第4章 数据加密与身份认证.ppt

《第4章 数据加密与身份认证.ppt》由会员分享，可在线阅读，更多相关《第4章 数据加密与身份认证.ppt（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第4 4章章 数据加密与身份鉴别数据加密与身份鉴别2一、数据加密的概念 信息安全技术是一门综合的学科，它涉及信息论、计算机科信息安全技术是一门综合的学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。其中，真实和完整。其中，信息安全的核心是密码技术信息安全的核心是密码技术。3一、数据加密的概念 数据加密模型数据加密模型密文密文网络信道网络信道明文明文明文明文q三要素：信息明文、密钥、信息密文

2、三要素：信息明文、密钥、信息密文加密密钥加密密钥信息窃取者信息窃取者解密密钥解密密钥加密算法加密算法解密算法解密算法4一、数据加密的概念数据加密技术的概念数据加密技术的概念 数据加密数据加密(Encryption)是指将明文信息是指将明文信息(Plaintext)采取数学方法进行函数转换成密文采取数学方法进行函数转换成密文(Ciphertext)，只有，只有特定接受方才能将其解密特定接受方才能将其解密(Decryption)还原成明文的过还原成明文的过程。程。q明文明文(Plaintext)：加密前的原始信息；加密前的原始信息；q密文密文(Ciphertext)：明文被加密后的信息；：明文被加

3、密后的信息；q密钥密钥(Key)：控制加密算法和解密算法得以实控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥；现的关键信息，分为加密密钥和解密密钥；q加密加密(Encryption)：将明文通过数学算法转换：将明文通过数学算法转换成密文的过程；成密文的过程；q解密解密(Decryption)：将密文还原成明文的过程。：将密文还原成明文的过程。5二、数据加密技术的应用二、数据加密技术的应用q数据保密；数据保密；q身份验证；身份验证；q保持数据完整性；保持数据完整性；q确认事件的发生。确认事件的发生。6三、数据加密技术分类 1、对称密钥算法（、对称密钥算法（DES,三重三重DES

4、,IDEA）2、非对称密钥算法（、非对称密钥算法（RSA,DSA)3、单向散列函数（、单向散列函数（MD5,SHA）7四、数据加密技术原理对称密钥加密（保密密钥法）对称密钥加密（保密密钥法）加密算法加密算法解密算法解密算法密钥密钥网络信道网络信道明文明文明文明文密文密文加密密钥加密密钥解密密钥解密密钥两者相等两者相等对称密码算法的优点：对称密码算法的优点：计算量小，加密效率高计算量小，加密效率高8四、数据加密技术原理非对称密钥加密（公开密钥加密）非对称密钥加密（公开密钥加密）加密算法加密算法解密算法解密算法公开密钥公开密钥网络信道网络信道明文明文明文明文密文密文私有密钥私有密钥公钥公钥私钥私钥

5、 公钥公钥私钥私钥不可相互推导不可相互推导不相等不相等优点：优点：安全性高，易于管理安全性高，易于管理缺点：缺点：计算量大、加密和机密速度慢。因此，非对称密码算法比较适合于加密短消计算量大、加密和机密速度慢。因此，非对称密码算法比较适合于加密短消息。息。（一）利用公钥密码体制实现加密主要步骤：1、每个用户产生一对密钥，用于加密和解密消息。2、每个用户将其中一个密钥存于公开的寄存器或其他可访问的文件中，该密钥称为公钥，另一密钥是私有的。每个用户可以拥有若干其他用户的公钥。3、若B要发消息给A，则B用A的公钥对消息加密4、A收到消息后，用其私钥对消息解密。由于只有A知道其自身的私钥，所以其他的接收

