电脑基础知识第5章信息加密技术课件

1、第5章 信息加密技术防灾科技学院灾害信息工程系主讲教师:王小英 主要内容信息加密技术的基本概念 对称密码学公钥密码学密钥管理与交换技术密码分析与攻击网络加密技术加密解密案例一、基本概念数字通信系统模型信源编码加密信道编码公开信道信源译码信道译码解密首先进行采样一、基本概念数字通信系统研究领域信源编码目的：采集数据、压缩数据以利于信息的传送。算法：算术编码、矢量量化（VQ）编码、相关信源编码、变换编码等。信道编码目的：数据在信道上的安全传输，使具有自我纠错能力，又称纠错码。算法：BCH码、循环码、线性分组码等。密码学目的：保密通信。算法：公钥密码体系、对称钥密码体系。密码学是一门研究通信安全和保

2、护信息资源的既古老而又年青的科学和技术。密码学包含两方面内容：密码编码学、密码分析学。 密码编码学是对信息编码以隐蔽信息的一门学问。 密码分析学是研究分析破译密码的学问。这二者既相互对立又相互促进，共同推动密码学的发展。一、基本概念密码学概述一、基本概念密码学基本概念明文：需要秘密传送的消息。密文：明文经过密码变换后的消息。加密：由明文到密文的变换。解密：从密文恢复出明文的过程。破译：非法接收者试图从密文分析出明文的过程。加密算法：对明文进行加密时采用的一组规则。解密算法：对密文进行解密时采用的一组规则。密钥：加密和解密时使用的一组秘密信息。加解密过程示意图明文明文密文加密算法解密算法密钥密钥

3、一、基本概念密码学基本概念密码系统一个密码系统可以用以下数学符号描述：S = P，C，K，E，DP = 明文空间C = 密文空间K = 密钥空间E = 加密算法D = 解密算法当给定密钥kK时，加解密算法分别记作Ek、Dk，密码系统表示为Sk = P，C，k， Ek， DkC = Ek（P）P = Dk（C） = Dk（ Ek（P） ） 一、基本概念密 码 学 历 史发展史早在4000多年以前，古埃及人就在墓志铭中使用过类似于象形文字那样奇妙的符号；公元前约50年，凯撒密码一种简单的字符替换被认为是最早的正式算法；双轨式密码、网格式密码、字典编号密码；传统密码学、现代密码学、量子密码学。应用领

4、域军事、外交、情报 商业、个人通信一、基本概念密码体制的分类单钥密码学（对称密码学）加密密钥和解密密钥相同；系统的保密性取决于密钥的安全性；如何分发密钥是难点。双钥密码学（非对称密码学，公钥密码学）加密密钥和解密密钥不同；系统的安全保障在于要从公开钥和密文推出明文或私钥在计 算上是不可行的；分发密钥简单。一、基本概念古 典 密 码 学已经成为历史，但被传统密码学所借鉴；加解密都很简单，易被攻破；属于对称密钥学；包括置换密码、单表代换密码、 多表代换密码等置换密码(permutation cipher)，又称换位密码（transposition cipher)：明文的字母保持相同，但顺序被打乱了

5、。 周期性换位E =（2，1，4，3）D =（2，1，4，3）M =“置换密码”C = E(M) = “换置码密”矩阵换位 将明文P=can you understand排列为44的矩阵： 列序：1 2 3 4 c a n y o u u n d e r s t a n d密钥： 4 3 1 2表示将矩阵中第1列字符作为密文序列的第3组，矩阵中第2列作为密文序列的第2组，依次类推，结果如下： C=y n s d n u r n c o d t a u e a一、基本概念古 典 密 码 学代替密码（substitution cipher)：就是明文中的每一个字符被替换成密文中的另一个字符。接收者

6、对密文做反向替换就可以恢复出明文。 单表代换密码举例明文：a b c d e f g h i j k l m n o p q r s t u v w x y z密文：D E F G H I J K L M N O P Q R S T U V W X Y Z A B C m = “Caser cipher is a shift substitution”c = “FDVHDU FLSHU LV D VKLIW VXEVWLWXWLRO”一、基本概念古 典 密 码 学单表替代密码凯撒（Caesar）密码，又叫循环替代。加密方法：是将明文中的每个字母用此字符在字母表中后面第K个字母替代。它的加密过程

7、可以表示为下面的函数： E(m)=(m+K) mod nm: 为明文字母在字母表中的位置数n: 为字母表中的字母个数K: 为密钥E(m)为密文字母在字母表中对应的位置数如：明文字母H ,m=8 设k=4 则密文？一、基本概念古 典 密 码 学20世纪的密码机二、对称密码学对称密码学概述加密：EK（M）= C 解密：DK（C）= M 等效于 DK（EK（M）=M数学变换函数密钥K明文密文数学变换函数密钥K明文密文二、对称密码学对称密码学概述网络信息M对称密码算法密钥K密文C用户A对称密码算法密文C用户B信息M密钥K二、对称密码学对称密码学分类块密码（分组密码）一次若干位一组地对明文进行操作和运算

