第四讲-数据加密与身份鉴别..ppt

1、江苏信息职业技术学院,第四讲 数据加密与身份鉴别,江苏信息职业技术学院,2,2,本讲概要,本章就各种网络安全技术进行了阐述。所涉及的网络安全技术有： 数据加密技术（Encryption） 身份认证技术（Authentication） 包过滤技术（Packet Filtering） 资源授权使用（Authorization） 内容安全（防病毒）技术,江苏信息职业技术学院,（一） 数据加密技术,江苏信息职业技术学院,4,4,数据加密技术,数据加密的概念 数据加密技术原理 数据传输的加密 常用加密协议,本部分涉及以下内容：,江苏信息职业技术学院,5,5,数据加密的概念,数据加密技术的概念,数据加密(

2、Encryption)是指将明文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext)，只有特定接受方才能将其解密(Decryption)还原成明文的过程。,明文(Plaintext) ： 加密前的原始信息； 密文(Ciphertext) ：明文被加密后的信息； 密钥(Key)： 控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥； 加密(Encryption)：将明文通过数学算法转换成密文的过程； 解密(Decryption)：将密文还原成明文的过程。,江苏信息职业技术学院,6,6,数据加密的概念,数据加密模型,密文,加密密钥,信息窃取者,解密密钥,加

3、密算法,解密算法,江苏信息职业技术学院,7,密码的分类,按应用技术或历史发展阶段分类 手工密码、机械密码、电子机内乱密码、计算机密码 按保密程度划分 理论上保密、实际上保密、不保密的密码 按密钥方式分类 对称式密码、非对称式密码 按明文形态划分 模拟型密码、数字型密码 按编制原理划分 移位、代替、置换,江苏信息职业技术学院,8,8,数据加密的概念,数据加密技术的应用,数据保密； 身份验证； 保持数据完整性； 确认事件的发生。,江苏信息职业技术学院,9,9,数据加密技术原理,对称密钥加密（保密密钥法） 非对称密钥加密（公开密钥法） 混合加密算法 哈希（Hash）算法 数字签名 数字证书 公共密钥

4、体系,数据加密技术原理,江苏信息职业技术学院,10,10,数据加密技术原理,对称密钥加密（保密密钥法）,加密算法,解密算法,密钥,网络信道,明文,明文,密文,两者相等,江苏信息职业技术学院,11,11,数据加密技术原理,非对称密钥加密（公开密钥加密）,加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,江苏信息职业技术学院,12,用RSA鉴别,只有老张能发出该信息 用RSA保密,只有小李能解开该信息,老张,小李的公开密钥,小李,老张,密文,小李,小李的私有密钥,老张的私有密钥,老张的公开密钥,密文,鉴别,保密,鉴别+保密通信,江苏信

5、息职业技术学院,13,RSA算法举例：,（1）若小李选择了p=11和q13 （2）那么，n=11 13=143, (n)=1012120 （3）再选取一个与z=120互质的数,如e=7(称为“公开密钥”) （4）找到一个值d=103(称为“秘密密钥”)满足ed=1 mod z （7103=721除以120余1） （5）（143,7）为公钥，（143，103）为私钥 （6）小李在一个目录中公开公钥：n=143和e=7 （7）现假设老张想发送明文85给小李，她已经得到了小李的公开密钥(n,e)=(143,7),于是计算：857(mod 143)=123，并发送 （8）当小李接收到密文123时，他用

6、私钥d103进行解密：123103 mod 143)=85,江苏信息职业技术学院,14,课堂练习,按照RSA算法，若选两个素数P=11，Q=7，N=77，公钥e为=7，则私钥d=？ 给定两个素数P=11,Q=17,N=187,公钥e=17,求私钥d 如果知道公钥e=5和N=437,求出私钥d（317）,江苏信息职业技术学院,15,15,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥，又能够克服非对称加密算法效率低的缺陷！,非对称密钥加密算法,非对称密钥解密算法,对称密钥,公开密钥,私有密钥,混合加密

