常用安全技術(shù)之加密技術(shù)培訓教材課件

常用安全技術(shù)之加密技術(shù)劉玉潔電子商務(wù)教研室

電子商務(wù)教研室常用安全技術(shù)之加密技術(shù)劉玉潔電子商務(wù)教研室電子電子商務(wù)教研室加密技術(shù)1、加密技術(shù)能夠有效地解決何種網(wǎng)絡(luò)威脅問題2、加密技術(shù)的關(guān)鍵是什么？3、DES及RSA的主要區(qū)別是什么？ec加密技術(shù)1、加密技術(shù)能夠有效地解決何種網(wǎng)絡(luò)威脅問題ec21.引言發(fā)問：什么是密碼？1.引言發(fā)問：什么是密碼？31.引言發(fā)問：什么是密碼？不全面1.引言發(fā)問：什么是密碼？不全面42.密碼概念密碼定義1：秘密的信息，比如：口令、暗號等2：原始信息按一定規(guī)則轉(zhuǎn)換成無法理解的特定符號明文加密方法密文加密過程2.密碼概念密碼定義1：秘密的信息，比如：口令、暗號等2：原53.加密技術(shù)的發(fā)展過程（1）古代加密階段（20世紀之前）我聞西方大士，為人了卻凡心。秋來明月照蓬門，香滿禪房幽徑。屈指靈山會后，居然紫竹成林。童男童女拜觀音，仆仆何嫌榮頓？

加密方法：Steganography（隱寫術(shù)）加密特點：手工性、隱寫性3.加密技術(shù)的發(fā)展過程（1）古代加密階段（20世紀之前）我聞63.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世紀60年代）中途島海戰(zhàn)中途島“AF”加密方法：Replacementsurgery（替換術(shù)）加密特點：機械性、替換性日本紫密密碼：3.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世73.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世紀60年代）例1：Caesarreplacement（凱撒替換）替換規(guī)則：字母錯開X位，比如3位ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：

CHINA密文：

FLMQD3.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世83.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代—至今）密碼：光復一號（蘇聯(lián)數(shù)學家制造）加密方法：Calculationtechnique（計算術(shù)）加密特點：信息化、計算化3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代93.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代—至今）RSA加密技術(shù)第1步：找兩個大素數(shù)P和Q，N=P×Q，M=（P-1）×（Q-1）

第2步：找一個和M互素的整數(shù)E（E是公鑰）第3步：找一個整數(shù)D，即E×DmodM=1（D是私鑰）加密方法：明文T，密文CC=TDmodN3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代103.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代—至今）RSA加密技術(shù)1：設(shè)p=7，q=17，n=7×17=119，m=(7-1)(17-1)=962：隨機找個e=5（公鑰=5）3：計算d，(d×5)mod96=1，d=77（私鑰=77）

明文：T=19密文：C=195mod119=663.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代11（二）加密技術(shù)一個密碼體制由明文、密文、密鑰與加密運算這四個基本要素構(gòu)成。圖7-1顯示了一個明文加密解密的過程。ec（二）加密技術(shù)一個密碼體制由明文、密文、密鑰與加密運算這四個12加密術(shù)語明文(cleartext)最初的原始信息。密文(ciphertext)被加密信息打亂后的信息。算法(algorithm)將明文改為密文的方法。密鑰(key)將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。加密(encryption)將明文轉(zhuǎn)換為密文的過程。解密(decryption)將密文轉(zhuǎn)換為明文的過程。ec加密術(shù)語明文(cleartext)最初的原始信息。ec13密鑰體制密鑰是用戶按照一種密碼體制隨機選取的一個字符串，是控制明文和密文變換的唯一參數(shù)。根據(jù)密鑰類型不同將現(xiàn)代密碼技術(shù)分為兩類：1.單密鑰體制加密密鑰和解密密鑰相同或本質(zhì)相同的體制被稱為單密鑰加密體制。其特點是運算速度快，適合于加解密傳輸中的信息。如美國的數(shù)據(jù)加密標準（DES算法）。2.公鑰體制指加密密鑰和解密密鑰不相同且從其中一個很難推斷出另一個的體制。公鑰密碼體制可以使通信雙方無須事先交換密鑰就可以建立安全通信。公鑰體制廣泛地用于CA認證、數(shù)字簽名和密鑰交換等領(lǐng)域。ec密鑰體制密鑰是用戶按照一種密碼體制隨機選取的一個字符串，是控14數(shù)據(jù)加密標準DES：基于私有密鑰體制的信息認證

