网络支付与电子商务.doc

目录第一章 信息系统安全基础知识 第二章 信息加密技术与应用 第三章 数字签名技术与应用 第四章 数字证书与公钥基础设施 第五章 身份认证与访问控制 第六章 TCP/IP与WWW安全 第七章 防火墙技术 第八章 计算机病毒及其防治技术 第九章 网络攻击与防御 第一章 信息系统安全基础知识 1.1 信息系统安全概述1.1.1计算机信息处理过程和基础 计算机基础：硬件+软件+网络1.1.2信息系统安全问题及其根源 信息传输安全（问题思考） 信息被泄密、篡改或假冒网络运行安全（问题思考） 网络的缺陷 管理的欠缺 非法攻击传统攻击方法网络系统运行安全结构 系统安全 系统软件的漏洞和后门 系统故障、崩溃 根源：自身缺陷 + 网络开放性 + 管理问题 1.1.3信息系统安全特征及其防范技术基本特征1、保密性 确保信息不暴露给未授权的实体或进程2、完整性 只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改3、可用（访问）性 得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作其他特征4、不可否认性 防止通信或交易双方对已进行业务的否认5、认证性 信息发送者或系统登陆者身份的确认6、可控性 可以控制授权范围内的信息流向及行为方式7、可审查性 对出现的网络安全问题提供调查的依据和手段8、合法性 各方的业务行为存在可适用的法律和法规 信息传输 网络运行 系统安全 安全防范技术 保密性 防止电磁泄漏、加密技术 完整性 单向加密、备份 可用性 容错、容灾、防攻击 可控性 防火墙、监测、权限、审计 认证性 数字签名、身份认证 不可否认性 数字签名 1.2信息系统安全保障1.2.1 信息系统安全层次与安全技术环 物理层面 网络层面 系统层面 应用层面 安全管理（线） 计算机场地 节点安全 操作系统 信息保密性 安全政策制度 防雷保安器 链路安全 数据库系统 信息完整性 管理的权限 电磁泄漏 网络协议安全 B/S开发平台 身份确认 和级别划分 电磁兼容 广域网安全 中间件 访问控制 资源的合理 配置和调度 电器安全 数据传输安全 路由安全 功能的实现 1.2.2安全环境（目标）信息安全的目标要求1、20世纪90年代以前通信保密（COMSEC）时代。该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。2、20世纪90年代信息安全（I FOSEC）时代。数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。3、90年代后期起信息安全保障（IA）时代。该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型 1.2.3安全策略 物理安全策略1、 保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；2、防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 3、确保计算机系统有一个良好的电磁兼容和防止电磁泄漏（即TEMPEST技术）的工作环境； 网络安全控制策略 网络安全防范和保护的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种信息系统安全策略必须相互配合才能真正起到保护作用，但网络安全控制可以说是保证网络安全最重要的核心策略之一。网络安全控制策略包括：1入网访问控制 2网络的权限控制 3网络服务器安全控制 4网络监测和锁定控制 5网络端口和节点的安全控制 6防火墙控制 信息加密策略 网络加密常用的方法有链路加密、端点加密和节点加密三种。 1、链路加密保护网络节点之间的链路信息安全； 2、端到端加密对从源端用户到目的端用户的数据传输提供保护； 3、节点加密在节点处采用一个与节点机相连的密码装置，对明文进行加密，避免了链路加密节点处易受攻击的缺点 。 