信息系统安全技术加密技术综述

上传人:ni****g 文档编号:585660284 上传时间:2024-09-03 格式:PPT 页数:68 大小:370.02KB
返回 下载 相关 举报
信息系统安全技术加密技术综述_第1页
第1页 / 共68页
信息系统安全技术加密技术综述_第2页
第2页 / 共68页
信息系统安全技术加密技术综述_第3页
第3页 / 共68页
信息系统安全技术加密技术综述_第4页
第4页 / 共68页
信息系统安全技术加密技术综述_第5页
第5页 / 共68页
点击查看更多>>
资源描述

《信息系统安全技术加密技术综述》由会员分享,可在线阅读,更多相关《信息系统安全技术加密技术综述(68页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全技术信息系统安全技术 -加密技术综述加密技术综述何长龙何长龙 高级工程师高级工程师目 录世界各国密码政策介绍我国密码管理政策简介密码学基础密码技术简介密钥管理和证书详细分析VPN技术概述IP与IPSec技术概况(一)1999年6月,美国的Electronic Privacy Information Center公布了其对世界各国密码政策的调查结果。1、当今许多国家对密码的使用没有控制,密码的使用、生产、销售均不受限制。2、各国和国际组织在密码的法律和政策方面向着更加宽松的方向迈进。3、出口控制依然是密码自由流动和发展的最大障碍。4、美国继续在全球推行其加密出口控制的政策,并迫使其它

2、国家采纳其限制性的政策。概况(二)密码政策的四个主要方面政府对国内使用密码技术的控制情况政府对本国进口密码技术和设备的控制情况。政府对本国开发的密码技术和设备出口的控制情况。负责制定密码技术的使用、出口、进口政策的政府部门或机构的情况。少数国家对国内使用密码进行控制许多国家对本国居民使用密码没有任何限制,而极少数国家却实行表面上不是强制性的控制。如China(中国), Israel(以色列), Pakistan(巴基斯坦), Russia(俄罗斯), Singapore(新加坡), Tunisia(突尼斯), Vietnam(越南), and Venezuela(委内瑞拉)。许多明确拒绝控制的

3、国家也意识到了当今电子商务中电子信息及工业间谍威胁的重要性,纷纷采纳了OECD(Organization for Economic Cooperation and Development经济合作与发展组织)的关于密码政策指导原则,支持无限制使用密码。如Canada(加拿大), Ireland(爱尔兰), and Finland(芬兰) 。还有一些国家放弃了以前对国内使用密码的限制,如法国于1999.1宣布可自由使用加密。比利时于1997.12在有关法律中取消了限制使用密码的条款。对密钥托管/密钥恢复不再支持(一)随着许多国家对国内使用密码的放开,政府也拒绝使用密钥托管/密钥恢复。很少有国家支持

4、这种政策。美国政府对许多国家和国际组织,如OECD,施加压力,让他们采纳密钥托管,但OECD成员国没有屈服,呼吁自由使用密码和尊重个人隐私。国际政策的变化直接影响到各国国内密码政策的走向。法国和台湾以前都是支持密钥托管的,现在也放弃了。台湾1997年还准备建立密钥托管系统。对密钥托管/密钥恢复不再支持(二)美国密钥托管政策的支持者仅有为数不多的几个国家,Spain在1998年的电信法案中推行密钥托管,但迄今还没有实现。UK在电子商务法案中强制使用密钥托管,国内反对呼声太大,可能会夭折。美国的出口控制政策一度坚持密钥托管,但在1998年已有所放松。到1999年,其出口控制政策中没有直接涉及密钥托

5、管,但却出台了CESA(Cyberspace Electronic Security Act),变相地要求密钥托管,痴心不改。对执法部门增加预算,提高监控能力(一)取消加密限制的国家为缓解来自执法部门和情报机构的压力,采取一些相应的补偿措施。主要方法是增加对情报机构的资金投入,作为对其因加密而损失情报的补偿。法国总理Jospin 宣布要加强权力部门的技术能力。澳大利亚称要给权力机构赋予特殊的权力,只要法庭的许可,即可以“hack”到计算机系统。In Germany, police are now allowed to place microphones in homes. 出口控制的作用出口控

