８月２８日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，自２００５年４月１日起施行。第一條為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護有關(guān)各方的合法權(quán)益，制定本法。《中華人民共和國電子簽名法》已于2004年８月２８日第十屆全

2000年6月30日美國總統(tǒng)克林頓正式簽署了美國的《全球及全國商業(yè)電子簽名法》，這是美國歷史上第一部聯(lián)邦級的電子簽名法，它于2000年10月1日起生效。2000年6月30日美國總統(tǒng)克林頓正式簽署了美國的《全球及一、什么是電子簽名？能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵賴性，起到與手寫簽名或者蓋章同等作用的簽名的電子技術(shù)手段，稱之為電子簽名。一、什么是電子簽名？能夠在電子文件中識別雙方交易人的真實身份聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù),它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指《中華人民共和國電子簽名法》第二條本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息?！吨腥A人民共和國電子簽名法》二、什么是數(shù)字簽名？所謂“數(shù)字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術(shù)驗證，其驗證的準確度是一般手工簽名和圖章的驗證無法比擬的。二、什么是數(shù)字簽名？所謂“數(shù)字簽名”就是通過某種密碼運算生成數(shù)字簽名的設(shè)計要求:

簽名必須是依賴于被簽名信息的一個位串模式簽名必須使用某些對發(fā)送者是惟一的信息，以防止雙方的偽造與否認。必須相對容易生成該數(shù)字簽名。必須相對容易識別和驗證該數(shù)字簽名偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名。在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的。數(shù)字簽名的設(shè)計要求:

簽名必須是依賴于被簽名信息的一個位串模三、數(shù)字簽名的技術(shù)實現(xiàn)

三、數(shù)字簽名的技術(shù)實現(xiàn)使用公開密鑰的認證方式使用公開密鑰的認證方式在實際應(yīng)用操作中發(fā)出的文件簽名并非是對原文本身進行加密，而是要對原文進行所謂的“哈希”（Hash）運算，即對原文做數(shù)字摘要。該密碼算法也稱單向散列運算，其運算結(jié)果稱為哈希值，或稱數(shù)字摘要，也有人將其稱為“數(shù)字指紋”。哈希值有固定的長度，運算是不可逆的，不同的明文其哈希值是不同的，而同樣的明文其哈希值是相同并且是惟一的，原文有任何改動，其哈希值就要發(fā)生變化。數(shù)字簽名是用私鑰對數(shù)字摘要進行加密，用公鑰進行解密和驗證。

在實際應(yīng)用操作中發(fā)出的文件簽名并非是對原文本身進行加密，而是常見的Hash算法有：MD算法（MessageDigestAlgorithm，信息摘要算法）是由Rivest從20世紀80年代末起所開發(fā)的系列散列算法的合稱，歷經(jīng)MD2、MD3和MD4發(fā)展到現(xiàn)在的MD5。SHA（SecureHashAlgorithm，安全散列算法）由美國國家標準和技術(shù)協(xié)會開發(fā)，SHA-1是該協(xié)會于1994年發(fā)布的SHA算法的修訂版。常見的Hash算法有：MD算法（MessageDigest公開密鑰與對稱密鑰相結(jié)合的認證方式公開密鑰與對稱密鑰相結(jié)合的認證方式真實性、完整性、保密性、不可否認性完整的公鑰加密和數(shù)字簽名流程真實性、完整性、保密性、不可否認性完整的公鑰加密和數(shù)字簽名流第四節(jié)數(shù)字證書第四節(jié)數(shù)字證書一、什么是數(shù)字證書

數(shù)字證書（DigitalID），又叫“數(shù)字身份證”、“網(wǎng)絡(luò)身份證”是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。一、什么是數(shù)字證書