基于私有密鑰(PrivateKey，私鑰)體制的信息認證是一種傳統(tǒng)的信息認證方法。這種方法采用對稱加密算法，也就是說，信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。

由于通信雙方共享同一密鑰，因而通信的乙方可以確定信息是由甲方發(fā)出的。這是一種最簡單的信息來源的認證方法。下圖是對稱加密示意圖。ec數(shù)據(jù)加密標準DES：基于私有密鑰體制的信息認證ec15對稱加密示意圖

會話密鑰會話密鑰密鑰預分配明文密文明文密文密文明文ec對稱加密示意圖會話密鑰會話密鑰密鑰預分配明文密文明文密文密16對稱加密算法在電子商務(wù)交易過程中存在三個問題：

(1)要求提供一條安全的渠道使通信雙方在首次通信時協(xié)商一個共同的密鑰。直接的面對面協(xié)商可能是不現(xiàn)實而且難于實施的，因此雙方可能需要借助于郵件和電話等其它相對不夠安全的手段來進行協(xié)商。

(2)密鑰的數(shù)目將快速增長而變得難以管理，因為每一對可能的通信實體需要使用不同的密鑰，這很難適應開放社會中大量信息交流的要求。

(3)對稱加密算法一般不能提供信息完整性鑒別。對稱加密方法DESec對稱加密算法在電子商務(wù)交易過程中存在三個問題：對稱加密方17

基于公開密鑰體制的信息認證

1976年，美國學者Diffie和Hellman為解決信息公開傳送和密鑰管理問題，提出了一種密鑰交換協(xié)議，允許通信雙方在不安全的媒體上交換信息，安全地達成一致的密鑰，這就是“公開密鑰體系”。

與對稱加密算法不同，公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰——公開密鑰(PublicKey，公鑰)和私有密鑰。如果用公開密鑰對數(shù)據(jù)進行加密，則只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應的公開密鑰才能解密。圖12-3是使用公鑰加密和用對應的私鑰解密的示意圖。非對稱加密方法RSAec基于公開密鑰體制的信息認證1976年，美國學者Dif18圖使用公鑰加密和對應的私鑰解密的示意圖

生成會話密鑰數(shù)字信封數(shù)字信封明文明文密文密文目錄用戶B的私鑰用戶B的公鑰ec圖使用公鑰加密和對應的私鑰解密的示意圖生成會話密鑰數(shù)字19密鑰管理技術(shù)加密體系中有兩個基本要素：加密算法和密鑰管理。其中密鑰是控制加密算法和解密算法的關(guān)鍵。存放密鑰的媒體有各種磁卡、磁盤、閃盤、智能卡等存儲介質(zhì)，他們很易被盜或損壞。因而密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。ec密鑰管理技術(shù)加密體系中有兩個基本要素：加密算法和密鑰管理。e20密鑰管理創(chuàng)建YourTextYourText分發(fā)YourTextYourText保護YourTextYourText吊銷YourTextYourText1234ec密鑰管理創(chuàng)建YourTextYourText分發(fā)Your21兩種管理技術(shù)比較1.對稱密鑰管理優(yōu)點：即使泄露了一把密鑰也只會影響一筆交易,而不會對其它的交易產(chǎn)生影響。2.公開密鑰管理優(yōu)點：用于解密的私鑰不需發(fā)往別處，因而即使公鑰被截獲，因為沒有與其匹配的私鑰，也無法解讀加密信息。另外還可用它進行身份驗證。ec兩種管理技術(shù)比較1.對稱密鑰管理ec22安全認證技術(shù)數(shù)字摘要數(shù)字簽名數(shù)字水印數(shù)字時間戳生物統(tǒng)計識別安全認證技術(shù)數(shù)字證書ec安全認證技術(shù)數(shù)字摘要數(shù)字簽名數(shù)字水印數(shù)字時間戳生物統(tǒng)計識別安23