6、制政策是各国政府限制加密产品发展的强有力手段。出口控制降低了自由获得加密产品的可能性,特别是从美国的公司。出口控制不利于制定国际通用的加密标准,而且造成不同程序间的互操作性很差。出口控制在网络化的今天形同虚设,强的牢不可破的加密程序可以在几钞钟内传遍世界各地。加密政策的国际动向在过去的几年中,国际组织对加密政策的发展起着至关重要的作用。如OECD、EU、G-7/G-8、欧洲议会、WA( Wassenaar Agreement,荷兰的一个国际组织 )等。美国在UK的支持下,获得了一些国际支持。特别是那些关注法律执行和军事/情报问题的国家,反对者主要是德国和北欧国家。1996年,美国就游说OECD

7、采纳其密钥托管,以期EES成为国际标准。但遭到日本、北欧等国的强烈反对,只有法国、英国支持。1997年3月,OECD公布了其密码政策的指导原则,其主旨是政府应鼓励使用密码来保护个人及商业利益,考虑到个人隐私、法律执行、国家安全及技术发展的需要,应制定平衡的密码政策。OECD密码政策的八个指导原则(一)为增强使用信息和通讯系统的信心,密码方法应当是可信赖的。在法律许可范围内,用户可以自由选择密码方法。密码方法的开发应适应个人、公司、政府的不同需求。密码方法的标准、准则、协议的开发和颁布应在国家或国际范围内进行。个人的基本隐私权,如通信秘密、个人数据保护,应在国家的密码政策及密码技术的实现和使用中

8、得到尊重。OECD密码政策的八个指导原则(二)国家的密码政策应允许依法存取加密数据的明文或密钥,但这个政策应最大程度上不妨碍本指导原则中其它原则。无论是采取立法或合约的形式,应明确提供密码服务或持有、存取密钥的个人或团体的责任。政府在密码政策的制定中应协调各方面的关系,避免以密码政策的名义妨碍正常贸易或滥用法律。EU的密码政策EU在抑制加密限制方面起了关键作用,它要求成员国向EU会报告各国密码产品生产、使用、进口和买卖情况,并积极寻求取消EU以外国家商用加密产品的控制。1997年10月,EU委员会第13司公布了一份报告,称限制使用加密将妨碍守法的公司和居民保护自己不受罪犯侵害,密钥托管也不能阻

9、止犯罪分子使用这些技术。美国的密码政策(一)1999.9.16,克林顿政府宣布了其最新的密码产品出口控制条例。尽管这些政策远未落实,但却表明美国政府多年来对强加密的敌视态度正在转变。任何密钥长度的硬件、软件加密产品,只要经过一个“one-time technical review”无需许可证即可出口。密钥长度不超过64比特的密码产品不受任何限制。但要满足Wassennaar协议要求。美国的密码政策(二)尽管放松的出口控制政策是美国工业界在加密之争中的一次胜利,斗争仍未结束。政府提议的CESA(Cyberspace Electronic Security Act)明确规定使用密钥托管,CESA要

10、求一个可信第三方为政府机构必要时提供密钥。零售产品可以出口给任何国家的任何用户,包括个人、商业公司、非政府用户等。但必须除开七个支持恐怖主义的国家(Cuba, Iran, Iraq, Libya, North Korea, Sudan and Syria.)。加密源代码、工具箱和芯片仍受控制,不超过56比特密钥长度的可以出口。英国的密码政策目前对密码产品的进口和国内使用没有任何限制。英国是美国推行密钥托管系统的强力支持者,已在筹建国内的密钥托管系统。法国的密码政策1999年初,放弃了以前对使用密码的敌视态度,取消了国内使用加密、进口密码技术的复杂的注册许可制度。德国的密码政策对加密软件、硬件的

