大学计算机基础第9章信息安全.ppt

第第9 9章章 信息安全信息安全9.1 9.1 概述概述9.9.２２ 计算机病毒及其防治计算机病毒及其防治 9.9.３３ 网络安全网络安全 （（黑客攻防、防火墙）黑客攻防、防火墙）9.9.４４ 信息安全技术信息安全技术（（加密解密、数字签名、数字证加密解密、数字签名、数字证书）书）1EmailWebISP门户网站门户网站电子交易电子交易复杂程度复杂程度时间时间9.19.1 概述概述 Internet 变得越来越重要变得越来越重要安全问题日益突出电子商务电子商务WWWWWW站点和站点和WWWWWW服务，它提供了一服务，它提供了一系列丰富的资源和服务，诸如电系列丰富的资源和服务，诸如电子邮件、论坛、搜索引擎、子邮件、论坛、搜索引擎、购物等购物等2　　计算机病毒举例计算机病毒举例n时间时间：：1988年11月n地点地点：美国n人物人物：康乃尔大学的研究生罗伯特.莫里斯(Robert Morris)n病毒类型病毒类型：蠕虫病毒蠕虫病毒n利用的漏洞利用的漏洞：UNIX操作系统的漏洞n危害危害：造成连接美国国防部、美军军事基地、宇航局和研究机构的6000多台计算机瘫痪数日。

n损失损失：经济损失达9600万美元n惩罚惩罚：莫里斯于1990年1月21日被美联邦法庭宣判有罪，处以5年监禁和25万美元的罚款 病毒芯片3病毒芯片病毒芯片n1991年海湾战争期间，美国特工得知伊拉克军队的防空指挥系统要从法国进口一批电脑，便将带带有有计计算算机机病病毒毒的的芯芯片片隐隐蔽蔽地地植植入入防防空空雷雷达达的的打打印印机机中中美军在空袭巴格达之前，将芯芯片片上上的的病病毒毒遥遥控控激激活活，使病毒通过打印机侵入伊拉克军事指挥中心的主计算机系统，导致伊军指挥系统失灵，整个防空系统随即瘫痪，完全陷入了被动挨打的境地黑客入侵4黑客非法入侵黑客非法入侵n英国电脑奇才贝文贝文，14岁就成功非法侵入英国电信公司电脑系统侵入英国电信公司电脑系统，大打免费后来他出、入世界上防范最严密的系统如入无人之境，如美国空军、美国宇航局和北约的网络1996年因涉嫌侵入美侵入美国空军指挥系统国空军指挥系统，被美国中央情报局指控犯有非法入侵罪n1998年8月21日，来自上海某著名大学的硕士研究生硕士研究生杨某，擅自非法闯入上海某大型信息平台闯入上海某大型信息平台，并盗用上网时间，他以“破坏计算机信息系统”罪被逮捕。

n2003年10月甘肃省会宁县邮政局的系统维护人员系统维护人员张某，破解数道密码，进入邮政储蓄专用网络进入邮政储蓄专用网络，盗走80多万元，这起利用网络进行远程金融盗窃的案件暴露出目前网络系统存在许多安全漏洞信息系统的安全5信息系统的安全信息系统的安全n信信息息、、计计算算机机和和网网络络是三三位位一一体体、、不不可可分分割割的整体信息的采集、加工、存储是以计算机为载体的，而信息的共享、传输、发布则依赖于网络系统n如果能够保障计算机的安全和网络系统的安全，就可以保障和实现信息的安全，因此，信信息息系系统统的的安安全全内内容容包包含了计算机安全和网络安全的内容含了计算机安全和网络安全的内容计算机安全计算机安全网络安全网络安全信息安全信息安全6n计算机安全：计算机安全：是指为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄密更改和泄密n物理安全物理安全：指计算机系统设备设备受到保护，免于被破坏、丢失等n逻辑安全逻辑安全：指保障计算机信息系统信息系统的安全n网络安全：网络安全：是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