1.數(shù)字摘要

數(shù)字摘要(digitaldigest)又稱安全Hash編碼法。其原理是采用單向Hash(哈希)函數(shù)將需加密的明文進行某種變換運算，得到固定長度的摘要碼。不同的明文摘要轉(zhuǎn)成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。該算法與公鑰加密系統(tǒng)聯(lián)合使用，就可以生成一個與傳入的保密文件相關(guān)的數(shù)字簽名。安全認證技術(shù)ec1.數(shù)字摘要安全認證技術(shù)ec24

2、數(shù)字簽名在網(wǎng)絡(luò)環(huán)境中，由于參與交易的各方在整個交易過程中有可能自始至終不見面，因此多采用數(shù)字簽名方式來解決這個問題。(1)概念：加密后的數(shù)字摘要數(shù)字簽名是指通過使用非對稱加密系統(tǒng)和哈希函數(shù)來變換電子記錄的一種電子簽名。人們可以準確地判斷信息的變換是否是使用與簽名人公開密匙相配的私人密匙作成的，進行變換后初始電子記錄是否被改動過。

安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec25

2、數(shù)字簽名

數(shù)字簽名與用戶的姓名及手寫簽名形式毫無關(guān)系，它實際上是采用了非對稱加密技術(shù)，用信息發(fā)送者的私鑰變換所需傳輸?shù)男畔ⅲ蚨荒軓椭?，安全可靠。安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec26

2、數(shù)字簽名（2）實現(xiàn)方法實現(xiàn)數(shù)字簽名的方法有多種，目前采用較多的技術(shù)有兩類：一類是對稱加密，要求雙方具有共享的密鑰,只有在雙方都知道密鑰的情況下才能使用。另一類是非對稱加密：如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應的公開密鑰才能解密。因此，通常一個用戶擁有兩個密鑰對。安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec27

2、數(shù)字簽名

(3)數(shù)字簽名文檔的法律地位《中華人民共和國電子簽名法》2004年8月28日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，該法自2005年4月1日起施行。安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec28

3、數(shù)字水印由于圖形、圖像、視頻和聲音等數(shù)字信息很易通過網(wǎng)絡(luò)、CD進行傳遞與復制，存在非法拷貝、傳播或篡改有版權(quán)的作品的問題，因此，能對數(shù)字產(chǎn)品實施有效的版權(quán)保護及信息保密的數(shù)字水印技術(shù)應運而生。（1）概念

數(shù)字水印技術(shù)是通過一定的算法將數(shù)字、序列號、文字、圖像標志等版權(quán)信息嵌入到多媒體數(shù)據(jù)中，但不影響原內(nèi)容的價值和使用，并且不能被人的感知系統(tǒng)覺察或注意到。安全認證技術(shù)ec3、數(shù)字水印安全認證技術(shù)ec29

3、數(shù)字水印（1）概念

被其保護的信息可以是任何一種數(shù)字媒體，如軟件、圖像、音頻、視頻或一般性的電子文檔等。在產(chǎn)生版權(quán)糾紛時，可通過相應的算法提取出該數(shù)字水印，從而驗證版權(quán)的歸屬，確保媒體著作權(quán)人的合法利益，避免非法盜版的威脅。安全認證技術(shù)ec3、數(shù)字水印安全認證技術(shù)ec30

3、數(shù)字水印

(2)數(shù)字水印的應用信息隱藏及數(shù)字水印技術(shù)在版權(quán)保護、真?zhèn)舞b別、隱藏通信、標志隱含等方面具有重要的應用價值，有著巨大的商業(yè)前景。安全認證技術(shù)ec3、數(shù)字水印安全認證技術(shù)ec31

4.時間戳

在電子商務(wù)交易文件中，時間是十分重要的信息。同書面文件類似，文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時間戳服務(wù)(Digita1TimeStampsever，DTS)是網(wǎng)上電子商務(wù)安全服務(wù)項目之一，它能提供電子文件的日期和時間信息的安全保護。

安全認證技術(shù)ec4.時間戳安全認證技術(shù)ec32

4.時間戳

時間戳（time-stamp）是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：（1）需加時間戳的文件的摘要（digest）。（2）DTS收到文件的日期和時間。（3）DTS的數(shù)字簽名。時間戳將日期和時間與數(shù)字文檔以加密的方式關(guān)聯(lián)。數(shù)字時間戳可用于證明電子文檔在其時間戳所述的時間期限內(nèi)有效。安全認證技術(shù)ec4.時間戳安全認證技術(shù)ec33