8、 流密码（序列密码）每次一位地对明文进行操作和运算二、对称密码学块 密 码工作方式将明文分成固定长度的组（块），如64bit一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 主要算法DES、3DES、IDEA、RC2、AES等。二、对称密码学数据加密标准（DES）数据加密标准（Data Encryption Standard）, 已经有20多年的历史；DES是一种对称密码算法，1976年11月23日DES被采纳为联邦标准；DES是第一个得到广泛应用的密码算法；DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位；DES已经过时，基本上认为不再安全。二、对称

9、密码学数据加密标准（DES）该算法分三个阶段实现1. 给定明文X，通过一个固定的初始置换IP来排列X中的位，得到X0。X0=IP（X）=L0R0其中L0由X0前32位组成，R0由X0的后32位组成。 2.计算函数F的16次迭代, 根据下述规则来计算LiRi(1=i=16） Li=Ri-1, Ri=Li-1 F(Ri-1, Ki)其中Ki是长为48位的子密钥。子密钥K1，K2，K16是作为密钥K（56位）的函数而计算出的。 3.对比特串R16L16使用逆置换IP-1得到密文Y。Y=IP-1（R16L16）二、对称密码学数据加密标准（DES）L i-1R i-1P-盒置换R iL i密钥移位密钥移

10、位压缩置换S-盒代替扩展置换 二、对称密码学数据加密标准（DES）图1一轮 DESL i=R i-1R i= L i-1 f(R i-1,K i)*注：其中L i和R i是某一轮DES迭代的结果的左半部分和右半部分，是第 i轮的48位密钥，且f是实现代替、置换及密钥异或等运算的函数二、对称密码学数据加密标准（DES）初始置换：在第一轮运算之前执行，对输入分组实施如下表所示。例如：初始置换把明文的第58位换到第1位的位置，把第50位换到第2位的位置二、对称密码学数据加密标准（DES）二、对称密码学数据加密标准（DES）密钥置换：不考虑每个字节的第8位，DES的密钥由64位减至56位如下表所示(P

11、2.6)在DES的每一轮中，从56位密钥产生出不同的48位子密钥子密钥的产生：56位密钥被分成两部分，每部分28位。然后，根据轮数，这两部分分别循环左移1位或2位。如下表给出了每轮移动的位数。移动后经过压缩置换从56位选出48位轮12345678910111213141516位数1122222212222221压缩置换表(P2.6)扩展置换：R I从32位扩展到了48位。这个运算改变了位的次序，重复了某些位。也称E盒。对每个4-位输入分组,第1和第4位分别表示输出分组中的两位,而第2，3位表示输出分组中的一位。12482432135673469587扩展置换(P2.3)S-盒代替：压缩后的密钥

12、与扩展分组异或以后，输入48位， 48位的输入被分为8个6-位的分组，每一分组对应一个S盒代替操作，分组1由S-盒1操作经过8个S-盒时，每个S-盒都有6-位输入，4-位输出，且这8个S-盒是不同的。最后输出32位48位输入32位输出S盒1S盒2S盒7S盒8每个S-盒都是一个4行、16列的表。盒中的每一项都是一个4位的数。 S-盒的6位输入确定了其对应的输出在哪一行哪一列。假定S-盒的6位的输入标记为b1、b2、b6.则b1和b6组合构成了一个2-位的数，对应着表中的一行。B2-b5构成了一个4-位的数，对应着表中的一列。例如：设第6个S-盒的输入为110011,则11三行，1001九列，三行

13、九列处的数为14，则输出1110*问题：B1=010011,输出？P-盒置换： S-盒代替运算后的32-位输出作为P-盒置换输入，该置换把每输入位映射到输出位(P2.5)末置换：末置换是初始置换的逆过程（P2.2)DES解密*加密和解密可以使用相同的算法*解密要求密钥的次序相反*子密钥生成，要求密钥向右移动轮12345678910111213141516位数1122222212222221二、对称密码学数据加密标准（DES）DES密钥长度太小DES迭代次数可能太少DES的破解1997年1月28日，RSA数据安全公司在RSA安全年会上悬赏10000美金破解DES，克罗拉多州的程序员Verser在

14、Inrernet上数万名志愿者的协作下用96天的时间找到了密钥长度为40-bit和48-bit的DES密钥。1998年7月电子边境基金会（EFF）使用一台价值25万美元的计算机在56小时之内破译了56-bit的DES。 1999年1月电子边境基金会（EFF）通过互联网上的10万台计算机合作，仅用22小时15分就破解了56-bit的DES 。1999年，几个小时内就能破解。DES的原理混淆(confusion)： 即在加密变换过程中使明文、密钥及密文之间的关系复杂化。用于掩盖明文和密文间的关系。扩散 (diffusion)： 即将每一位明文信息的变动，都会影响到密文中许多位信息的变动，即改变一个

15、明文尽可能多的改变多个密文，从而隐藏统计上的特性，增加密码的安全。单独用一种方法，容易被攻破。流密码只依赖于混淆；分组密码两者都用。现代密码设计基本思想其他分组算法3DESIDEA（国际数据加密算法）RC5CAST算法AES算法二、对称密码学三重DES使用三（或两）个不同的密钥对数据块进行三次（或两次）加密，加密一次要比进行普通加密的三次要快三重DES的强度大约和112bits的密钥强度相当三重DES有四种模型DES-EEE3 使用三个不同密钥顺序进行三次加密变换DES-EDE3 使用三个不同密钥依次进行加密-解密-加密变换DES-EEE2 其中密钥K1=K3 顺序进行三次加密变换DES-ED

