信息安全技術

信息安全技術22.1信息安全概述2.2信息傳輸中的加密方式2.3對稱加密與不對稱加密2.4數字簽名技術2.5密鑰管理技術2.6驗證技術目錄3引例——網銀的三種加密認證方式為什么數字證書是最安全的方式？它所采用的技術是怎樣實現安全保障的？除了這些技術，還需要哪些技術來保障信息安全？42.1信息安全概述安全問題安全目標安全技術機密性信息的保密加密完整性探測信息是否被篡改數字摘要驗證驗證身份數字簽名，提問－應答，口令，生物測定法不可否認性不能否認信息的發(fā)送、接收及信息內容數字簽名，數字證書，時間戳訪問控制只有授權用戶才能訪問防火墻，口令，生物測定法信息安全問題與信息安全技術：52.2信息傳輸中的加密方式2.2.1幾種常用的加密方式鏈路－鏈路加密節(jié)點加密端－端加密ATM網絡加密衛(wèi)星通信加密2.2.2加密方式的選擇策略62.2.1幾種常用的加密方式鏈路－鏈路加密節(jié)點加密端－端加密ATM網絡加密衛(wèi)星通信加密2.2.2加密方式的選擇策略多個網絡互聯環(huán)境下：端－端加密鏈路數不多、要求實時通信、不支持端－端加密遠程調用通信場合：鏈路－鏈路加密鏈路較多，文件保護、郵件保護、支持端－端加密的遠程調用、實時性要求不高：端－端加密需要防止流量分析的場合：鏈路－鏈路加密和端－端加密組合2.2信息傳輸中的加密方式72.3對稱加密與不對稱加密2.3.1對稱加密系統(tǒng)對稱加密對稱加密算法信息驗證碼2.3.2不對稱加密系統(tǒng)公開密鑰加密RSA算法加密與驗證模式的結合2.3.3兩種加密方法的聯合使用8

所謂加密，就是用基于數學方法的程序和保密的密鑰對信息進行編碼，把計算機數據變成一堆雜亂無章難以理解的字符串，也就是把明文變成密文。2.3對稱加密與不對稱加密92.3.1對稱加密系統(tǒng)——私有密鑰1.對稱加密特點:數據的發(fā)送方和接受方使用的是同一把密鑰過程:發(fā)送方對信息加密發(fā)送方將加密后的信息傳送給接收方接收方對收到信息解密，得到信息明文2.3對稱加密與不對稱加密102.3.1對稱加密系統(tǒng)2.對稱加密算法數據加密標準（DES）高級加密標準（AES）三重DESRivest密碼3.信息驗證碼（MAC）MAC也稱為完整性校驗值或信息完整校驗常用生成MAC的方法：基于散列函數的方法基于對稱加密的方法2.3對稱加密與不對稱加密112.3對稱加密與不對稱加密2.3.1對稱加密系統(tǒng)信息驗證碼（MAC）的使用過程：122.3對稱加密與不對稱加密2.3.2不對稱加密系統(tǒng)——公開密鑰1.公開密鑰加密加密模式過程發(fā)送方用接收方的公開密鑰對要發(fā)送的信息進行加密發(fā)送方將加密后的信息通過網絡傳送給接收方接收方用自己的私有密鑰對接收到的加密信息進行解密，得到信息明文132.3對稱加密與不對稱加密2.3.2不對稱加密系統(tǒng)2.RSA算法1997，麻省理工，RonaldRivest、AdiShamir、LeonardAdleman可逆的公開密鑰加密系統(tǒng)通過一個稱為公共模數的數字來形成公開密鑰，公共模數是通過兩個形成私人密鑰的兩個質數的乘數來獲得的。142.3對稱加密與不對稱加密2.3.2不對稱加密系統(tǒng)3.加密與驗證模式的結合保障信息機密性&驗證發(fā)送方的身份使用過程：152.3對稱加密與不對稱加密2.3.3兩種加密方法的聯合使用使用過程：162.4數字簽名技術2.4.1數字簽名的基本原理2.4.2RSA數字簽名2.4.3美國數字簽名標準算法2.4.4橢圓曲線數字簽名算法2.4.5特殊數字簽名算法172.4.1數字簽名的基本原理