n信息安全：信息安全：是指信息的保密性、完整性和可用性保密性、完整性和可用性的保持 n保密性：保密性：保障信息仅仅为那些被授权使用的人所获取n完整性完整性：保护信息及其处理方法的准确性和完整性n可用性可用性：保障授权使用人在需要时可以获取和使用信息7信息安全的威胁主要来自于：信息安全的威胁主要来自于：n 自然灾害的威胁自然灾害的威胁n  系统故障系统故障n  操作失误操作失误n  人为的蓄意破坏人为的蓄意破坏通过加强管理和采取各种技术通过加强管理和采取各种技术手段来解决手段来解决对于病毒的破坏和黑客的攻击等人为对于病毒的破坏和黑客的攻击等人为的蓄意破坏则需要进行综合防范的蓄意破坏则需要进行综合防范89.9.２计算机病毒及其防治２计算机病毒及其防治了解病毒的相关知识了解病毒的相关知识, ,具有病毒防卫意识具有病毒防卫意识病毒病毒的的定义和特点定义和特点传统病毒传统病毒: :单机单机现代病毒现代病毒: :网络网络蠕虫病毒蠕虫病毒木马病毒木马病毒 确诊病毒确诊病毒清除病毒清除病毒预防病毒预防病毒杀毒软件杀毒软件专杀工具专杀工具手工清除手工清除根据具体病毒特征根据具体病毒特征网上免费查毒网上免费查毒99.2.19.2.1计算机病毒基本知识计算机病毒基本知识1.1.计算机病毒的定义及特点计算机病毒的定义及特点 定义：定义：是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码一组计算机指令或者程序代码。

特点：特点：破坏性，传染性，隐蔽性，可触发性破坏性，传染性，隐蔽性，可触发性      危害危害: : 占用系统资源，破坏程序或数据，影响系统运行            注意：虽然机器上存在病毒，但只要病毒代码不被执行，那么病毒就不会起作用只要病毒代码不被执行，那么病毒就不会起作用，也就是说用户可以“与毒共舞与毒共舞”2. 病毒的触发病毒的触发病毒病毒( (程序或一组指令程序或一组指令) )病毒进程病毒进程其他文件其他文件磁盘、磁盘、U U盘等盘等其他计算机其他计算机破坏数据破坏数据消耗系统资源消耗系统资源入侵并窃取机密信息入侵并窃取机密信息 磁盘、磁盘、U U盘等外存中盘等外存中内存中内存中传染传染破坏破坏103 3．计算机病毒的分类．计算机病毒的分类（（1 1））传统病毒传统病毒 （单机环境下）（单机环境下）n引导型病毒引导型病毒：：系系统一启一启动时病毒就被激活病毒就被激活如“小球”病毒,影响屏幕显示 n文件型病毒文件型病毒：病毒寄生在可执行程序体内：病毒寄生在可执行程序体内，只要程序被执行，病毒就被激活，并将自身驻留在内存，进行传染与破坏如“CIHCIH病毒病毒” 4月26日发作,破坏系统的BIOSBIOS。

n宏病毒宏病毒：打开带有宏病毒的：打开带有宏病毒的officeoffice文档，病毒就被激活文档，病毒就被激活，并驻留在并驻留在NormalNormal模板上模板上，所有自动保存的文档都会感染上这种宏病毒，如“Taiwan NO.1”宏病毒,提示用户操作,影响系统运行 n混合型病毒混合型病毒：：既感染可执行文件又感染磁盘引导记录的病毒11（（2 2）现代病毒（网络环境下））现代病毒（网络环境下） 特点：特点：n传染方式多：传染方式多：网页浏览、邮件收发、文件下载等n传播速度快：传播速度快：能迅速传到世界各地（通过Internet）n破坏性强：破坏性强： 占用网络带宽，造成网络拥塞甚至网络系统瘫痪n清除难度大：清除难度大：涉及整个网络①① 蠕虫病毒蠕虫病毒 一种通过网络进行传播的恶性病毒恶性病毒　　特点特点：传染性、隐蔽性、破坏性传染性、隐蔽性、破坏性 实质实质: :是一种计算机程序计算机程序 危害：危害：通过网络不断传播自身的拷贝传播自身的拷贝, ,不仅消耗大量的本机资源，而且占用大量的网络带宽，导致网络堵塞而使网络服务拒绝，最终造成整个网络系统的瘫痪。

