网络安全与电子商务.ppt

网络安全与电子商务,主讲：陆鑫teacher_luxin,前导课程,电子商务概论计算机网络操作系统,课程目标,掌握密码学的基本概念了解信息加密和数字签名原理掌握信息加密和数字签名的操作了解计算机网络中的身份认证技术和应用熟悉互联网基本技术TCP/IP和WWW技术及其安全问题掌握保障网络安全基本工具的使用方法了解网络攻击方式和防御措施,课程体系,信息安全基础知识安全概念、安全特征、安全体系、安全策略、安全技术、安全现状和趋势信息安全技术密码学、对称密钥密码、非对称密钥密码、密钥管理、数字签名、PKI、身份认证、访问控制TCP/IP与WWW网站安全TCP/IP协议安全、Web网站安全系统的攻击与防御攻击方法和工具、系统安全策略、防火墙技术、检测和扫描、病毒防止,网络安全与电子商务,第1章电子商务安全基础知识第2章信息加密技术与应用第3章数字签名技术与应用第4章数字证书与公钥基础设施第5章身份认证与访问控制第6章TCP/IP与WWW安全第7章防火墙的构造与选择第8章计算机病毒及其防治技术第9章系统入侵的鉴别与防御,第1章电子商务安全基础知识,第1节电子商务安全概述第2节电子商务的安全保障,第1节电子商务安全概述,电子商务安全的概念电子商务安全的特征网络安全体系与黑客攻击,概念,电子商务是利用计算机网络所进行的商务活动。因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要介绍由于计算机网络的应用所带来的安全问题。电子商务的关键是商务信息电子化。因此，电子商务的安全性问题的关键是计算机信息的安全性信息的价值（=使用信息所获得的收益获取信息所用成本）决定了信息被窃取或篡改的可能性和频率，因此，信息具备了安全的保护特性。对电子商务安全的要求电子商务的安全环,对电子商务安全的要求,从用户角度他们关心的是涉及个人隐私或商业利益的信息存储在计算机中或在网络上传输是受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改和抵赖的手段对用户的利益和隐私造成损害和侵犯。从网络运行和管理者角度他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现病毒、非法存取、拒绝服务和网络资源的非法占用及非法控制等威胁。同时希望不要出现因网络或系统本身的缺陷而影响到网络或系统的正常使用。,2004年10月7日，公安部公布的2004年全国信息网络安全状况调查结果显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中，发生网络安全事件的比例为58。其中，发生3次以上的占23。计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79，拒绝服务、端口扫描和篡改网页等网络攻击事件占43，大规模垃圾邮件传播造成的安全事件占36。54的被调查单位网络安全事件造成的损失比较轻微，损失严重和非常严重的占10。,20世纪90年代以前通信保密（COMSEC）时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。20世纪90年代信息安全（INFOSEC）时代数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。90年代后期起信息安全保障（IA）时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。,信息安全的要求及发展,预警W,保护P,监测D,响应R,恢复R,技术,操作,人,电子商务的安全环,应用安全,系统安全,网络安全,安全协议,安全的密码算法,网络安全,网络系统运行安全保护网络系统的安全运行，使网络系统能提供预期的有效服务；网络系统安全包括组成网络系统的七层协议（或TCP/IP四层协议）的每一层的安全以及网络系统中所采用的各种设备和软件在内的综合性系统安全。网络传输信息安全对在网络中传输的数据信息进行有效保护，使其在保密性、完整性、可控性和不可抵赖性方面达到预定的目标要求。,关于电子商务安全的思考,电子商务活动中存在或可能存在的安全问题有哪些？试列举具体的问题。这些具体的问题能否归纳为有限的几类？,电子商务安全的特征,保密性确保信息不暴露给未授权的实体或进程完整性只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改不可否认性防止通信或交易双方对已进行业务的否认认证性信息发送者或系统登陆者身份的确认,电子商务安全的特征（续）,可用（访问）性得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作可控性可以控制授权范围内的信息流向及行为方式可审查性对出现的网络安全问题提供调查的依据和手段合法性各方的业务行为存在可适用的法律和法规,自身缺陷+网络开放性+管理问题,电子商务安全问题的根源,网络传输安全信息被泄密、篡改或假冒网络运行安全（服务器或客户机被攻击等）网络的缺陷管理的欠缺黑客的攻击系统安全系统软件的漏洞和后门系统故障、崩溃,电子商务安全特征与防御体系结构,关于网络安全的思考,你家有几个门？