《《信息系统安全技术》ppt课件》由会员分享,可在线阅读,更多相关《《信息系统安全技术》ppt课件(68页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全技术 -加密技术综述,目 录,世界各国密码政策介绍 我国密码管理政策简介 密码学基础 密码技术简介 密钥管理和证书详细分析 VPN技术概述 IP与IPSec技术,概况(一),1999年6月,美国的Electronic Privacy Information Center公布了其对世界各国密码政策的调查结果。,1、当今许多国家对密码的使用没有控制,密码的使用 、生产、销售均不受限制。 2、各国和国际组织在密码的法律和政策方面向着更加 宽松的方向迈进。 3、出口控制依然是密码自由流动和发展的最大障碍。 4、美国继续在全球推行其加密出口控制的政策,并迫 使其它国家采纳其限制性的政策。,概
2、况(二)密码政策的四个主要方面,政府对国内使用密码技术的控制情况 政府对本国进口密码技术和设备的控制情况。 政府对本国开发的密码技术和设备出口的控制情况。 负责制定密码技术的使用、出口、进口政策的政府部门或机构的情况。,少数国家对国内使用密码进行控制,许多国家对本国居民使用密码没有任何限制,而极少数国家却实行表面上不是强制性的控制。如China(中国), Israel(以色列), Pakistan(巴基斯坦), Russia(俄罗斯), Singapore(新加坡), Tunisia(突尼斯), Vietnam(越南), and Venezuela(委内瑞拉)。 许多明确拒绝控制的国家也意识到
3、了当今电子商务中电子信息及工业间谍威胁的重要性,纷纷采纳了OECD(Organization for Economic Cooperation and Development经济合作与发展组织)的关于密码政策指导原则,支持无限制使用密码。如Canada(加拿大), Ireland(爱尔兰), and Finland(芬兰) 。 还有一些国家放弃了以前对国内使用密码的限制,如法国于1999.1宣布可自由使用加密。比利时于1997.12在有关法律中取消了限制使用密码的条款。,对密钥托管/密钥恢复不再支持(一),随着许多国家对国内使用密码的放开,政府也拒绝使用密钥托管/密钥恢复。很少有国家支持这种政
4、策。 美国政府对许多国家和国际组织,如OECD,施加压力,让他们采纳密钥托管,但OECD成员国没有屈服,呼吁自由使用密码和尊重个人隐私。 国际政策的变化直接影响到各国国内密码政策的走向。法国和台湾以前都是支持密钥托管的,现在也放弃了。台湾1997年还准备建立密钥托管系统。,对密钥托管/密钥恢复不再支持(二),美国密钥托管政策的支持者仅有为数不多的几个国家,Spain在1998年的电信法案中推行密钥托管,但迄今还没有实现。UK在电子商务法案中强制使用密钥托管,国内反对呼声太大,可能会夭折。美国的出口控制政策一度坚持密钥托管,但在1998年已有所放松。到1999年,其出口控制政策中没有直接涉及密钥
5、托管,但却出台了CESA(Cyberspace Electronic Security Act),变相地要求密钥托管,痴心不改。,对执法部门增加预算,提高监控能力(一),取消加密限制的国家为缓解来自执法部门和情报机构的压力,采取一些相应的补偿措施。主要方法是增加对情报机构的资金投入,作为对其因加密而损失情报的补偿。,法国总理Jospin 宣布要加强权力部门的技术能力。 澳大利亚称要给权力机构赋予特殊的权力,只要法庭的许可,即可以“hack”到计算机系统。 In Germany, police are now allowed to place microphones in homes.,出口控制