传播途径传播途径:系统漏洞、电子邮件、聊天、文件夹共享等12例如：“冲击波冲击波”病毒 利用Windows系统中的RPCRPC漏洞漏洞( (远程过程调用远程过程调用) ) 进行传染 病毒症状：病毒症状：机器会莫名其妙地死机或重新启动计算机，IE浏览器不能正常地打开链接，不能进行复制粘贴，应用程序出现异常，如Word无法正常使用，上网速度变慢       确诊办法：确诊办法： 1 1）检查）检查c:\windows\system32c:\windows\system32目录下是否存在目录下是否存在msblast.exemsblast.exe文件2 2）检查注册表）检查注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下是否下是否存在存在““windowswindows autoauto updateupdate”= =“msblast.exemsblast.exe“。

3 3）打开任务管理器，查看是否有）打开任务管理器，查看是否有msblast.exemsblast.exe病毒进程病毒进程 解决办法：解决办法： 1 1）下载安装系统补丁）下载安装系统补丁 2 2）到网站下载免费的）到网站下载免费的“冲击波冲击波”病毒专杀工具病毒专杀工具 3 3）手动清除（高级用户））手动清除（高级用户）13② ② 木马病毒木马病毒 实质：实质：是一段计算机程序是一段计算机程序木马程序由两部分组成： 客户端客户端：一般由黑客控制 服务端服务端：隐藏在感染了木马的用户机器上 木马控制的基本原理：木马控制的基本原理：服务端的木马程序会在用户机器上打开一个或多个端口（用户不知情），客户端（黑客）利用这些端口来与服务端进行通信（偷偷地传输敏感数据） 目的：目的：窃取用户机器上的账号和密码等机密信息，远程控制用户的计算机，如删除文件、修改注册表、更改系统配置等14例如例如 :安哥病毒（安哥病毒（Backdoor.Agobot））(木马木马 + 蠕虫蠕虫) 利用系统的安全漏洞进行攻击利用系统的安全漏洞进行攻击 感染方式：感染方式：浏览恶意网页、点击某些网页链接、文件下载、打开邮件附件、运行插件程序等。

     预防：预防：定期更新系统、安装系统补丁、启用防火墙、安装实时安全监控软件（如360安全卫士等）159.2.2 9.2.2 计算机病毒的防治计算机病毒的防治1. 1. 计算机病毒的预防计算机病毒的预防 八字方针： 预防为主，防治结合了解病毒进入计算机的主要途径，采取相应的预防措施：了解病毒进入计算机的主要途径，采取相应的预防措施：电子邮件的附件电子邮件的附件■■附件为附件为htmlhtml和和exeexe文件等文件等■■不要随便打开附件不要随便打开附件■■电子邮件服务商采取了电子邮件服务商采取了措施后这种病毒越来越少措施后这种病毒越来越少安装插件程序安装插件程序执行执行EXEEXE文件文件使用盗版游戏程序使用盗版游戏程序通过局域网传播通过局域网传播■■如：冲击波、振荡波病毒如：冲击波、振荡波病毒■■解决方法：打补丁、安装防火墙解决方法：打补丁、安装防火墙浏览恶意网页浏览恶意网页通过通过U U盘传播盘传播只只能能注注意意查毒、杀毒查毒、杀毒实时监控实时监控防火墙防火墙16（（1 1）） 安装杀毒软件安装杀毒软件   作用：检查计算机是否感染上病毒，消除已感染的部分病毒。