16、E2 其中密钥K1=K3 依次进行加密-解密-加密变换到目前为止还没有人给出攻击三重DES的有效方法IDEAInternational Data Encryption Algorithm；由瑞士联邦理工学院的Xuejia Lai和James Massey于 1990年提出(西电，瑞士，上交大)IDEA是对称、分组密码算法，输入的明文为64位，密钥为128位，生成的密文为64位；IDEA是一种相对较新的算法，有坚强的理论基础，已被证明可对抗差分分析和线性分析；目前还没有发现明显的安全漏洞，应用十分广泛。著名的电子邮件安全软件PGP就采用了IDEA进行数据加密。二、对称密码学高级加密标准（AES）

17、1997年4月15日美国国家标准和技术研究所 NIST 发起了征集AES算法的活动并成立了专门的AES工作组目的是为了确定一个非保密的公开披露的全球免费使用的分组密码算法用于保护下一世纪政府的敏感信息并希望成为秘密和公开部门的数据加密标准1997年9月12日在联邦登记处公布了征集AES候选算法的通告AES的基本要求是比三重DES快或至少和三重DES一样安全分组长度128比特，密钥长度为128/192/256比特1998年8月20日NIST召开了第一次候选大会并公布了15个候选算法二、对称密码学高级加密标准（AES）1999年3月22日举行了第二次AES候选会议从中选出5个算法MARS RC6

18、Serpent Twofish Rijndael 2000年10月，美国国家技术标准委员会(NIST) 选定“Rijndael”全为AESRijndael是迭代分组密码，其分组长度和密钥长度都是可变的；为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14。二、对称密码学流密码明文m=m1,m2,.mk伪随机序列k=k1,k2,.kk密文ci=miki ,i=1,2,.k解密过程与加密过程一致序列密码的安全性完全依赖于伪随机数的强度移位寄存器是产生序列密码的有效方法RC4、 SEAL（Software Optimized Encry

19、ption Algorithm，软件优化加密算法）小结对称密码学分为分组密码和流密码数据加密标准（DES）的算法设计高级加密标准（AES）的评选二、公钥密码学公钥密码学概述Whitefield Diffie，Martin Hellman，New Directions in Cryptography,1976公钥密码学的出现使大规模的安全通信得以实现 解决了密钥分发问题；公钥密码学还可用于另外一些应用：数字签名、防抵赖等；公钥密码体制的基本原理 陷门单向函数(trapdoor one-way function)二、公钥密码学公钥密码学概述加密：EK1（M）= C 解密：DK2（C）= M 等效于

20、 DK2（EK1（M）=M数学变换函数密钥K1明文密文数学变换函数密钥K2明文密文二、公钥密码学公钥密码学概述网络信息M非对码密钥算法B公钥密文C用户B用户A非对称密码算法密文C信息MB私钥二、公钥密码学公钥密码学中的密码管理 双方如何交换密钥。通过传统手段，还是通过因特网，都会遇到密钥传送的安全性问题。 单钥密码技术要求通信双方事先交换密钥。在实际应用中，一方需要与成千上万的通信方进行交易，若采用单钥密码技术，每个用户需要管理成千上万个不同对象通信的密钥。 在现实环境中，密钥通常会经常更换，更为极端的是，每次传送都使用不同的密钥，单钥密码技术的密钥管理和发布都是远远无法满足使用要求的。 公钥

21、密钥技术解决了密钥的发布和管理问题，任何一方可以公开其公开密钥，而保留私有密钥。发送方可以用人人皆知的接收方公开密钥对发送的信息进行加密，安全的传送给接收方，然后由接收方用自己的私有密钥进行解密。 二、公钥密码学公钥密码学中的密码管理二、公钥密码学RSA算法概述Rivest, Shamir和Adleman 1977年研制并且1978年首次发表。密码分析者尚不能证明其安全性，但也不能否定其安全性。RSA是一种分组密码，其理论基础是一种特殊的可逆模指数运算，其安全性基于分解大整数的困难性。既可以用于加密，也可用于数字签名。硬件实现时，比DES慢约1000倍。软件实现时比DES慢约100倍。永远不会

22、比对称钥算法快。已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳，目前多数公司使用的是RSA公司的PKCS系列。二、公钥密码学RSA算法描述 设n是两个不同奇素数之积，即n = pq，计算其欧拉函数值z=(n)=(p-1)(q-1). 随机选一整数e,1e(n), (n),e)=1.即使e和(p-1)(q-1)互素 因而在模z下,e有逆元 取公钥为n,e,秘密钥为d.(p,q不再需要，应该被舍弃，但绝不可泄露) 定义加密变换为 解密变换为)mod(1zed-=令P=5,q=11取e=3,n=5*11=55则z=(5-1)*(q-1)=40,计算e*d=1(mod z),可得d