11、使用没有控制。对加密技术、设备的进口没有控制。Export controls on encryption are comparable to those of the United States as they existed until early in 1997; 出口控制由经济部联邦出口办公室负责管理。加拿大的密码政策没有私人使用密码的法律,相关规定是密三设备需和公共网络的技术要求相一致。我国对安全设备的部分政策我国对安全设备的部分政策国家安全主管部门负责对党政机关的重要部门和要害部位实行安全技术检查。公安机关负责公共信息网络的安全监察和打击计算机犯罪;国家保密机关对信息网络进行安全保密

12、检测。国家规定:安全保密场所使用的进口专用设备,必须经过安全技术检查方可使用。国家有关部门对安全产品进行检测与认证,并实行许可证制度。中华人民共和国计算机信息网络国际联网管理暂行规定明确要求:接入单位及服务商必须“具具有有健健全全的的安安全全保保密管理制度和技术保护措施。密管理制度和技术保护措施。”我国对商用密码设备的管理我国对商用密码设备的管理加密设备,有核密、普密、商密之分,所有密码算法必须由国家密码管理委员会审批;商用密码的科研任务由国家密码管理机构指定单位承担,科研成果由国家密码管理机构审查、鉴定;商用密码产品由国家密码管理机构许可的单位销售;进口密码产品以及含有密码技术的设备或出口商

13、用密码产品,必须报经国家密码管理机构批准;任何单位或个人只能使用经国家密码管理机构认可的商用密码产品。密码学基础密码学基础1. 1. 密码学与网络安全密码学与网络安全2. 2. 密码学作为数学的一个分支,其包括:密码学作为数学的一个分支,其包括: 密码编码学:使消息保密的技术和科学密码编码学:使消息保密的技术和科学 密码分析学:破译密文的技术和科学密码分析学:破译密文的技术和科学3. 3. 加密(加密(Encrypt)Encrypt)和解密和解密( (Decrypt)Decrypt)密码学基础密码学基础明文加密密文解密明文图1 加密和解密ME(M)CD(C)M加密函数解密函数对图对图1 1中的

14、加密和解密过程有如下等式成立中的加密和解密过程有如下等式成立: : D(E(M)= MD(E(M)= M4. 4. 密码学的作用密码学的作用密码学基础密码学基础 机密性机密性: :提供只允许特定用户访问和阅读信息,提供只允许特定用户访问和阅读信息,任何非授权用户对信息都不可理解的服务任何非授权用户对信息都不可理解的服务 通过数通过数据加密实现据加密实现 。 数据完整性数据完整性: :提供确保数据在存储和传输过程中提供确保数据在存储和传输过程中不被未授权修改(窜改、删除、插入和重放等)的不被未授权修改(窜改、删除、插入和重放等)的服务。服务。 通过数据加密、数据散列或数字签名来实通过数据加密、数

15、据散列或数字签名来实现现 鉴别鉴别: :提供与提供与数据数据和和身份识别身份识别有关的服务。有关的服务。 通过通过数据加密、数据散列或数字签名来实现数据加密、数据散列或数字签名来实现 密码学基础密码学基础 抗否认性抗否认性: :提供阻止用户否认先前的言论或行为提供阻止用户否认先前的言论或行为的服务。的服务。 通过对称加密或非对称加密,以及数字通过对称加密或非对称加密,以及数字签名等,并借助可信的注册机构或证书机构的辅助,签名等,并借助可信的注册机构或证书机构的辅助,提供这种服务提供这种服务 5. 5. 算法与密钥算法与密钥 算法算法 是用于加密和解密的数学函数是用于加密和解密的数学函数 受限制

