安全生产_常用安全技术之加密技术培训教材

《安全生产_常用安全技术之加密技术培训教材》由会员分享，可在线阅读，更多相关《安全生产_常用安全技术之加密技术培训教材（50页珍藏版）》请在金锄头文库上搜索。

1、常用安全技术之加密技术,刘玉洁 电子商务教研室,电子商务教研室,加密技术,1、加密技术能够有效地解决何种网络威胁问题 2、加密技术的关键是什么？ 3、DES及RSA的主要区别是什么？,ec,1.引言,发问：什么是密码？,1.引言,发问：什么是密码？,不全面,2.密码概念,密码定义,1：秘密的信息，比如：口令、暗号等,2：原始信息按一定规则转换成无法理解的特定符号,明文,加密方法,密文,加密过程,3.加密技术的发展过程,（1）古代加密阶段（20世纪之前）,我闻西方大士， 为人了却凡心。 秋来明月照蓬门， 香满禅房幽径。 屈指灵山会后， 居然紫竹成林。 童男童女拜观音， 仆仆何嫌荣顿？,加密方法：

2、Steganography（隐写术）,加密特点：手工性、隐写性,3.加密技术的发展过程,（2）近代加密阶段（20世纪初20世纪60年代）,中途岛海战,中途岛,“AF”,加密方法：Replacement surgery （替换术）,加密特点：机械性、替换性,日本紫密密码：,3.加密技术的发展过程,（2）近代加密阶段（20世纪初20世纪60年代）,例1：Caesar replacement （凯撒替换）,替换规则：字母错开X位，比如3位 ABCDEFGHIJKLMNOPQRSTUVWXYZ DEFGHIJKLMNOPQRSTUVWXYZABC,明文： CHINA,密文： FLMQD,3.加密技术的

3、发展过程,（3）现代加密阶段（ 20世纪60年代至今）,密码：光复一号 （苏联数学家制造）,加密方法：Calculation technique （计算术）,加密特点：信息化、计算化,3.加密技术的发展过程,（3）现代加密阶段（ 20世纪60年代至今）,RSA加密技术,第1步：找两个大素数P和Q，N=PQ，M=（P-1）（Q-1） 第2步：找一个和M互素的整数E（E是公钥） 第3步：找一个整数D，即ED mod M=1（D是私钥） 加密方法：明文T，密文C C=TD mod N,3.加密技术的发展过程,（3）现代加密阶段（ 20世纪60年代至今）,RSA加密技术,1：设 p=7，q=17，n=

4、7 17=119，m=(7-1)(17-1)=96 2：随机找个e=5（公钥=5） 3：计算d，( d 5) mod 96=1，d=77（私钥=77）,明文：T=19 密文：C=195 mod 119 = 66,（二）加密技术,一个密码体制由明文、密文、密钥与加密运算这四个基本要素构成。图7-1显示了一个明文加密解密的过程。,ec,加密术语,明文(cleartext) 最初的原始信息。 密文(ciphertext) 被加密信息打乱后的信息。 算法(algorithm) 将明文改为密文的方法。 密钥(key)将明文转换为密文或将密文转换为明文的算法中输入的数据。 加密(encryption) 将

5、明文转换为密文的过程。 解密(decryption) 将密文转换为明文的过程。,ec,密钥体制,密钥是用户按照一种密码体制随机选取的一个字符串，是控制明文和密文变换的唯一参数。根据密钥类型不同将现代密码技术分为两类： 1.单密钥体制 加密密钥和解密密钥相同或本质相同的体制被称为单密钥加密体制。其特点是运算速度快，适合于加解密传输中的信息。如美国的数据加密标准（DES算法）。 2.公钥体制 指加密密钥和解密密钥不相同且从其中一个很难推断出另一个的体制。公钥密码体制可以使通信双方无须事先交换密钥就可以建立安全通信。公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。,ec,数据加密标准DES：基

6、于私有密钥体制的信息认证 基于私有密钥(Private Key，私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。 由于通信双方共享同一密钥，因而通信的乙方可以确定信息是由甲方发出的。这是一种最简单的信息来源的认证方法。下图是对称加密示意图。,ec,对称加密示意图,会话密钥,会话密钥,密钥预分配,明文,密文,明文,密文,密文,明文,ec,对称加密算法在电子商务交易过程中存在三个问题： (1) 要求提供一条安

7、全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，因此双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商。 (2) 密钥的数目将快速增长而变得难以管理，因为每一对可能的通信实体需要使用不同的密钥，这很难适应开放社会中大量信息交流的要求。 (3) 对称加密算法一般不能提供信息完整性鉴别。,对称加密方法DES,ec,基于公开密钥体制的信息认证 1976年，美国学者Diffie和Hellman 为解决信息公开传送和密钥管理问题，提出了一种密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。 与对称加

8、密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥公开密钥(Public Key，公钥)和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。图12-3是使用公钥加密和用对应的私钥解密的示意图。,非对称加密方法RSA,ec,图 使用公钥加密和对应的私钥解密的示意图,生成会话密钥,数字信封,数字信封,明文,明文,密文,密文,目录,用户B的私钥,用户B的公钥,ec,密钥管理技术,加密体系中有两个基本要素：加密算法和密钥管理。 其中密钥是控制加密算法和解密算法的关键。 存放密钥的媒体有

