《chapter02.电子教案教学课件.ppt》由会员分享,可在线阅读,更多相关《chapter02.电子教案教学课件.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第2章章 信息安全技术信息安全技术2.1 信息安全概述信息安全概述2.2 信息传输中的加密方式信息传输中的加密方式2.3 对称加密与不对称加密对称加密与不对称加密2.4 数字签名技术数字签名技术2.5 密钥管理技术密钥管理技术2.6 验证技术验证技术目录目录2上海财经大学 劳帼龄引例引例网银的三种加密认证方式网银的三种加密认证方式为什么数字证书是最安全的方式?它所采用为什么数字证书是最安全的方式?它所采用为什么数字证书是最安全的方式?它所采用为什么数字证书是最安全的方式?它所采用的技术是怎样实现安全保障的?除了这些技术,的技术是怎样实现安全保障的?除了这些技术,的技术是怎样实现安全保障的?除
2、了这些技术,的技术是怎样实现安全保障的?除了这些技术,还需要哪些技术来保障信息安全?还需要哪些技术来保障信息安全?还需要哪些技术来保障信息安全?还需要哪些技术来保障信息安全?3上海财经大学 劳帼龄2.1 信息安全概述信息安全概述安全问题安全问题安全目标安全目标安全技术安全技术机密性机密性信息的保密信息的保密加密加密完整性完整性探测信息是否被篡改探测信息是否被篡改数字摘要数字摘要验证验证验证身份验证身份数字签名,提问应答,数字签名,提问应答,口令,生物测定法口令,生物测定法不可否认性不可否认性不能否认信息的发送、不能否认信息的发送、接收及信息内容接收及信息内容数字签名,数字证书,时数字签名,数字
3、证书,时间戳间戳访问控制访问控制只有授权用户才能访问只有授权用户才能访问防火墙,口令,生物测定防火墙,口令,生物测定法法信息安全问题与信息安全技术:信息安全问题与信息安全技术:信息安全问题与信息安全技术:信息安全问题与信息安全技术:4上海财经大学 劳帼龄2.2 信息传输中的加密方式信息传输中的加密方式2.2.1 2.2.1 几种常用的加密方式几种常用的加密方式链路链路加密链路链路加密链路链路加密链路链路加密节点加密节点加密节点加密节点加密端端加密端端加密端端加密端端加密ATMATMATMATM网络加密网络加密网络加密网络加密卫星通信加密卫星通信加密卫星通信加密卫星通信加密2.2.2 2.2.2
4、 加密方式的选择策略加密方式的选择策略5上海财经大学 劳帼龄2.2.1 2.2.1 几种常用的加密方式几种常用的加密方式链路链路加密链路链路加密链路链路加密链路链路加密节点加密节点加密节点加密节点加密端端加密端端加密端端加密端端加密ATMATMATMATM网络加密网络加密网络加密网络加密卫星通信加密卫星通信加密卫星通信加密卫星通信加密2.2.2 2.2.2 加密方式的选择策略加密方式的选择策略多个网络互联环境下:端端加密多个网络互联环境下:端端加密多个网络互联环境下:端端加密多个网络互联环境下:端端加密链路数不多、要求实时通信、不支持端端加密远程调用通信场合:链路数不多、要求实时通信、不支持端
5、端加密远程调用通信场合:链路数不多、要求实时通信、不支持端端加密远程调用通信场合:链路数不多、要求实时通信、不支持端端加密远程调用通信场合:链路链路加密链路链路加密链路链路加密链路链路加密链路较多,文件保护、邮件保护、支持端端加密的远程调用、实时链路较多,文件保护、邮件保护、支持端端加密的远程调用、实时链路较多,文件保护、邮件保护、支持端端加密的远程调用、实时链路较多,文件保护、邮件保护、支持端端加密的远程调用、实时性要求不高:端端加密性要求不高:端端加密性要求不高:端端加密性要求不高:端端加密需要防止流量分析的场合:链路链路加密和端端加密组合需要防止流量分析的场合:链路链路加密和端端加密组合