16、受限制( (restricted)restricted)的算法的算法 算法的强度是基于保持算法的秘密算法的强度是基于保持算法的秘密 算法强度依赖于密钥算法强度依赖于密钥( (K)K)的算法的算法 使用同一密钥的加使用同一密钥的加/ /解密解密 加密:加密:EK(M)= C 解密:解密:DK(C)= M 等效于等效于 DK(EK(M)=M密码学基础密码学基础密文明文方案方案&#方案方案明文密文数学变换函数密钥K文件密文&#数学变换函数密钥K文件密文加密密钥K解密密钥K 图图2 2 使用一个密钥的加解密使用一个密钥的加解密 使用不同密钥的加使用不同密钥的加/ /解密解密 加密:加密:EK1(M)=

17、 C 解密:解密:DK2(C)= M 等效于等效于 DK2(EK1(M)=M密码学基础密码学基础密文明文方案方案&#方案方案明文密文&#加密密钥K1解密密钥K2数学变换函数密钥K1文件密文数学变换函数密钥K2文件密文 图图3 3 使用不同密钥的加解密使用不同密钥的加解密 对称算法与公开密钥算法对称算法与公开密钥算法密码学基础密码学基础 对称算法对称算法 也叫传统密码算法(秘密密钥算法、单钥算也叫传统密码算法(秘密密钥算法、单钥算法),就是加密密钥能从解密密钥中推算出来。法),就是加密密钥能从解密密钥中推算出来。 对称算法的数学表示:对称算法的数学表示:加密:加密:EK(M)= C解密:解密:D

18、K(C)= M对称算法分类:对称算法分类:密码学基础密码学基础序列算法(序列算法(stream algorithm)stream algorithm) 一次只对明文中的单个位(或字节)进行一次只对明文中的单个位(或字节)进行运算的算法。运算的算法。分组算法(分组算法(block algorithm)block algorithm) 一次对明文的一组位进行运算,典型分组一次对明文的一组位进行运算,典型分组长度是长度是6464位。位。 公开密钥算法(公开密钥算法(public-key algorithmpublic-key algorithm) 也叫非对称算法也叫非对称算法公开密钥算法特点公开密钥

19、算法特点 用作加密的密钥(也称公开密钥)不同于用作加密的密钥(也称公开密钥)不同于用作解密的密钥(也称私人密钥用作解密的密钥(也称私人密钥) )。 解密密钥不能根据加密密钥推算出来。解密密钥不能根据加密密钥推算出来。 加密密钥能公开。加密密钥能公开。 有时也用私人密钥加密而用公开密钥解密,有时也用私人密钥加密而用公开密钥解密,这主要用于数字签名。这主要用于数字签名。 6. 6. 密码协议密码协议 协议:一系列步骤,其目的是为完成一项任务协议:一系列步骤,其目的是为完成一项任务密码学基础密码学基础 密码协议:是使用密码学的协议密码协议:是使用密码学的协议 对称密码通信(以对称密码通信(以Alic

20、eAlice和和BobBob通信为例)通信为例) AliceAlice和和BobBob协商用同一密码系统协商用同一密码系统 AliceAlice和和BobBob协商同一密钥协商同一密钥 AliceAlice用加密算法和选取的密钥加密她的明文用加密算法和选取的密钥加密她的明文消息,得到了密文消息消息,得到了密文消息 AliceAlice发送密文消息给发送密文消息给BobBob Bob Bob用同样的算法和密钥解密密文用同样的算法和密钥解密密文 单向函数单向函数密码学基础密码学基础 例子例子 已知已知x x,我们很容易计算我们很容易计算f(x),f(x),但已知但已知f(x)f(x),却难却难于计

21、算出于计算出x.x. 单向函数的作用单向函数的作用密码学基础密码学基础v不能用作加密不能用作加密v 使用单向函数进行鉴别,其鉴别过程如下:使用单向函数进行鉴别,其鉴别过程如下: AliceAlice将她的口令传送给计算机将她的口令传送给计算机 计算机完成口令的单向函数的计算计算机完成口令的单向函数的计算 计算机把单向函数的运算结果和它以前存储计算机把单向函数的运算结果和它以前存储的值进行比较。的值进行比较。密码学基础密码学基础 单向散列(单向散列(Hash)Hash)函数函数 功能功能把可变输入长度串(称预映射,把可变输入长度串(称预映射,pre_image)pre_image)转转换成固定长