对称密码 信息的接收者和发送者使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的对称密码算法有：美国的DES、Triple 、DES、GDES、 ew DES; 欧洲的IDEA；日本的FEAL 、LOKI91、Skipjack、RC4、RC5以及以替代密码和置换密码为代表的古典密码等。在众多的对称密码算法中影响最大的是DES算法。 非对称密码 收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的不对称密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellma 、Rabi 、O g-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的不对称密码算法是RSA。 网络安全管理策略 1确定安全管理等级和安全管理范围； 2制订有关网络操作使用规程和人员出入机房管理制度； 3制定网络系统的维护制度和应急措施等； 4网络安全管理策略实施中存在的问题1）没有建立信息安全组织，或人员缺乏专业信息安全训练，仅依靠网管员个人力量。2）信息安全岗位设置不恰当，安全职责划分不合理，本位现象严重。1.2.4安全实施 安全攻击是一种针对信息系统的故意的威胁行为，它致力于避开安全服务并且侵犯系统的安全策略。安全攻击分为被动攻击（Passive attack）和主动攻击（Active attack）。 被动攻击 被动攻击具有偷听或者监控传输的性质。攻击者的目的就是获得正在传输的信息。被动攻击有释放消息内容和流量分析两种类型。 主动攻击 主动攻击与更改数据流或伪造假的数据流有关，主动攻击可以分为四类：伪装（Masquerade）、重放（Reply）、更改消息内容（Modificatio ）和拒绝服务（De ial of service）。 1、 伪装（Masquerade）是指一个实体假装成为另一个不同的实体向第三方发送消息。譬如：一个假冒工商银行的网站向网民发送网页内容，诱骗网民输入银行账户信息。2、 重放（Reply）是指攻击者使用被动攻击捕获消息后，按照原来的顺序重新发送，从而产生未经授权进入系统的效果。它是一种针对身份鉴别服务的攻击3、 更改消息内容（Modificatio ）是指攻击者使用被动攻击捕获消息后，更改原始消息的一部分，或者延迟或重行排序消息后重新发送给接收方的行为。4、 拒绝服务（De ial of service）是指攻击者阻止或禁止他人对系统的正常使用或管理，这种攻击通常具有明确的攻击目标。譬如：使用超载消息来降低网络的性能甚至造成网络瘫痪。另一种形式的拒绝服务攻击是删除系统文件或数据使得授权使用者无法得到相应的服务或获取数据。 释放消息内容 流量分析 伪装 重放 更改信息 拒绝服务 服务 对等实体鉴别 Y 数据源鉴别 Y 访问控制 Y 信息机密性 Y 流量机密性 Y 数据完整性 Y Y 抗抵赖 可用性 Y 安全技术与产品 安全防护类 身份认证（PAP、PKI） 网络访问控制（防火墙、接入控制- AC） 加密技术（SSH、V P、SSL） 攻击阻断（IPS） 恶意代码防护（防病毒、木马隔离） 安全操作系统 检测分析类漏洞扫描 非法外联检查 合规性检查 入侵检测（IDS） 网络分析工具（TCPdump、Wi dump、s iffer） 主机分析工具（ fport、ActivePorts 、 strace、stri gs） 应急恢复类 事故和系统恢复技术与工具（Ghost、雨过天晴） 评估审计类 安全日志 漏洞扫描 入侵检测 安全渗透测试（蜜罐技术(Ho eyd) 虚拟主机技术） 安全管理类 网络内容管理 上网行为管理 带宽管理 补丁管理 终端设备管理 网络接入控制管理 统一威胁管理-UTM 第二章 信息加密技术与应用2.1.1专业术语和基础知识 信息发送者和接收者假设发送者（se der）想发送信息给接收者（receiver），且想安全地发送信息：确认窃听者不能阅读其发送的信息。 信息和加密未经加密的信息（message）称为明文（plai text）。伪装信息以隐藏它的内容的过程称为加密（e cryptio ），被加密的信息称为密文（ciphertext），而把密文转变为明文的过程称为解密（decryptio ）。 