5、數(shù)字證書

根據(jù)聯(lián)合國《電子簽字示范法》第一條，“證書”系指可證實簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄?！吨腥A人民共和國電子簽名法》規(guī)定，電子簽名認證證書是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄。

安全認證技術(shù)ec安全認證技術(shù)ec34圖數(shù)字證書的組成

證書格式版本證書序列號碼(證書識別號)簽字法識別符(發(fā)證機構(gòu))證書發(fā)行機構(gòu)名使用期限(起止日期、時間)主體名主體公司信息算法識別公鑰值發(fā)證者身份識別符主體者身份識別符證實機構(gòu)簽字數(shù)字簽字證實機構(gòu)的簽字密鑰證書ec圖數(shù)字證書的組成證書格式版本證書序列號碼(證書識別號)簽字35

帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng)

安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書，其基本流程如下圖所示。

ec帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng)ec36圖12-11帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)

ec圖12-11帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)ec37四、安全體系構(gòu)建四、安全體系構(gòu)建38（一）構(gòu)建安全體系一個完善的網(wǎng)絡(luò)安全體系必須合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護、監(jiān)控和恢復三種技術(shù)。國外的一項安全調(diào)查顯示，超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部，其危害程度更是遠遠超過黑客攻擊及病毒造成的損失，而這些威脅絕大部分是內(nèi)部各種非法和違規(guī)的操作行為所造成的。1、集中管理的認證機制

對網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫等信息系統(tǒng)而言，只有明確了訪問者的身份，才可決定提供何種相應的服務(wù),才可能采用正確的安全策略實現(xiàn)訪問控制、安全審計等安全功能。ec（一）構(gòu)建安全體系一個完善的網(wǎng)絡(luò)安全體系必須合理地協(xié)調(diào)法39（一）構(gòu)建安全體系

2、集中權(quán)限分配與管理集中授權(quán)管理，是指集中對用戶使用信息系統(tǒng)資源的權(quán)限進行合理分配，并在此基礎(chǔ)上實現(xiàn)不同用戶對系統(tǒng)不同部分資源的訪問控制。具體來說，就是集中實現(xiàn)對各用戶（主

3、高效靈活的策略化審計與響應機制

審計和響應功能可以簡單地描述為：某個特定的網(wǎng)絡(luò)資源或服務(wù)（如主機、服務(wù)器、數(shù)據(jù)庫、FTP、Telnet等）可以（或不可以）被某個特定的用戶怎樣地訪問，這需要審計系統(tǒng)具有很強的針對性和準確性，具體說來，針對具體的應用需求，如系統(tǒng)維護操作、數(shù)ec（一）構(gòu)建安全體系2、集中權(quán)限分配與管理ec40思考思考題：怎樣進行網(wǎng)絡(luò)安全體系設(shè)計？如何實施網(wǎng)絡(luò)安全體系？ec思考思考題：ec41（二）綜合安全體系1、設(shè)計原則（1）“木桶”原則，即根據(jù)系統(tǒng)中最薄弱的地方最易受到攻擊的原則，有效防止最常見的攻擊手段。（2）整體性原則，即對系統(tǒng)建立安全防護機制、安全監(jiān)測機制、安全恢復機制三種控制機制，以提高系統(tǒng)的整體防御能力。（3）一致性與易操作性原則，即制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致且易于操作。ec（二）綜合安全體系1、設(shè)計原則ec42（二）綜合安全體系1、設(shè)計原則（4）動態(tài)化原則，即安全措施應具有良好的可擴展性，能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化。（5）安全性評價原則，即對網(wǎng)絡(luò)安全系統(tǒng)是否安全的評價決定于系統(tǒng)的用戶需求和具體的應用環(huán)境。（6）等級性原則，即應針對不同的安全對象進行分級，包括：對信息保密程度、用戶操作權(quán)限、網(wǎng)絡(luò)安全程度、系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級。ec（二）綜合安全體系1、設(shè)計原則ec432、安全體系設(shè)計內(nèi)容制定安全管理措施。

