常用安全技术之加密技术培训教材(PPT-50张)

电子商务教研室常用安全技术之加密技术刘玉洁电子商务教研室电子商务教研室ec加密技术1、加密技术能够有效地解决何种网络威胁问题2、加密技术的关键是什么？3、DES及RSA的主要区别是什么？电子商务教研室1.引言•发问：什么是密码？电子商务教研室1.引言•发问：什么是密码？电子商务教研室2.密码概念密码定义1：秘密的信息，比如：口令、暗号等2：原始信息按一定规则转换成无法理解的特定符号明文加密方法密文加密过程电子商务教研室3.加密技术的发展过程（1）古代加密阶段（20世纪之前）我闻西方大士，为人了却凡心。秋来明月照蓬门，香满禅房幽径。屈指灵山会后，居然紫竹成林。童男童女拜观音，仆仆何嫌荣顿？加密方法：Steganography（隐写术）加密特点：手工性、隐写性电子商务教研室3.加密技术的发展过程（2）近代加密阶段（20世纪初—20世纪60年代）中途岛海战中途岛“AF”加密方法：Replacementsurgery（替换术）加密特点：机械性、替换性日本紫密密码：电子商务教研室3.加密技术的发展过程（2）近代加密阶段（20世纪初—20世纪60年代）例1：Caesarreplacement（凯撒替换）替换规则：字母错开X位，比如3位ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：CHINA密文：FLMQD电子商务教研室3.加密技术的发展过程（3）现代加密阶段（20世纪60年代—至今）密码：光复一号（苏联数学家制造）加密方法：Calculationtechnique（计算术）加密特点：信息化、计算化电子商务教研室3.加密技术的发展过程（3）现代加密阶段（20世纪60年代—至今）RSA加密技术第1步：找两个大素数P和Q，N=P×Q，M=（P-1）×（Q-1）第2步：找一个和M互素的整数E（E是公钥）第3步：找一个整数D，即E×DmodM=1（D是私钥）加密方法：明文T，密文CC=TDmodN电子商务教研室3.加密技术的发展过程（3）现代加密阶段（20世纪60年代—至今）RSA加密技术1：设p=7，q=17，n=7×17=119，m=(7-1)(17-1)=962：随机找个e=5（公钥=5）3：计算d，(d×5)mod96=1，d=77（私钥=77）明文：T=19密文：C=195mod119=66ec（二）加密技术一个密码体制由明文、密文、密钥与加密运算这四个基本要素构成。图7-1显示了一个明文加密解密的过程。ec加密术语明文(cleartext)最初的原始信息。密文(ciphertext)被加密信息打乱后的信息。算法(algorithm)将明文改为密文的方法。密钥(key)将明文转换为密文或将密文转换为明文的算法中输入的数据。加密(encryption)将明文转换为密文的过程。解密(decryption)将密文转换为明文的过程。ec密钥体制密钥是用户按照一种密码体制随机选取的一个字符串，是控制明文和密文变换的唯一参数。根据密钥类型不同将现代密码技术分为两类：1.单密钥体制加密密钥和解密密钥相同或本质相同的体制被称为单密钥加密体制。其特点是运算速度快，适合于加解密传输中的信息。如美国的数据加密标准（DES算法）。2.公钥体制指加密密钥和解密密钥不相同且从其中一个很难推断出另一个的体制。公钥密码体制可以使通信双方无须事先交换密钥就可以建立安全通信。公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。ec数据加密标准DES：基于私有密钥体制的信息认证基于私有密钥(PrivateKey，私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。由于通信双方共享同一密钥，因而通信的乙方可以确定信息是由甲方发出的。这是一种最简单的信息来源的认证方法。下图是对称加密示意图。ec对称加密示意图会话密钥会话密钥密钥预分配明文密文明文密文密文明文ec对称加密算法在电子商务交易过程中存在三个问题：(1)要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，因此双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商。(2)密钥的数目将快速增长而变得难以管理，因为每一对可能的通信实体需要使用不同的密钥，这很难适应开放社会中大量信息交流的要求。(3)对称加密算法一般不能提供信息完整性鉴别。对称加密方法DESec基于公开密钥体制的信息认证1976年，美国学者Diffie和Hellman为解决信息公开传送和密钥管理问题，提出了一种密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥——公开密钥(PublicKey，公钥)和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。图12-3是使用公钥加密和用对应的私钥解密的示意图。非对称加密方法RSAec图使用公钥加密和对应的私钥解密的示意图生成会话密钥数字信封数字信封明文明文密文密文目录用户B的私钥用户B的公钥ec密钥管理技术加密体系中有两个基本要素：加密算法和密钥管理。其中密钥是控制加密算法和解密算法的关键。存放密钥的媒体有各种磁卡、磁盘、闪盘、智能卡等存储介质，他们很易被盗或损坏。因而密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。ec密钥管理创建分发保护吊销1234ec两种管理技术比较1.对称密钥管理优点：即使泄露了一把密钥也只会影响一笔交易,而不会对其它的交易产生影响。2.公开密钥管理优点：用于解密的私钥不需发往别处，因而即使公钥被截获，因为没有与其匹配的私钥，也无法解读加密信息。另外还可用它进行身份验证。