6、的作用,出口控制政策是各国政府限制加密产品发展的强有力手段。 出口控制降低了自由获得加密产品的可能性,特别是从美国的公司。 出口控制不利于制定国际通用的加密标准,而且造成不同程序间的互操作性很差。 出口控制在网络化的今天形同虚设,强的牢不可破的加密程序可以在几钞钟内传遍世界各地。,加密政策的国际动向,在过去的几年中,国际组织对加密政策的发展起着至关重要的作用。如OECD、EU、G-7/G-8、欧洲议会、WA( Wassenaar Agreement,荷兰的一个国际组织 )等。美国在UK的支持下,获得了一些国际支持。特别是那些关注法律执行和军事/情报问题的国家,反对者主要是德国和北欧国家。,19
7、96年,美国就游说OECD采纳其密钥托管,以期EES成为国际标准。但遭到日本、北欧等国的强烈反对,只有法国、英国支持。 1997年3月,OECD公布了其密码政策的指导原则,其主旨是政府应鼓励使用密码来保护个人及商业利益,考虑到个人隐私、法律执行、国家安全及技术发展的需要,应制定平衡的密码政策。,OECD密码政策的八个指导原则(一),为增强使用信息和通讯系统的信心,密码方法应当是可信赖的。 在法律许可范围内,用户可以自由选择密码方法。 密码方法的开发应适应个人、公司、政府的不同需求。 密码方法的标准、准则、协议的开发和颁布应在国家或国际范围内进行。 个人的基本隐私权,如通信秘密、个人数据保护,应
8、在国家的密码政策及密码技术的实现和使用中得到尊重。,OECD密码政策的八个指导原则(二),国家的密码政策应允许依法存取加密数据的明文或密钥,但这个政策应最大程度上不妨碍本指导原则中其它原则。 无论是采取立法或合约的形式,应明确提供密码服务或持有、存取密钥的个人或团体的责任。 政府在密码政策的制定中应协调各方面的关系,避免以密码政策的名义妨碍正常贸易或滥用法律。,EU的密码政策,EU在抑制加密限制方面起了关键作用,它要求成员国向EU会报告各国密码产品生产、使用、进口和买卖情况,并积极寻求取消EU以外国家商用加密产品的控制。 1997年10月,EU委员会第13司公布了一份报告,称限制使用加密将妨碍
9、守法的公司和居民保护自己不受罪犯侵害,密钥托管也不能阻止犯罪分子使用这些技术。,美国的密码政策(一),1999.9.16,克林顿政府宣布了其最新的密码产品出口控制条例。尽管这些政策远未落实,但却表明美国政府多年来对强加密的敌视态度正在转变。,任何密钥长度的硬件、软件加密产品,只要经过一个“one-time technical review”无需许可证即可出口。 密钥长度不超过64比特的密码产品不受任何限制。但要满足Wassennaar协议要求。,美国的密码政策(二),尽管放松的出口控制政策是美国工业界在加密之争中的一次胜利,斗争仍未结束。政府提议的CESA(Cyberspace Electro
10、nic Security Act)明确规定使用密钥托管,CESA要求一个可信第三方为政府机构必要时提供密钥。,零售产品可以出口给任何国家的任何用户,包括个人、商业公司、非政府用户等。但必须除开七个支持恐怖主义的国家(Cuba, Iran, Iraq, Libya, North Korea, Sudan and Syria.)。 加密源代码、工具箱和芯片仍受控制,不超过56比特密钥长度的可以出口。,英国的密码政策,目前对密码产品的进口和国内使用没有任何限制。英国是美国推行密钥托管系统的强力支持者,已在筹建国内的密钥托管系统。,法国的密码政策,1999年初,放弃了以前对使用密码的敌视态度,取消了国
11、内使用加密、进口密码技术的复杂的注册许可制度。,德国的密码政策,对加密软件、硬件的使用没有控制。 对加密技术、设备的进口没有控制。 Export controls on encryption are comparable to those of the United States as they existed until early in 1997; 出口控制由经济部联邦出口办公室负责管理。,加拿大的密码政策,没有私人使用密码的法律,相关规定是密三设备需和公共网络的技术要求相一致。,我国对安全设备的部分政策,国家安全主管部门负责对党政机关的重要部门和要害部位实行安全技术检查。 公安机关负责公