购买或者从网络下载杀毒软件①① 金山毒霸金山毒霸：：         ②② 瑞星杀毒软件：瑞星杀毒软件：③③ 诺顿防毒软件：诺顿防毒软件：④④ 江民杀毒软件：江民杀毒软件：同济大学：学校购买了NORTON杀毒软件，并在校园网上分发，供全校师生使用1）在TCP/IP属性窗口设置域：（2）从下载安装客户端2. 2. 计算机病毒的清除计算机病毒的清除17（（2）） 系统更新，打补丁系统更新，打补丁这是提高计算机安全性最有效的方法之一这是提高计算机安全性最有效的方法之一 方法一：方法一：“开始开始 ｜｜Windows Update”方法二：帮助系统方法二：帮助系统18（（3 3）免费查毒）免费查毒1 1）确诊病毒类型）确诊病毒类型2 2）调用专杀工具）调用专杀工具 例如：例如：HTTP://WWW.RISING.COM.CN/ HTTP://WWW.RISING.COM.CN/ 19（（4 4）） 手工清除手工清除        要求了解病毒的相关知识要求了解病毒的相关知识 通过通过InternetInternet查阅病毒的有关知识及清除方法查阅病毒的有关知识及清除方法例如：新欢乐时光（例如：新欢乐时光（VBS.KJVBS.KJ）病毒）病毒 特征：特征：n文件夹中存在：文件夹中存在：DESKTOP.INIDESKTOP.INI、、 FOLDER.HTTFOLDER.HTT 这两个文件具有这两个文件具有隐藏隐藏属性属性n打开任一个文件夹，上述两个文件就进入该文件夹打开任一个文件夹，上述两个文件就进入该文件夹清除方法：清除方法： 搜索计算机上所有的DESKTOP.INI和FOLDER.HTT后，然后删除。

209.9.３３ 网络安全技术网络安全技术 以概念为主，了解黑客攻击的大概过程以概念为主，了解黑客攻击的大概过程 了解防火墙的基本概念及其作用了解防火墙的基本概念及其作用 金山防火墙金山防火墙 瑞星防火墙瑞星防火墙Windows自带的防火墙自带的防火墙 信息收集信息收集探测分析系统探测分析系统实施攻击实施攻击2. 2. 防火墙技术防火墙技术什么是防火墙什么是防火墙防火墙的作用防火墙的作用常用防火墙常用防火墙1. 1. 黑客攻击技术黑客攻击技术219.3.1 9.3.1 黑客的攻防黑客的攻防n黑客（黑客（HackerHacker）：）：一般指的是计算机网络的非法入侵者计算机网络的非法入侵者，他们大都是程序员，对计算机技术和网络技术非常精通，了解了解系统的漏洞及其原因所在系统的漏洞及其原因所在，喜欢非法闯入并以此作为一种智力挑战而沉迷其中n黑客攻击的目的黑客攻击的目的n获取超级用户的访问权限获取超级用户的访问权限n窃取机密信息（如帐户和口令）窃取机密信息（如帐户和口令）n控制用户的计算机控制用户的计算机n破坏系统破坏系统221. 1. 黑客的攻击方式黑客的攻击方式（（1 1）密码破解）密码破解 例如：暴力破解法例如：暴力破解法 如果不知道密码而是随便输入一个，猜中的概率就象彩票中奖的概率一样。

