网络安全原理与实务

网络安全原理与实务

网络安全原理与实务全文共41页，当前为第1页。非对称密码术的缺点：

非对称算法可以很大程度地改进密码术的安全性、便利性和灵活性。公共密钥密码术的主要缺点是加密和解密的过程很长，尤其是对于大量数据。虽然非对称加密在数学上很安全，但有关密钥使用方面的漏洞还是会影响非对称加密。

非对称加密允许发送人使用公共密钥或私有密钥加密信息，而接收人用另一密钥解密信息。但接收者不能确定信息的发送者，因为大家都有公共密钥。

使用和管理密钥8网络安全原理与实务全文共41页，当前为第2页。为什么需要数字签名：

使用和管理密钥8网络安全原理与实务全文共41页，当前为第3页。为什么需要数字签名：报文认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。假定A发送一个认证的信息给B，双方之间的争议可能有多种形式：B伪造一个不同的消息，但声称是从A收到的。A可以否认发过该消息，B无法证明A确实发了该消息。8

使用和管理密钥网络安全原理与实务全文共41页，当前为第4页。8

使用和管理密钥在因特网上，谁也不知道你是一条狗！网络中，我如何能相信你?网络安全原理与实务全文共41页，当前为第5页。数字签名应满足的要求：收方能确认或证实发方的签字，但不能伪造；发方发出签名后的消息，就不能否认所签消息；收方对已收到的消息不能否认；第三者可以确认收发双方之间的消息传送，但不能伪造这一过程8

使用和管理密钥网络安全原理与实务全文共41页，当前为第6页。

使用和管理密钥81数字签名

定义：附加在数据单元上的一些数据，或是对数据单元所做的密码变幻，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人进行伪造。网络安全原理与实务全文共41页，当前为第7页。

使用和管理密钥81数字签名

种类：

1.手写签名或图章的模式识别

2.生物识别技术（指纹、视网膜、声音）

3.密码、密码代号或个人识别码

8.基于量子力学的计算机

5.基于PKI的电子签名

网络安全原理与实务全文共41页，当前为第8页。

使用和管理密钥81数字签名

公钥加密算法中使用最广的是RSA。RSA算法研制的最初理念与目标是努力使互联网安全可靠，旨在解决DES算法秘密密钥利用公开信道传输分发的难题。而实际结果不但很好地解决了这个难题，还可利用RSA来完成对电文的数字签名以防止电文的否认与抵赖；同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改，以保护数据信息的完整性。网络安全原理与实务全文共41页，当前为第9页。

使用和管理密钥81数字签名

网络安全原理与实务全文共41页，当前为第10页。

使用和管理密钥81数字签名

网络安全原理与实务全文共41页，当前为第11页。

使用和管理密钥81数字签名

网络安全原理与实务全文共41页，当前为第12页。

使用和管理密钥81数字签名

数字签名与加密过程密钥对使用差别

数字签名使用的是发送方的密钥对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性；密钥加密解密过程使用的是接收方的密钥对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多对一的关系，表明任何拥有该公司公钥的人都可以向该公司发送密文，但只有该公司才能解密，其他人不能解密。

网络安全原理与实务全文共41页，当前为第13页。

使用和管理密钥82公钥基础设施（PKI）

公钥的真实性和合法性问题

这有点像你碰到一个陌生人，他自我介绍说：他叫张山。你究竟该相信他，还是不相信他呢？网络安全原理与实务全文共41页，当前为第14页。

使用和管理密钥8公钥基础设施（PKI）

公钥基础设施（PKI）是一个利用非对称加密算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。是管理非对称加密算法的密钥和确认信息，整合数字证书、公钥加密技术和CA的系统。其结合了软件、加密技术和组织需要进行非对称加密算法的服务。

网络安全原理与实务全文共41页，当前为第15页。

使用和管理密钥8公钥基础设施（PKI）

公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台,它通过“信息加密”和“数字签名”等密码服务及所必需的密钥和证书管理体系，为实现网络通信保密性、完整性和不可否认性的一套完整、成熟可靠的解决方案。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

网络安全原理与实务全文共41页，当前为第16页。

使用和管理密钥8公钥基础设施（PKI）

一个PKI平台通常具有以下功能：向个人用户和服务器发布数字证书提供用户注册软件整合共同的证书目录管理、更新和作废证书提供相关网络设备和安全网络安全原理与实务全文共41页，当前为第17页。

使用和管理密钥8CA（CertificateAuthority）用户A用户BCA可以担保我的网上业务对方的真实身份CA可以担保我的网上业务对方的真实身份??CA中心我了解用户A我可以为他们的真实身份担保我了解用户B我可以为他们的真实身份担保网络安全原理与实务全文共41页，当前为第18页。

使用和管理密钥8CA大家共同信任的权威机构。CA（CertificateAuthority）是颁发数字证书的机构。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。

网络安全原理与实务全文共41页，当前为第19页。

使用和管理密钥84CA（CertificateAuthority）网络安全原理与实务全文共41页，当前为第20页。

使用和管理密钥84CA的服务架构CA中心：证书管理中心制订证书相关规定生成证书管理废止证书（黑名单）更新证书目录密钥管理RA：管理证书受理点办理和审批证书申请受理点：面向用户办理证书申请网络安全原理与实务全文共41页，当前为第21页。