建立安全模型。制定完備的安全策略。確定面臨的各種攻擊和風險。

ec2、安全體系設(shè)計內(nèi)容制定安全管理措施。建立安全模型。制定443、安全設(shè)備的選擇安全設(shè)備安全實用性價比路由器攻防檢測產(chǎn)品防火墻殺毒軟件ec3、安全設(shè)備的選擇安全設(shè)備安全實用性價比路由器攻防檢測產(chǎn)品防45（三）網(wǎng)絡(luò)安全體系的實施首先，對網(wǎng)絡(luò)安全的重要性要有一個清醒的認識，對必購的安全產(chǎn)品要舍得購買。其次，要加強外部防范，對一些重要設(shè)備（如主機、服務(wù)器等）獨立存放。第三，識別并驗證用戶，將用戶的訪問限制在授權(quán)的活動和資源范圍之內(nèi)。第四，人事控制，對欲雇用人員做背景審查，對新雇人員進行安全培訓。ec（三）網(wǎng)絡(luò)安全體系的實施首先，對網(wǎng)絡(luò)安全的重要性要有一個清醒46（三）網(wǎng)絡(luò)安全體系的實施第五，操作控制，防止網(wǎng)絡(luò)系統(tǒng)及其管理人員出現(xiàn)失誤及對出錯后的恢復操作。第六，服務(wù)器控制，為文件服務(wù)器購買防火墻、配置備份服務(wù)器等。第七，工作站控制，如使用無盤工作站；對工作站的每個用戶設(shè)置登錄口令等。第八，防止無意識信息泄露，如對PC機安裝屏幕消隱程序，剪碎被廢棄的有價值的信息等。ec（三）網(wǎng)絡(luò)安全體系的實施第五，操作控制，防止網(wǎng)絡(luò)系統(tǒng)及其管理47（四）網(wǎng)絡(luò)安全的控制標準TextTextText美國7個安全級別,從低到高依次為D、C1、C2、B1、B2、B3和A級。中國5個等級:自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。TextTextec（四）網(wǎng)絡(luò)安全的控制標準TextTextText美國中國Te484.小結(jié)

本節(jié)課主要內(nèi)容：（1）密碼的概念；（2）加密技術(shù)發(fā)展階段以及各階段的加密方法。

ec4.小結(jié)本節(jié)課主要內(nèi)容：ec49謝謝！電子商務(wù)教研室謝謝！電子商務(wù)教研室電子商務(wù)教研室演講完畢，謝謝觀看！演講完畢，謝謝觀看！電子商務(wù)教研室常用安全技術(shù)之加密技術(shù)劉玉潔電子商務(wù)教研室

電子商務(wù)教研室常用安全技術(shù)之加密技術(shù)劉玉潔電子商務(wù)教研室電子電子商務(wù)教研室加密技術(shù)1、加密技術(shù)能夠有效地解決何種網(wǎng)絡(luò)威脅問題2、加密技術(shù)的關(guān)鍵是什么？3、DES及RSA的主要區(qū)別是什么？ec加密技術(shù)1、加密技術(shù)能夠有效地解決何種網(wǎng)絡(luò)威脅問題ec531.引言發(fā)問：什么是密碼？1.引言發(fā)問：什么是密碼？541.引言發(fā)問：什么是密碼？不全面1.引言發(fā)問：什么是密碼？不全面552.密碼概念密碼定義1：秘密的信息，比如：口令、暗號等2：原始信息按一定規(guī)則轉(zhuǎn)換成無法理解的特定符號明文加密方法密文加密過程2.密碼概念密碼定義1：秘密的信息，比如：口令、暗號等2：原563.加密技術(shù)的發(fā)展過程（1）古代加密階段（20世紀之前）我聞西方大士，為人了卻凡心。秋來明月照蓬門，香滿禪房幽徑。屈指靈山會后，居然紫竹成林。童男童女拜觀音，仆仆何嫌榮頓？

加密方法：Steganography（隱寫術(shù)）加密特點：手工性、隱寫性3.加密技術(shù)的發(fā)展過程（1）古代加密階段（20世紀之前）我聞573.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世紀60年代）中途島海戰(zhàn)中途島“AF”加密方法：Replacementsurgery（替換術(shù)）加密特點：機械性、替換性日本紫密密碼：3.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世583.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世紀60年代）例1：Caesarreplacement（凱撒替換）替換規(guī)則：字母錯開X位，比如3位ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：