22、度的输出串(称散列值)。换成固定长度的输出串(称散列值)。特点特点难于产生两个预映射的值,使它们的散列值相同难于产生两个预映射的值,使它们的散列值相同 散列函数是公开的,对处理过程不保密。散列函数是公开的,对处理过程不保密。 平均而言,预映射的单个位的改变,将引起散列平均而言,预映射的单个位的改变,将引起散列值值中一半以上位的改变。中一半以上位的改变。已知一个散列值,要找到预映射,使它的散列值等已知一个散列值,要找到预映射,使它的散列值等于已知的散列值在计算上是不可行的。于已知的散列值在计算上是不可行的。一般情况下,应使用不带密钥的单向散列函数,以一般情况下,应使用不带密钥的单向散列函数,以便

23、任何人都能验证散列值。便任何人都能验证散列值。说明:说明:消息鉴别码(消息鉴别码(Message Authentication Code, Message Authentication Code, MAC),MAC),它是带有秘密密钥的单向散列函数,散列值是它是带有秘密密钥的单向散列函数,散列值是预映射的值和密钥的函数。预映射的值和密钥的函数。密码学基础密码学基础预映射鉴别密钥单向散列函数散列值公开密码通信(以公开密码通信(以AliceAlice和和BobBob通信为例)通信为例) AliceAlice从数据库中得到从数据库中得到BobBob的公开密钥的公开密钥 AliceAlice用用Bob

24、Bob的公开密钥加密消息,的公开密钥加密消息, 然后发送然后发送给给BobBob Bob Bob用自己的私人密钥解密用自己的私人密钥解密AliceAlice发送的消息发送的消息。混合密码通信混合密码通信BobBob将他的公开密钥发给将他的公开密钥发给AliceAliceAliceAlice产生随机会话密钥产生随机会话密钥K K,用用BobBob的公开密钥的公开密钥加密,并把加密的密钥加密,并把加密的密钥EKBP(K)送给送给BobBob。密码学基础密码学基础BobBob用他的私人密钥解密用他的私人密钥解密AliceAlice的消息,恢复的消息,恢复出会话密钥:出会话密钥:DKBPri(EKBP

25、ub(K) = K 他们两人用同一会话密钥他们两人用同一会话密钥K K对他们的通信消息对他们的通信消息进行加密。进行加密。密码学基础密码学基础数字签名(以采用公开密码技术为例)数字签名(以采用公开密码技术为例)AliceAlice用她的私人密钥对文件加密,从而对文用她的私人密钥对文件加密,从而对文件签名件签名AliceAlice将签名的文件传给将签名的文件传给BobBobBobBob用用AliceAlice的公开密钥解密文件,从而验证签名的公开密钥解密文件,从而验证签名密钥交换密钥交换对称密码学的密钥交换对称密码学的密钥交换假设:假设:AliceAlice和和BobBob每人和每人和KDCKD

26、C共享一个秘共享一个秘密密钥,分别为密密钥,分别为、。密码学基础密码学基础密码学基础密码学基础AliceAlice呼叫呼叫KDCKDC,并请求一个与并请求一个与BobBob通信的会话密通信的会话密钥钥KDCKDC产生一随机会话密钥,并对它的两个副本产生一随机会话密钥,并对它的两个副本加密:一个用加密:一个用,另一个用,另一个用,KDCKDC发这两个副发这两个副本给本给AliceAliceAliceAlice对她的会话密钥的副本解密对她的会话密钥的副本解密AliceAlice将将BobBob会话密钥的副本转发给会话密钥的副本转发给BobBobBobBob对他的会话密钥的副本解密对他的会话密钥的副