7、系统是对称密钥加密技术和非对称密钥加密技术的结合,江苏信息职业技术学院,16,对称与非对称加密体制对比,RSA和DES的优缺点正好互补 RSA的密钥很长，加密速度慢，而采用DES，正好弥补了RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。RSA又解决了DES密钥分配的问题。,江苏信息职业技术学院,17,17,数据加密技术原理,哈希（Hash）算法,信息,哈希算法（hash algorithm），也叫信息标记算法（message-digest algorithm），可以提供数据完整性方面的判断依据。,哈希算法,结果相同，则数据未被篡改,比较,结果不同，则数据已被篡改,信息标记 （

8、digest）1,常用的哈希算法： MD5 SHA-1,哈希算法,标记2,标记1,江苏信息职业技术学院,18,18,数据加密技术原理,数字签名,数字签名（digital signature）技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查。,江苏信息职业技术学院,19,数字签名,1、发方用单向散列函数对信息生成摘要。 2、发方用自己的私钥签名信息摘要。 3、发方把信息本身和已签名的信息摘要一起发送出去。 4、收方通过使用同一个单向散列函数对接收的信息生成新摘要，再用发方的公钥对数字签名解密，并与新生成的信息摘要比较，以

9、确认发方的身份和信息是否被修改过。,江苏信息职业技术学院,20,20,数据加密技术原理,数字签名的工作原理,非对称加密算法,非对称解密算法,Alice的私有密钥,网络信道,合同,Alice的公开密钥,哈希算法,标记,标记-2,合同,哈希算法,比较,标记-1,如果两标记相同，则符合上述确认要求。,Alice,Bob,江苏信息职业技术学院,21,21,数据加密技术原理,数字签名的作用,唯一地确定签名人的身份； 对签名后信件的内容 是否又发生变化进行验证； 发信人无法对信件的内容进行抵赖。,当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构（CA: Certificate Auth

10、orities）的帮助。,江苏信息职业技术学院,22,认证中心CA,CA中心作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。就是一个负责发放和管理数字证书的权威机构。 认证中心CA的功能包含： 证书发放、证书审批、证书更新、证书撤销、证书验证 认证中心由以下三部分组成： 注册服务器、证书申请受理和审核机构、认证中心服务器,江苏信息职业技术学院,23,数字证书的原理,数字证书采用公钥机制，证书颁发机构提供根证书、个人证书、私钥文件在个人证书发行时是3个独立的部分，分别保存在3个独立的存盘文件中。,公钥,公钥,私钥,私钥,数字证书认证中心CA,证书申请与颁发,证书申请与颁发,

11、江苏信息职业技术学院,24,24,数据加密技术原理,数字证书,数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（CA机构）的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。 数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决“我是谁”的问题。,江苏信息职业技术学院,25,25,数据加密技术原理,数字证书中的常见内容,发信人的公开密钥； 发信人的姓名； 证书颁发者的名称； 证书的序列号； 证书颁发者的数字签名； 证书的有效期限。,如:目前通用的X.509证书,江苏信息职业技术学院,26,检查电脑上中的数字证书,用MM

12、C来查看 用certmgr.msc查看 在Internet选项中查看,演示,江苏信息职业技术学院,27,数字证书的类型,代码签名证书：用于给程序签名 安全电子邮件证书：用于给邮件数字签名 个人数字证书：可以用来给Office XP文档、软件代码、XML文件、Email等文件数字签名。 单位身份证书 服务器证书 数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中,江苏信息职业技术学院,28,28,数据加密技术原理,申请数字证书，并利用它发送电子邮件,江苏信息职业技术学院,29,29,数据传输的加密,链路加密方式 节点加密 端对端加密方式,密码技术是网络安全最有效的技术之一,江苏信息职业

13、技术学院,30,30,数据传输的加密,链路加密方式,江苏信息职业技术学院,31,31,数据传输的加密,链路加密方式,用于保护通信节点间传输的数据，通常用硬件 在物理层或数据链路层实现。,优点 由于每条通信链路上的加密是独立进行的，因此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。 报文中的协议控制信息和地址都被加密，能够有效防止各种流量分析。 不会减少网络有效带宽。 只有相邻节点使用同一密钥，因此，密钥容易管理。 加密对于用户是透明的，用户不需要了解加密、解密过程。,江苏信息职业技术学院,32,32,数据传输的加密,链路加密方式,缺点 在传输的中间节点，报文是以明文的方式出现，容易受