6、需要防止流量分析的场合:链路链路加密和端端加密组合需要防止流量分析的场合:链路链路加密和端端加密组合2.2 信息传输中的加密方式信息传输中的加密方式6上海财经大学 劳帼龄2.3对称加密与不对称加密对称加密与不对称加密2.3.1 2.3.1 对称加密系统对称加密系统对称加密对称加密对称加密对称加密对称加密算法对称加密算法对称加密算法对称加密算法信息验证码信息验证码信息验证码信息验证码2.3.2 2.3.2 不对称加密系统不对称加密系统公开密钥加密公开密钥加密公开密钥加密公开密钥加密RSARSARSARSA算法算法算法算法加密与验证模式的结合加密与验证模式的结合加密与验证模式的结合加密与验证模式的
7、结合2.3.3 2.3.3 两种加密方法的联合使用两种加密方法的联合使用7上海财经大学 劳帼龄 所谓所谓所谓所谓加密加密加密加密,就是用基于数学方法的程序,就是用基于数学方法的程序,就是用基于数学方法的程序,就是用基于数学方法的程序和保密的和保密的和保密的和保密的密钥密钥密钥密钥对信息进行编码,把计算机数对信息进行编码,把计算机数对信息进行编码,把计算机数对信息进行编码,把计算机数据变成一堆杂乱无章难以理解的字符串,也据变成一堆杂乱无章难以理解的字符串,也据变成一堆杂乱无章难以理解的字符串,也据变成一堆杂乱无章难以理解的字符串,也就是把就是把就是把就是把明文明文明文明文变成变成变成变成密文密文
8、密文密文。2.3对称加密与不对称加密对称加密与不对称加密8上海财经大学 劳帼龄2.3.1 对称加密系统私有密钥私有密钥1.1.1.1.对称加密对称加密对称加密对称加密特点特点特点特点:数据的发送方和接受方使用的是数据的发送方和接受方使用的是数据的发送方和接受方使用的是数据的发送方和接受方使用的是同一把密钥同一把密钥同一把密钥同一把密钥过程过程过程过程:发送方对信息加密发送方对信息加密发送方对信息加密发送方对信息加密 发送方将加密后的信息传送给接收方发送方将加密后的信息传送给接收方发送方将加密后的信息传送给接收方发送方将加密后的信息传送给接收方 接收方对收到信息解密,得到信息明文接收方对收到信息
9、解密,得到信息明文接收方对收到信息解密,得到信息明文接收方对收到信息解密,得到信息明文2.3对称加密与不对称加密对称加密与不对称加密9上海财经大学 劳帼龄2.3.1 对称加密系统2.2.2.2.对称对称对称对称加密算法加密算法加密算法加密算法 数据加密标准(数据加密标准(数据加密标准(数据加密标准(DESDESDESDES)高级加密标准(高级加密标准(高级加密标准(高级加密标准(AESAESAESAES)三重三重三重三重DESDESDESDES RivestRivestRivestRivest 密码密码密码密码3.3.3.3.信息验证码(信息验证码(信息验证码(信息验证码(MACMACMACM
10、AC)MACMAC也称为完整性校验值或信息完整校验也称为完整性校验值或信息完整校验也称为完整性校验值或信息完整校验也称为完整性校验值或信息完整校验 常用生成常用生成常用生成常用生成MACMAC的方法:的方法:的方法:的方法:基于散列函数的方法基于散列函数的方法基于散列函数的方法基于散列函数的方法 基于对称加密的方法基于对称加密的方法基于对称加密的方法基于对称加密的方法2.3对称加密与不对称加密对称加密与不对称加密10上海财经大学 劳帼龄2.3对称加密与不对称加密对称加密与不对称加密2.3.1 对称加密系统信息验证码(信息验证码(信息验证码(信息验证码(MACMACMACMAC)的使用过程:)的
11、使用过程:)的使用过程:)的使用过程:11上海财经大学 劳帼龄2.3对称加密与不对称加密对称加密与不对称加密2.3.2 不对称加密系统公开密钥公开密钥1.1.1.1.公开密钥加密公开密钥加密公开密钥加密公开密钥加密 加密模式过程加密模式过程加密模式过程加密模式过程 发送方用接收方的发送方用接收方的公开公开密钥对要发送的信息进行加密密钥对要发送的信息进行加密 发送方将加密后的信息通过网络传送给接收方发送方将加密后的信息通过网络传送给接收方 接收方用接收方用自己的私有自己的私有密钥对接收到的加密信息进行解密钥对接收到的加密信息进行解密,得到信息明文密,得到信息明文12上海财经大学 劳帼龄2.3对称