进行信息保密的科学和技术叫做密码编码学（cryptography），从事此行业的人员被称为密码编码者（cryptographer）。 破译密文的科学和技术叫做密码分析学（crypta alysis），从事密码分析的人员被称为密码分析者（crypta alyst）。 密码学的作用 除了提供保密功能外，密码学通常还具有其他作用： 完整性（i tegrity）：信息的接收者应该能够验证在传送过程中信息没有被修改入侵者不可能用假信息替代合法信息。 鉴别（authe ticatio ）：信息的接收者应该能够确认信息的来源入侵者不可能伪装成他人。抗抵赖（ o repudiatio ）：发送者事后不能否认他发送的信息。密码体制的五元组：P：明文的有限集（明文空间）o C：密文的有限集（密文空间）o K：密钥的有限集（密钥空间）o E：加密算法的有限集o D：解密算法的有限集o 任意kK，加密算法ekE和相应的解密算法 dkD，使得ek:PC 和dk:CP分别为加密和解密函数，满足d(ek(x)=x，这里xP。 算法和密钥 密码算法（algorithm）也叫密码（cipher），是适用于加密和解密的数学函数。 密码的保密方法（算法分类） 1、受限制的（restricted)算法 密码的保密性基于保持算法的秘密 受限制的算法不可能进行质量控制或标准化。每个用户和组织必须有他们自己唯一的算法。 2、基于密钥的（key-based) 算法 密码的保密性基于对密钥的保密。1883年柯克霍夫斯（Kerchoffs）第一次明确提出了编码的原则：加密算法应建立在算法的公开不影响明文和密钥的安全的基础上。这一原则已得到普遍承认，成为判定密码强度的衡量标准，实际上也成为古典密码和现代密码的分界线。 密码学发展的三个阶段 1949年之前密码学是一门艺术。密码算法和加密设备密码算法的基本手段（substitutio & permutatio ) 针对的是字符。 19491975年密码学成为科学1949年香农(Sha o )发表保密通信的信息理论： 所需的保密程度决定了用于加密和解密过程的相应的工作量 密钥的组或加密算法应该不受其复杂性的影响 处理的实现应尽可能简单 编码中的错误不应传播及影响后面的信息 加密后密文的尺寸不应大于明文的尺寸 计算机的出现使得基于复杂计算的密码成为可能。 1976年以后密码学的新方向密钥密码学和公钥密码学共同发展2.1.2密码学的起源古典加密体制 替代(Substitutio ) 明文的字母由其他字母或数字或符号所代替。1） 凯撒密码：将字母表中的每个字母用其后的第三个字母代替。2） HILL密码：m个连续的明文字母用m个密文字母代替，该代替由m个线性方程决定。3） 异或(XOR)加密：二进制运算 置换/移位法(Permutatio /tra spositio ) 通过执行对明文字母的某种置换/移位，取得一种类型完全不同的映射。1） 置换密码把明文(IWILLARRIVE YATAPRILFIRSTDAY)按行写入后，按列读出。2） 多次置换，减少结构性排列，不易于重构。3） 转子机：通过多个转子，完成字母的多次转换。2.1.3密码学的发展现代加密体制1）对称密钥密码 特征：用于加密和解密的密钥是一样的或相互容易推出的。 安全性要求： 加密算法和解密算法是公开的，协议是安全的 加密算法足够强大，仅依靠密文不可能译出明文。 安全性依赖于密钥的安全性，而不是算法安全性。 密钥的安全性包括：密钥空间、随机性、保密性。 算法符号描述： EK(P)=C , DK(C)=P 对称密钥能够解决以下那些问题？ 保密性 完整性 对称密钥的主要缺陷有哪些？ 双方就加密和解密用的密钥达成共识困难 密钥数量随参与者人数的增长呈指数级增长 2）非对称密钥密码 特征：用于加密和解密的密钥是不同的。因此，双方不需要事先专门约定用于加密和解密的密钥，并加以妥善保管。 安全性要求 加密算法和解密算法是公开的，协议是安全的。 加密算法强大，仅依靠密文不可能译出明文。 安全性依赖于私钥的安全性，而不是公钥或算法的安全性。 密钥的安全性包括：密钥空间、保密性。 