安全生产_常用安全技术之加密技术培训教材

常用安全技术之加密技术 刘玉洁电子商务教研室 电子商务教研室 加密技术 1 加密技术能够有效地解决何种网络威胁问题2 加密技术的关键是什么 3 DES及RSA的主要区别是什么 ec 1 引言 发问 什么是密码 1 引言 发问 什么是密码 不全面 2 密码概念 密码定义 1 秘密的信息 比如 口令 暗号等 2 原始信息按一定规则转换成无法理解的特定符号 明文 加密方法 密文 加密过程 3 加密技术的发展过程 1 古代加密阶段 20世纪之前 我闻西方大士 为人了却凡心 秋来明月照蓬门 香满禅房幽径 屈指灵山会后 居然紫竹成林 童男童女拜观音 仆仆何嫌荣顿 加密方法 Steganography 隐写术 加密特点 手工性 隐写性 3 加密技术的发展过程 2 近代加密阶段 20世纪初 20世纪60年代 中途岛海战 中途岛 AF 加密方法 Replacementsurgery 替换术 加密特点 机械性 替换性 日本紫密密码 3 加密技术的发展过程 2 近代加密阶段 20世纪初 20世纪60年代 例1 Caesarreplacement 凯撒替换 替换规则 字母错开X位 比如3位ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC 明文 CHINA 密文 FLMQD 3 加密技术的发展过程 3 现代加密阶段 20世纪60年代 至今 密码 光复一号 苏联数学家制造 加密方法 Calculationtechnique 计算术 加密特点 信息化 计算化 3 加密技术的发展过程 3 现代加密阶段 20世纪60年代 至今 RSA加密技术 第1步 找两个大素数P和Q N P Q M P 1 Q 1 第2步 找一个和M互素的整数E E是公钥 第3步 找一个整数D 即E DmodM 1 D是私钥 加密方法 明文T 密文CC TDmodN 3 加密技术的发展过程 3 现代加密阶段 20世纪60年代 至今 RSA加密技术 1 设p 7 q 17 n 7 17 119 m 7 1 17 1 962 随机找个e 5 公钥 5 3 计算d d 5 mod96 1 d 77 私钥 77 明文 T 19密文 C 195mod119 66 二 加密技术 一个密码体制由明文 密文 密钥与加密运算这四个基本要素构成 图7 1显示了一个明文加密解密的过程 ec 加密术语 明文 cleartext 最初的原始信息 密文 ciphertext 被加密信息打乱后的信息 算法 algorithm 将明文改为密文的方法 密钥 key 将明文转换为密文或将密文转换为明文的算法中输入的数据 加密 encryption 将明文转换为密文的过程 解密 decryption 将密文转换为明文的过程 ec 密钥体制 密钥是用户按照一种密码体制随机选取的一个字符串 是控制明文和密文变换的唯一参数 根据密钥类型不同将现代密码技术分为两类 1 单密钥体制加密密钥和解密密钥相同或本质相同的体制被称为单密钥加密体制 其特点是运算速度快 适合于加解密传输中的信息 如美国的数据加密标准 DES算法 2 公钥体制指加密密钥和解密密钥不相同且从其中一个很难推断出另一个的体制 公钥密码体制可以使通信双方无须事先交换密钥就可以建立安全通信 公钥体制广泛地用于CA认证 数字签名和密钥交换等领域 ec 数据加密标准DES 基于私有密钥体制的信息认证基于私有密钥 PrivateKey 私钥 体制的信息认证是一种传统的信息认证方法 这种方法采用对称加密算法 也就是说 信息交换的双方共同约定一个口令或一组密码 建立一个通信双方共享的密钥 通信的甲方将要发送的信息用私钥加密后传给乙方 乙方用相同的私钥解密后获得甲方传递的信息 由于通信双方共享同一密钥 因而通信的乙方可以确定信息是由甲方发出的 这是一种最简单的信息来源的认证方法 下图是对称加密示意图 ec 对称加密示意图 会话密钥 会话密钥 密钥预分配 明文 密文 明文 密文 密文 明文 ec 对称加密算法在电子商务交易过程中存在三个问题 1 要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥 直接的面对面协商可能是不现实而且难于实施的 