05_数字签名与加密技术的应用.ppt

1、数字签名原理与加密技术的应用,一、数字签名原理和机制,2020/7/24,3,数字签名概述,日常生活和经济往来中，签名盖章和识别签名是一个重要环节； 计算机网络通信时代，用密码学来实现数字签名，用来确认发送方的行为； 数字签名特点： 收方能够确认或证实发方的签字； 任何人都不能仿造； 如果发方否认他所签名的消息，可以通过仲裁解决争议。,2020/7/24,4,中华人民共和国电子签名法,2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过 2005年4月1日起实施. 从法律上认可了电子证据.,2020/7/24,5,数字签名与验证过程图示,2020/7/24,6,1、什么是数字签

2、名,所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替手写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。 “数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。 它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。,2020/7/24,7,数字签名机制需要实现以下几个目的： l 可信：消息的接收者通过签名可以确信消息确实来自于声明的发送者。

3、 l不可伪造：签名应是独一无二的，其它人无法假冒和伪造。 l不可重用：签名是消息的一部分，不能被挪用到其它的文件上。 l不可抵赖：签名者事后不能否认自己签过的文件。,2、 数字签名目的,2020/7/24,8,数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人（如接收者）伪造。 签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时，第三方（仲裁机构）就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出

4、，从而实现抗抵赖服务。另外，数字签名应是所发送数据的函数，即签名与消息相关，从而防止数字签名的伪造和重用。,3、数字签名的基本原理,2020/7/24,9,举例:文件的签名与加密传送,A与B互换公钥 A用自己的私钥对文件F进行数字签名 A用B的公钥对签过名的F进行加密 A把文件F通过网络传送给B B收到文件F后，先用自己的私钥进行解密，然后用A的公钥进行数字签名解密,提问：1、如果在传送过程中，C截获了密文F，他能知道原文的内容吗？ 2、如果C假冒A的身份向B传送了一份文件，B能否识别这个“阴谋”？,2020/7/24,10,4、数字签名的实现方法,(1) 使用对称加密和仲裁者实现数字签名,2

5、020/7/24,11,公开密钥体制的发明，使数字签名变得更简单，它不再需要第三方去签名和验证。签名的实现过程如下： A用他的私人密钥加密消息，从而对文件签名； A将签名的消息发送给B； B用A的公开密钥解密消息，从而验证签名；,(2) 使用公开密钥体制进行数字签名,2020/7/24,12,(3) 使用公开密钥体制与单向散列函数进行数字签名,数字签名算法: DSA,2020/7/24,13,数字签名机制 完整的公钥加密与签名过程,2020/7/24,14,5、数字签名的使用：获取密钥的途径,利用Windows家族自带的“证书颁发机构”申请个人“证书”，如Windows2003的“CA中心”；

6、 向专门的证书颁发机构申请，如“广东省电子商务认证中心”； 使用专门的工具软件，如PGP Desktop,2020/7/24,15,课堂练习,1、以下关于数字签名说法正确的是：（ ） A数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息 B数字签名能够解决数据的加密传输，即安全传输问题 C数字签名一般采用对称加密机制 D数字签名能够解决篡改、伪造等安全性问题 2、在通信过程中，只采用数字签名可以解决（ ）等问题。 A 数据完整性 B 数据的抗抵赖性 C 数据的仿造 D 数据的保密性 3、数字签名有哪些实现方法？,2020/7/24,16,二、加密技术的应用,加密技术在网络传输中有

7、广泛的应用。SSL，IPSec, VPN分别是在网络不同层的典型应用,2020/7/24,17,SSL,SSL: Secure Socket Layer安全套接层 在TCP/IP网络分层模型中，没有Socket层。Socket是一个编程接口，可以看作介于应用层和传输层的中间层次 SSL将加密功能应用于Socket层,应用层,TCP,IP,物理层,Socket,2020/7/24,18,对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。,2020/7/24,19,在II

8、S中应用SSL,IIS支持SSL 当Web网站应用SSL加密时，使用的协议名为 https，默认端口是443。比如服务器主机名为 myserver，则在浏览器上应该使用 https:/myserver 来访问 通过 https协议访问的网站，所有传输数据都经过加密，传输中间的网络节点无法解读传输的内容,2020/7/24,20,SSL作为Web安全性解决方案1995年由Netscape公司提出 SSL已经作为事实上的标准被众多网络产品提供商采纳 SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信