算法符号描述： EK1(P)=C , DK2(C)=P2.1.4密码分析学 密码分析学是在不知道密钥的情况下，恢复出明文的科学。密码分析也可以发现密码体制的弱点。 常见的密码分析攻击： 唯（已知）密文攻击（ciphertext-o ly attack）：密码分析者有一些信息的密文，这些信息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密信息的密钥来，以便可采用相同的密钥解出其他被加密的信息。 已知明文攻击（k ow-plai text attack）：密码分析者不仅可以得到一些信息的密文，而且也知道这些信息的明文。分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的信息进行解密。选择文本攻击 选择明文攻击（chose -plai text attack）：密码分析者不但可以得到一些信息的明文，而且它们可以选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密信息的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的信息进行解密。 自适应性选择明文攻击（adaptive-chose -plai text attack）：这是选择明文攻击的特殊情况。密码分析者不仅能选择被加密的明文，而且也能基于以前加密的结果修正这个选择。在选择明文攻击中，密码分析者还可以选择一大块被加了密的明文。而在自适应选择密文攻击中，他可选取较小的明文块，然后再基于第一块的结果选择另一明文块，以此类推。 选择密文攻击（adaptive-chose -ciphertext attack）：密码分析者能选择不同的被加密的密文，并可得到对应的解密的明文，这种攻击主要用于公开密钥体制。 破译算法的级别 全部破译（total break）找出密钥全部推导（global deductio ）找出替代算法实例推导（i sta ce deductio ）找出明文信息推导（i formatio deductio ）获得一些有关密钥或明文的信息。 安全性的衡量 无条件安全（U co ditio ally secure） 无论破译者有多少密文,他也无法解出对应的明文,即使他解出了,他也无法验证结果的正确性。 加密方案产生的密文不足以唯一决定对应的明文，如一次一密。 计算安全（Computatio ally secure） 破译密码成本超过信息价值 破译时间超过信息生命周期。 攻击的复杂性分析 数据复杂性（data complexity）用作攻击输入所需要的数据 处理复杂性（processi g complexity）完成攻击所需要的时间 存储需求（storage requireme t）进行攻击所需要的数据量 密码分析基本方法 穷举法(Exhaustive Attack )，又称为强力法(Brute-force) 这是对截获的密文依次用各种可能的密钥破译。对所有可能的明文加密直到与截获的密文一致为止。 分析法 1、系统分析法（统计分析法）：利用明文的统计规律 2、确定性分析法2.2 对称密钥密码体制2.2.1对称密钥密码算法类型 序列（流）密码：将明文信息按字符逐位加密，主要原理是：通过有限状态机产生性能优良的与明文等长的伪随机序列，使用该序列加密明文，得到密文序列。 在这种加密算法中，每一字符数据的加密与其他字符数据无关。 其缺点是密码破译人员比较容易得到明密对照双码，便于其进行密码分析。 序列密码的典型算法有：RC4，SEAL，A5等，序列密码多用于流式数据的加密，特别是对实时性要求比较高的语音和视频流的加密传输。比如流密码A5已成为GSM移动电话标准中指定的密码标准。 分组（块）密码：将明文分成固定长度的组（如64比特一组）用密钥和算法对每一块加密，输出也是固定长度的密文。在这种加密算法中，每一个字符数据的加密不仅与密钥有关，而且还可能与其他字符数据有关。此时，密码分析的量很大。 