12、加密与不对称加密对称加密与不对称加密2.3.2 不对称加密系统2.RSA2.RSA2.RSA2.RSA算法算法算法算法 19971997,麻省理工,麻省理工,麻省理工,麻省理工,Ronald Ronald RivestRivest、AdiAdi ShamirShamir、Leonard Leonard AdlemanAdleman 可逆可逆可逆可逆的的的的公开公开公开公开密钥加密系统密钥加密系统密钥加密系统密钥加密系统 通过一个称为通过一个称为通过一个称为通过一个称为公共模数公共模数公共模数公共模数的数字来形成公开密钥,的数字来形成公开密钥,的数字来形成公开密钥,的数字来形成公开密钥,公共模数
13、是通过两个形成私人密钥的两个质数公共模数是通过两个形成私人密钥的两个质数公共模数是通过两个形成私人密钥的两个质数公共模数是通过两个形成私人密钥的两个质数的乘数来获得的。的乘数来获得的。的乘数来获得的。的乘数来获得的。13上海财经大学 劳帼龄2.3对称加密与不对称加密对称加密与不对称加密2.3.2 不对称加密系统3.3.3.3.加密与验证模式的结合加密与验证模式的结合加密与验证模式的结合加密与验证模式的结合 保障信息机密性保障信息机密性保障信息机密性保障信息机密性&验证发送方的身份验证发送方的身份验证发送方的身份验证发送方的身份 使用过程:使用过程:使用过程:使用过程:14上海财经大学 劳帼龄2
14、.3对称加密与不对称加密对称加密与不对称加密2.3.3 两种加密方法的联合使用使用过程:使用过程:使用过程:使用过程:15上海财经大学 劳帼龄2.4 数字签名技术数字签名技术2.4.1 2.4.1 数字签名的基本原理数字签名的基本原理2.4.2 RSA2.4.2 RSA数字签名数字签名2.4.3 2.4.3 美国美国数字签名标准算法数字签名标准算法2.4.4 2.4.4 椭圆曲线椭圆曲线数字签名算法数字签名算法2.4.5 2.4.5 特殊特殊数字签名算法数字签名算法16上海财经大学 劳帼龄2.4.1 数字签名的基本原理 数字签名数字签名数字签名数字签名,其实是伴随着数字化编码的信息一起发送并与
15、,其实是伴随着数字化编码的信息一起发送并与,其实是伴随着数字化编码的信息一起发送并与,其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项。发送的信息有一定逻辑关联的数据项。发送的信息有一定逻辑关联的数据项。发送的信息有一定逻辑关联的数据项。数字签名类似于数字签名类似于数字签名类似于数字签名类似于MACMACMACMAC,但不同于,但不同于,但不同于,但不同于MACMACMACMAC,数字签名,数字签名,数字签名,数字签名可以支持不可以支持不可以支持不可以支持不可否认服务可否认服务可否认服务可否认服务。数字签名的过程:数字签名的过程:数字签名的过程:数字签名的过程:2.4
16、数字签名技术数字签名技术17上海财经大学 劳帼龄2.4.1 数字签名的基本原理数字签名的要求数字签名的要求数字签名的要求数字签名的要求数字签名的分类数字签名的分类数字签名的分类数字签名的分类 基于签字基于签字基于签字基于签字内容内容内容内容的分类的分类的分类的分类 基于基于基于基于数学难题数学难题数学难题数学难题的分类的分类的分类的分类 基于签名基于签名基于签名基于签名用户用户用户用户的分类的分类的分类的分类 基于数字签名所具有基于数字签名所具有基于数字签名所具有基于数字签名所具有特性特性特性特性的分类的分类的分类的分类 基于数字签名所涉及的基于数字签名所涉及的基于数字签名所涉及的基于数字签名