數(shù)字證書（DigitalID），又叫“一個標準的X.509數(shù)字證書包含以下內(nèi)容：證書的版本信息。證書的序列號證書所使用的簽名算法。證書的發(fā)行機構(gòu)名稱（認證機構(gòu)）證書的有效期證書所有人的名稱證書所有人的公開密鑰證書發(fā)行者對證書的簽名一個標準的X.509數(shù)字證書包含以下內(nèi)容：證書的版本信息。數(shù)字證書示意圖數(shù)字證書示意圖二、證書授權(quán)中心

證書授權(quán)（CertificateAuthority）中心，認證機構(gòu)CA，CA機構(gòu)，認證中心，CA，CA認證機構(gòu)在《電子簽名法》中被稱做“電子認證服務(wù)提供者”。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。二、證書授權(quán)中心

證書授權(quán)（CertificateAuth根CA一級子CA1一級子CA2二級子CA2終端實體A二級子CA2終端實體C認證機構(gòu)（CA）層次結(jié)構(gòu)認證機構(gòu)（CA）層次結(jié)構(gòu)根CA一級子CA1一級子CA2二級子CA2終端實體A二級子C

第五節(jié)數(shù)字時間戳技術(shù)

第五節(jié)數(shù)字時間戳技術(shù)數(shù)字時間認證包括兩層含義：其一是指對數(shù)字文檔自身產(chǎn)生或更改的時間進行認證；其二是指對以數(shù)字化形式表示的時間的真實性進行認證。目前實現(xiàn)數(shù)字時間認證的主要方法是加蓋數(shù)字時間戳。數(shù)字時間認證包括兩層含義：數(shù)字時間戳的實行，需要一個可信任的第三方—

時間戳權(quán)威TSA(timestampauthority)，來提供可信賴的且不可抵賴的數(shù)字時間戳服務(wù)（DTS，digitaltimestampservice).TSA的主要功能是提供可靠的時間信息，證明某份文件(或某條信息)在某個時間(或以前)存在，防止用戶在這個時間后偽造數(shù)據(jù)進行欺騙活動,時間戳服務(wù)提供商擔當著中介者的角色，負責TSA與最終使用者之間的溝通.數(shù)字時間戳的實行，需要一個可信任的第三方—時間戳權(quán)威TSA對單方請求的時間認證技術(shù)對單方請求的時間認證技術(shù)對雙方請求的時間認證技術(shù)

如果Alice和Bob已經(jīng)對一份合同達成了一致，他們兩方?jīng)Q定在某一天共同簽署該合同。如何證明在這一天確實發(fā)生了簽署合同的行為？對雙方請求的時間認證技術(shù)

如果Alice和Bob已經(jīng)對一份合Bob的簽名Alice的簽名合同的Hash值（數(shù)字摘要）TSA的數(shù)字時間戳Alice的簽名Bob的簽名合同的Hash值（數(shù)字摘要）TSA的數(shù)字時間戳圖1圖2圖形合同的TSA的數(shù)字時間戳合同的TSA的數(shù)字時間戳圖1圖2圖形第六節(jié)PKI—公鑰基礎(chǔ)設(shè)施第六節(jié)PKI—公鑰基礎(chǔ)設(shè)施一、什么是PKI？

PKI是“PublicKeyInfrastructure”的縮寫，PKI就是利用公共密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。一、什么是PKI？