这些门是否已安装了合适的锁？这些锁是否在必要的时候锁好了？如何才能控制或不受限制的进入互联网上的一台服务器？攻击互联网上计算机与攻击所在局域网中的其它计算机在操作程序上可能会有哪些差别？获取他人账号和密码的方法有哪些？,通讯线路,网络端口,用户权限,数据库安全,通讯协议,网络系统运行安全体系结构,黑客攻击流程,踩点FootPrinting,木马TrojanHorse,第2节电子商务的安全保障,电子商务安全的层次,安全环境威严的法律先进的技术严格的管理安全策略物理安全策略网络安全控制策略信息加密策略网络安全管理策略安全实施安全攻击与服务安全技术与产品国家信息安全工作要点,物理安全策略的目的,保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；防止非法进入计算机控制室和各种偷窃、破坏活动的发生。确保计算机系统有一个良好的电磁兼容和防止电磁泄漏（即TEMPEST技术）的工作环境；采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。,网络安全控制策略,网络安全防范和保护的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种电子商务安全策略必须相互配合才能真正起到保护作用，但网络安全控制可以说是保证网络安全最重要的核心策略之一。网络安全控制策略包括：入网访问控制网络的权限控制网络服务器安全控制网络监测和锁定控制网络端口和节点的安全控制防火墙控制,信息加密策略,网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密保护网络节点之间的链路信息安全；端到端加密对从源端用户到目的端用户的数据传输提供保护；节点加密在节点处采用一个与节点机相连的密码装置，对明文进行加密，避免了链路加密节点处易受攻击的缺点。对称密码信息的接收者和发送者使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的对称密码算法有：美国的DES、TripleDES、GDES、NewDES;欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以替代密码和置换密码为代表的古典密码等。在众多的对称密码算法中影响最大的是DES算法。非对称密码收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的不对称密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的不对称密码算法是RSA。,网络安全管理策略,确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。,安全攻击,安全攻击是一种针对电子商务系统的故意的威胁行为，它致力于避开安全服务并且侵犯系统的安全策略。安全攻击分为被动攻击（Passiveattack）和主动攻击（Activeattack）。被动攻击被动攻击具有偷听或者监控传输的性质。攻击者的目的就是获得正在传输的信息。被动攻击有释放消息内容和流量分析两种类型。主动攻击主动攻击与更改数据流或伪造假的数据流有关，主动攻击可以分为四类：伪装（Masquerade）、重放（Reply）、更改消息内容（Modification）和拒绝服务（Denialofservice）。,被动攻击,释放消息内容释放消息内容（Releaseofmassagecontents）是攻击者通过一定的方式读取发送者发送给接受者的信息的行为，但这种读取并不影响信息的正常传输。攻击者窃取的消息往往是带有机密性或者是非常敏感的信息。流量分析流量分析（Trafficanalysis）是攻击者分析信息传输的模式，包括分析发收双方、交换信息的频率和信息的长度等数据来获取有用的信息。使用流量分析的攻击者往往是在无法释放消息内容的情况下不得已的做法。譬如：攻击者所得到的释放消息内容是经过加密的消息。,主动攻击(1),伪装伪装（Masquerade）是指一个实体假装成为另一个不同的实体向第三方发送消息。譬如：一个假冒工商银行的网站向网民发送网页内容，诱骗网民输入银行账户信息。重放重放（Reply）是指攻击者使用被动攻击捕获消息后，按照原来的顺序重新发送，从而产生未经授权进入系统的效果。它是一种针对身份鉴别服务的攻击，具体参见第5章。,主动攻击(2),更改消息内容更改消息内容（Modification）是指攻击者使用被动攻击捕获消息后，更改原始消息的一部分，或者延迟或重行排序消息后重新发送给接收方的行为。拒绝服务拒绝服务（Denialofservice）是指攻击者阻止或禁止他人对系统的正常使用或管理，这种攻击通常具有明确的攻击目标。譬如：使用超载消息来降低网络的性能甚至造成网络瘫痪。另一种形式的拒绝服务攻击是删除系统文件或数据使得授权使用者无法得到相应的服务或获取数据。