但是如果连续测试1万个或更多的口令，那么猜中的概率就会非常高，尤其利用计算机进行自动测试 现假设密码只有8位，每一位可以是26个字母和10个数字，那每一位的选择就有62种，密码的组合可达628个（约219万亿），如果逐个去验证所需时间太长,所以黑客一般会利用密码破解程序尝试破解那些用户常用的密码：如生日、号、门牌号、姓名加数字等等应对措施：应对措施：起复杂一点的密码，密码位数越多越好，经常更换自己的密码，起复杂一点的密码，密码位数越多越好，经常更换自己的密码，当然不要忘记了哦当然不要忘记了哦……23（（2 2））IPIP嗅探（即网络监听）：嗅探（即网络监听）：通过改变网卡的操作模式接受流经该计算机的所有信息包，截获其他计算机的数据报文或口令应对措施：应对措施：最简单的办法就是对传输的数据进行最简单的办法就是对传输的数据进行加密加密24（（3 3）欺骗：）欺骗：将自己进行伪装，诱骗用户向其发送密码等敏感数据将自己进行伪装，诱骗用户向其发送密码等敏感数据 例如，骗取例如，骗取Smith BarneySmith Barney银行用户帐号和密码的银行用户帐号和密码的““网络钓鱼网络钓鱼””电子邮件电子邮件 该邮件利用了该邮件利用了IEIE的图片映射地址欺骗漏洞，用一个显示假地址的弹出窗口遮挡住了的图片映射地址欺骗漏洞，用一个显示假地址的弹出窗口遮挡住了IEIE浏览器的地浏览器的地址栏，使用户无法看到此网站的真实地址。

址栏，使用户无法看到此网站的真实地址 当用户点击链接时，实际连接的是钓鱼网站当用户点击链接时，实际连接的是钓鱼网站 http://**.41.155.60:87/shttp://**.41.155.60:87/s，该网站页面酷似，该网站页面酷似Smith Smith BarneyBarney银行网站的登陆界面，用户一旦输入了自己的帐号密码，这些信息就会被黑客窃取银行网站的登陆界面，用户一旦输入了自己的帐号密码，这些信息就会被黑客窃取 应对措施：应对措施：更新系统，下载安装更新系统，下载安装OutlookOutlook的补丁程序的补丁程序25（（4 4）端口扫描）端口扫描 利用一些端口扫描软件如利用一些端口扫描软件如SATANSATAN、、IP HackerIP Hacker等对被攻击等对被攻击的目标计算机进行端口扫描，查看该机器的哪些端口是开放的，的目标计算机进行端口扫描，查看该机器的哪些端口是开放的，然后通过这些开放的端口发送木马程序到目标计算机上，利用然后通过这些开放的端口发送木马程序到目标计算机上，利用木马来控制被攻击的目标木马来控制被攻击的目标。

例如例如 “ “冰河冰河 V8.0”V8.0”木马就利用了系统的木马就利用了系统的20012001号端口应对措施应对措施：：关闭不必要的端口关闭不必要的端口26   怎样查看自己机器的端口打开情况？怎样查看自己机器的端口打开情况？ “开始开始→→运行运行”，输入，输入“cmdcmd” ，打开命令提示符窗口，输入，打开命令提示符窗口，输入“netstatnetstat -a - -a -n n””端口是开放的，等待连端口是开放的，等待连接，但还没有被连接接，但还没有被连接说明端口被访问过，但访说明端口被访问过，但访问结束了问结束了连接状态，本机正通过连接状态，本机正通过15841584号号端口与地址为端口与地址为220.181.43.128220.181.43.128的机器通过其的机器通过其8080号端口通信号端口通信参考资料参考资料端口详细介绍端口详细介绍.doc.doc27    如果发现端口访问有异常，如何关闭自己机器的端口呢？如果发现端口访问有异常，如何关闭自己机器的端口呢？1、利用工具软件，如TCPView软件可以打开或关闭指定端口2、停止某个端口提供的服务也可以关闭该端口。