分组密码的典型算法有：DES，3DES，IDEA，AES，SKIPJACK，Kar ，RC2和RC5等，分组密码是目前在商业领域比较重要使用较多的密码，广泛用于信息的保密传输和加密存储，2.2.2分组密码工作模式 分组密码把明文组块加密成密文块 一般密钥长度是块长度的倍数 例如：8字节的明文块用64位密钥进行加密 密文长度始终是块长度的倍数，明文长度不一定块长度的倍数 当明文长度不是块长度的倍数时，需要对明文块中的最后一块进行填充 电子密码本（ECB）模式 直接使用基本的分组密码模式，对明文块分别进行加密。 特点：速度快；在给定密钥的情况下，相同的明文总是产生相同的密文。因此，容易被分析破译；适合于较短的信息的传输。 密码分组链接（CBC）模式 在加密当前明文块（第一块除外）之前，先将上一明文块加密的结果与当前明文块进行异或运算，然后再加密，如此形成一个密文链。在对第一明文块进行加密时，需要一个初始向量（IV）。 特点：相同明文生成不同密文；安全性好于ECB；适合于传输长度大于64位的报文，还可以进行用户鉴别，是大多系统的标准如 SSL、IPSec。 密码反馈（CFB）模式 在加密当前明文块（第一块除外）之前，先对上一明文块加密的结果进行加密生成密钥流，然后将密钥流与当前明文块进行异或运算，如此形成一个密文链。在生成第一个密钥流时，需要一个初始向量。与密码分组链接（CBC）不同的是：CFB是先加密后异或。 特点：与CBC同样安全。 输出反馈（OFB）模式 用分组密码产生一个随机密钥流，将此密钥流和明文流进行异或，可得密文流。 特点：安全性不如CBC和CFB。2.2.3对称加密算法1）DES对称算法 1973年5月15日,美国国家标准局（ BS，现在为 IST美国国家技术与标准所）开始公开征集标准加密算法,并公布了它的设计要求: 算法必须提供高度的安全性 算法必须有详细的说明,并易于理解 算法的安全性取决于密钥,不依赖于算法 算法适用于所有用户 算法适用于不同应用场合 算法必须高效、经济 算法必须能被证实有效 算法必须是可出口的 1974年8月27日,美国国家标准局开始第二次征集，IBM提交了算法LUCIFER，该算法由IBM的工程师W. Tuchma 和 C. Meyer在1971-1972年研制。 1975年3月17日, BS公开了全部细节。 1976年， BS指派了两个小组进行评价。 1976年11月23日，采纳为联邦标准，批准用于非军事场合的各种政府机构。 1977年1月15日，美国“数据加密标准” 发布，该标准以DES算法为代表，其密钥有效长度为56位。同年7月15日开始生效。 该标准规定每五年审查一次，计划十年后采用新标准。 美国国家安全局（ SA, atio al Security Age cy)参与了美国国家标准局制定数据加密标准的过程。 BS接受了 SA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位。1979年，美国银行协会批准使用DES。1980年，DES成为美国标准化协会(A SI)标准。1980年，美国国家标准化协会（A SI）赞同DES作为私人使用的标准,称之为DEA（A SI X.392）。1983年，国际化标准组织ISO赞同DES作为国际标准，称之为DEA-1。1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作。DES 对称算法的特点 分组加密算法：明文和密文为64位分组长度。 对称算法：使用同一算法。 密钥长度：56位，64位中每个第8位为校验位。 DES加密操作： 通过56位密钥计算出16个48位子密钥 使用48位子密钥进行16轮加密。 每轮都使用了置换和替代操作。 置换操作是打乱块中各位的次序，使其变成新的位置。 替代操作是使用新的一组来替换初始排列输出的每组位。2）其它对称算法 算法所有者类型密钥长度描述 DESCoppersmith、 Feistel、Tuch- ma 、 SA对称56位DES的密钥长度太短，不能对付暴力破解。DES是块状密码 DESede (Triple DES)Diffie、Hell- ma 、Tuckma 对称112位或168位(2到3个56位密钥)最多使用3个不同的DES密钥。