23、=27得到公钥(55,3),私钥为(55,27)设明文m为809,两位为一组则为08,09则c1=m1e(mod n)=(08)3(mod 55)=17;C2=14因此,得到的密文信息为:17,14解密:m1=c1d(mod n)=1727(mod 55)=08 m2=09问题:设p=3,q=11,m=2,密文是多少?二、公钥密码学RSA算法描述二、公钥密码学RSA算法安全性RSA的安全性是基于加密函数ek(x)=xe(mod n)是一个单向函数，所以对的人来说求逆计算不可行。而能解密的陷门是分解n=pq，知 (n)=(p-1)(q-1)。从而用欧氏算法解出解密私钥d。密码分析者攻击RSA体制

24、的关键点在于如何分解n。若分解成功使n=pq，则可以算出(n)（p-1)(q-1)，然后由公开的e，解出秘密的d。二、公钥密码学RSA算法关键技术密钥选择位数:1024以上,素性应该证明p-1,q-1有大的素因子p+1,q+1也要有大的素因子e的选取，最常用的e值为3，65537（216+1）算法实现软件与硬件结合,并行算法等二、公钥密码学RSA算法使用1.加解密 A的公开密钥为(e,n),B对消息m加密 c=me mod n 给A, 只有A能解密 m=cd mod n 特点:和A从来不认识,都可进行保密通讯,只要知道A的公钥.速度慢,不实用. 要求对公开密钥进行保护，防止修改和替换。二、公钥

25、密码学RSA算法使用2.数字签名与身份认证A的公开密钥为(e,n),私钥为(d,n),A对消息m的数字签名为:s=H(m)d mod n, H(x)为公开的散列(hash)函数.任何人都可验证A对m的签名的有效性 H(m)=se mod n功能:防止非法篡改、伪造,A的抵赖与否认,对A的假冒等。要求对公开密钥进行保护，防止修改。二、公钥密码学Hash杂凑函数杂凑(Hash)函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数，通常是单向杂凑函数；强单向杂凑与弱单向杂凑，对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似 ；杂凑函数除了可用于数字签名方案之外，还可用于其它

26、方面，诸如消息的完整性检测（一般杂凑函数）、消息的起源认证检测（密码杂凑函数）等。二、公钥密码学一般杂凑函数杂凑值只是输入字串的函数，任何人都可以计算；函数y=H(x),要求将任意长度的x变换成固定长度的y,并满足：1.单向性,任给y,计算x,使得y=H(x)困难2.快速性,计算y=H(x)容易3.无碰撞,寻找x1 x2 ,满足H(x1)=H(x2)是困难的.常用的一般杂凑函数有 MD5, SHA等。二、公钥密码学MD系列杂凑函数Ron Rivest设计的系列杂凑函数系列:MD4RFC1320MD5是MD4的改进型RFC1321MD2RFC1319，已被Rogier等于1995年攻破较早被标准

27、化组织IETF接纳，并已获得广泛应用Hash值长度为128bitsMD5算法对任意长度的输入值处理后产生128位的输出值算法:1、首先对信息填充N*512+448，2、在1步后附加一个64位二进制数，表示填充前信息长度3、对信息依次每次处理512位，每次进行4轮每轮16步共64步的信息变换处理二、公钥密码学MD系列杂凑函数F,T116,Xi16 stepsG,T1732,X2i16 stepsH,T3348,X3i16 stepsI,T4964,X4i16 steps+ABCDABCDABCDABCDCVq12832Yq512CVq+1128+ is mod 232明文认证码每一轮以当前的51

28、2位数据块(Yq)和128位缓冲值ABCD作为输入，并修改缓冲值的内容。每次使用64元素表T164中的四分之一，T由正弦函数sin构造而成。T的第i个元素表示为Ti，其值等于232abs(sin(i),其中i是弧度。由于abs(sin(i)是一个0到1之间的数，T的每一个元素是一个可以表示成32位的整数。T表提供了随机化的32位模板，消除了在输入数据中的任何规律性的特征。 128128128128A=01234567,B=89abcdef,C=fedcba98,D=76543210四个非线性函数(每轮一个):F(B,C,D)=(BC) V(B) VD)G(B,C,D)=(BD) V(C(D)

29、H(B,C,D)=BCDI(B,C,D)=C(B V (D)16步操作中的4次操作,16步操作按照一定次序顺序进行FF(A,B,C,D,Mj,S,Tj)表示a=b+(a+(F(B,C,D)+Mj+Ti)S)GG(A,B,C,D,Mj,S,Tj)表示a=b+(a+(G(B,C,D)+Mj+Ti)S)HH(A,B,C,D,Mj,S,Tj)表示a=b+(a+(H(B,C,D)+Mj+Ti)S)II(A,B,C,D,Mj,S,Tj)表示a=b+(a+(I(B,C,D)+Mj+Ti)S)“+”定义为mod232的模运算其中, Mj为第q个512位数据块中的第j个32位子分组Ti是232*abs(sin(

30、i)的整数部分,i的单位是弧度S表示循环左移二、公钥密码学密码杂凑函数杂凑值与输入字串和密钥有关，只有持有密钥的人才能计算出相应的杂凑值；具有身份验证功能，用于构造消息认证码（MAC）；常用的密码杂凑函数有HMAC。二、公钥密码学各种算法特点对称密码算法 加/解密速度快，但密钥分发问题严重非对称密码算法 加/解密速度较慢，但无密钥分发问题杂凑函数 计算速度快，结果长度统一三、数字签名章 节 介 绍数字签名算法PKI技术SSL安全协议安全电子邮件 3.1数字签名算法数字签名概述日常生活和经济往来中，签名盖章和识别签名是一个重要环节；计算机网络通信时代，用密码学来实现数字签名；数字签名特点：收方能