右击桌面上的“我的电脑”，选择“管理”，点按“服务”，可以查看当前机器已启动的服务，可以停止某些非正常的服务 （建议高级用户使用此方法）3、通过某些防火墙软件可以设置端口的打开或关闭参考资料参考资料哪些端口容易被攻击哪些端口容易被攻击.doc.doc28其他安全防护措施 n不随便从不随便从InternetInternet上下载软件上下载软件n不运行来历不明的软件不运行来历不明的软件n不随便打开陌生人发来的邮件附件不随便打开陌生人发来的邮件附件n不随意去点击具有欺骗诱惑性的网页超级链接不随意去点击具有欺骗诱惑性的网页超级链接 299.3.2 9.3.2 防火墙技术防火墙技术 防火墙防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件内部网络和外部网络之间的软件和硬件设备的组合设备的组合，对内部网络和外部网络之间的通信进行控制，通过监测和限制跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的结构、信息和运行情况 防火墙的主要功能防火墙的主要功能n 监控进出内部网络的信息，保护内部网络不被非授权访问、非法窃取或破坏n 过滤不安全的服务，提高内部网络的安全 n 限制内部网络用户访问某些特殊站点，防止内部网络的重要数据外泄。

n 对网络访问进行记录和统计 30 例如，例如，Windows Windows 防火墙防火墙 可以限制从其他计算机上发送来的信息，对未经允许而尝试连接的用户或程序（包括病毒和蠕虫）提供了一道屏障 WindowsWindows防火墙的功能防火墙的功能能做到能做到不能做到不能做到阻止阻止计算机病毒和蠕虫到达用算机病毒和蠕虫到达用户的的计算机算机检测计算机是否感染了病毒或清除已有病毒算机是否感染了病毒或清除已有病毒请求用求用户的允的允许，以阻止或取消阻止某些，以阻止或取消阻止某些连接接请求求阻止用阻止用户打开打开带有危有危险附件的附件的电子子邮件件创建安全日志，建安全日志，记录对计算机的成功算机的成功连接接尝试和不成功的和不成功的连接接尝试阻止垃圾阻止垃圾邮件或未件或未经请求的求的电子子邮件件31Windows将阻止未选中的程序将阻止未选中的程序和服务进行网络连接和服务进行网络连接了解本机的网络连接及其提供的服务，了解本机的网络连接及其提供的服务，按按“编辑编辑”可看到该服务的端口信息可看到该服务的端口信息点按点按“控制面板控制面板| |安全中心安全中心| |WindwosWindwos防火墙防火墙”32例如，天网个人防火墙例如，天网个人防火墙 根据预先设定的过滤规则对网络数据的流动情况进行分析、监控和管理，提高计算机的抗攻击能力。

设置允许和禁止的网络操作设置允许和禁止的网络操作了解当前应用程序的网络访问情况了解当前应用程序的网络访问情况33 以了解为主，掌握信息安全的基本概念和实际应用以了解为主，掌握信息安全的基本概念和实际应用n 加密解密：加密解密：了解加密解密的基本概念和原理了解加密解密的基本概念和原理n 数字签名：数字签名：了解数字签名的作用及其应用了解数字签名的作用及其应用n 数字证书：数字证书：了解数字证书的内容及其作用了解数字证书的内容及其作用9.9.４４ 信息安全技术信息安全技术34 数据加密就是将被传输的数据转换成表面上杂乱无章的数据，合法数据加密就是将被传输的数据转换成表面上杂乱无章的数据，合法的接收者通过逆变换可以恢复成原来的数据，而非法窃取得到的则是毫的接收者通过逆变换可以恢复成原来的数据，而非法窃取得到的则是毫无意义的数据无意义的数据n明文明文: :没有加密的原始数据；没有加密的原始数据；n密文密文: :加密以后的数据；加密以后的数据；n加密加密: :把明文变换成密文的过程；把明文变换成密文的过程；n解密解密: :把密文还原成明文的过程；把密文还原成明文的过程；n密钥密钥: :一般是单词、短语或一串数字一般是单词、短语或一串数字 , ,用于加密和解密的钥匙；用于加密和解密的钥匙；9.4.1 9.4.1 数据加密技术数据加密技术35例例9.4.1 9.4.1 替换加密法：替换加密法：就是用新的字符按照一定的规律来替换原来的字符。