14、到非法访问的威胁。 每条链路都需要加密/解密设备和密钥，加密成本较高。,江苏信息职业技术学院,33,33,数据传输的加密,节点加密方式 操作方式和链路加密类似,优缺点 节点加密不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密 节点加密要求报头和路由信息以明文形式传输,江苏信息职业技术学院,34,34,数据传输的加密,节点加密方式,江苏信息职业技术学院,35,35,数据传输的加密,端对端加密方式,江苏信息职业技术学院,36,36,数据传输的加密,端对端加密方式,允许数据从源点到终点的传输过程中始终以密文形式存在， 由源节点和目标节点对传输的报文进行加

15、密和解密，一般在应用层或表示层完成。,优点 在高层实现加密，具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点 报文的控制信息和地址不加密，容易受到流量分析的攻击。 需要在全网范围内对密钥进行管理和分配。,江苏信息职业技术学院,37,37,常用加密协议,SSL协议:,安全套接层协议（Secure Socket Layer）。 SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。 SSL协议提供的功能有安全（加密）通信、服务器（或客户）身份鉴别、信息完整性检查等。 SSL协议最初由Netscape公司开发成功，是在Web客户和Web服务器之间建立安全通道的事实标准。 S

16、SL协议的版本。,江苏信息职业技术学院,38,38,常用加密协议,SSL协议:,安全套接层协议所在层次,SSL协议分为两部分：协商密钥和定义传输的格式,江苏信息职业技术学院,39,SSL密钥协商过程,A：我想和你安全通信，我这里有。 B：用DES-RSA-MD5组合，CB证书给A，里面有公钥和名字 A：验证CB证书真实性，产生会话密钥Ks，用B的公钥加密，传给B B：用自己的私钥解密会话密钥 双方可以用加密的方法互相发消息了,江苏信息职业技术学院,40,40,常用加密协议,TLS协议:,传输层安全协议（Transport Layer Security）。 TLS协议由IETF（Internet

17、 Engineering Task Force）组织开发。 TLS协议是对SSL 3.0 协议的进一步发展。 同SSL协议相比，TLS协议是一个开放的、以有关标准为基础的解决方案，使用了非专利的加密算法。,江苏信息职业技术学院,41,41,常用加密协议,IP-Sec协议(VPN 加密标准):,与SSL协议不同，IP-Sec协议试图通过对IP数据包进行加密，从根本上解决因特网的安全问题。 IP-Sec是目前远程访问VPN网的基础，可以在Internet上创建出安全通道来。,江苏信息职业技术学院,42,42,常用加密协议,IP-Sec协议:,IP-Sec协议有两种模式： 透明模式：把IP-Sec协

18、议施加到IP数据包上，但不改变数据包原来的数据头； 信道模式：把数据包的一切内容都加密（包括数据头），然后再加上一个新的数据头。,江苏信息职业技术学院,43,43,常用加密协议,其它加密协议与标准:,SSH：Secure Shell。 DNSSEC：Domain Name Server Security。 GSSAPI： Generic Security Services API。 PGP协议：Pretty Good Protocol。,江苏信息职业技术学院,(二）身份鉴别技术,江苏信息职业技术学院,45,45,身份鉴别技术,Is that Alice?,Hi, this is Alice.

19、Please send me data.,Internet,身份鉴别技术的提出,在开放的网络环境中，服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。,江苏信息职业技术学院,46,46,身份鉴别技术,常用的身份鉴别技术,基于用户名和密码的身份鉴别 基于对称密钥密码体制的身份鉴别技术 基于KDC（密钥分配中心）的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于证书的身份鉴别技术,江苏信息职业技术学院,47,47,身份鉴别技术,Yes. I have a user named “Alice” whose password is “byebye”. I can

20、send him data.,Hi, this is Alice. My User Id is “Alice”, my password is “byebye”. Please send me data.,Internet,基于用户名和密码的身份鉴别,江苏信息职业技术学院,48,48,身份鉴别技术,This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于对称密钥体制的身份鉴别,A,在这种技术中，鉴别双方共享一个对称密钥KAB，该对称密钥在鉴别之前已经协商好（不通过网络）。,RB,KAB(RB),RA,KAB(RA),Alice,Bob,江苏信息职业技术学院,49,49,身份鉴别技术,This i