因此双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商 2 密钥的数目将快速增长而变得难以管理 因为每一对可能的通信实体需要使用不同的密钥 这很难适应开放社会中大量信息交流的要求 3 对称加密算法一般不能提供信息完整性鉴别 对称加密方法DES ec 基于公开密钥体制的信息认证1976年 美国学者Diffie和Hellman为解决信息公开传送和密钥管理问题 提出了一种密钥交换协议 允许通信双方在不安全的媒体上交换信息 安全地达成一致的密钥 这就是 公开密钥体系 与对称加密算法不同 公开密钥加密体系采用的是非对称加密算法 使用公开密钥算法需要两个密钥 公开密钥 PublicKey 公钥 和私有密钥 如果用公开密钥对数据进行加密 则只有用对应的私有密钥才能进行解密 如果用私有密钥对数据进行加密 则只有用对应的公开密钥才能解密 图12 3是使用公钥加密和用对应的私钥解密的示意图 非对称加密方法RSA ec 图使用公钥加密和对应的私钥解密的示意图 生成会话密钥 数字信封 数字信封 明文 明文 密文 密文 目录 用户B的私钥 用户B的公钥 ec 密钥管理技术 加密体系中有两个基本要素 加密算法和密钥管理 其中密钥是控制加密算法和解密算法的关键 存放密钥的媒体有各种磁卡 磁盘 闪盘 智能卡等存储介质 他们很易被盗或损坏 因而密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取 ec 密钥管理 ec 两种管理技术比较 1 对称密钥管理优点 即使泄露了一把密钥也只会影响一笔交易 而不会对其它的交易产生影响 2 公开密钥管理优点 用于解密的私钥不需发往别处 因而即使公钥被截获 因为没有与其匹配的私钥 也无法解读加密信息 另外还可用它进行身份验证 ec 安全认证技术 数字摘要 数字签名 数字水印 生物统计识别 安全认证技术 数字证书 ec 1 数字摘要数字摘要 digitaldigest 又称安全Hash编码法 其原理是采用单向Hash 哈希 函数将需加密的明文进行某种变换运算 得到固定长度的摘要码 不同的明文摘要转成密文 其结果总是不同的 而同样的明文其摘要必定一致 该算法与公钥加密系统联合使用 就可以生成一个与传入的保密文件相关的数字签名 安全认证技术 ec 2 数字签名在网络环境中 由于参与交易的各方在整个交易过程中有可能自始至终不见面 因此多采用数字签名方式来解决这个问题 1 概念 加密后的数字摘要数字签名是指通过使用非对称加密系统和哈希函数来变换电子记录的一种电子签名 人们可以准确地判断信息的变换是否是使用与签名人公开密匙相配的私人密匙作成的 进行变换后初始电子记录是否被改动过 安全认证技术 ec 2 数字签名数字签名与用户的姓名及手写签名形式毫无关系 它实际上是采用了非对称加密技术 用信息发送者的私钥变换所需传输的信息 因而不能复制 安全可靠 安全认证技术 ec 2 数字签名 2 实现方法实现数字签名的方法有多种 目前采用较多的技术有两类 一类是对称加密 要求双方具有共享的密钥 只有在双方都知道密钥的情况下才能使用 另一类是非对称加密 如果用公开密钥对数据进行加密 只有用对应的私有密钥才能进行解密 如果用私有密钥对数据进行加密 则只有用对应的公开密钥才能解密 因此 通常一个用户拥有两个密钥对 安全认证技术 ec 2 数字签名 3 数字签名文档的法律地位 中华人民共和国电子签名法 2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过 该法自2005年4月1日起施行 安全认证技术 ec 3 数字水印由于图形 图像 视频和声音等数字信息很易通过网络 CD进行传递与复制 存在非法拷贝 传播或篡改有版权的作品的问题 因此 能对数字产品实施有效的版权保护及信息保密的数字水印技术应运而生 1 概念数字水印技术是通过一定的算法将数字 序列号 文字 图像标志等版权信息嵌入到多媒体数据中 但不影响原内容的价值和使用 并且不能被人的感知系统觉察或注意到 安全认证技术 ec 3 数字水印 1 概念被其保护的信息可以是任何一种数字媒体 如软件 图像 音频 视频或一般性的电子文档等 在产生版权纠纷时 可通过相应的算法提取出该数字水印 从而验证版权的归属 