9、，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。 SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https

10、:/网站域名”。,SSL原理,SSL 以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标： (1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。 ( 2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。 (3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互交换数字证书,通过验证

11、来保证对方身份的合法性。,2020/7/24,21,SSL原理,浏览器请求与WWW服务器建立安全会话 WWW服务器将自己的公钥发给浏览器 WWW服务器与浏览器协商密钥位数（40位或128位） 浏览器产生会话使用的秘密密钥，并用WWW服务器的公钥加密传给WWW服务器 WWW服务器用自己的私钥解密 WWW服务器和浏览器用会话密钥加密和解密，实现加密传输,2020/7/24,22,利用SSL实现安全的WEB传输服务,1)安装证书服务器 2)申请证书(准备请求信息提交申请)3)审查颁发证书 4)下载颁发的证书5)在IIS-WEB服务器上安装证书,使该站点变为SSL站点6)用https协议实现web数据

12、的安全浏览,2020/7/24,23,安装证书管理软件和服务（1）,2020/7/24,24,安装证书管理软件和服务（2）,2020/7/24,25,安装证书管理软件和服务（3）,2020/7/24,26,安装证书管理软件和服务（4）,2020/7/24,27,安装证书管理软件和服务（5）,2020/7/24,28,准备一个证书请求信息（1）,2020/7/24,29,准备一个证书请求信息（2）,2020/7/24,30,准备一个证书请求信息（3）,2020/7/24,31,准备一个证书请求信息（4）,2020/7/24,32,准备一个证书请求信息（5）,2020/7/24,33,准备一个证书

13、请求信息（6）,2020/7/24,34,准备一个证书请求信息（7）,2020/7/24,35,提交证书申请（1）,2020/7/24,36,提交证书申请（2）,2020/7/24,37,提交证书申请（3）,2020/7/24,38,提交证书申请（4）,2020/7/24,39,提交证书申请（5）,2020/7/24,40,为证书申请者颁布证书（1）,2020/7/24,41,为证书申请者颁布证书（2）,2020/7/24,42,为证书申请者颁布证书（3）,2020/7/24,43,为证书申请者颁布证书（4）,2020/7/24,44,下载证书（1）,2020/7/24,45,下载证书（2）,

14、2020/7/24,46,下载证书（3）,2020/7/24,47,下载证书（4）,2020/7/24,48,安装证书并配置WWW服务器（1）,2020/7/24,49,安装证书并配置WWW服务器（2）,2020/7/24,50,安装证书并配置WWW服务器（3）,2020/7/24,51,安装证书并配置WWW服务器（4）,2020/7/24,52,安装证书并配置WWW服务器（5）,2020/7/24,53,安装证书并配置WWW服务器（6）,2020/7/24,54,安装证书并配置WWW服务器（7）,2020/7/24,55,验证并访问安全的Web站点（1）,2020/7/24,56,验证并访问

15、安全的Web站点（2）,2020/7/24,57,三、安全外壳协议（SSH）,SSH 是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议 最初是U N I X系统上的一个程序，后来又迅速扩展到其他操作平台 它是一个好的应用程序，在正确使用时，它可以弥补网络中的漏洞 S S H客户端适用于多种平台 对非商业用途它是免费的,2020/7/24,58,SSH 由三部分组成：,传输层协议 SSH-TRANS 提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、

16、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。 用户认证协议 SSH-USERAUTH 用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当 SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希 H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。 连接协议 SSH-CONNECT 将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行

17、、转发 TCP/IP 连接和转发 X11 连接。,2020/7/24,59,SSH工作机制,SSH分为两部分：客户端部分和服务端部分。 服务端是一个守护进程(demon)，他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。 客户端包含ssh程序以及像scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他的应用程序。 SSH的工作机制大致是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立 。,2020/7/24,60,SSH的功能,通过使用SSH，你可以把所有传输的数据进行加密，这样中间人这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的通道。,2020/7/24,61,SSH的应用,通过使用S S H，你在不安全的网络中发