6、者均不能解密出消息。明文输入明文输入加密算法（如加密算法（如RSA）B用户用户A的的公钥公钥B的公钥环ACJK传输的密文传输的密文解密算法（加解密算法（加密算法的逆密算法的逆）A的的私钥私钥明文输出明文输出A用户用户利用公钥密码体制实现加密利用公钥密码体制实现加密(二）利用公钥密码体制实现数字签名数字签名主要提供信息交换时的不可否认性主要步骤：1、每个用户产生一对密钥，用于加密和解密消息。2、每个用户将其中一个密钥存于公开的寄存器或其他可访问的文件中，该密钥称为公钥，另一密钥是私有的。每个用户可以拥有若干其他用户的公钥。3、若B要发消息给A，则B用B的私钥对消息加密4、A收到消息后，用B公钥对

7、消息解密。由于只有B拥有其自身的私钥，所以A能确认消息是由B发出的。明文输入明文输入加密算法（如加密算法（如DSA）B用户用户B的私钥的私钥A的公钥环的公钥环BCJK传输的密文传输的密文解密算法（加解密算法（加密算法的逆密算法的逆）B的公钥的公钥明文输出明文输出A用户用户利用公钥密码体制实现数字签名利用公钥密码体制实现数字签名13四、数据加密技术原理混合加密系统混合加密系统对称密钥加密算法对称密钥加密算法对称密钥解密算法对称密钥解密算法对称密钥对称密钥网络信道网络信道明文明文明文明文密文密文 混合加密系统既能够安混合加密系统既能够安全地交换对称密钥，又全地交换对称密钥，又能够克服非对称加密算能

8、够克服非对称加密算法效率低的缺陷！法效率低的缺陷！非对称密钥加密算法非对称密钥加密算法非对称密钥解密算法非对称密钥解密算法对称密钥对称密钥公开密钥公开密钥私有密钥私有密钥 混合加密系统是对称密钥加密技术和非对称密钥混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合加密技术的结合14四、数据加密技术原理 哈希（哈希（Hash）算法）算法信息信息加密加密解密解密网络信道网络信道信息信息密文密文 哈希算法（哈希算法（hash algorithm），也叫信息标记算），也叫信息标记算法（法（message-digest algorithm），可以提供数据完整），可以提供数据完整性方面的判断依据。性

9、方面的判断依据。哈希算法哈希算法 结果相同，则结果相同，则数据未被篡改数据未被篡改比较比较 结果不同，则结果不同，则数据已被篡改数据已被篡改信息标记信息标记（digest）常用的哈希算法：常用的哈希算法：MD5SHA-1哈希算法哈希算法15五、数字签名五、数字签名 数字签名（数字签名（digital signature）技术通过某种加）技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查。进行数据完整性检查。16五、数字签名五、数字

10、签名数字签名的工作原理数字签名的工作原理非对称加密算法非对称加密算法非对称解密算法非对称解密算法Alice的私有密钥的私有密钥网络信道网络信道合同合同Alice的公开密钥的公开密钥哈希算法哈希算法标记标记标记标记-2合同合同哈希算法哈希算法比较比较标记标记-1如果两标记如果两标记相同，则符相同，则符合上述确认合上述确认要求。要求。AliceBob假定假定Alice需要传送一份合同给需要传送一份合同给Bob。Bob需要确认：需要确认：q合同的确是合同的确是Alice发送的发送的q合同在传输途中未被修改合同在传输途中未被修改17五、数字签名五、数字签名数字签名的作用数字签名的作用q唯一地确定签名人

11、的身份；唯一地确定签名人的身份；q对签名后信件的内容对签名后信件的内容 是否又发生变化进行验证；是否又发生变化进行验证；q发信人无法对信件的内容进行抵赖。发信人无法对信件的内容进行抵赖。当我们对签名人同公开密钥的对应关当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构系产生疑问时，我们需要第三方颁证机构（CA:Certificate Authorities）的帮助。）的帮助。18六、数字证书六、数字证书数字证书数字证书 数字证书相当于电子化的身份证明，应有值得数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（信赖的颁证机构（CA机构）的数字签名，可以用来机构）的数字签名