31、够确认或证实发方的签字；任何人都不能仿造；如果发方否认他所签名的消息，可以通过仲裁解决争议。 3.1数字签名算法数字签名与手写签名和消息认证与手写签名的区别；手写签名是模拟的，且因人而异；数字签名是01数字串，因消息而异。与消息认证的区别：消息认证使收方能验证消息内容是否被篡改；数字签名还可以认证消息发送者的身份。 3.1数字签名算法数字签名算法RSA算法应用最广泛DSA（Digital Signature Algorithm）算法基于有限域上的离散对数问题GOST算法俄罗斯采用的数字签名标准算法 3.1数字签名算法数字签名与验证过程在数学上保证：只要改动消息的任何一位，重新计算出的消息摘要就

32、会与原先值不符。这样就保证了消息的不可更改。第一步：将消息按散列算法计算得到一个固定位数的消息摘要值。 3.1数字签名算法数字签名与验证过程第二步：对消息摘要值用发送者的私有密钥加密，所产生的密文即称数字签名。然后该数字签名同原消息一起发送给接收者。第三步：接收方收到消息和数字签名后，用同样的散列算法对消息计算摘要值，然后与用发送者的公开密钥对数字签名进行解密，将解密后的结果与计算的摘要值相比较。如相等则说明报文确实来自发送者。 3.1数字签名算法数字签名与验证过程图示消 息摘要数字签名消 息数字签名消 息摘要数字签名摘要发送方接收方 3.2 PKI技术PKI是什么PKI (Pubic Key

33、 Infrastructure)是一个用公钥技术来实施和提供安全服务的具有普适性的安全基础设施一个基础设施可视作一个普适性基础，它的目的是，只要遵循需要的原则，不同的实体就可以方便地作用基础设施提供的服务电子通信基础设施（网络）允许不同机器之间为不同的目的交换数据电力供应基础设施可以让各种电力设备获得运行所需要的电压和电流 3.2 PKI技术PKI是什么PKI(Pubic Key Infrastructure)是一个利用公钥加密技术为密钥和证书在生存期（有效期）内的管理，所设计的组件、功能子系统、操作规程等的集合。PKI的主要任务是管理密钥和证书。PKI能为网络用户建立安全通信信任机制。 3.

34、2 PKI技术为什么需要PKI开放的互联网存在种种潜在的欺诈机会在互联通信网络中需在建立并维护一种令人可以信任的环境和机制信息机密性身份真实性信息完整性不可抵赖性 3.2 PKI技术为什么需要PKI 3.2 PKI技术PKI的组成证书签发机构（CA）证书注册机构（RA）证书库密钥备份及恢复系统证书废除处理系统应用系统接口 3.2 PKI技术证书签发机构（CA）CA（Certification Authority）是PKI的核心.CA对任何一个主体的公钥进行公证CA通过签发证书将主体与公钥进行捆绑 3.2 PKI技术证书注册机构（CA）RA（Registration Authority）是CA的

35、组成部分RA是CA面对用户的窗口，它负责接收用户的证书申请、审核用户的身份RA也负责向用户发放证书 3.2 PKI技术证 书 库证书库是证书的集中存放地，用户可以从此处获得其他用户的证书构造证书库可以采用X.500、LDAP、WWW、FTP、数据库等 3.2 PKI技术密钥备份及恢复系统如果用户的解密私钥丢失，则密文无法解密，造成数据丢失密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对解密私钥，签名私钥不能备份 3.2 PKI技术证书废除处理系统证书在有效期之内由于某些原因可能需要废除废除证书一般是将证书列入证书黑名单（CRL）来完成CRL一般存放在目录系统中 3.2 PKI技术PK

36、I应用系统接口 PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务。 一个完整的PKI必须提供良好的应用接口，使得各种应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性。 3.2 PKI技术PKI的功能签发证书证书、密钥对的自动更新签发证书黑名单密钥备份与恢复功能加密、签名密钥的分隔密钥历史的管理交叉认证 3.2 PKI技术PKI的性能要求透明性和易用性可扩展性互操作性支持多应用支持多平台物理安全系统安全数据安全流程安全人员安全 3.2 PKI技术PKI的运营考虑 3.2 PKI技术PKI的应用PKI应用PKI证书 3.2 PKI技术PKI的标准化在密码和

37、安全技术普遍用于实际通信的过程中，标准化是一项非常重要的工作。标准化可以实现规定的安全水平，具有兼容性，在保障安全的互连互通中起关键作用。标准化有利于降低成本、训练操作人员和技术的推广使用。 ITU-T X.509 PKIX文档（RFC） PKCS系列标准 3.2 PKI技术PKI关键技术 数字证书 证书认证中心（CA） 证书撤销机制 PKI信任模式 3.2 PKI技术什么是证书 数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据 数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件 3.2 PKI技术数字证书的作用 数字证书是各类终端

