《第4章数据加密与身份认证》由会员分享,可在线阅读,更多相关《第4章数据加密与身份认证(38页珍藏版)》请在金锄头文库上搜索。
1、第4章 数据加密与身份认证,2,本章概要,本章就各种网络安全技术进行了阐述。所涉及的网络安全技术有: 数据加密技术(Encryption) 身份认证技术(Authentication) 包过滤技术(Packet Filtering) 资源授权使用(Authorization) 内容安全(防病毒)技术,3,课程目标,通过本章学习,读者应能够: 了解常用的网络安全技术及其适用范围; 了解内容安全(防病毒)技术在网络安全领域的重要地位。,4.1 数据加密技术,5,4.1 数据加密技术,信息安全技术是一门综合的学科,它涉及信息论、计算机科学和密码学等多方面知识,它的主要任务是研究计算机系统和通信网络内
2、信息的保护方法以实现系统内信息的安全、保密、真实和完整。其中,信息安全的核心是密码技术。 随着计算机网络不断渗透到各个领域,密码学的应用也随之扩大,数字签名、身份鉴别等都是由密码学派生出来的新技术和应用。 随着计算机联网的逐步实现,计算机信息的保密问题显得越来越重要。数据保密变换,或密码技术,是对计算机信息进行保护的最实用和最可靠的方法,下面对信息加密技术作一简要介绍。,6,数据加密的概念,数据加密模型,密文,加密密钥,信息窃取者,解密密钥,加密算法,解密算法,7,数据加密的概念,数据加密技术的概念,数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成
3、密文(Ciphertext),只有特定接受方才能将其解密(Decryption)还原成明文的过程。,明文(Plaintext) : 加密前的原始信息; 密文(Ciphertext) :明文被加密后的信息; 密钥(Key): 控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥; 加密(Encryption):将明文通过数学算法转换成密文的过程; 解密(Decryption):将密文还原成明文的过程。,8,数据加密的概念,数据加密技术的应用,数据保密; 身份验证; 保持数据完整性; 确认事件的发生。,9,数据加密技术原理,对称密钥加密(保密密钥法) 非对称密钥加密(公开密钥法) 混合
4、加密算法 哈希(Hash)算法 数字签名 数字证书 公共密钥体系,数据加密技术原理,10,数据加密技术原理,对称密钥加密(保密密钥法),加密算法,解密算法,密钥,网络信道,明文,明文,密文,两者相等,11,数据加密技术原理,非对称密钥加密(公开密钥加密),加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,12,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!,非对称密钥加密算法,非对称密钥解密算法,
5、对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合,13,数据加密技术原理,哈希(Hash)算法,信息,哈希算法(hash algorithm),也叫信息标记算法(message-digest algorithm),可以提供数据完整性方面的判断依据。,哈希算法,结果相同,则数据未被篡改,比较,结果不同,则数据已被篡改,信息标记 (digest),常用的哈希算法: MD5 SHA-1,哈希算法,14,数据加密技术原理,数字签名,数字签名(digital signature)技术通过某种加密算法,在一条地址消息的尾部添加一个字符串,而收信人可以根据这个字符串验明
6、发信人的身份,并可进行数据完整性检查。,15,数据加密技术原理,数字签名的工作原理,非对称加密算法,非对称解密算法,Alice的私有密钥,网络信道,合同,Alice的公开密钥,哈希算法,标记,标记-2,合同,哈希算法,比较,标记-1,如果两标记相同,则符合上述确认要求。,Alice,Bob,16,数据加密技术原理,数字签名的作用,唯一地确定签名人的身份; 对签名后信件的内容 是否又发生变化进行验证; 发信人无法对信件的内容进行抵赖。,当我们对签名人同公开密钥的对应关系产生疑问时,我们需要第三方颁证机构(CA: Certificate Authorities)的帮助。,17,数据加密技术原理,数
7、字证书,数字证书相当于电子化的身份证明,应有值得信赖的颁证机构(CA机构)的数字签名,可以用来强力验证某个用户或某个系统的身份及其公开密钥。 数字证书既可以向一家公共的办证机构申请,也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。,18,数据加密技术原理,数字证书中的常见内容,发信人的公开密钥; 发信人的姓名; 证书颁发者的名称; 证书的序列号; 证书颁发者的数字签名; 证书的有效期限。,如:目前通用的X.509证书,19,数据加密技术原理,申请数字证书,并利用它发送电子邮件,20,数据传输的加密,链路加密方式,21,数据传输的加密,链路加密方式,用于保护通信节点