CHINA密文：

FLMQD3.加密技術(shù)的發(fā)展過程（2）近代加密階段（20世紀初—20世593.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代—至今）密碼：光復一號（蘇聯(lián)數(shù)學家制造）加密方法：Calculationtechnique（計算術(shù)）加密特點：信息化、計算化3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代603.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代—至今）RSA加密技術(shù)第1步：找兩個大素數(shù)P和Q，N=P×Q，M=（P-1）×（Q-1）

第2步：找一個和M互素的整數(shù)E（E是公鑰）第3步：找一個整數(shù)D，即E×DmodM=1（D是私鑰）加密方法：明文T，密文CC=TDmodN3.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代613.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代—至今）RSA加密技術(shù)1：設(shè)p=7，q=17，n=7×17=119，m=(7-1)(17-1)=962：隨機找個e=5（公鑰=5）3：計算d，(d×5)mod96=1，d=77（私鑰=77）

明文：T=19密文：C=195mod119=663.加密技術(shù)的發(fā)展過程（3）現(xiàn)代加密階段（20世紀60年代62（二）加密技術(shù)一個密碼體制由明文、密文、密鑰與加密運算這四個基本要素構(gòu)成。圖7-1顯示了一個明文加密解密的過程。ec（二）加密技術(shù)一個密碼體制由明文、密文、密鑰與加密運算這四個63加密術(shù)語明文(cleartext)最初的原始信息。密文(ciphertext)被加密信息打亂后的信息。算法(algorithm)將明文改為密文的方法。密鑰(key)將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。加密(encryption)將明文轉(zhuǎn)換為密文的過程。解密(decryption)將密文轉(zhuǎn)換為明文的過程。ec加密術(shù)語明文(cleartext)最初的原始信息。ec64密鑰體制密鑰是用戶按照一種密碼體制隨機選取的一個字符串，是控制明文和密文變換的唯一參數(shù)。根據(jù)密鑰類型不同將現(xiàn)代密碼技術(shù)分為兩類：1.單密鑰體制加密密鑰和解密密鑰相同或本質(zhì)相同的體制被稱為單密鑰加密體制。其特點是運算速度快，適合于加解密傳輸中的信息。如美國的數(shù)據(jù)加密標準（DES算法）。2.公鑰體制指加密密鑰和解密密鑰不相同且從其中一個很難推斷出另一個的體制。公鑰密碼體制可以使通信雙方無須事先交換密鑰就可以建立安全通信。公鑰體制廣泛地用于CA認證、數(shù)字簽名和密鑰交換等領(lǐng)域。ec密鑰體制密鑰是用戶按照一種密碼體制隨機選取的一個字符串，是控65數(shù)據(jù)加密標準DES：基于私有密鑰體制的信息認證

基于私有密鑰(PrivateKey，私鑰)體制的信息認證是一種傳統(tǒng)的信息認證方法。這種方法采用對稱加密算法，也就是說，信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。

由于通信雙方共享同一密鑰，因而通信的乙方可以確定信息是由甲方發(fā)出的。這是一種最簡單的信息來源的認證方法。下圖是對稱加密示意圖。ec數(shù)據(jù)加密標準DES：基于私有密鑰體制的信息認證ec66對稱加密示意圖

會話密鑰會話密鑰密鑰預分配明文密文明文密文密文明文ec對稱加密示意圖會話密鑰會話密鑰密鑰預分配明文密文明文密文密67對稱加密算法在電子商務(wù)交易過程中存在三個問題：

(1)要求提供一條安全的渠道使通信雙方在首次通信時協(xié)商一個共同的密鑰。直接的面對面協(xié)商可能是不現(xiàn)實而且難于實施的，因此雙方可能需要借助于郵件和電話等其它相對不夠安全的手段來進行協(xié)商。

(2)密鑰的數(shù)目將快速增長而變得難以管理，因為每一對可能的通信實體需要使用不同的密鑰，這很難適應開放社會中大量信息交流的要求。

(3)對稱加密算法一般不能提供信息完整性鑒別。對稱加密方法DESec對稱加密算法在電子商務(wù)交易過程中存在三個問題：對稱加密方68

基于公開密鑰體制的信息認證

1976年，美國學者Diffie和Hellman為解決信息公開傳送和密鑰管理問題，提出了一種密鑰交換協(xié)議，允許通信雙方在不安全的媒體上交換信息，安全地達成一致的密鑰，這就是“公開密鑰體系”。