,安全服务与安全攻击之间的关系,信息安全技术与产品,安全操作系统防火墙（软件或硬件）安全扫描（扫描器、扫描软件）网络监控（入侵检测）安全审计（安全日志）信息加密（加密软件）身份认证（身份认证与数字签名软件/卡、认证令牌）通信加密（移动通讯网加密技术、SSL产品）灾难恢复（系统或文件备份和恢复软件）防病毒（防病毒软件）以上安全产品共同组成了一个完整的网络安全系统，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。,国家信息安全保障工作要点,实行信息安全等级保护制度风险与成本、资源优化配置、安全风险评估基于密码技术网络信任体系建设密码管理体制、身份认证、授权管理、责任认定建设信息安全监控体系提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力重视信息安全应急处理工作指挥、响应、协调、通报、支援、抗毁、灾备推动信息安全技术研发与产业发展关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务信息安全法制与标准建设信息安全法、打击网络犯罪、标准体系、规范网络行为信息安全人材培养与增强安全意识学科、培训、意识、技能、自律、守法信息安全组织建设信息安全协调小组、责任制、依法管理国家信息化领导小组第三次会议关于加强信息安全保障工作的意见中办发200327号文,第2章信息加密技术与应用,第1节基本知识第2节对称密钥密码体制第3节非对称密钥密码体制第4节使用Hash函数进行信息鉴别第5节混合型加密体制PGP复习和实验要求,第1节基本知识,专业术语和基础知识密码学的起源古典加密体制密码学的发展现代加密体制密码分析学,密码学（cryptology）由设计用来保护通信的数学技术组成。密码学以非常简单却具有革命性的数学思想为基础；将所有信息作为数字进行处理，并且这些数字能够进行数学计算。数学计算的目的是把信息弄乱，变成毫无意义，使截获该信息的人无法弄清楚原始含义。然而，信息的合法接收者知道如何撤销这些数学计算，从而恢复原始信息。,密码学作为数学的一个分支，包括密码编码学和密码分析学两部分。密码的基本目标：机密性、数据完整性、鉴别、抗否认基本的密码工具：加密算法、密钥、随机数生成器、单向函数（Hash函数）,标准ASCII码(高位0）,扩展ASCII码(高位1）,密码的基本概念,关于密码工具的思考,现代加密算法有哪两大类？他们的各自特点和用途有哪些？密钥在现代加密过程中的作用？密钥与加密的安全性的关系？随机函数在现代加密技术中的作用？什么是单向函数？单向函数的作用？,专业术语,信息发送者和接收者假设发送者（sender）想发送信息给接收者（receiver），且想安全地发送信息：确认窃听者不能阅读其发送的信息。信息和加密未经加密的信息（message）称为明文（plaintext）。伪装信息以隐藏它的内容的过程称为加密（encryp-tion），被加密的信息称为密文（ciphertext），而把密文转变为明文的过程称为解密（decryption）。,专业术语,进行信息保密的科学和技术叫做密码编码学（cryptography），从事此行业的人员被称为密码编码者（cryptographer）。破译密文的科学和技术叫做密码分析学（cryptanalysis），从事密码分析的人员被称为密码分析者（cryptanalyst）。,密码学的作用,除了提供保密功能外，密码学通常还具有其他作用：完整性（integrity）：信息的接收者应该能够验证在传送过程中信息没有被修改；入侵者不可能用假信息替代合法信息。鉴别（authentication）：信息的接收者应该能够确认信息的来源；入侵者不可能伪装成他人。抗抵赖（nonrepudiation）：发送者事后不能否认他发送的信息。,密码体制的五元组,P：明文的有限集（明文空间）C：密文的有限集（密文空间）K：密钥的有限集（密钥空间）E：加密算法的有限集D：解密算法的有限集任意kK，加密算法ekE和相应的解密算法dkD，使得ek:PC和dk:CP分别为加密和解密函数，满足d(ek(x)=x，这里xP。,算法和密钥,密码算法（algorithm）也叫密码（cipher），是适用于加密和解密的数学函数。密码的保密方法（算法分类）受限制的（restricted)算法密码的保密性基于保持算法的秘密受限制的算法不可能进行质量控制或标准化。每个用户和组织必须有他们自己唯一的算法。基于密钥的（key-based)算法密码的保密性基于对密钥的保密。,Kerckhoffs原则,1883年柯克霍夫斯（Kerchoffs）第一次明确提出了编码的原则：加密算法应建立在算法的公开不影响明文和密钥的安全的基础上。这一原则已得到普遍承认，成为判定密码强度的衡量标准，实际上也成为古典密码和现代密码的分界线。,密码学发展的三个阶段,1949年之前密码学是一门艺术19491975年密码学成为科学1949年香农(Shannon)发表保密通信的信息理论：所需的保密程度决定了用于加密和解密过程的相应的工作量密钥的组或加密算法应该不受其复杂性的影响处理的实现应尽可能简单编码中的错误不应传播及影响后面的信息加密后密文的尺寸不应大于明文的尺寸计算机的出现使得基于复杂计算的密码成为可能。1976年以后密码学的新方向密钥密码学和公钥密码学共同发展,1949年之前的古典密码的特点,密码学不是科学，只是艺术。密码算法和加密设备密码算法的基本手段（substitutionAES将是未来最主要，最常用的对称密码算法。