PKI是“PublicKeyInfrPKI技術(shù)以公鑰技術(shù)為基礎(chǔ)，以數(shù)字證書為媒介，結(jié)合對稱加密和非對稱加密技術(shù)，將個人、組織、設(shè)備的標識信息與各自的公鑰捆綁在一起，其主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全、可信的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，在互聯(lián)網(wǎng)上驗證用戶的身份，從而保證了互聯(lián)網(wǎng)上所傳輸信息的真實性、完整性、機密性和不可否認性。PKI是目前為止既能實現(xiàn)用戶身份認證，又能保證互聯(lián)網(wǎng)上所傳輸數(shù)據(jù)安全的惟一技術(shù)。PKI技術(shù)以公鑰技術(shù)為基礎(chǔ)，以數(shù)字證書為媒介，結(jié)合對稱加密和二、PKI的組成1）證書機構(gòu)（CertificateAuthority）2）證書庫（Repository）3）證書撤消處理系統(tǒng)4）密鑰備份與恢復(fù)系統(tǒng)5）自動密鑰更新系統(tǒng)6）密鑰文檔管理系統(tǒng)7）交叉認證系統(tǒng)8）數(shù)字時間認證系統(tǒng)9）客戶端軟件二、PKI的組成1）證書機構(gòu)（CertificateAut三、PKI的構(gòu)建對于任何想要建立自己的PKI系統(tǒng)的組織來說，目前存在兩種模式：自建托管三、PKI的構(gòu)建對于任何想要建立自己的PKI系統(tǒng)的組織來說，自建模式（In-houseModel）是指用戶購買整套的PKI軟件和所需的硬件設(shè)備，按照PKI的構(gòu)建要求自行建立起一套完整的服務(wù)體系。在這種模式下，用戶將參與PKI系統(tǒng)的建立、維護、運營以及可信雇員專業(yè)培訓的整個過程，并對PKI系統(tǒng)的所有事務(wù)負全責，其中包括系統(tǒng)、通信、數(shù)據(jù)庫以及物理安全、網(wǎng)絡(luò)安全配置、高可靠性的冗余系統(tǒng)、災(zāi)難恢復(fù)，用戶還需提供龐大的運營資金作后盾。這種模式需要將PKI運營人員培訓成為PKI技術(shù)專家、法律專家。自建模式（In-houseModel）是指用戶購買整套的P托管模式（OutsourcingModel）是指用戶利用現(xiàn)有的可信第三方（TrustedThirdPart，TTP）——認證中心CA提供的PKI服務(wù)，用戶只需配置并全權(quán)管理一套集成的PKI平臺即可建立起一套完整的服務(wù)體系，對內(nèi)、對外提供全部的PKI服務(wù)。此模式下，用戶只需通過前臺系統(tǒng)完成簡單的系統(tǒng)配置，而復(fù)雜、專業(yè)的其他PKI核心服務(wù)及其維護工作將交與可信的第三方來完成，用戶不需要資深的PKI技術(shù)專家、法律專家，只需對其內(nèi)部相關(guān)人員進行簡單的培訓即可提供服務(wù)，用戶也不需要單獨承擔全部的投資與風險。托管模式（OutsourcingModel）是指用戶利用現(xiàn)四、PKI技術(shù)的應(yīng)用1、Web安全一般來講，Web上的交易可能帶來的安全問題有：詐騙泄漏篡改攻擊四、PKI技術(shù)的應(yīng)用1、Web安全SSL（SecureSocketsLayer）安全套接層協(xié)議，是Netscape公司設(shè)計的主要用于Web的安全傳輸協(xié)議。SSL是一個介于HTTP協(xié)議與TCP之間的一可選層，它在TCP之上建立了一個安全通道，提供基于證書的認證、信息完整性和數(shù)據(jù)保密性，通過這一層的數(shù)據(jù)經(jīng)過了加密，因此達到保密的效果。SSL（SecureSocketsLayer）安全套接層客戶端WEB服務(wù)器請求建立安全連接通道服務(wù)器發(fā)送服務(wù)器證書用服務(wù)器證書公鑰加密會話密鑰客戶端發(fā)送用戶證書用用戶端證書公鑰加密會話密鑰建立安全連接通道SSL技術(shù)原理圖SSL技術(shù)原理圖

客戶端WEB請求建立安全連接通道服務(wù)器發(fā)送服務(wù)器證書用服務(wù)器2、安全電子郵件電子郵件安全問題：消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或截掉；沒有辦法可以確定一封電子郵件是否真的來自某人（發(fā)信者的身份可能被人偽造）。2、安全