27、本解密 licelice和和BobBob用这个会话密钥安全的通信。用这个会话密钥安全的通信。liceKDCBobKAKA、KKA ()、K()KK()KK密码学基础密码学基础公开密码学的密钥交换公开密码学的密钥交换密码学基础密码学基础AliceAlice从从KDCKDC提到提到BobBob的公开密钥的公开密钥AliceAlice产生出随机会话密钥,用产生出随机会话密钥,用BobBob的公开的公开密钥加密它,然后将它传给密钥加密它,然后将它传给BobBobBobBob用他的私人密钥解密用他的私人密钥解密AliceAlice的消息的消息两人用同一会话密钥对他们的通信进行加两人用同一会话密钥对他们的

28、通信进行加密。密。K= DKPri(EKPub(K)liceKDCBobKAub、KPubKPubEKPub(K)KK密码学基础密码学基础密码学基础密码学基础7. 7. 密钥管理密钥管理产生密钥产生密钥密钥传输密钥传输使用密钥使用密钥更新密钥更新密钥存储密钥存储密钥备份密钥备份密钥密钥有效期密钥有效期密码学基础密码学基础密钥销毁密钥销毁数字证书数字证书CA 的签名保证证书的真实性证书以一种可信方式将密钥“捆绑”到唯一命名持有人持有人: GBFOCUS公开密钥公开密钥: 9f 0a 34 .序列号序列号: 123465有效期有效期: 2/9/2001- 1/9/2003发布人发布人: CA-名签

29、名签名: CA 数字签名证书可能存放到文件、软盘、智能卡、数据库 ?. . 常用的密码算法常用的密码算法密码学基础密码学基础数据加密标准()数据加密标准()DESDES是一个分组算法,对是一个分组算法,对6464位的分组进行操作位的分组进行操作DESDES是一个对称算法是一个对称算法密钥长度有密钥长度有4040位、位、5656位、位、128128位等位等 采用先代替后置换的方式采用先代替后置换的方式SA公钥算法公钥算法基于两个大素数的乘积难以分解的数学假设。基于两个大素数的乘积难以分解的数学假设。密码技术加密的概念加密的概念私钥与公钥私钥与公钥报文摘要报文摘要数字签名数字签名数字证书数字证书加

30、密技术分类加密技术分类组成n算法,algorithm (公用)n密钥,keys (私有)加密算法是将明文转换成密文的数学方法。强的加密算法很难破解。密钥:具有确定bit长度的数字单元。私钥或对称密钥:加密、解密用同一种密钥。DES标准算法就是常用的私钥算法。公钥或非对称密钥:在加密和解密中使用两个不同的密钥,私钥用来保护数据,公钥则由同一系统的人公用,用来检验信息及其发送者的真实性和身份。私钥与公钥私钥与公钥 公钥:任何人都可以用公钥加密信息,但有私钥的人才可解密信息。很少用公钥加密长文。但常用于认证(较短文本)、不可否认(只有发送方知道私钥)及建立在线共享密钥(使用私钥加密共享密钥)私钥与公

31、钥私钥与公钥(cont.)相同密钥相同密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文单钥加密体制单钥加密体制算法 DES IDEA AES 防护技术防护技术加密:密码体制加密:密码体制加密密钥加密密钥方案方案&#&#方案方案发方发方收方收方明文密文明文密文双钥加密体制双钥加密体制解密密钥解密密钥认证中心公钥(证书)私钥(智能卡) 代表算法 RSA 椭圆曲线防护技术防护技术加密:密码体制加密:密码体制链路层链路层链路链路/物理层物理层 (1 2)网络层加密网络层加密传输传输/网络层网络层 (3 4)应用层加密应用层加密 应用层应用层(5 7)链路层链路层防护技术防护技术防护技术防护