8、间传输的数据,通常用硬件 在物理层或数据链路层实现。,优点 由于每条通信链路上的加密是独立进行的,因此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。 报文中的协议控制信息和地址都被加密,能够有效防止各种流量分析。 不会减少网络有效带宽。 只有相邻节点使用同一密钥,因此,密钥容易管理。 加密对于用户是透明的,用户不需要了解加密、解密过程。,22,数据传输的加密,链路加密方式,缺点 在传输的中间节点,报文是以明文的方式出现,容易受到非法访问的威胁。 每条链路都需要加密/解密设备和密钥,加密成本较高。,23,数据传输的加密,端对端加密方式,24,数据传输的加密,端对端加密方式,在源节点和目
9、标节点对传输的报文进行加密和解密,一般在应用层或表示层完成。,优点 在高层实现加密,具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点 报文的控制信息和地址不加密,容易受到流量分析的攻击。 需要在全网范围内对密钥进行管理和分配。,25,常用加密协议,SSL协议:,安全套接层协议(Secure Socket Layer)。 SSL是建立安全通道的协议,位于传输层和应用层之间,理论上可以为任何数量的应用层网络通信协议提供通信安全。 SSL协议提供的功能有安全(加密)通信、服务器(或客户)身份鉴别、信息完整性检查等。 SSL协议最初由Netscape公司开发成功,是在Web客户和Web服务
10、器之间建立安全通道的事实标准。 SSL协议的版本。,26,常用加密协议,SSL协议:,安全套接层协议所在层次,27,常用加密协议,TLS协议:,传输层安全协议(Transport Layer Security)。 TLS协议由IETF(Internet Engineering Task Force)组织开发。 TLS协议是对SSL 3.0 协议的进一步发展。 同SSL协议相比,TLS协议是一个开放的、以有关标准为基础的解决方案,使用了非专利的加密算法。,28,常用加密协议,IP-Sec协议(VPN 加密标准):,与SSL协议不同,IP-Sec协议试图通过对IP数据包进行加密,从根本上解决因特网
11、的安全问题。 IP-Sec是目前远程访问VPN网的基础,可以在Internet上创建出安全通道来。,29,常用加密协议,IP-Sec协议:,IP-Sec协议有两种模式: 透明模式:把IP-Sec协议施加到IP数据包上,但不改变数据包原来的数据头; 信道模式:把数据包的一切内容都加密(包括数据头),然后再加上一个新的数据头。,30,常用加密协议,其它加密协议与标准:,SSH:Secure Shell。 DNSSEC:Domain Name Server Security。 GSSAPI: Generic Security Services API。 PGP协议:Pretty Good Proto
12、col。,4.2 身份认证与识别,32,身份鉴别技术,Is that Alice?,Hi, this is Alice. Please send me data.,Internet,身份鉴别技术的提出,在开放的网络环境中,服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。,33,身份鉴别技术,常用的身份鉴别技术,基于用户名和密码的身份鉴别 基于对称密钥密码体制的身份鉴别技术 基于KDC(密钥分配中心)的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于证书的身份鉴别技术,34,身份鉴别技术,Yes. I have a user named “Alice” w
13、hose password is “byebye”. I can send him data.,Hi, this is Alice. My User Id is “Alice”, my password is “byebye”. Please send me data.,Internet,基于用户名和密码的身份鉴别,35,身份鉴别技术,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于对称密钥体制的身份鉴别,A,在这种技术中,鉴别双方共享一个对称密钥KAB,该对称密钥在鉴别之前已经协商好(不通过网络)
14、。,RB,KAB(RB),RA,KAB(RA),Alice,Bob,36,身份鉴别技术,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于KDC的身份鉴别技术,A, KA(B,KS),基于KDC(Key Distribution Center,密钥分配中心)的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中,参与鉴别的实体只与KDC共享一个对称密钥,鉴别通过KDC来完成。,KB(A,KS),Alice,Bob,KDC,37,身份鉴别技术,基于非对称密钥体制的身份鉴别,在这种
15、技术中,双方均用对方的公开密钥进行加密和传输。,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,EPKB(A,RA),EPKA(RA,RB,KS),KS(RB),Alice,Bob,38,身份鉴别技术,基于证书的身份鉴别技术,为解决非对称密钥身份鉴别技术中存在的“公开密钥真实性”的问题,可采用证书对实体的公开密钥的真实性进行保证。,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,PKB(A,KS), CA,PKA(B,KS),Alice,Bob,