3DES是块状密码 Adva ced E cryptio Sta dard(AES) IST标准，使用Dae me 和Rijme 的Bij deal算法对称128位、192位和256位(默认是128位) ISTT 2000年10月宣布使用AES替代DES BlowfishBruce Sch eier对称32位到448位(8的倍数，默认是128位)十分复杂，难以破译，使用时占用大量内存 CAST-128CAdams和STavres对称40位到128位(8的倍数，默认是128位)CAST-128是使用8字节块大小的块状密码。请参见RFC 2144 CAST-256C.Adams、H. He ys、S.Tavar es和M.Wie er对称128位到256位(32的倍数，默认是128位)CASF-256是使用16字节块大小的块状密码。请参见RFC2612 IDEAX.Lai和J.Massey对称128位即国际数据加密算法(I ter atio al Data E cryptio Algorithm)。比DES快而且更安全。IDEA是PGP所使用的块状密码 RC2Ro ald Rivest为RSA而开发对称0到1024位(8的倍数，默认是128位)代表Ro s Code或Rivests Cipher2，请参见RFC2268。RC2是块状密码 RC4Ro ald Rivest为RSA而开发对称8位到2048位(8的倍数，默认是128位)代表Ro s Code或Rivests Ci-pher4。RCA是流式密码，同时只对一位数据进行操作 RC5Ro ald Rivest为RSA而开发对称0到65536位(8的倍数，默认是128位)代表Ro s Code或Rivesta Cipher 5。请参见RFC 2040。RCS是块状密码 RC6Rivest、Robshaw Sid ey和Yi 为RSA而开发对称0到2040位(8的倍数，默认是128位)代表Ro s Code或Rivests Cipher6。RC6是块状密码3）不同对称算法的应用特点 DES是应用最广泛的对称密码算法(由于计算能力的快速进展，DES已不再被认为是安全的)； IDEA在欧洲应用较多； RC系列密码算法的使用也较广(已随着SSL传遍全球)； AES将是未来最主要，最常用的对称密码算法。2.2.4对称加密应用保密通信 链路加密 易受攻击的通信链路两端都装备一个加密设备。共享一条链路的每对节点应共享同一密钥，每段链路应使用不同的密钥。报文在分组交换节点设备都需要被解密和加密一次，使得报文可以路由。但是报文在每个分组交换节点设备处容易受到攻击。 节点加密 节点加密是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。 端到端加密 端系统完成数据的加密和解密，加密形式的数据被原封不动的从源端系统发送，穿过网络，到达目的端系统。源端系统和目的端系统共享一个密钥。 2.2.5对称密钥分配问题2.3 非对称密钥密码体制2.3.1非对称密码体制的特点 由Diffie 和Hellma 于1976年首次提出了用于对称密钥交换的公钥算法。 1977年Rivest, Shamir & Adlema 提出了著名的RSA公钥算法。 非对称密码体制的特点 有两个不同的密钥，分别用于加密功能和解密功能； 一个密钥称作私钥，秘密保存；另一个密钥称作公钥，不需要秘密保密； 一对密钥中任何一个进行加密后，只有另外密钥才能解密； 已知公钥，要确定出私钥，在计算上是不可行的； 算法基于数学函数，而不是基于替代和置换； 可以简化密钥的管理，并且可以通过公开系统来分配密钥； 安全性大都基于数学难题：大整数因子分解离散对数； 公钥密码体制的应用除了提供机密性保障外，还提供信息完整性和数字签名的功能。2.3.2非对称密码体制的原理 ：如果把对称密码算法可以理解为双向函数的运算，那么，非对称密码算法则是利用了单向函数的特点。2.3.3非对称加密算法 1）RSA加密算法 RSA系统的功能 支持公钥私钥对的生成、加密以及数字签名。 2）ElGamal加密算法 密钥对产生办法 首先选择一个素数p，两个随机正整数, g 和x，g, x p, 计算 y = gx mod p，则其公钥为 y, g 和p；x是私钥；g和p可由一组用户共享。 