38、实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。 用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。 3.2 PKI技术数字证书的结构 3.2 PKI技术CA的作用 认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。 3.2 PKI技术CA的层次结构 建立自上而下的信任链，下级CA信任上级CA，下级CA由上级CA颁发证书并认证。根CA二级CACACA二级CA 3.2 PKI技术CA的提供服务颁发证书更新证书验证证书废除证

39、书管理密钥 3.2 PKI技术CA的安全措施保证CA系统的物理通道的安全操作员权限控制岗位职责明确建立安全分散和牵制机制身份认证任何与CA中心的通讯都采用加密机制定期对所有涉及安全的事务进行审查 3.2 PKI技术颁发证书1. 用户到认证中心（CA）的业务受理点申请证书2. 认证中心审核用户的身份3. 认证中心为审核通过的用户签发证书4. 认证中心将证书灌制到证书介质中，发放给用户 3.2 PKI技术证 书 介 质磁盘用户将磁盘中的证书复制到自己的PC机上，当用户使用自己的PC机享受电子商务服务时，直接读入即可。IC卡只有正确输入IC卡口令后才能将卡中的私钥和证书读出来。USB电子钥匙使得用户

40、的私钥不出卡，所有的运算均在硬件内完成，从根本上保证了用户的私钥的安全。 3.2 PKI技术废 除 证 书 证书的废除是指证书在到达它的使用有效期之前将不再使用废除证书的原因证书用户身份信息的变更CA签名私钥的泄漏证书对应私钥的泄漏证书本身遭到损坏其他原因 3.2 PKI技术废 除 证 书1. 用户到认证中心（CA）的业务受理点申请废除证书2. 认证中心审核用户的身份3. 认证中心定期签发证书黑名单（CRL）4. 认证中心将更新的CRL在线发布，供用户查询和下载 3.2 PKI技术证书黑名单(CRL) CRL（Certificate Revocation List，证书黑名单）是由CA认证中心

41、定期发布的具有一定格式的数据文件，它包含了所有未到期的已被废除的证书（由CA认证中心发布）信息。 3.2 PKI技术PKI的性能要求用户证书更新证书快到期、更换密钥CA证书更新为保证平滑转换，需要新签发证书 3.2 PKI技术管理密钥密钥产生CA中心、客户端密钥存储CA中心、客户端密钥分发加密传输 3.2 PKI技术密钥备份与恢复根据用户需求，CA中心可对用户的加密私钥进行备份，并确保密钥安全CA中心的签名私钥可由上级CA中心来备份所有密钥的备份都采用密钥分享技术，并将备份信息分段保存在不同的地方所有密钥的恢复必须满足一定的条件（人数、信息分段的位置、特定的算法）才能完成 3.2 PKI技术验

42、证证书第一步： 验证真实性。证书是否为可信任的CA认证中心签发？ 证书真实性的验证是基于证书链验证机制的。 3.2 PKI技术证 书 链主体：CA-BB的公钥发证者A根CAA的公钥主体：CA-CC的公钥发证者B主体:用户U1U1的公钥发证者C用户U1的公钥主体:CA-DD的公钥发证者B主体:用户U2U2的公钥发证者D用户U2的公钥证书4证书1证书2证书5证书3 3.2 PKI技术验证证书第二步： 验证有效性。证书是否在证书的有效使用期之内？ 证书有效性的验证是通过比较当前时间与证书截止时间来进行的。 3.2 PKI技术验证证书第三步： 验证可用性。证书是否已废除？ 证书可用性的验证是通过证书撤

43、销机制来实现的。 3.2 PKI技术证书撤消机制CRL及改进机制在线查询机制信任词典机制短期证书机制 3.2 PKI技术证书黑名单数据格式版本号签名算法签发者本次更新下次更新撤销的证书列表CRL扩展项签名值 单个撤销的证书记录 证书序列号撤销时间条目扩展项 3.2 PKI技术CRL的结构 3.2 PKI技术CRL的结构 3.2 PKI技术PKI的信任模式什么叫“信任”？如果实体A认为实体B严格地按A所期望的那样行动，则A信任B。 ITU-T X.509信任涉及假设、预期和行为。如果一个终端实体假设CA能够建立并维持一个准确的对公钥属性的绑定（例如，准确地指出它所签发证书的实体的身份），则该实体

44、信任该CA。 3.2 PKI技术PKI的信任模式证书链如果一个终端实体信任一个CA，那么该实体可以通过证书链来传递信任 信任锚证书链的起始端 信任模式 “信任锚”的选择和证书链构造方式的不同构成了不同的信任模式 3.2 PKI技术PKI的信任模式级连模式网状模式混合模式桥接模式多根模式 3.2 PKI技术连 级 模 式根CA表示CA表示终端实体12543AB 3.2 PKI技术网 状 模 式表示CA表示终端实体12543AB 3.2 PKI技术混 合 模 式表示CA表示终端实体678A表示级连模式域2415B3根CA根CA 3.2 PKI技术桥 接 模 式表示CA3根CA根CA表示终端实体47