例如把上面一行的字母用下面一行相对应的字母进行替换，即每个字符的ASCII码值加5并做模26的求余运算，这里密钥为5a b c d e f g h i j k l m n o p q r s t u v w x y za b c d e f g h i j k l m n o p q r s t u v w x y zf g h i j k l m n o p q r s t u v w x y z a b c d ef g h i j k l m n o p q r s t u v w x y z a b c d e那么： 明文： s e c r e t 密文： x j h w j y 解密时只需用相同的方法进行反向替换即可例例9.4.29.4.2 移位加密法：移位加密法：就是按某一规则重新排列明文中的字符顺序如设密钥为数字24531，那么加密时将密钥写成一行，然后将明文“计算机应用”写在该数字下，按12345的顺序抄写下来“用计应算机”就是加密后的密文。

密钥： 2 4 5 3 1 明文： 计 算 机 应 用 密文： 用 计 应 算 机 解密时只需按照密钥24531指示的顺序重新抄写一遍密文就可以了 36 密码学中根据密钥使用方式的不同一般分为密码学中根据密钥使用方式的不同一般分为““对称密钥对称密钥密码体系密码体系””和和““非对称密钥密码体系非对称密钥密码体系” ” 1. 1. 对称密钥密码体系对称密钥密码体系 特点：特点：1）加密速度快，比较适合于加密数据量大的文件内容）加密速度快，比较适合于加密数据量大的文件内容 2）加密的安全性取决于密钥的安全性）加密的安全性取决于密钥的安全性 3）加密和解密密钥相同）加密和解密密钥相同, 但密钥的分发管理复杂但密钥的分发管理复杂, n个人需要个人需要n(n-1)/2把密钥把密钥 4）常用算法：）常用算法：DES（美国）（美国） AES（高级）（高级） IDEA（欧洲）（欧洲）372. 2. 非对称密钥密码体系非对称密钥密码体系 非对称加密使用两个密钥：非对称加密使用两个密钥：公钥和私钥公钥和私钥 特点：特点：1 1）算法复杂，加密速度慢，用于加密关键核心数据，如加密密钥）算法复杂，加密速度慢，用于加密关键核心数据，如加密密钥 2 2）加密的安全性取决于私钥的秘密性）加密的安全性取决于私钥的秘密性 3 3）密钥分发管理简单，）密钥分发管理简单，n n个用户，需个用户，需2n2n个密钥个密钥 4 4）应用最广的是）应用最广的是RSARSA算法算法应用：应用：一般一般公钥用于加密，私钥用于解密，公钥用于加密，私钥用于解密，或用或用私钥实现数字签名，而用公钥私钥实现数字签名，而用公钥来验证签名来验证签名。

389.4.2 9.4.2 数字签名技术数字签名技术 数字签名数字签名：：通过密码技术对电子文档形成的签名，它类似现实生活中的手写签名，但数字签名并不是手写签名的数字图像化，而是加密后加密后得到的一串数据得到的一串数据：： A00117EFF3132……3CB2A00117EFF3132……3CB2（十六进制形式的一串字符）（十六进制形式的一串字符） 目的：目的：保证发送信息的真实性和完整性，防止欺骗和抵赖的发生 数字签名要能够实现网上身份的认证，必须满足以下三个要求：(1) (1) 接收方接收方可以确认可以确认发送方的真实身份；发送方的真实身份；(2) (2) 接收方接收方不能伪造不能伪造签名或篡改发送的信息；签名或篡改发送的信息；(3) (3) 发送方发送方不能抵赖不能抵赖自己的数字签名自己的数字签名 39数字签名举例数字签名举例AB①A发送一份签名的电子订单给B，委托B按订单要求进行生产② B收到A的电子订单以后，必须首先确认电子订单的真伪因为B只能用A的公钥解密该电子订单，所以B可以确认发送方A的真实身份。