,对称密钥密码算法进一步发展,1994年1月评估后，已决定1998年12月以后，DES将不再作为联邦加密标准。NIST在97年承认56位的DES算法已不再有效。EFF(电子领域基金会）在97、98、99年分别用96天、3天、不到24小时破解了DES算法。99年NIST把Triple-DES作为国家标准2000年10月2日NIST宣布高级标准加密算法（AES）成为替代DES的新的加密标准，其算法Rijndael成为DES的替代者。,对称加密应用保密通信,链路加密易受攻击的通信链路两端都装备一个加密设备。共享一条链路的每对节点应共享同一密钥，每段链路应使用不同的密钥。报文在分组交换节点设备都需要被解密和加密一次，使得报文可以路由。但是报文在每个分组交换节点设备处容易受到攻击。节点加密节点加密是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。端到端加密端系统完成数据的加密和解密，加密形式的数据被原封不动的从源端系统发送，穿过网络，到达目的端系统。源端系统和目的端系统共享一个密钥。,网络加密机制的配置,链路/物理层（12）,网络层加密,传输/网络层（34）,应用层加密,应用层（57）,链路层加密,链路加密,节点加密,端对端加密,端对端加密,链路加密端到端加密特征比较,链路加密端到端加密在发送主机上报文是暴露的在发送主机上报文是加密的在中间节点上报文是暴露的在中间节点上报文是加密的由发送主机应用由发送进程应用对用户是透明的用户应用加密主机维护加密设备用户决定算法所有用户用一个设施用户选择加密方案可以由硬件完成软件实现所有或没有报文被加密每个报文由用户决定选择是否加密节点之间都需要一个密钥每个用户对需要一个密钥提供主机鉴别提供用户鉴别,A与B之间的密钥约定方法,密钥由A选定，通过物理的方式传递给B。第三方选定密钥，然后物理的传递给A和B。如果AB曾经使用过一个密钥，一方可以使用旧密钥加密新密钥并传递给另一方。如果AB都有一个到第三方C的加密连接，C就可以用加密形式把密钥传递给AB。最后一种方法得到普遍应用。即设立密钥分配中心（KDC）。,Diffie-Hellman密钥交换算法,目的Alice和Bob通过该算法约定对称密钥“K”过程（要点：=(gb)cmodp=(gc)bmodp）Alice选择一个很大的质数p（模数）和一个p的质因数g（生成器），并把他们发送给Bob。Alice选择一个随机数b，并计算B=gbmodp，同时Bob也选择一个随机数c，并计算C=gcmodp。Alice和Bob交换B和C。Alice计算Ka=Cbmodp，同时Bob计算Kb=Bcmodp。Kb=Bcmodp=(gbmodp)cmodp=(gb)cmodp=(gc)bmodp=(gcmodp)bmodp=(C)bmodp=Ka=K（对称密钥）举例Alice选择p=7和生成器g=3，并把他们发送给Bob。Alice随机选择b=3，并计算B=gbmodp=33mod7=27mod7=6，同时Bob也随机选择c=5，并计算C=gcmodp=35mod7=243mod7=5。Alice和Bob交换6和5。Alice计算K=Cbmodp=53mod7=125mod7=6同时Bob计算K=Bcmodp=65mod7=7776mod7=6。,问题如果第三者Carol在Alice与Bob交换B与C过程中，截获这两个公共值。并使用自己的D=gdmodp代替B和C发送给Bob和Alice。Alice就会以为K1=Dbmodp=Bdmodp是与Bob约定的密钥。同样Bob会以为K2=Dcmodp=Cdmodp是与Alice约定的密钥。这样，Carol就可以用K1解密Alice发送给Bob的密文，并用K2重新加密后再发送给Bob，反之亦然。,第3节非对称密码体制,非对称密码体制的特点非对称密码体制的原理非对称加密算法非对称密码体制的应用模型,非对称密码体制的产生和特点,由Diffie和Hellman于1976年首次提出了用于对称密钥交换的公钥算法。1977年Rivest,ShamirA：MEKacIDAH(M)CA：计算消息M的散列码H(M)，用A的标识符IDA和散列值构成签名，并将消息和经Kac加密后的签名发送给C；C：EKbcIDAMEKacIDAH(M)TBC：解密签名，用H(M)验证消息M，然后将IDA，M，经Kac加密后的签名和时间戳T一起经Kbc加密发送给B；B：解密C发来的信息，并将消息M和经Kac加密后的签名保存起来。B不能直接验证A的签名问题：C可以看到A给B的所有信息,仲裁签名单密钥加密方式,验证签名B：EKbcIDAMEKacIDAH(M)CC：用EKbc恢复IDA，M和签名EKacIDAH(M)，然后用EKac解密签名并验证散列码。在这种模式下，B不能直接验证A的签名，B认为C的消息正确，只因为他来自于C。因此，双方必须高度相信C。并且相信C处理争议时是公正的。A和B之间也可以约定一个对称密钥，并使用该密钥加密明文后，再进行以上的签名操作，这样C就无法看到明文的内容。问题C与A联手可以否认签名的信息C与B联手可以伪造A的签名,仲裁签名双密钥加密方式,A：IDAEKSaIDAEKPbEKSaMCA首先用自己的私有密钥KSa，然后用B的公开密钥KPb，生成经过签名的密文。