12、共信息网络的安全监察和打击计算机犯罪; 国家保密机关对信息网络进行安全保密检测。 国家规定:安全保密场所使用的进口专用设备,必须经过安全技术检查方可使用。 国家有关部门对安全产品进行检测与认证,并实行许可证制度。 中华人民共和国计算机信息网络国际联网管理暂行规定明确要求:接入单位及服务商必须“具有健全的安全保密管理制度和技术保护措施。”,我国对商用密码设备的管理,加密设备,有核密、普密、商密之分,所有密码算法必须由国家密码管理委员会审批; 商用密码的科研任务由国家密码管理机构指定单位承担,科研成果由国家密码管理机构审查、鉴定; 商用密码产品由国家密码管理机构许可的单位销售; 进口密码产品以及含
13、有密码技术的设备或出口商用密码产品,必须报经国家密码管理机构批准; 任何单位或个人只能使用经国家密码管理机构认可的商用密码产品。,密码学基础,1. 密码学与网络安全,2. 密码学作为数学的一个分支,其包括:,密码编码学:使消息保密的技术和科学 密码分析学:破译密文的技术和科学,3. 加密(Encrypt)和解密(Decrypt),密码学基础,对图1中的加密和解密过程有如下等式成立: D(E(M)= M,4. 密码学的作用,密码学基础,机密性:提供只允许特定用户访问和阅读信息,任何非授权用户对信息都不可理解的服务通过数据加密实现。 数据完整性:提供确保数据在存储和传输过程中不被未授权修改(窜改、
14、删除、插入和重放等)的服务。通过数据加密、数据散列或数字签名来实现 鉴别:提供与数据和身份识别有关的服务。通过数据加密、数据散列或数字签名来实现,密码学基础,抗否认性:提供阻止用户否认先前的言论或行为的服务。通过对称加密或非对称加密,以及数字签名等,并借助可信的注册机构或证书机构的辅助,提供这种服务,5. 算法与密钥,算法 是用于加密和解密的数学函数 受限制(restricted)的算法 算法的强度是基于保持算法的秘密 算法强度依赖于密钥(K)的算法,使用同一密钥的加/解密 加密:EK(M)= C 解密:DK(C)= M 等效于 DK(EK(M)=M,密码学基础,使用不同密钥的加/解密 加密:
15、EK1(M)= C 解密:DK2(C)= M 等效于 DK2(EK1(M)=M,密码学基础,对称算法与公开密钥算法,密码学基础,对称算法 也叫传统密码算法(秘密密钥算法、单钥算法),就是加密密钥能从解密密钥中推算出来。 对称算法的数学表示:,加密:EK(M)= C 解密:DK(C)= M,对称算法分类:,密码学基础,序列算法(stream algorithm) 一次只对明文中的单个位(或字节)进行运算的算法。 分组算法(block algorithm) 一次对明文的一组位进行运算,典型分组长度是64位。,公开密钥算法(public-key algorithm) 也叫非对称算法,公开密钥算法特点
16、 用作加密的密钥(也称公开密钥)不同于用作解密的密钥(也称私人密钥)。 解密密钥不能根据加密密钥推算出来。 加密密钥能公开。 有时也用私人密钥加密而用公开密钥解密,这主要用于数字签名。,6. 密码协议,协议:一系列步骤,其目的是为完成一项任务,密码学基础,密码协议:是使用密码学的协议 对称密码通信(以Alice和Bob通信为例) Alice和Bob协商用同一密码系统 Alice和Bob协商同一密钥 Alice用加密算法和选取的密钥加密她的明文消息,得到了密文消息 Alice发送密文消息给Bob Bob用同样的算法和密钥解密密文 单向函数,密码学基础,例子 已知x,我们很容易计算f(x),但已知f(x),却难于计算出x. 单向函数的作用,密码学基础,不能用作加密 使用单向函数进行鉴别,其鉴别过程如下: Alice将她的口令传送给计算机 计算机完成口令的单向函数的计算 计算机把单向函数的运算结果和它以前存储的值进行比较。,密码学基础,单向散列(Hash)函数,功能 把可变输入长度串(称