45、8A表示级连模式域256B1根CA桥CA 3.2 PKI技术多 根 模 式表示CA表示终端实体245B1根CA3根CAA根CA 3.2 PKI技术PKI信任模式比较项目级连模式网状模式混合模式桥接模式多根模式信任锚的选取唯一的根CA任意CA不同信任域中的根CA不同信任域中的根CA多个根CA证书链的构造简单，从上到下的唯一一条证书路径复杂，有多条证书路径，易出现死循环较简单，可能存在多条证书路径简单，跨信任域的证书路径都经过桥CA简单，从上到下的唯一一条证书路径信任域的扩展不能扩展，只能信任同一个根容易，适合少量的信任域容易，适合少量的信任域非常容易，不受数量限制不容易，需浏览器厂商预设信任建立

46、方式自上而下的单向信任CA间双向信任单一信任域内单向信任，信任域间双向信任单一信任域内单向信任，信任域与桥CA双向信任多个自上而下的单向信任适用环境一个组织或机构内部一个机构内部或数目不多的多个机构数目不多的多个机构数目不限的多个机构多个机构，需要浏览器厂商支持 3.2 PKI技术PKI的交叉认证交叉认证模式树型结构、网型结构、桥型结构 交叉认证技术交叉认证证书、特有扩展 交叉认证应用 单向、双向 3.2 PKI技术PKI的应用实例在Web服务器和浏览器之间的通讯（SSL）在Internet上的信用卡交易（SET）安全电子邮件虚拟专用网(VPN)Windows域登录SSL协议SSL协议安全功能

47、SSL工作机制SSL体系结构：SSL协议栈SSL协议应用SSL协议传输报文格式三、SSL协议1.SSL协议安全功能 主要用于浏览器和Web服务器之间建立安全的数据传输通道，还适用于Telnet,Ftp等服务。机密性因为在握手协议定义了会话密钥后，所有的消息都被加密数据的完整性因为传送的消息包括消息完整性检查(使用MAC)身份验证可对客户端（可选）和服务器用证书进行身份确认三、SSL协议SSL协议功能简述SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协

48、议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送；应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了TCP/IP协议安全性较差的弱点。三、SSL协议SSL的应用 SSL采用TCP作为传输协议提供数据的可靠传输和接受。Http、FTP、LDAP等Http、FTP、LDAP等SSL握手协议SSL记录协议SSL握手协议SSL记录协议TCP/IPTCP/IPSocket层（网络通信层）应用层SSL协议的位置三、SSL协议2.SSL工作机制客户端向服务器端提出请求，要求建立安全通信机制客户端与服务器进行协商，确定用于保证安

49、全通信的加密算法和强度服务器将其服务器证书发送给客户端。该证书包含服务器的公钥，并用CA的私钥加密。客户端使用CA的公钥对服务器证书进行解密，获得服务器公钥。客户端产生用于创建会话密钥的信息，并用服务器公钥加密，然后发送到服务器。服务器使用自己私钥解密，生成会话密钥，然后用服务器公钥钥加密，发送给客户端。双方都拥有了会话密钥服务器和客户端使用会话密钥来加密和解密传输的数据。三、SSL协议3.SSL体系结构：SSL协议栈IPTCPSSL记录协议SSL握手协议SSL修改密文协议SSL告警协议HTTP协议说明记录协议: 具体实现压缩/解压缩、加密/解密、计算MAC 等与安全有关的操作。三、SSL协议

50、更改密码说明协议: 其由一条消息组成, 可由客户端或服务器发送, 通知接收方后面的记录将被新协商的密码说明和密钥保护。接收方得此消息后, 立即指示记录层把即将读状态变成当前读状态, 发送方发送此消息后, 应立即指示记录层把即将写状态变成当前写状态。警告协议: 警告消息、传达消息的严重性并描述警告。一个致命的警告将立即终止连接。警告消息有以下几种: 错误记录MAC 消息、解压失败消息、握手失败消息、错误证书消息、证书撤回消息、证书期满消息、非法参数消息等等。应用数据协议: 把应用数据直接传递给记录协议。握手协议: 用来在客户端和服务器端传输应用数据之前建立安全。三、SSL协议4.SSL协议应用三

51、、SSL协议SSL的安全性分析 SSL 协议所采取的加密算法和认证算法使它具有较高的安全性。下面是SSL 协议对几种常用攻击的应对能力。监听和中间人式的攻击: SSL 是用一个经过通信双方协商确定的加密算法和密钥,对不同的安全级别应用都可以找到不同的加密算法。流量数据分析式攻击:流量数据分析式攻击的核心是通过检查数据包的未加密字段或未保护的数据包属性,试图进行攻击。在一般情况下该攻击是无害的,SSL 无法阻止这种攻击。报文重发式攻击:通过在MAC 数据中包含“序列号”的方法来阻止该攻击。三、SSL协议SSL 安全协议存在的问题 在实际应用中SSL 安全协议并不完备, 缺陷是只能保证传输过程的安

52、全, 无法知道在传输过程中是否受到窃听, 黑客可破译SSL 的加密数据, 破坏和盗窃Web 信息。目前新的SSL 协议被命名为TLS(Transport Layer Security), 安全可靠性进一步提高, 但仍不能消除原有技术的基本缺陷。只对通信双方的某个应用通道进行加密, 而不是对在通信双方的主机之间的整个通道进行加密。在通信时, 很难保证其他文件不被暴露, 因此存在一定的安全隐患; 而且SSL VPN 的认证方式比较单一(只能采用证书), 支持其他认证方式往往要进行长时间的二次开发SSL VPN 通常不能实施访问控制, 在建立隧道之后, 管理员对用户不能进行限制, 用户很难实现网络到