17、所涉及的通信角色通信角色通信角色通信角色分类分类分类分类2.4 数字签名技术数字签名技术18上海财经大学 劳帼龄2.4.1 数字签名的基本原理数字签名的使用数字签名的使用数字签名的使用数字签名的使用数字签名与手写签名的区别数字签名与手写签名的区别数字签名与手写签名的区别数字签名与手写签名的区别 手写签名模拟的,因人而异手写签名模拟的,因人而异手写签名模拟的,因人而异手写签名模拟的,因人而异 数字签名数字签名数字签名数字签名0 0和和和和1 1的字符串,因消息而异的字符串,因消息而异的字符串,因消息而异的字符串,因消息而异2.4 数字签名技术数字签名技术19上海财经大学 劳帼龄2.4.2 RSA
18、数字签名简化的简化的简化的简化的RSARSARSARSA数字签名:数字签名:数字签名:数字签名:2.4 数字签名技术数字签名技术20上海财经大学 劳帼龄2.4.2 RSA数字签名用散列函数进行的用散列函数进行的用散列函数进行的用散列函数进行的RSARSARSARSA数字签名:数字签名:数字签名:数字签名:2.4 数字签名技术数字签名技术21上海财经大学 劳帼龄2.4.3 2.4.3 美国美国数字签名标准算法数字签名标准算法 基于离散对数问题基于离散对数问题基于离散对数问题基于离散对数问题 单项不可逆的公开密钥系统单项不可逆的公开密钥系统单项不可逆的公开密钥系统单项不可逆的公开密钥系统 验证过程
19、中对资源的处理要比验证过程中对资源的处理要比验证过程中对资源的处理要比验证过程中对资源的处理要比RSARSARSARSA更彻底更彻底更彻底更彻底2.4.4 2.4.4 椭圆数字签名算法椭圆数字签名算法 利用离散对数利用离散对数利用离散对数利用离散对数 一种运用一种运用一种运用一种运用RSARSARSARSA和和和和DSADSADSADSA来实施数字签名的方法来实施数字签名的方法来实施数字签名的方法来实施数字签名的方法 在生成签名和进行验证时比在生成签名和进行验证时比在生成签名和进行验证时比在生成签名和进行验证时比RSARSARSARSA和和和和DSADSADSADSA快快快快2.4 数字签名技
20、术数字签名技术22上海财经大学 劳帼龄2.4.5 特殊数字签名算法盲签名盲签名盲签名盲签名多重签名多重签名多重签名多重签名代理签名代理签名代理签名代理签名定向签名定向签名定向签名定向签名双联签名双联签名双联签名双联签名团体签名团体签名团体签名团体签名不可争签名不可争签名不可争签名不可争签名2.4 数字签名技术数字签名技术23上海财经大学 劳帼龄2.5 密钥管理技术密钥管理技术2.5.1 密钥管理概述2.5.2 RSA密钥传输2.5.3 Diffie-Hellman 密钥协议2.5.4 公开密钥的分发24上海财经大学 劳帼龄2.5.1 密钥管理概述密钥都有时间期限,因为:密钥都有时间期限,因为:
21、密钥都有时间期限,因为:密钥都有时间期限,因为:攻击者可以使用数学分析方法来进行密码分析从而破解加密系统,攻击者可以使用数学分析方法来进行密码分析从而破解加密系统,攻击者获得大量有效的密文可以帮助他们加快密码的分析。密钥使攻击者获得大量有效的密文可以帮助他们加快密码的分析。密钥使用的时间越长,攻击者收集密文的机会就越多;用的时间越长,攻击者收集密文的机会就越多;密钥有可能被泄漏,攻击者可以对用某个特定密钥进行的加密处理密钥有可能被泄漏,攻击者可以对用某个特定密钥进行的加密处理进行密码分析,所以缩短密钥的使用期可以减少危险的发生。进行密码分析,所以缩短密钥的使用期可以减少危险的发生。密钥的生命周
22、期密钥的生命周期密钥的生命周期密钥的生命周期 密钥建立(包括生成密钥和发布密钥)密钥建立(包括生成密钥和发布密钥)密钥备份密钥备份/恢复或密钥的第三者保管恢复或密钥的第三者保管 密钥替换密钥替换/更新更新 密钥吊销密钥吊销 密钥期满密钥期满/终止(其中可能包含密钥的销毁或归档)终止(其中可能包含密钥的销毁或归档)2.5密钥管理技术密钥管理技术25上海财经大学 劳帼龄2.5.2 RSA密钥传输用用用用RSARSARSARSA密钥传输来加密电子邮件:密钥传输来加密电子邮件:密钥传输来加密电子邮件:密钥传输来加密电子邮件:2.5密钥管理技术密钥管理技术26上海财经大学 劳帼龄2.5.3 Diffie