3）不同非对称加密算法的特点 Diffie-Hellma 是最容易的密钥交换算法； RSA是最易于实现的； Elgemal算法更适合于加密； DSA对数字签名是极好的，并且DSA无专利费，可以随意获取；2.3.4非对称密码体制的应用模型 ：1）加密模型（数字信封）2）鉴别模型（数字签名）3）时间认证模型（数字时间戳） 数字时间戳服务（DTS）是使用数字文件的形式证明有关操作或文件签发的具体时间，它是网上安全服务项目之一，DTS由专门的机构提供。 时间戳 (time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要 (digest)DTS机构收到文件的日期和时间DTS机构的数字签名。 书面文件的签署时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS机构填加的，以DTS收到文件的时间为依据。2.4 Hash函数与信息鉴别2.4.1信息鉴别与加密 保密性与真实性是两个不同的概念，信息加密提供的只是信息的保密性而非真实性。 某些信息只需要真实性，不需要保密性。 广播的信息难以使用加密(信息量大) 网络管理信息等只需要真实性 政府/权威部门的公告 信息真实性鉴别代价小，加密代价大(公钥算法代价更大)。 鉴别函数与保密函数的分离能提供功能上的灵活性2.4.2Hash 函数的特征和功能 概念 Hash函数是一种从明文到密文的不可逆函数，即只能加密不能还原。它是将任意长度的信息压缩到一固定长度的信息摘要(Message Digest）的函数hH(M)。 Hash函数又称为：摘要函数、散列函数、数字指纹（Digital fi ger pri t)、压缩（Compressio )函数、数据鉴别码（Data authe ticatio code）等。 特征 计算的单向性：给定M和H，求hH(M)容易，但反过来给定h和H，求MH-1(h)在计算上是不可行的。 强碰撞自由：要寻找不同的信息M 和M，满足 H(M)H(M)在计算上是不可行。 Hash函数不需要密钥，并且函数运算速度较快。 对Hash函数的密码分析比对称密钥密码更困难。 作用 Hash函数主要用在一些只需加密不需解密的场合：如验证数据的完整性、Web登陆口令的加密、防火墙中应用程序核对等。 将变长的信息压缩成定长的摘要，用于提高数字签名的有效性。2.4.3Hash函数基本用法1)算法一 算法符号描述 AB: EkMH(M) B：Dk EkMH(M)=MH(M)；H(M)，判断：H(M)是否等于H(M)。 服务功能 提供鉴别使用信息摘要H(M)与H(M)的比较完成信息完整性鉴别 提供加密使用对称加密密钥K加密原始信息和信息摘要2）算法二 算法符号描述： A：MEkH(M) B B：DkEkH(M)= H(M)；H(M)，判断：H(M)是否等于H(M)？ 服务功能 提供加密服务对H(M)使用加密保护 提供鉴别服务使用信息摘要H(M)与H(M)的比较完成信息完整性鉴别3）算法三 算法符号描述： A：H(M) B（预先发送或存储信息摘要） A：H(M) B（零时提供的信息摘要） B：判断：H(M)是否等于H(M)？ 服务功能 提供身份鉴别使用信息摘要H(M)与H(M)的比较，判断发送方是否掌握原始信息以鉴别其身份的真实性。4）算法四 算法符号描述 A：MEkSaH(M) B B：DkPaEkSaH(M)=H(M)；H(M),判断：H(M)是否等于H(M)？ 服务功能 提供签名服务A用自己的私钥KSa加密H(M)完成对M的数字签名，B用A的公钥KPa验证该数字签名 提供鉴别服务通过信息摘要H(M)与H(M)的比较，完成被签名信息的完整性鉴别5）算法五 算法符号描述： A：EKPbMEKSaH(M) B B：DKSb EKPbMEKSaH(M)= M EKSaH(M)；DKPaEKSaH(M)=H(M)；H(M)，判断：H(M)是否等于H(M)？ 服务功能 提供鉴别比较H(M) 数字签名A用自己的私钥加密H(M)，B用A的公钥验证签名 提供加密A用B的公钥对信息和签名一起加密2.4.4典型的Hash函数 典型的HASH函数 MD2： 散列值长度为128bits. MD5： 散列值长度为128bits. SHA-1 ： 散列值长度为160bits. RIPEMD-160： 散列值长度为160bits. SHA256： 散列值长度为256bits. 