最后将该信息以及A的标识符一起用自己的私钥EKSa签名后与IDA一起发送给C。这时加密过的消息对C，以及B以外的其他人都是保密的。C：EKScIDAEKPbEKSaMTBC检查A的签名是否有效，并确认消息。然后将包含IDA、经A加密并签名的消息和时间戳的消息用自己的私钥EKSc签名后发送给B。,仲裁签名的特点,在通信之前，各方之间无需共享任何信息，从而避免了联手作弊；即使A的私钥EKSa泄露，只要C的私钥未泄露，不会有错误标定日期的消息被发送；A发送给B的消息的内容对C和任何除A、B以外的其他人是保密的。引入仲裁签名只是为了通过仲裁者证明指定信息是由A在指定的时间发送给B的。并不代表指定信息是由仲裁者签发的。,盲签名,数字签名的一个基本特征是文件的签署者知道他们在签署什么，甚至该文件就是签署者自己生成的。但有时候我们想要别人签署一个他们从未看过其内容的文件。也有办法让签名者能大体知道他们要签什么，只不过不准确而已。或者不想让签署者知道签名文件的拥有者，这就提出了盲签名技术。盲签名操作涉及三个当事人，分别是签名文件拥有者、签名者和签名验证者。盲签名包括盲消息签名、盲参数签名等。盲消息签名的过程（参见教材第73页）。,M,M,M,只有当签名函数和乘法函数是可交换时，即Sigk(mh)=Sigk(m)*h，盲签名才能有效。,其他盲签名,弱盲签名签名者仅知道Sig(m)，不知道Sig(m)。如果他保留Sig(m)及其他有关数据，待Sig(m)公开后，可以分析出Sig(m)与Sig(m)的关系，并对信息m的拥有者进行追踪。强盲签名签名者仅知道Sig(m)，不知道Sig(m)，也无法分析Sig(m)与Sig(m)的关系。因此，无法对信息m的拥有者进行追踪。电子商务中的数字货币系统和投票系统常用该技术。盲参数签名签名者知道所签信息m的具体内容，但签名收方可以改变原签名数据Sig(m)=（m，r，s），得到新的签名Sig(m)=（m，r，s），使得签名验证方程依然成立。盲参数签名方案用于CA中心为交易双方颁发口令，交易者可以生成包括CA中心在内的所有其他人都无法知道的新的口令，而且验证方程不变。,代理签名,常规的商业程序会在签名者因故缺席的情况下，事先安排一个代理。代理在事先得到签名者授权的情况下代表签名者进行签名。这种由代理人完成签名的作法在计算机虚拟环境下也同样存在需求。Alice需要外出进行商业旅行，这些地方不能很好地访问计算机网络。她希望接受一些重要的电子邮件，并指示她的秘书Bob作相应的回信。Alice在不把她的私钥给Bob的情况下，让Bob行使她的消息签名的权利的做法叫做代理签名。这种代理具有下面的特性：可区别性。任何人都可区别代理签名和正常的签名。不可伪造性。只有原始签名者和指定的代理签名者能够产生有效的代理签名。代理签名者的不符合性。代理签名者必须创建一个能检测到是代理签名的有效代理签名。可验证性。从代理签名中，验证者能够相信原始的签名者认同了这份签名消息。可识别性。原始签名者能够从代理签名中识别代理签名者的身份。不可抵赖性。代理签名者不能否认他创立的且被认可的代理签名。在某些情况中，需要更强的可识别性形式，即任何人都能从代理签名中确定代理签名者的身份。,定向签名,通常情况下，接收到已经过数字签名的文件的任何人都可以验证该签名的真实性。为了保证只有指定的接收方可以验证签名的真实性，我们可以对已签名的文件进行加密，但此时必须使用加密技术。定向签名是一种不需要进行加密处理，也不需要进行交互式验证的签名的定向传输技术。ElGamal型定向签名MR型定向签名,团体签名,一个公司有几台计算机，每台都连在局域网上。公司的每个部门有它自己的打印机（也连在局域网上），并且只有本部门的人员才被允许使用他们部门的打印机。因此，打印前，必须使打印机确信用户是在那个部门工作的。同时，公司想保密，不可以暴露用户的姓名。然而，如果有人在当天结束时发现打印机用得太频繁，主管者必须能够找出谁滥用了那台打印机，并给他一个帐单。对这个问题的解决方法称为团体签名。它具有以下特性：只有该团体内的成员能对消息签名；签名的接收者能够证实消息是该团体的有效签名。签名的接收者不能决定是该团体内哪一个成员签的名；在出现争议时，签名能够被“打开”，以揭示签名者的身份。,第3章实验要求,PGP操作PGP软件安装。生成或导入密钥对。导出或备份密钥对和单独导出公钥。使用自己的私钥对准备发送的文件进行签名；使用发送方的公钥验证接收到的已经发送方签名的文件的签名的真实性。,第4章数字证书与公钥基础设施,第1节公钥基础设施（PKI）基本概念第2节数字证书第3节PKI中密钥和证书的管理第4节PKI相关标准第5节网站数字证书的申请和使用实验要求利用互联网查询国内CA认证机构业务状况；利用相关网站提供的模拟操作，了解数字证书相关操作。,网上用户身份识别问题的思考,能否通过对方的公开密钥确认对方（包括设备、软件、系统进程等）的身份？解决方案基本思路引入数字证书通过一个结构化的数据，将某一成员的识别符和其公钥值通过某一可信成员的数字签名有效的捆绑在一起。,数字证书应用中的问题和解决方案,问题密钥对如何生成和管理？如何安全获得对方的公开钥？也就是如何确保你得到的一个公开密钥就一定是对方的公开密钥？公钥和身份如何建立联系？