确保媒体著作权人的合法利益 避免非法盗版的威胁 安全认证技术 ec 3 数字水印 2 数字水印的应用信息隐藏及数字水印技术在版权保护 真伪鉴别 隐藏通信 标志隐含等方面具有重要的应用价值 有着巨大的商业前景 安全认证技术 ec 4 时间戳在电子商务交易文件中 时间是十分重要的信息 同书面文件类似 文件签署的日期也是防止电子文件被伪造和篡改的关键性内容 数字时间戳服务 Digita1TimeStampsever DTS 是网上电子商务安全服务项目之一 它能提供电子文件的日期和时间信息的安全保护 安全认证技术 ec 4 时间戳时间戳 time stamp 是一个经加密后形成的凭证文档 它包括三个部分 1 需加时间戳的文件的摘要 digest 2 DTS收到文件的日期和时间 3 DTS的数字签名 时间戳将日期和时间与数字文档以加密的方式关联 数字时间戳可用于证明电子文档在其时间戳所述的时间期限内有效 安全认证技术 ec 5 数字证书根据联合国 电子签字示范法 第一条 证书 系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录 中华人民共和国电子签名法 规定 电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录 安全认证技术 ec 图数字证书的组成 数字签字 证实机构的签字密钥 证书 ec 带有数字签名和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书 其基本流程如下图所示 ec 图12 11带有数字签字和数字证书的加密系统 ec 四 安全体系构建 素材网收集提供 版权归原作者所有 一 构建安全体系 一个完善的网络安全体系必须合理地协调法律 技术和管理三种因素 集成防护 监控和恢复三种技术 国外的一项安全调查显示 超过85 的网络安全威胁来自于内部 其危害程度更是远远超过黑客攻击及病毒造成的损失 而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的 1 集中管理的认证机制对网络设备 主机 数据库等信息系统而言 只有明确了访问者的身份 才可决定提供何种相应的服务 才可能采用正确的安全策略实现访问控制 安全审计等安全功能 ec 一 构建安全体系 2 集中权限分配与管理集中授权管理 是指集中对用户使用信息系统资源的权限进行合理分配 并在此基础上实现不同用户对系统不同部分资源的访问控制 具体来说 就是集中实现对各用户 主3 高效灵活的策略化审计与响应机制审计和响应功能可以简单地描述为 某个特定的网络资源或服务 如主机 服务器 数据库 FTP Telnet等 可以 或不可以 被某个特定的用户怎样地访问 这需要审计系统具有很强的针对性和准确性 具体说来 针对具体的应用需求 如系统维护操作 数 ec 思考 思考题 怎样进行网络安全体系设计 如何实施网络安全体系 ec 二 综合安全体系 1 设计原则 1 木桶 原则 即根据系统中最薄弱的地方最易受到攻击的原则 有效防止最常见的攻击手段 2 整体性原则 即对系统建立安全防护机制 安全监测机制 安全恢复机制三种控制机制 以提高系统的整体防御能力 3 一致性与易操作性原则 即制定的安全体系结构必须与网络的安全需求相一致且易于操作 ec 二 综合安全体系 1 设计原则 4 动态化原则 即安全措施应具有良好的可扩展性 能随着网络性能及安全需求的变化而变化 5 安全性评价原则 即对网络安全系统是否安全的评价决定于系统的用户需求和具体的应用环境 6 等级性原则 即应针对不同的安全对象进行分级 包括 对信息保密程度 用户操作权限 网络安全程度 系统实现结构的分级 ec 2 安全体系设计内容 ec ec 3 安全设备的选择 三 网络安全体系的实施 首先 对网络安全的重要性要有一个清醒的认识 对必购的安全产品要舍得购买 其次 要加强外部防范 对一些重要设备 如主机 服务器等 独立存放 第三 识别并验证用户 将用户的访问限制在授权的活动和资源范围之内 第四 人事控制 对欲雇用人员做背景审查 对新雇人员进行安全培训 ec 三 网络安全体系的实施 第五 操作控制 防止网络系统及其管理人员出现失误及对出错后的恢复操作 第六 服务器控制