32、技术加密:加密:加密:加密:加密机制的配置加密机制的配置报文摘要(报文摘要( Message Digest)也叫散列函数( hash function)或单向 转换 (one-way transform)。用于数据认证与数据完整性。加算法于任一报文且转换为一个固定长度的数据即为报文摘要(finger-print)。对不同报文,很难有同样的报文摘要。这与不同的人有不同的指纹很类似。数字签名数字签名A的签名私钥用户A 明文用户Bhash加密签名签名A的签名公钥解密摘要摘要摘要摘要数字签名数字签名(cont.)使用公钥系统等效于纸上物理签名如报文被改变,则与签名不匹配只有有私钥的人才可生成签名,并用

33、于证明报文来源于发送方A使用其私钥对报文签名,B用公钥查验(解密)报文数字信封数字信封加密对称密钥用户A 明文明文 密文密文用户B的公钥数字信封解密用户B 密文密文 明文明文用户B的私钥对称密钥数字签名较报文摘要昂贵,因其处理强度大为提高其效率,对一个长文进行签名的常用方法是先生成一个报文摘要,然后再对报文摘要进行签名。使用这种方法,我们不但可以证明报文来源于A (A对报文签名,不可否认),而且确定报文在传输过程中未被修改 (报文摘要,机密性)。由于只有 A知道其私有密钥,一旦他加密 (签名)了报文摘要 (加密的报文),他对报文负责 (不可否认)。报文摘要与数字签名报文摘要与数字签名(cont

34、.)证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的验证数字证书格式(数字证书格式(X.509)完整的数据加密及身份认证流程完整的数据加密及身份认证流程加密对称密钥用户A 明文明文 密文密文用户B的公钥数字信封解密用户B 明文明文hash摘要摘要签名签名签名签名A证书证书B证书证书用户A的私钥用户B的私钥对称密钥 密文密文解密 明文明文签名签名A证书证书签名签名用户A的公钥摘要摘要 数字时间戳服务(DTS)提供电子文件发表时间的安全保护和证明,由专门机构提供。它包括三个部分:n需要加时间戳的文件的摘要nDTS机构收到文件的日期和时间nDTS

35、机构的数字签名 数字时间戳数字时间戳加密技术加密技术加密技术加密技术数数数数据据据据传传传传输输输输加加加加密密密密技技技技术术术术数数数数据据据据存存存存储储储储加加加加密密密密技技技技术术术术数数数数据据据据完完完完整整整整性性性性鉴鉴鉴鉴别别别别技技技技术术术术密密密密钥钥钥钥管管管管理理理理技技技技术术术术加密技术分类加密技术分类数据传输加密技术数据传输加密技术数据传输加密技术数据传输加密技术链链链链路路路路加加加加密密密密节节节节点点点点加加加加密密密密端端端端到到到到端端端端加加加加密密密密加密技术分类加密技术分类(cont.)数据存储加密技术数据存储加密技术 目的是防止在存储环节

36、上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术数据完整性鉴别技术目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。 为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,以达到保密的要求,因此密钥往往是保密与窃密的主要对象。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节

37、上的保密措施。密钥管理密钥管理私钥体系的最大问题是密钥的分发为提高效率,公钥系统用于交换随机私有会话密钥(用于私有通信)。密钥分发体系包含以下部分:w证书授权(CA):发布证书w用户目录服务:下载证书w在证书层次上建立可信机制w密钥管理和证书详解密钥管理密钥管理(cont.)提高认识是保证安全的前提紧迫性:紧迫性:大量事实已深刻表明,确保信息安全已是刻不容缓。长期性:长期性:信息安全完全可用“道高一尺,魔高一丈”来形容,它是盾与矛、矛与盾的无限循环,希望一劳永逸地解决信息安全的想法是不现实的。综合性:综合性:信息安全决不能指望一台设备或一个人就能得到解决,它是一个集技术、管理和法规作用为一体综合系统工程。它不是一个单纯的技术 问题,需要多方配合,综合治理。相相对对性性:安全总是相对的,它不但与所付出的代价紧密相连,即使如此,它仍然是对方便性和易用性的折衷。 VPN技术概述 IP与IPSec技术谢谢!谢谢!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号