如何保证加密算法的统一？方案：引入密钥管理中心（KMC）负责密钥对的生成、管理和分发。公钥分配不需要机密性，但需要完整性（不允许替代假冒），因此，可采用统一管理和发布的方法。引入数字证书(certificate)，通过证书把公钥和身份关联起来。引入证书中心（CertificateAuthority,CA），由该机构完成用户数字证书的管理和证书分发。引入安全协议和证书标准，保证加密算法的统一，实现基于证书的安全服务。基于以上解决问题的需要产生了公钥基础设施（PKI）。,公钥基础设施PKI,PKI（PublicKeyInfrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。PKI必须处理的问题PKI的功能PKI的基本组成部分PKI的运行,PKI必须处理的问题,密钥的安全生成初始身份的确认证书的颁发、更新和终止证书有效性检查证书及相关信息的发布密钥的安全归档和恢复签名和时间戳的产生信任关系的建立和管理,PKI的功能,公钥证书（Cert）证书注销列表（CRL）认证机构（CA）注册机构（RA）证书仓库(Repository)策略管理机构（PMA）用户（User）,PKI的基本组成部分,公钥证书由可信实体（CA）签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。,证书注销列表作废证书列单，由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换身份及其他重要信息时，需要将原有证书作废。,认证机构一个授权产生，签名，发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。,注册机构一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CLR以及证书管理中。RA在当地可设置分支机构LRA。,证书仓库一个电子信息发布点，存放证书和作废证书列表（CRL），CA在用证书和作废证书。,策略管理机构监督证书策略的产生和更新，管理PKI证书策略。,用户署名用户（Subscriber）是作为署名证书的主体并依据策略使用证书和相应密钥的实体。依赖方(Relyingparty)接收包括证书和签名信息的人或机构，利用证书提供的公钥验证其有效性，与持证人Subscriber建立保密通信，接收方处于依赖的地位。最终用户（EndUser）持证人和依赖方的统称，也称末端实体（End-entity）,可以是人，也可以是设备或程序，如路由器，或计算机中运行的进程，如防火墙。,PKI的运行,证书机构CA/RA,证书库,署名用户,依赖方,1、署名用户向认证机构（CA）提出数字证书申请；2、CA验明署名用户身份，并签发数字证书；3、CA将证书公布到证书库中；4、署名用户对电子消息数字签名作为发送认证，确保消息完整性，不可否认性，并发送给依赖方；5、依赖方接收消息，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性；6、证书库返回证书检查结果。,数字证书的基本概念,通过一个可信的第三方机构，审核用户的身份信息和公开钥信息，然后进行数字签名，则其他用户就可以用该可信的第三方机构的公开钥进行签名验证。从而确保用户的身份信息和公钥信息的一一对应。由用户身份信息、用户公钥信息以及可信第三方机构所作的签名构成一个用户的身份数字证书。证书类型证书格式证书生成和颁发证书验证,证书类型,用户证书（最终实体的身份证书）电子邮件证书服务器端SSL证书客户端SSL证书代码签名证书VPN证书CA证书WAP证书CA证书（用于发布CA签名密钥）自颁发证书交叉证书CA层次证书,CA层次结构,根CA具有一个自签名的证书，并对下面的CA进行签名。对于用户而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的。在CA的机构中，要维护这棵树。在每个节点CA上，需要保存两种cert。ForwardCertificates:其他CA发给它的certs。ReverseCertificates:它发给其他CA的certs。,X.509证书格式,版本1、2、3序列号在CA内部唯一签名算法标识符证书中的签名算法签发人名称CA的名字有效时间起始和终止时间主体名称主体的公钥信息算法、参数、密钥签发人唯一标识符(v2)主体唯一标识符(v2)扩展域(v3)签名,X.509是国际标准格式，WINDOWS2000使用该格式版本3，但它并非唯一的格式。例如，PGP使用自己独有的证书格式。,X.509证书结构扩展域,密钥信息政策信息政策信息扩展项为CA发布关于一个特殊的证书应当怎样应用和怎样解释的信息提供了一种机制。用户和CA属性用户和CA属性扩展为一个用户或CA鉴别信息提供了附加的机制。证书路径限制证书路径限制扩展为使CA控制和限制在交叉认证环境中扩展的第三方提供了一种机制。,Hash,用户证书,CA中心生成并颁发数字证书,生成密钥对,证书信息,证书验证,证书验证主要是完成证书有效性的检验，包括：证书是否有良好的完整性，即签名验证是否正确。证书是否有效证书是否在有效期内。证书是否已被撤销。证书的使用方式是否符合证书策略和限制。