與對稱加密算法不同，公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰——公開密鑰(PublicKey，公鑰)和私有密鑰。如果用公開密鑰對數(shù)據(jù)進行加密，則只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應的公開密鑰才能解密。圖12-3是使用公鑰加密和用對應的私鑰解密的示意圖。非對稱加密方法RSAec基于公開密鑰體制的信息認證1976年，美國學者Dif69圖使用公鑰加密和對應的私鑰解密的示意圖

生成會話密鑰數(shù)字信封數(shù)字信封明文明文密文密文目錄用戶B的私鑰用戶B的公鑰ec圖使用公鑰加密和對應的私鑰解密的示意圖生成會話密鑰數(shù)字70密鑰管理技術(shù)加密體系中有兩個基本要素：加密算法和密鑰管理。其中密鑰是控制加密算法和解密算法的關(guān)鍵。存放密鑰的媒體有各種磁卡、磁盤、閃盤、智能卡等存儲介質(zhì)，他們很易被盜或損壞。因而密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。ec密鑰管理技術(shù)加密體系中有兩個基本要素：加密算法和密鑰管理。e71密鑰管理創(chuàng)建YourTextYourText分發(fā)YourTextYourText保護YourTextYourText吊銷YourTextYourText1234ec密鑰管理創(chuàng)建YourTextYourText分發(fā)Your72兩種管理技術(shù)比較1.對稱密鑰管理優(yōu)點：即使泄露了一把密鑰也只會影響一筆交易,而不會對其它的交易產(chǎn)生影響。2.公開密鑰管理優(yōu)點：用于解密的私鑰不需發(fā)往別處，因而即使公鑰被截獲，因為沒有與其匹配的私鑰，也無法解讀加密信息。另外還可用它進行身份驗證。ec兩種管理技術(shù)比較1.對稱密鑰管理ec73安全認證技術(shù)數(shù)字摘要數(shù)字簽名數(shù)字水印數(shù)字時間戳生物統(tǒng)計識別安全認證技術(shù)數(shù)字證書ec安全認證技術(shù)數(shù)字摘要數(shù)字簽名數(shù)字水印數(shù)字時間戳生物統(tǒng)計識別安74

1.數(shù)字摘要

數(shù)字摘要(digitaldigest)又稱安全Hash編碼法。其原理是采用單向Hash(哈希)函數(shù)將需加密的明文進行某種變換運算，得到固定長度的摘要碼。不同的明文摘要轉(zhuǎn)成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。該算法與公鑰加密系統(tǒng)聯(lián)合使用，就可以生成一個與傳入的保密文件相關(guān)的數(shù)字簽名。安全認證技術(shù)ec1.數(shù)字摘要安全認證技術(shù)ec75

2、數(shù)字簽名在網(wǎng)絡(luò)環(huán)境中，由于參與交易的各方在整個交易過程中有可能自始至終不見面，因此多采用數(shù)字簽名方式來解決這個問題。(1)概念：加密后的數(shù)字摘要數(shù)字簽名是指通過使用非對稱加密系統(tǒng)和哈希函數(shù)來變換電子記錄的一種電子簽名。人們可以準確地判斷信息的變換是否是使用與簽名人公開密匙相配的私人密匙作成的，進行變換后初始電子記錄是否被改動過。

安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec76

2、數(shù)字簽名

數(shù)字簽名與用戶的姓名及手寫簽名形式毫無關(guān)系，它實際上是采用了非對稱加密技術(shù)，用信息發(fā)送者的私鑰變換所需傳輸?shù)男畔?，因而不能復制，安全可靠。安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec77

2、數(shù)字簽名（2）實現(xiàn)方法實現(xiàn)數(shù)字簽名的方法有多種，目前采用較多的技術(shù)有兩類：一類是對稱加密，要求雙方具有共享的密鑰,只有在雙方都知道密鑰的情況下才能使用。另一類是非對稱加密：如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應的公開密鑰才能解密。因此，通常一個用戶擁有兩個密鑰對。安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec78

2、數(shù)字簽名

(3)數(shù)字簽名文檔的法律地位《中華人民共和國電子簽名法》2004年8月28日第十屆全國人民代表大會常務(wù)委員會第十一次會議通過，該法自2005年4月1日起施行。安全認證技術(shù)ec2、數(shù)字簽名安全認證技術(shù)ec79