9、各种磁卡、磁盘、闪盘、智能卡等存储介质，他们很易被盗或损坏。 因而密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。,ec,密钥管理,ec,两种管理技术比较,1. 对称密钥管理 优点：即使泄露了一把密钥也只会影响一笔交易,而不会对其它的交易产生影响。 2. 公开密钥管理 优点：用于解密的私钥不需发往别处，因而即使公钥被截获，因为没有与其匹配的私钥，也无法解读加密信息。另外还可用它进行身份验证。,ec,安全认证技术,数字摘要,数字签名,数字水印,生物统计识别,安全认证技术,数字证书,ec,1. 数字摘要 数字摘要(digital digest)又称安全Hash编码法。其原理是采

10、用单向Hash(哈希)函数将需加密的明文进行某种变换运算，得到固定长度的摘要码。不同的明文摘要转成密文，其结果总是不同的，而同样的明文其摘要必定一致。 该算法与公钥加密系统联合使用，就可以生成一个与传入的保密文件相关的数字签名。,安全认证技术,ec,2、 数字签名 在网络环境中，由于参与交易的各方在整个交易过程中有可能自始至终不见面，因此多采用数字签名方式来解决这个问题。 (1)概念：加密后的数字摘要 数字签名是指通过使用非对称加密系统和哈希函数来变换电子记录的一种电子签名。 人们可以准确地判断信息的变换是否是使用与签名人公开密匙相配的私人密匙作成的，进行变换后初始电子记录是否被改动过。,安全

11、认证技术,ec,2、 数字签名 数字签名与用户的姓名及手写签名形式毫无关系，它实际上是采用了非对称加密技术，用信息发送者的私钥变换所需传输的信息，因而不能复制，安全可靠。,安全认证技术,ec,2、 数字签名 （2）实现方法 实现数字签名的方法有多种，目前采用较多的技术有两类： 一类是对称加密，要求双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用。 另一类是非对称加密： 如果用公开密钥对数据进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。因此，通常一个用户拥有两个密钥对。,安全认证技术,ec,2、 数字签名 (3)数字签名文档的法

12、律地位 中华人民共和国电子签名法2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过，该法自2005年4月1日起施行。,安全认证技术,ec,3、数字水印 由于图形、图像、视频和声音等数字信息很易通过网络、CD进行传递与复制，存在非法拷贝、传播或篡改有版权的作品的问题，因此，能对数字产品实施有效的版权保护及信息保密的数字水印技术应运而生。 （1）概念 数字水印技术是通过一定的算法将数字、序列号、文字、图像标志等版权信息嵌入到多媒体数据中，但不影响原内容的价值和使用，并且不能被人的感知系统觉察或注意到。,安全认证技术,ec,3、数字水印 （1）概念 被其保护的信息可以是任何一种数字

13、媒体，如软件、图像、音频、视频或一般性的电子文档等。 在产生版权纠纷时，可通过相应的算法提取出该数字水印，从而验证版权的归属，确保媒体著作权人的合法利益，避免非法盗版的威胁。,安全认证技术,ec,3、数字水印 (2) 数字水印的应用 信息隐藏及数字水印技术在版权保护、真伪鉴别、隐藏通信、标志隐含等方面具有重要的应用价值，有着巨大的商业前景。,安全认证技术,ec,4. 时间戳 在电子商务交易文件中，时间是十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(Digita1 Time Stamp sever，DTS)是网上电子商务安全服务项目之一，

14、它能提供电子文件的日期和时间信息的安全保护。,安全认证技术,ec,4. 时间戳 时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分： （1） 需加时间戳的文件的摘要（digest）。 （2） DTS收到文件的日期和时间。 （3）DTS的数字签名。 时间戳将日期和时间与数字文档以加密的方式关联。数字时间戳可用于证明电子文档在其时间戳所述的时间期限内有效。,安全认证技术,http:/ 根据联合国电子签字示范法第一条，“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。中华人民共和国电子签名法规定，电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系

15、的数据电文或者其他电子记录。,安全认证技术,ec,图数字证书的组成,数字签字,证实机构的 签字密钥,证书,ec,带有数字签名和数字证书的加密系统 安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如下图所示。,ec,图12-11 带有数字签字和数字证书的加密系统,ec,四、安全体系构建,素材网收集提供,版权归原作者所有,（一）构建安全体系,一个完善的网络安全体系必须合理地协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术。 国外的一项安全调查显示，超过85%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分是内部各种非法和违规

16、的操作行为所造成的。 1、集中管理的认证机制 对网络设备、主机、数据库等信息系统而言，只有明确了访问者的身份，才可决定提供何种相应的服务,才可能采用正确的安全策略实现访问控制、安全审计等安全功能。,ec,（一）构建安全体系,2、集中权限分配与管理 集中授权管理，是指集中对用户使用信息系统资源的权限进行合理分配，并在此基础上实现不同用户对系统不同部分资源的访问控制。具体来说，就是集中实现对各用户（主 3、高效灵活的策略化审计与响应机制 审计和响应功能可以简单地描述为：某个特定的网络资源或服务（如主机、服务器、数据库、FTP、Telnet等）可以（或不可以）被某个特定的用户怎样地访问，这需要审计系统具有很强的针对性和准确性，具体说来，针对具体的应用需求，如系统维护操作、数,ec,思考,思考题： 怎样进行网络安全体系设计？ 如何实施网络安全体