是否是可信CA的签名（包括CA证书路径处理）。,用户证书,证书无效,CA可信？,证书验证流程,同一CA？,证书有效,PKI中密钥和证书的管理,密钥管理证书生命周期管理,密钥生命周期,密钥备份和恢复,进一步授权(#可定制),授权恢复密钥,密钥的历史,新的签名密钥对和证书,Password?,Help!,OK,CA密钥更新,保证透明性,Sep1998,Oct1998,Nov1998,Dec1998,Jan1999,Feb1999,Mar1999,Apr1999,May1999,Jun1999,Jul1999,Aug1999,CA密钥历史保证对于最终用户和其他的PKI是透明的,新的CA签名密钥对,密钥管理问题,创建密钥强度位置（CA/用户）存储（软件硬件）分发密钥传输方式替换密钥更新密钥取销密钥证书过期证书生命周期的自然结束证书撤销宣布一个合法证书不再有效归档密钥（托管）密钥资料的安全第三方储存,证书生命周期管理的三个阶段,初始化阶段颁发阶段取消阶段,署名用户注册。密钥对产生。证书创建。密钥/证书分发。密钥备份。,证书检索远程资料库的证书检索。证书验证确定一个证书的有效性（包括证书路径的验证）。密钥恢复当不能正常访问密钥资料时，从CA或信任第三方处恢复。密钥更新当一个合法的密钥对将过期时，进行新的密钥对的自动产生和相应证书的颁发。,证书过期证书生命周期的自然结束。证书撤销宣布一个合法证书（及其相关私有密钥）不再有效。密钥历史维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密。密钥档案出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。,署名用户的注册,署名用户,RA,CA,证书撤销,背景在证书有效期内，由于某些原因，而致使该证书无效，CA必须以某种形式在证书自然过期之前撤销它，并通知安全域内所有实体获知这一情况而避免安全风险。原因证书撤销的原因很多，可能是实体身份变更、密钥受到安全威胁等。撤销延迟证书撤销信息的更新和发布频率非常重要。两次证书撤销信息发布之间的时间间隔称为撤销延迟。撤销实现方法周期性发布机制：如，CRLs。在线查询机制：如，在线证书状态协议OCSP。,CRLs是一种包含撤销的证书列表的签名的数据结构。其完整性由数字签名保证。其签名者一般是证书的签发者。CRLs结构：VersionSignatureAlgorithmIdentifierIssuerDistinguishedNameThisUpdateNextUpdateRevokedCertificatesCRLEextensionSignature,CRLs证书撤销列表,Version该域指明了CRLs的版本号。目前版本号必须为v2。,SignatureAlgorithmIdentifier该域指明了CRLs的签名算法，解释同数字证书。,IssuerDistinguishedName该域指明了发放CRLs的发放者的X500名称，解释同数字证书。,ThisUpdate该域指明了本次签发CRLs的日期和时间。,NextUpdate该域指明了下一次签发CRLs的日期和时间。,RevokedCertificates该域列出了被注销的数字证书序列。列举按如下格式：SerialNumber:被注销的用户证书的序列号RevokedTime:被注销的用户证书注销时的时间CRLEntryExtensions:CRLs条目扩展,CRLEextension该域列出了CRLs的扩展信息。类似证书中的扩展。例如：AuthorityKeyIdentifier：认证中心密钥标IssuerAlternativeName：证书发放者替代名称CRLNumber：该CRLs在整个发布过程中的编号。IssuingDistributionPoint:CRLs的发布点。,Signature该域列出了CRLs签发者对以上信息的数字签名信息。类似证书中的签名。,证书状态在线查询（OCSP）,依托方A,OCSP响应者,BackendOCSPCRLsDatabaseOthers,请求,响应,版本,证书列表,版本,每个证书状态,PKI相关标准,证书标准X.509RFC（RequestForComments）2459是X.509v3的一个配置文件，进一步阐明了X.509v3中定义的字段。CA中心交叉认证标准PKIXPKIX（PublicKeyInfrastructureonX.509，简称PKIX）系列标准由IETFPKIX工作小组制定，定义了X.509证书在INTERNET上的使用，证书的生成、发布和获取，各种产生和分发密钥的机制，以及怎样实现这些标准的轮廓结构等。PKIX标准概述于RFC2560。智能卡/硬件插件PKCS#11PKCS（Public-KeyCryptographyStandards）系列目录服务LDAPLDAP（LightweightDirectoryAccessProtocol）是一种轻量的目录存取协议，提供客户从各个角落连接到目录服务器中。在RFC1777及RFC1778中对LDAP有较深入的描述。