53、网络的安全互联, SSL VPN 是应用层加密, 性能比较差, 需要通过添加额外独立的硬件加速卡解决性能问题三、SSL协议SSL 协议的改进和完善基于移动接入网关改进SSL 协议鉴于SSL 协议自身的问题, 可以对SSL 协议作进一步的改进和完善, 例如, 网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称作“表单签名(Form Signing)”的功能, 在电子商务中, 可利用这一功能来进行数字签名, 从而保证信息的不可否认性。三、SSL协议5.SSL协议传输报文格式三、SSL协议SSL 协议位于TCP /IP 协议模型的网络层和应用层之间, 始终对服务器进行认证

54、, 也可以选择同时对服务器和客户进行双向认证。使用身份认证配合数字签名可以进一步完善SSL 安全协议,SSL 协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作, 在此之后, 应用层协议所传送的数据都被加密, 然后在SSL 协议封装后的外层加上数字签名, 就可以保证数据信息的不可抵赖性。四、SET协议SET简述SET协议安全功能SET协议交易流程SSL与SET的比较四、SET协议 MasterCard和Visa国际信用卡组织与技术合作伙伴GTE、Netscape、IBM 、 HP、VeriSign、 Microsoft等一批跨国公司共同开发了安全电子交易规范（SET）。S

55、ET简述概念： SET（安全电子交易）是在开放网络环境中的卡支付安全协议，它采用公钥密码体制和X.509电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。SET协议用以支持B2C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式 。认证过程使用RSA和DES算法SET协议分为三部分商业描述（The Business Description)程序员指南（The Programmers Guide）正式的协议定义（The Formal Protocol Definition）四、SET协议SET是

56、开放的、设计用来保护Internet上信用卡交易的加密和安全规范从本质上，SET提供了三种服务：在交易涉及的各方之间提供安全的通信信道通过使用X.509 v3数字证书来提供信任。保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用交易过程：购买请求、支付认可和支付获取四、SET协议SET协议安全功能机密性所有消息都被加密传输参与方信息相互隔离商家不能看到客户的帐号信息多方认证包括对消费者、商家和银行交易实时性所有支付过程都是在线的四、SET协议SET参与方持卡人（CardHolder）商家（Merchant）发卡行（IssuingBank）收单行（AcquiringBank）支付网

57、关（PaymentGateway）认证中心（CertificateAuthority）四、SET协议SET协议交易流程SET协议支付模型四、SET协议SET协议交易流程持卡人使用浏览器在商家的WEB主页上查看在线商品目录，浏览商品；持卡人选择要购买的商品；持卡人填写定单，包括项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立；持卡人选择付款方式，向商家发出购买初始请求，此时SET开始介入；商家返回同意支付、商家证书和支付网关证书等信息；持卡人验证商家身份，将定购信息和支付信息安全传送给商家，但支付信息对商家来说是不可见的。（双重签名）四、S

58、ET协议商家把支付信息传给支付网关，要求验证持卡人的支付信息是否有效；支付网关验证商家身份，通过传统的银行网络到发卡行验证持卡人的支付信息是否有效，并把结果返回商家；商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询；商家给顾客送货；商家定期向支付网关发送要求支付信息，支付网关通知卡行划帐，并把结果返回商家；交易结束。四、SET协议SET交易流程图示批准持卡人商家支付网关收单行发卡行CA认证中心四、SET协议SSL与SET的比较项目SET协议SSL协议功 能方 面SET规范了整个商务活动的流程，从而最大限度地保证了商务性、服务性、协调性和集成性。基于传输层的通用安全协议。安 全

59、方 面采用了公钥机制、信息摘要和认证体系，完全可以保证机密性、可鉴别性及信息完整性。引入了一套完整的认证体系，其中认证中心（CA）就是该体系的重要执行者SSL中也采用了公钥机制、信息摘要和证书，可以保证机密性和完整性。但SSL缺乏有效的数字签名。加 密机 制有选择的对网上传输的敏感性信息进行加密。对网上传输的所有信息都加密。负 载能 力在一次交易过程中，对SET商家服务器要进行6次操作。SSL要4次。平台开放性SET得到了包括Unix、NT等网络操作系统的支持。目前几乎所有浏览器都支持SSL。密钥管理概述对称密钥的管理非对称密钥的管理密钥管理系统密钥产生技术密钥的分散管理和托管 四.密钥管理密

60、钥管理技术现代加密技术采用的加密算法一般都公开，其对信息的保密主要取决于对密钥的安全保护。在一个信息安全系统中，密码体制、密码算法可以公开，甚至所用的密码设备丢失，只要密钥没有被泄露，保密信息仍是安全的。而密钥一旦丢失，合法用户不能得到信息，有可能非法用户得到信息。 四.密钥管理密钥管理概述什么是密钥管理？使用密钥管理的原因密钥管理的组成密钥管理的影响 四.密钥管理密钥管理概述什么是密钥管理？ 密钥管理：它是处理密钥自产生到最终销毁的整个过程中出现的所有问题，包括系统的初始化，密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等。 四.密钥管理密钥管理概述为什么要进行