數字簽名，其實是伴隨著數字化編碼的信息一起發(fā)送并與發(fā)送的信息有一定邏輯關聯的數據項。數字簽名類似于MAC，但不同于MAC，數字簽名可以支持不可否認服務。數字簽名的過程：2.4數字簽名技術182.4.1數字簽名的基本原理數字簽名的要求數字簽名的分類基于簽字內容的分類基于數學難題的分類基于簽名用戶的分類基于數字簽名所具有特性的分類基于數字簽名所涉及的通信角色分類2.4數字簽名技術192.4.1數字簽名的基本原理數字簽名的使用數字簽名與手寫簽名的區(qū)別手寫簽名－模擬的，因人而異數字簽名－0和1的字符串，因消息而異2.4數字簽名技術202.4.2RSA數字簽名簡化的RSA數字簽名：2.4數字簽名技術212.4.2RSA數字簽名用散列函數進行的RSA數字簽名：2.4數字簽名技術222.4.3美國數字簽名標準算法基于離散對數問題單項不可逆的公開密鑰系統(tǒng)驗證過程中對資源的處理要比RSA更徹底2.4.4橢圓數字簽名算法利用離散對數一種運用RSA和DSA來實施數字簽名的方法在生成簽名和進行驗證時比RSA和DSA快2.4數字簽名技術232.4.5特殊數字簽名算法盲簽名多重簽名代理簽名定向簽名雙聯簽名團體簽名不可爭簽名2.4數字簽名技術242.5密鑰管理技術2.5.1密鑰管理概述2.5.2RSA密鑰傳輸2.5.3Diffie-Hellman密鑰協(xié)議2.5.4公開密鑰的分發(fā)252.5.1密鑰管理概述密鑰都有時間期限，因為：攻擊者可以使用數學分析方法來進行密碼分析從而破解加密系統(tǒng)，攻擊者獲得大量有效的密文可以幫助他們加快密碼的分析。密鑰使用的時間越長，攻擊者收集密文的機會就越多；密鑰有可能被泄漏，攻擊者可以對用某個特定密鑰進行的加密處理進行密碼分析，所以縮短密鑰的使用期可以減少危險的發(fā)生。密鑰的生命周期密鑰建立（包括生成密鑰和發(fā)布密鑰）密鑰備份/恢復或密鑰的第三者保管密鑰替換/更新密鑰吊銷密鑰期滿/終止（其中可能包含密鑰的銷毀或歸檔）2.5密鑰管理技術262.5.2RSA密鑰傳輸用RSA密鑰傳輸來加密電子郵件：2.5密鑰管理技術272.5.3Diffie-Hellman

密鑰協(xié)議這一協(xié)議提出了公開密鑰加密技術兩個在線通信系統(tǒng)可以通過Diffie-Hellman密鑰協(xié)議來建立會話密鑰2.5.4公開密鑰的分發(fā)公開密鑰的分發(fā)并不要求保密，但必須保證公開密鑰的完整性2.5密鑰管理技術282.6驗證技術2.6.1基于口令的驗證2.6.2驗證協(xié)議2.6.3基于個人令牌的驗證2.6.4基于生物統(tǒng)計特征的驗證2.6.5基于地址的驗證2.6.6數字時間戳驗證292.6驗證技術

驗證是在遠程通信中獲得信任的手段，是安全服務中最為基本的內容。當事人/申請人通?；谝韵乱蛩兀荷暾埲吮硎舅赖哪承┦聞丈暾埲顺鍪疽恍┧形锷暾埲苏故疽恍┎豢筛淖兊奶卣魃暾埲苏故驹谀承┨囟▓鏊蚓W絡地址上的證據需要證明申請人身份的一方接受已經對申請人進行了驗證的其他可信任方302.6.1基于口令的驗證面臨威脅：外部泄漏猜測通信竊取重放危及主機安全2.6.2驗證協(xié)議用來對與系統(tǒng)有關的被驗證方和系統(tǒng)本身之間的與驗證有關的數據通信進行管理，常要依靠驗證決策2.6驗證技術312.6.3基于個人令牌的驗證運作方式：儲存式令牌同步一次性口令生成器提問－答復數字簽名令牌令牌存在的物理方式：人－機界面令牌智能卡PCMCIA卡USB令牌2.6驗證技術322.6.4基