3、數(shù)字水印由于圖形、圖像、視頻和聲音等數(shù)字信息很易通過網(wǎng)絡(luò)、CD進行傳遞與復制，存在非法拷貝、傳播或篡改有版權(quán)的作品的問題，因此，能對數(shù)字產(chǎn)品實施有效的版權(quán)保護及信息保密的數(shù)字水印技術(shù)應運而生。（1）概念

數(shù)字水印技術(shù)是通過一定的算法將數(shù)字、序列號、文字、圖像標志等版權(quán)信息嵌入到多媒體數(shù)據(jù)中，但不影響原內(nèi)容的價值和使用，并且不能被人的感知系統(tǒng)覺察或注意到。安全認證技術(shù)ec3、數(shù)字水印安全認證技術(shù)ec80

3、數(shù)字水?。?）概念

被其保護的信息可以是任何一種數(shù)字媒體，如軟件、圖像、音頻、視頻或一般性的電子文檔等。在產(chǎn)生版權(quán)糾紛時，可通過相應的算法提取出該數(shù)字水印，從而驗證版權(quán)的歸屬，確保媒體著作權(quán)人的合法利益，避免非法盜版的威脅。安全認證技術(shù)ec3、數(shù)字水印安全認證技術(shù)ec81

3、數(shù)字水印

(2)數(shù)字水印的應用信息隱藏及數(shù)字水印技術(shù)在版權(quán)保護、真?zhèn)舞b別、隱藏通信、標志隱含等方面具有重要的應用價值，有著巨大的商業(yè)前景。安全認證技術(shù)ec3、數(shù)字水印安全認證技術(shù)ec82

4.時間戳

在電子商務(wù)交易文件中，時間是十分重要的信息。同書面文件類似，文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時間戳服務(wù)(Digita1TimeStampsever，DTS)是網(wǎng)上電子商務(wù)安全服務(wù)項目之一，它能提供電子文件的日期和時間信息的安全保護。

安全認證技術(shù)ec4.時間戳安全認證技術(shù)ec83

4.時間戳

時間戳（time-stamp）是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：（1）需加時間戳的文件的摘要（digest）。（2）DTS收到文件的日期和時間。（3）DTS的數(shù)字簽名。時間戳將日期和時間與數(shù)字文檔以加密的方式關(guān)聯(lián)。數(shù)字時間戳可用于證明電子文檔在其時間戳所述的時間期限內(nèi)有效。安全認證技術(shù)ec4.時間戳安全認證技術(shù)ec84

5、數(shù)字證書

根據(jù)聯(lián)合國《電子簽字示范法》第一條，“證書”系指可證實簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄?！吨腥A人民共和國電子簽名法》規(guī)定，電子簽名認證證書是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄。

安全認證技術(shù)ec安全認證技術(shù)ec85圖數(shù)字證書的組成

證書格式版本證書序列號碼(證書識別號)簽字法識別符(發(fā)證機構(gòu))證書發(fā)行機構(gòu)名使用期限(起止日期、時間)主體名主體公司信息算法識別公鑰值發(fā)證者身份識別符主體者身份識別符證實機構(gòu)簽字數(shù)字簽字證實機構(gòu)的簽字密鑰證書ec圖數(shù)字證書的組成證書格式版本證書序列號碼(證書識別號)簽字86

帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng)

安全電子商務(wù)使用的文件傳輸系統(tǒng)大都帶有數(shù)字簽字和數(shù)字證書，其基本流程如下圖所示。

ec帶有數(shù)字簽名和數(shù)字證書的加密系統(tǒng)ec87圖12-11帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)

ec圖12-11帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)ec88四、安全體系構(gòu)建四、安全體系構(gòu)建89（一）構(gòu)建安全體系一個完善的網(wǎng)絡(luò)安全體系必須合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護、監(jiān)控和恢復三種技術(shù)。國外的一項安全調(diào)查顯示，超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部，其危害程度更是遠遠超過黑客攻擊及病毒造成的損失，而這些威脅絕大部分是內(nèi)部各種非法和違規(guī)的操作行為所造成的。1、集中管理的認證機制

對網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫等信息系統(tǒng)而言，只有明確了訪問者的身份，才可決定提供何種相應的服務(wù),才可能采用正確的安全策略實現(xiàn)訪問控制、安全審計等安全功能。ec（一）構(gòu)建安全體