密码学领域重大发现：山东大学王小云教授成功破解MD5等Hash算法 被破解的算法有MD4、MD5、HAVAL-128、RIPEMD-1282.5 混合型加密体制PGP PGP包括4种加密技术 对称加密国际数据加密算法（CAST、IDEA、3DES） 用于加密文件 非对称加密RSA和Diffie-Hellma /DSS 用于加密对称密钥和进行数字签名 单向（摘要）函数MD5/RSA、SHA/DSS 用于文件的压缩和文件完整性检验 标准随机数发生器用于生成密钥和密钥对小结：常见的密码分析攻击 破译算法的级别：全部破译、全部推导、实例推导、信息推导 安全性的衡量：无条件安全和计算安全 攻击的复杂性分析：数据复杂性、处理复杂性、存储需求 密码分析基本方法：穷举、分析 第三章 数字签名技术与应用3.1数字签名的基本原理3.1.1签名的基本特点 传统签名的基本特点 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化 能与所签文件“绑定”，必须能够认证签名时刻的内容 签名者不能否认自己的签名 签名不能被伪造，能够验证作者及其签名的日期时间 容易被自动验证，能够由第三方验证，以解决争议 加密与数字签名的综合应用：用自己的私钥签名，用对方的公钥加密3.2数字签名及其应用 普通数字签名算法 RSA 数字签名的应用种类 直接签名 （缺点）u 验证模式依赖于发送方的私钥l 发送方要抵赖发送某一信息时，可能会声称其私有密钥丢失或被窃，从而他人伪造了他的签名。l 需要采用与私有密钥安全性相关的行政管理控制手段来制止或至少是削弱这种情况，但威胁在某种程度上依然存在。l 改进的方式，例如可以要求被签名的信息包含一个时间戳（日期与时间），并要求将已暴露的密钥报告给一个授权中心。u Alice的私有密钥确实在时间T被窃取，第三方能否伪造Alice的签名以及早于或等于时间T的时间戳？ 仲裁签名u 引入仲裁者l 所有从发送方A（Alice）到接收方B（Bob）的签名信息首先送到仲裁者C（Carol）。l C将信息及其签名进行一系列测试，以检查其来源和内容。l C将信息加上日期并与验证通过的指示一起发给B。u 前提条件：所有的参与者必须极大地相信这一仲裁机制的工作。 仲裁签名的特点u 在通信之前，各方之间无需共享任何信息，从而避免了联手作弊；u 即使A的私钥EKSa 泄露，只要C的私钥未泄露，不会有错误标定日期的消息被发送；u A发送给B的消息的内容对C和任何除A、B以外的其他人是保密的。u 引入仲裁签名只是为了通过仲裁者证明指定信息是由A在指定的时间发送给B的。并不代表指定信息是由仲裁者签发的。 第四章 数字证书与公钥基础设施4.1 公钥基础设施（PKI）基本概念4.1.1网上用户身份识别问题的思考 能否通过对方的公开密钥确认对方（包括设备、软件、系统进程等）的身份？ 解决方案基本思路 引入数字证书 通过一个结构化的数据，将某一成员的识别符和其公钥值通过某一可信成员的数字签名有效的捆绑在一起。4.1.2数字证书应用中的问题和解决方案 问题 密钥对如何生成和管理？ 如何安全获得对方的公开密钥？也就是如何确保你得到的一个公开密钥就一定是对方的公开密钥？ 公钥和身份如何建立联系？ 如何保证加密算法的统一？ 方案： 引入密钥管理中心（KMC）负责密钥对的生成、管理和分发。公钥分配不需要机密性，但需要完整性（不允许替代假冒）。因此，可采用统一管理和发布的方法。 引入数字证书(certificate)，通过证书把公钥和身份关联起来。 引入证书中心（Certificate Authority,CA），由该机构完成用户数字证书的管理和证书分发。 引入安全协议和证书标准，保证加密算法的统一，实现基于证书的安全服务。 基于以上解决问题的需要产生了公钥基础设施（PKI）。4.1.3公钥基础设施PKI PKI（Public Key I frastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。 PKI必须处