第4章 数据加密与身份认证.ppt

第4章数据加密与身份鉴别 2 一 数据加密的概念 信息安全技术是一门综合的学科 它涉及信息论 计算机科学和密码学等多方面知识 它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全 保密 真实和完整 其中 信息安全的核心是密码技术 3 一 数据加密的概念 数据加密模型 密文 加密密钥 信息窃取者 解密密钥 加密算法 解密算法 4 一 数据加密的概念 数据加密技术的概念 数据加密 Encryption 是指将明文信息 Plaintext 采取数学方法进行函数转换成密文 Ciphertext 只有特定接受方才能将其解密 Decryption 还原成明文的过程 明文 Plaintext 加密前的原始信息 密文 Ciphertext 明文被加密后的信息 密钥 Key 控制加密算法和解密算法得以实现的关键信息 分为加密密钥和解密密钥 加密 Encryption 将明文通过数学算法转换成密文的过程 解密 Decryption 将密文还原成明文的过程 5 二 数据加密技术的应用 数据保密 身份验证 保持数据完整性 确认事件的发生 6 三 数据加密技术分类 1 对称密钥算法 DES 三重DES IDEA 2 非对称密钥算法 RSA DSA 3 单向散列函数 MD5 SHA 7 四 数据加密技术原理 对称密钥加密 保密密钥法 加密算法 解密算法 密钥 网络信道 明文 明文 密文 两者相等 对称密码算法的优点 计算量小 加密效率高 8 四 数据加密技术原理 非对称密钥加密 公开密钥加密 加密算法 解密算法 公开密钥 网络信道 明文 明文 密文 私有密钥 公钥 私钥 公钥 私钥 不可相互推导 不相等 优点 安全性高 易于管理缺点 计算量大 加密和机密速度慢 因此 非对称密码算法比较适合于加密短消息 一 利用公钥密码体制实现加密主要步骤 1 每个用户产生一对密钥 用于加密和解密消息 2 每个用户将其中一个密钥存于公开的寄存器或其他可访问的文件中 该密钥称为公钥 另一密钥是私有的 每个用户可以拥有若干其他用户的公钥 3 若B要发消息给A 则B用A的公钥对消息加密4 A收到消息后 用其私钥对消息解密 由于只有A知道其自身的私钥 所以其他的接收者均不能解密出消息 明文输入 加密算法 如RSA B用户 A的公钥 B的公钥环 A C J K 传输的密文 解密算法 加密算法的逆 A的私钥 明文输出 A用户 利用公钥密码体制实现加密 二 利用公钥密码体制实现数字签名数字签名主要提供信息交换时的不可否认性主要步骤 1 每个用户产生一对密钥 用于加密和解密消息 2 每个用户将其中一个密钥存于公开的寄存器或其他可访问的文件中 该密钥称为公钥 另一密钥是私有的 每个用户可以拥有若干其他用户的公钥 3 若B要发消息给A 则B用B的私钥对消息加密4 A收到消息后 用B公钥对消息解密 由于只有B拥有其自身的私钥 所以A能确认消息是由B发出的 明文输入 加密算法 如DSA B用户 B的私钥 A的公钥环 B C J K 传输的密文 解密算法 加密算法的逆 B的公钥 明文输出 A用户 利用公钥密码体制实现数字签名 13 四 数据加密技术原理 混合加密系统 对称密钥加密算法 对称密钥解密算法 对称密钥 网络信道 明文 明文 密文 混合加密系统既能够安全地交换对称密钥 又能够克服非对称加密算法效率低的缺陷 非对称密钥加密算法 非对称密钥解密算法 对称密钥 公开密钥 私有密钥 混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合 14 四 数据加密技术原理 哈希 Hash 算法 信息 哈希算法 hashalgorithm 也叫信息标记算法 message digestalgorithm 可以提供数据完整性方面的判断依据 哈希算法 结果相同 则数据未被篡改 比较 结果不同 则数据已被篡改 信息标记 digest 常用的哈希算法 MD5SHA 1 哈希算法 15 五 数字签名 数字签名 digitalsignature 技术通过某种加密算法 在一条地址消息的尾部添加一个字符串 而收信人可以根据这个字符串验明发信人的身份 并可进行数据完整性检查 16 五 数字签名 数字签名的工作原理 非对称加密算法 非对称解密算法 Alice的私有密钥 网络信道 合同 Alice的公开密钥 哈希算法 标记 标记 2 合同 哈希算法 比较 标记 1 如果两标记相同 则符合上述确认要求 Alice Bob 17 五 数字签名 数字签名的作用 唯一地确定签名人的身份 对签名后信件的内容是否又发生变化进行验证 发信人无法对信件的内容进行抵赖 当我们对签名人同公开密钥的对应关系产生疑问时 我们需要第三方颁证机构 CA CertificateAuthorities 的帮助 18 六 数字证书 数字证书 数字证书相当于电子化的身份证明 应有值得信赖的颁证机构 CA机构 的数字签名 可以用来强力验证某个用户或某个系统的身份及其公开密钥 数字证书既可以向一家公共的办证机构申请 也可以向运转在企业内部的证书服务器申请 这些机构提供证书的签发和失效证明服务 19 六 数字证书 数字证书中的常见内容 发信人的公开密钥 发信人的姓名 证书颁发者的名称 证书的序列号 证书颁发者的数字签名 证书的有效期限 如 目前通用的X 509证书 20 六 数字证书 申请数字证书 并利用它发送电子邮件 21 七 常用加密协议 SSL协议 安全套接层协议 SecureSocketLayer SSL是建立安全通道的协议 位于传输层和应用层之间 理论上可以为任何数量的应用层网络通信协议提供通信安全 SSL协议提供的功能有安全 加密 通信 服务器 或客户 身份鉴别 信息完整性检查等 SSL协议最初由Netscape公司开发成功 是在Web客户和Web服务器之间建立安全通道的事实标准 SSL协议的版本 22 七 常用加密协议 SSL协议 安全套接层协议所在层次 23 七 常用加密协议 TLS协议 传输层安全协议 TransportLayerSecurity TLS协议由IETF InternetEngineeringTaskForce 组织开发 TLS协议是对SSL3 0协议的进一步发展 同SSL协议相比 TLS协议是一个开放的 以有关标准为基础的解决方案 使用了非专利的加密算法 24 七 常用加密协议 IP Sec协议 VPN加密标准 与SSL协议不同 IP Sec协议试图通过对IP数据包进行加密 从根本上解决因特网的安全问题 IP Sec是目