ec安全认证技术数字摘要数字签名数字水印数字时间戳生物统计识别数字证书ec1.数字摘要数字摘要(digitaldigest)又称安全Hash编码法。其原理是采用单向Hash(哈希)函数将需加密的明文进行某种变换运算，得到固定长度的摘要码。不同的明文摘要转成密文，其结果总是不同的，而同样的明文其摘要必定一致。该算法与公钥加密系统联合使用，就可以生成一个与传入的保密文件相关的数字签名。安全认证技术ec2、数字签名在网络环境中，由于参与交易的各方在整个交易过程中有可能自始至终不见面，因此多采用数字签名方式来解决这个问题。(1)概念：加密后的数字摘要数字签名是指通过使用非对称加密系统和哈希函数来变换电子记录的一种电子签名。人们可以准确地判断信息的变换是否是使用与签名人公开密匙相配的私人密匙作成的，进行变换后初始电子记录是否被改动过。安全认证技术ec2、数字签名数字签名与用户的姓名及手写签名形式毫无关系，它实际上是采用了非对称加密技术，用信息发送者的私钥变换所需传输的信息，因而不能复制，安全可靠。安全认证技术ec2、数字签名（2）实现方法实现数字签名的方法有多种，目前采用较多的技术有两类：一类是对称加密，要求双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用。另一类是非对称加密：如果用公开密钥对数据进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。因此，通常一个用户拥有两个密钥对。安全认证技术ec2、数字签名(3)数字签名文档的法律地位《中华人民共和国电子签名法》2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过，该法自2005年4月1日起施行。安全认证技术ec3、数字水印由于图形、图像、视频和声音等数字信息很易通过网络、CD进行传递与复制，存在非法拷贝、传播或篡改有版权的作品的问题，因此，能对数字产品实施有效的版权保护及信息保密的数字水印技术应运而生。（1）概念数字水印技术是通过一定的算法将数字、序列号、文字、图像标志等版权信息嵌入到多媒体数据中，但不影响原内容的价值和使用，并且不能被人的感知系统觉察或注意到。安全认证技术ec3、数字水印（1）概念被其保护的信息可以是任何一种数字媒体，如软件、图像、音频、视频或一般性的电子文档等。在产生版权纠纷时，可通过相应的算法提取出该数字水印，从而验证版权的归属，确保媒体著作权人的合法利益，避免非法盗版的威胁。安全认证技术ec3、数字水印(2)数字水印的应用信息隐藏及数字水印技术在版权保护、真伪鉴别、隐藏通信、标志隐含等方面具有重要的应用价值，有着巨大的商业前景。安全认证技术ec4.时间戳在电子商务交易文件中，时间是十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(Digita1TimeStampsever，DTS)是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。安全认证技术ec4.时间戳时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件的摘要（digest）。（2）DTS收到文件的日期和时间。（3）DTS的数字签名。时间戳将日期和时间与数字文档以加密的方式关联。数字时间戳可用于证明电子文档在其时间戳所述的时间期限内有效。安全认证技术=myDealerec5、数字证书根据联合国《电子签字示范法》第一条，“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。《中华人民共和国电子签名法》规定，电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。安全认证技术ec图数字证书的组成证书格式版本证书序列号码(证书识别号)签字法识别符(发证机构)证书发行机构名使用期限(起止日期、时间)主体名主体公司信息算法识别公钥值发证者身份识别符主体者身份识别符证实机构签字数字签字证实机构的签字密钥证书ec带有数字签名和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如下图所示。ec原信息Alice的证书Bob的证书Alice的证书＋＋信息摘要Alice的签字私钥数字签字(1)(2)(3)发送者Alice加密加密Bob的公钥(4)加密加密信息数字信封(5)加密信息因特网数字信封数字信封Bob的私钥(6)接收者Bob对称密钥加密信息数字签字解密解密解密Alice的签字公钥＋＋信息摘要M1信息摘要M2(7)(8)(10)(9)对称密钥比较图12-11带有数字签字和数字证书的加密系统四、安全体系构建素材网收集提供,版权归原作者所有ec（一）构建安全体系一个完善的网络安全体系必须合理地协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术。国外的一项安全调查显示，超过85%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。1、集中管理的认证机制对网络设备、主机、数据库等信息系统而言，只有明确了访问者的身份，才可决定提供何种相应的服务,才可能采用正确的安全策略实现访问控制、安全审计等安全功能。ec（一）构建安全体系2、集中权限分配与管理集中授权管理，是指集中对用户使用信息系统资源的权限进行合理分配，并在此基础上实现不同用户对系统不同部分资源的访问控制。具体来说，就是集中实现对各用户（主3、高效灵活的策略化审计与响应机制审计和响应功能可以简单地描述为：某个特定的网络资源或服务（如主机、服务器、数据库、FTP、Telnet等）可以（或不可以）被某个特定的用户怎样地访问，这需要审计系统具有很强的针对性和准确性，具体说来，针对具体的应用需求，如