23、-Hellman 密钥协议这一协议提出了公开密钥加密技术这一协议提出了公开密钥加密技术两个在线通信系统可以通过两个在线通信系统可以通过DiffieDiffie-Hellman-Hellman 密钥密钥协议来建立会话密钥协议来建立会话密钥2.5.4 公开密钥的分发公开密钥的分发并不要求保密,但必须保证公开密公开密钥的分发并不要求保密,但必须保证公开密钥的钥的完整性完整性2.5密钥管理技术密钥管理技术27上海财经大学 劳帼龄2.6 验证技术验证技术2.6.1 2.6.1 基于口令的验证基于口令的验证2.6.2 2.6.2 验证协议验证协议2.6.3 2.6.3 基于个人令牌的验证基于个人令牌的验证
24、2.6.4 2.6.4 基于生物统计特征的验证基于生物统计特征的验证2.6.5 2.6.5 基于地址的验证基于地址的验证2.6.6 2.6.6 数字时间戳验证数字时间戳验证28上海财经大学 劳帼龄2.6验证技术验证技术 验证验证验证验证是在远程通信中获得信任的手段,是安是在远程通信中获得信任的手段,是安是在远程通信中获得信任的手段,是安是在远程通信中获得信任的手段,是安全服务中最为基本的内容。全服务中最为基本的内容。全服务中最为基本的内容。全服务中最为基本的内容。当事人当事人当事人当事人/申请人申请人申请人申请人通常基于以下因素通常基于以下因素通常基于以下因素通常基于以下因素:申请人表示所知道
25、的某些事务申请人表示所知道的某些事务 申请人出示一些所有物申请人出示一些所有物 申请人展示一些不可改变的特征申请人展示一些不可改变的特征 申请人展示在某些特定场所或网络地址上的证据申请人展示在某些特定场所或网络地址上的证据 需要证明申请人身份的一方接受已经对申请人进行了验证的需要证明申请人身份的一方接受已经对申请人进行了验证的其他可信任方其他可信任方29上海财经大学 劳帼龄2.6.1 基于口令的验证面临威胁面临威胁面临威胁面临威胁:外部泄漏外部泄漏 猜测猜测 通信窃取通信窃取 重放重放 危及主机安全危及主机安全2.6.2 验证协议用来对与系统有关的被验证方和系统本身之间的与验用来对与系统有关的
26、被验证方和系统本身之间的与验用来对与系统有关的被验证方和系统本身之间的与验用来对与系统有关的被验证方和系统本身之间的与验证有关的数据通信进行管理,常要依靠验证决策证有关的数据通信进行管理,常要依靠验证决策证有关的数据通信进行管理,常要依靠验证决策证有关的数据通信进行管理,常要依靠验证决策2.6验证技术验证技术30上海财经大学 劳帼龄2.6.3 基于个人令牌的验证运作方式运作方式运作方式运作方式:储存式令牌储存式令牌 同步一次性口令生成器同步一次性口令生成器 提问答复提问答复 数字签名令牌数字签名令牌令牌存在的物理方式令牌存在的物理方式令牌存在的物理方式令牌存在的物理方式:人机界面令牌人机界面令
27、牌 智能卡智能卡 PCMCIAPCMCIA卡卡 USBUSB令牌令牌2.6验证技术验证技术31上海财经大学 劳帼龄2.6.4 基于生物统计特征的验证常用生物测定技术常用生物测定技术常用生物测定技术常用生物测定技术:指纹识别指纹识别 声音识别声音识别 书写识别书写识别 面容识别面容识别 视网膜识别视网膜识别 手形识别手形识别2.6验证技术验证技术32上海财经大学 劳帼龄2.6.5 基于地址的验证依据某个呼叫的发送地址来对用户进行验证依据某个呼叫的发送地址来对用户进行验证依据某个呼叫的发送地址来对用户进行验证依据某个呼叫的发送地址来对用户进行验证2.6.6 数字时间戳验证内容包括:内容包括:内容包括:内容包括:需要加时间戳的信息的摘要需要加时间戳的信息的摘要 数字时间戳服务机构收到该信息的日期和时间数字时间戳服务机构收到该信息的日期和时间 数字时间戳服务机构的数字签名数字时间戳服务机构的数字签名2.6验证技术验证技术33上海财经大学 劳帼龄Thanks!