③ B按照A的订单要求进行生产假设三个月后，发生了金融危机，经济不景气，产品卖不动，那么A可以不承认自己发送的电子订单吗？由于B拥有A用自己私钥签名的电子订单，只有A才拥有这个私钥，所以A无法抵赖④ 假设三个月后B没能按照要求完成任务，B想修改订单中的产品数量，不承担自己违约带来的损失由于篡改后的电子订单不能用A的公钥进行解密，所以B不能修改订单中的产品数量也就是说接收方B不能伪造签名或篡改发送的信息 40 在实际应用中，对电子文档添加了数字签名以后，用户并不能看到在实际应用中，对电子文档添加了数字签名以后，用户并不能看到自己的签名数据，自己的签名数据，签名的过程由应用程序自动完成签名的过程由应用程序自动完成 例如在例如在““Outlook Express”Outlook Express”中添加数字签名用户只需执行中添加数字签名用户只需执行““工具工具| |数字签名数字签名””即可（前提是用户已经拥有自己的数字证书），用户看不到签即可（前提是用户已经拥有自己的数字证书），用户看不到签名的数据，但是应用程序会给出提示信息，下面就是添加了数字签名的新名的数据，但是应用程序会给出提示信息，下面就是添加了数字签名的新邮件：邮件：数字签名标志数字签名标志41n收到添加了数字签名的邮件时系统给出的提示收到添加了数字签名的邮件时系统给出的提示：：要能够实现数字签名，必须首先拥有一个要能够实现数字签名，必须首先拥有一个数字证书数字证书429.4.3 9.4.3 数字证书数字证书 数字证书就是数字证书就是包含了用户的身份信息包含了用户的身份信息，由权威认证中心（，由权威认证中心（CACA））签发签发，主，主要用于数字签名的一个要用于数字签名的一个数据文件数据文件，相当于一个网上身份证。

相当于一个网上身份证1. 1. 数字证书的内容数字证书的内容申请者的信息申请者的信息 颁发者的信息颁发者的信息 证书序列号证书序列号颁发者的名称颁发者的名称 证书主题证书主题 颁发者的数字签名颁发者的数字签名 证书的有效期限证书的有效期限 签名所使用的算法签名所使用的算法 证书所有人的公开密钥证书所有人的公开密钥 2. 2. 数字证书的作用数字证书的作用(1)(1)用于数字签名用于数字签名 (2)(2)用于保密传输用于保密传输 3. 3. 数字证书的管理数字证书的管理数字证书是由数字证书是由CACA来颁发和管理的，一般分为个人数字证书和单位数字证书，申请来颁发和管理的，一般分为个人数字证书和单位数字证书，申请的证书类别则有电子邮件保护证书、代码签名证书、服务器身份验证和客户身份验证证的证书类别则有电子邮件保护证书、代码签名证书、服务器身份验证和客户身份验证证书等用户只需持有关证件到指定书等用户只需持有关证件到指定CACA中心或其代办点即可申领中心或其代办点即可申领 中国数字认证网中国数字认证网 434. 4. 查看证书信息查看证书信息 打开打开IEIE浏览器，进入浏览器，进入““工具工具|Internet|Internet选项选项| |内容内容| |证书证书””44证书信息证书信息45例如，个人客户数字证书的使用例如，个人客户数字证书的使用申请：申请：银行审核用户提交的身份证和银行卡后，用户可获得一个银行审核用户提交的身份证和银行卡后，用户可获得一个USBUSB接口的数字证书接口的数字证书介质以及客户证书的密码。

介质以及客户证书的密码 使用：使用：插入插入USBUSB接口卡并安装相应的驱动程序，登录工行指定网站接口卡并安装相应的驱动程序，登录工行指定网站https://。