,PKCS系列标准,PKCS#1RSAEncryptionStandardPKCS#3Diffie-HellmanKey-AgreementStandardPKCS#5Password-BasedEncryptionStandardPKCS#6Extended-CertificateSyntaxStandardPKCS#7CryptographicMessageSyntaxStandardPKCS#8Private-KeyInformationSyntaxStandard,PKCS系列标准(续),PKCS#9SelectedAttributeTypesPKCS#10CertificationRequestSyntaxStandardPKCS#11CryptographicTokenInterfaceStandardPKCS#12PersonalInformationExchangeStandardPKCS#13EllipticCurveCryptographyStandardPKCS#15CryptographicTokenInformationFormatStandard,网站数字证书的申请和使用,1、申请人（网站）凭有关证明文件到CA中心申请数字证书；2、CA中心审核文件后制作证书（生成一对密钥，并将公钥与申请人的身份特征组成一个文件）；3、CA中心以特定的方式向申请人提供数字证书；4、网站取得证书后，将私钥导入服务器系统；5、网站向初次来访的网民发送带有其公钥的数字证书；6、网民的计算机自动将该证书导入浏览器；7、浏览器访问CA中心网站检查证书及路径的有效性；8、以后网民访问该网站时，首先会要求网站发送一条身份验证信息，即要求网站发送一条带有签名的信息，网民的浏览器会使用网站数字证书中的公钥验证网站的身份，以防止网站被假冒。同时网民发送的信息会自动使用网站的公钥进行加密。或随机产生对称密钥，并使用网站的公钥加密后发送给网站，双方以后使用该对称密钥加密信息。,第4章实验1,5人一组，访问国内CA认证中心相关网站，多角度比较这些CA中心的业务情况，从而归纳国内CA认证业务的发展状况。发展历史（成立时间、业务拓展）业务规模（行业背景、市场范围、主要用户、用户数量、典型案例）证书类型（已投入使用和未投入使用的各类证书、证书载体、传输方式）客户服务内容（尤其是在线服务内容）证书路径业务流程网站特色,国内CA认证机构相关网站,第4章实验2,通过,第5章身份认证与访问控制,第1节身份认证基础第2节身份认证协议第3节身份认证的实现第4节访问控制概念与原理第5节访问控制策略及机制,身份认证基础,定义身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程。在计算机系统中这一过程是通过特定的协议和算法来实现的。意义身份认证是信息安全理论的重要组成部分。它以密码理论为基础，用于正确识别主体（用户、节点或终端等）的身份。同时身份认证也是访问控制和审计的前提，因此对网络环境下的信息安全尤其重要。物理基础数学基础协议基础针对认证协议的攻击,物理基础,身份认证的物理基础可以分为三种：用户所知道的（somethingtheuserknows）；最常用的密码和口令。用户拥有的（somethingtheuserpossesses）如：身份证、护照、密钥盘等；用户的特征（somethingtheuserisorhowhe/shebehaves）。如：指纹、红膜、DNA、声纹，还包括用户的下意识行为，比如签名。,数学基础,知识证明示证者P试图向验证者V证明自己知道某信息。一种方法是P说出这一信息使得V相信，这样V也知道了这一信息。零知识证明是使用某种有效的数学方法，使得V相信他掌握这一信息，却不泄露任何有用的信息。零知识证明（ZeroKnowledgeProof）需要满足：（1）P几乎不可能欺骗V：如果P知道证明，他可以使V以极大的概率相信他知道证明；如果P不知道证明，则他使得V相信他知道证明的概率几乎为零。（2）V几乎不可能知道证明的知识，特别是他不可能向别人重复证明过程。（3）V无法从P那里得到任何有关证明的知识。,零知识证明举例,零知识证明最通俗的例子是图中的山洞问题。图中的山洞里C、D两点之间有一扇上锁的门，P知道打开门的咒语，按照下面的协议P就可以向V证明他知道咒语但是不需要告诉V咒语的内容：V站在A点；P进入山洞，走到C点或D点；当P消失后，V进入到B点；V指定P从左边或者右边出来；P按照要求出洞（如果需要通过门，则使用咒语）P和V重复-步骤n次。,协议基础,双向认证协议（mutualauthenticationprotocol）双向认证协议是最常用的协议，它使得通信双方互相认证对方的身份，适用于通信双方同时在线的情况。单向认证协议单向认证协议中只有一方向另一方证明自己的身份。单向认证协议（one-wayauthenticationprotoCol）。单向认证协议是通信的一方认证另一方的身份，比如服务器在提供客户申请的服务之前，先要认证客户是否是这项服务的合法用户，但是不需要向用户证明自己的身份。一方在向对方证明自己身份的同时，即可发送数据，另一方收到后，首先验证发送方的身份，如果身份有效，就可以接受数据。许多单向认证的应用（比如email）不需要双方同时在线。,协议基础,基于对称密钥的认证协议基于对称密钥的认证协议往往需要双方事先已经通过其他方式（比如电话、信函或传递等物理