使用和管理密钥8公钥基础设施（PKI）

完整的PKI系统必须具有：权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、PKI应用接口系统。网络安全原理与实务全文共41页，当前为第22页。

使用和管理密钥8公钥基础设施（PKI）基本运行模型

网络安全原理与实务全文共41页，当前为第23页。

使用和管理密钥8PKI的标准和协议公开密钥密码术标准（PKCS）是从1991年RSA公司定义的一系列标准。虽然它们都不是正式标准，但今天却被行业广泛接受。这些标准是基于RSA公开密钥算法的。X.509是被国际电信联盟（ITU）定义的国际标准，其定义了数字证书的格式。PKIX.509已被安全套接字层（SSL）/传输层安全（TLS）、IP安全（IPSec）和安全/多用途网际邮件扩充协议（S/MIME）广泛使用。

网络安全原理与实务全文共41页，当前为第24页。

使用和管理密钥8信任模型第一种PKI信任模型是网络信任模型，以直接信任为基础。第二种PKI信任模型是单点信任模型，是基于第三方信任的。本模型中CA直接签发证书。最后一种PKI信任模型是等级信任模型。本等级信任模型中，主要是根证书认证为其下的CA签发证书，这些CA再向中间的CA签发证书，或者添加些RA。

网络安全原理与实务全文共41页，当前为第25页。

使用和管理密钥83数字凭证

数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。网络安全原理与实务全文共41页，当前为第26页。

使用和管理密钥83数字凭证

数字凭证含有持有者的有关信息，以标识他们的身份。证书包含的内容：证书拥有者的姓名；证书拥有者的公钥；公钥的有效期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号。网络安全原理与实务全文共41页，当前为第27页。

使用和管理密钥83数字凭证

1.个人数字证书：个人数字证书仅为个人用户提供，一般安装在浏览器上，帮助个人在网上进行安全交易操作。如：访问需要客户验证安全的站点；用自己的数字证书发送带有自己签名的电子邮件；用对方的数字证书向对方发送加密的邮件网络安全原理与实务全文共41页，当前为第28页。网络安全原理与实务全文共41页，当前为第29页。

使用和管理密钥83数字凭证

2.企业（服务器）数字证书:企业数字证书由某个web服务器提供，拥有服务器的企业就可以用具有凭证的WEB站点进行安全电子交易；开启服务器SSL安全通道，使用户和服务器之间的数据传送以加密形式进行；要求个人出示个人证书，保证WEB服务器不被未授权的用户入侵。3.软件数字证书:为软件提供凭证，证明该软件的合法性。网络安全原理与实务全文共41页，当前为第30页。

使用和管理密钥83数字凭证

数字证书的权威性取决于其颁发机构的权威性网络安全原理与实务全文共41页，当前为第31页。

使用和管理密钥8数字证书解决的安全问题业务系统最终用户AInternetA于2009年11月25日下午3点整转帐100万到B账户A：我没有做过，是你们搞错了！说不定还可能是系统管理员干的呢。Web服务器安全风险：窃听、伪装、篡改、抵赖、否认其行为网络安全原理与实务全文共41页，当前为第32页。

使用和管理密钥8数字证书解决的安全要素

信息的私密性(Privacy)

数据加密信息的完整性(Integrity)

数字签名信息的源发鉴别(Authentication)—身份认证 数字签名+数据加密信息的防抵赖性(Non-Reputation)

数字签名网络安全原理与实务全文共41页，当前为第33页。

使用和管理密钥8数字证书相关文档证书政策（CP）:控制PKI运作的一系列规则，提供和操作CA、RA和其他PKI组件推荐的基本安全需求。证书实施说明（CPS）：详细描述了CA的使用和对证书的管理。网络安全原理与实务全文共41页，当前为第34页。

使用和管理密钥8数字证书生命周期证书创建证书吊销证书作废证书延迟网络安全原理与实务全文共41页，当前为第35页。

使用和管理密钥8安全支柱安全设施安全策略保密性身份鉴别授权数据完整性抗抵赖可靠的电子政务、电子商务技术管理数字证书网络安全原理与实务全文共41页，当前为第36页。

使用和管理密钥8密钥管理集中管理和非集中管理非集中密钥管理的一个实例是PKI网络信任模型。由于首先需要建立每个用户，然后才可以签发自己的证书，并与其它用户交换，因此不存在集中的密钥数据库。缺点是所有责任都在用户，组织对员工密钥没有控制权。集中密钥管理是以单点信任模型和等级信任模型为基础的，并由CA分配密钥。网络安全原理与实务全文共41页，当前为第37页。

使用和管理密钥8密钥管理密钥存储公共密钥可以嵌入数字证书，这是基于软件的存储方式，因而不需要任何密码术硬件。另一种基于软件的存储方式是在用户计算机中。基于软件存储的缺点是在客户端计算机存在易被攻击的漏洞，例如，对攻击者报漏密钥。另一种是在硬件存储密钥。公