12、，可以用来强力验证某个用户或某个系统的身份及其公开密钥。强力验证某个用户或某个系统的身份及其公开密钥。数字证书既可以向一家公共的办证机构申请，数字证书既可以向一家公共的办证机构申请，也可以向运转在企业内部的证书服务器申请。这些也可以向运转在企业内部的证书服务器申请。这些机构提供证书的签发和失效证明服务。机构提供证书的签发和失效证明服务。19六、数字证书六、数字证书数字证书中的常见内容数字证书中的常见内容q发信人的公开密钥；发信人的公开密钥；q发信人的姓名；发信人的姓名；q证书颁发者的名称；证书颁发者的名称；q证书的序列号；证书的序列号；q证书颁发者的数字签名；证书颁发者的数字签名；q证书的有效

13、期限。证书的有效期限。如如:目前通用的目前通用的X.509证书证书20六、数字证书六、数字证书申请数字证书，并利用它发送电子邮件申请数字证书，并利用它发送电子邮件用户向CA机构申请一份数字证书，申请过程会生成他的公开/私有密钥对。公开密钥被发送给CA机构，CA机构生成证书，并用自己的私有密钥签发之，然后向用户发送一份拷贝。用户的同事从CA机构查到用户的数字证书，用证书中的公开密钥对签名进行验证。用户把文件加上签名，然后把原始文件同签名一起发送给自己的同事。证书申请签发的数字证书文件和数字签名数字证书的验证用户用户同事同事CA21七、常用加密协议 SSL协议协议:q安全套接层协议（安全套接层协议

14、（Secure Socket Layer）。）。qSSL是建立安全通道的协议，位于传输层和应是建立安全通道的协议，位于传输层和应用层之间，理论上可以为任何数量的应用层网用层之间，理论上可以为任何数量的应用层网络通信协议提供通信安全。络通信协议提供通信安全。qSSL协议提供的功能有安全（加密）通信、服协议提供的功能有安全（加密）通信、服务器（或客户）身份鉴别、信息完整性检查等。务器（或客户）身份鉴别、信息完整性检查等。qSSL协议最初由协议最初由Netscape公司开发成功，是在公司开发成功，是在Web客户和客户和Web服务器之间建立安全通道的事服务器之间建立安全通道的事实标准。实标准。qSSL

15、协议的版本。协议的版本。22七、常用加密协议数据链路层和物理层网络层（IP）传输层（TCP）安全套接层（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP SSL协议协议:安全套接层协议所在层次安全套接层协议所在层次23七、常用加密协议TLS协议协议:q传输层安全协议（传输层安全协议（Transport Layer Security）。）。qTLS协议由协议由IETF（Internet Engineering Task Force）组织开发。）组织开发。qTLS协议是对协议是对SSL 3.0 协议的进一步发展。协议的进一步发展。q同同SSL协议相

16、比，协议相比，TLS协议是一个开放的、以协议是一个开放的、以有关标准为基础的解决方案，使用了非专利的有关标准为基础的解决方案，使用了非专利的加密算法。加密算法。24七、常用加密协议IP-Sec协议协议(VPN 加密标准加密标准):InternetInternalNetworkEncrypted IPEncrypted IP q与与SSL协议不同，协议不同，IP-Sec协议试图通过对协议试图通过对IP数据数据包进行加密，从根本上解决因特网的安全问题。包进行加密，从根本上解决因特网的安全问题。qIP-Sec是目前远程访问是目前远程访问VPN网的基础，可以在网的基础，可以在Internet上创建出安

17、全通道来。上创建出安全通道来。25七、常用加密协议IP-Sec协议协议:IP HDRIP HDRMay Be EncryptedIP HDRIP HDRDataDataIPsec HDRIPsec HDRDataDataIP HDRIP HDRDataDataIPsec HDRIPsec HDR IP HDRIP HDRNew IP HDRNew IP HDRMay Be EncryptedDataData信道模式信道模式透明模式透明模式 IP-Sec协议有两种模式：协议有两种模式：q透明模式：把透明模式：把IP-Sec协议施加到协议施加到IP数据包上，但数据包上，但不改变数据包原来的数据头；不改变数据包原来的数据头；q信道模式：把数据包的一切内容都加密（包括数信道模式：把数据包的一切内容都加密（包括数据头），然后再加上一个新的数据头。据头），然后再加上一个新的数据头。