常用安全技术之加密技术培训教材(50张)课件

1、常用安全技术之加密技术刘玉洁 电子商务教研室 电子商务教研室第1页，共51页。加密技术1、加密技术能够有效地解决何种网络威胁问题2、加密技术的关键是什么？3、DES及RSA的主要区别是什么？ec第2页，共51页。1.引言发问：什么是密码？第3页，共51页。1.引言发问：什么是密码？不全面第4页，共51页。2.密码概念密码定义1：秘密的信息，比如：口令、暗号等2：原始信息按一定规则转换成无法理解的特定符号明文加密方法密文加密过程第5页，共51页。3.加密技术的发展过程（1）古代加密阶段（20世纪之前）我闻西方大士， 为人了却凡心。 秋来明月照蓬门， 香满禅房幽径。 屈指灵山会后， 居然紫竹成林。

2、 童男童女拜观音， 仆仆何嫌荣顿？ 加密方法：Steganography（隐写术）加密特点：手工性、隐写性第6页，共51页。3.加密技术的发展过程（2）近代加密阶段（20世纪初20世纪60年代）中途岛海战中途岛“AF”加密方法：Replacement surgery（替换术）加密特点：机械性、替换性日本紫密密码：第7页，共51页。3.加密技术的发展过程（2）近代加密阶段（20世纪初20世纪60年代）例1：Caesar replacement （凯撒替换）替换规则：字母错开X位，比如3位ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：

3、 CHINA密文： FLMQD第8页，共51页。3.加密技术的发展过程（3）现代加密阶段（ 20世纪60年代至今）密码：光复一号（苏联数学家制造）加密方法：Calculation technique （计算术）加密特点：信息化、计算化第9页，共51页。3.加密技术的发展过程（3）现代加密阶段（ 20世纪60年代至今） RSA加密技术第1步：找两个大素数P和Q，N=PQ，M=（P-1）（Q-1） 第2步：找一个和M互素的整数E（E是公钥）第3步：找一个整数D，即ED mod M=1（D是私钥）加密方法：明文T，密文C C=TD mod N第10页，共51页。3.加密技术的发展过程（3）现代加密阶

4、段（ 20世纪60年代至今） RSA加密技术1：设 p=7，q=17，n=7 17=119，m=(7-1)(17-1)=962：随机找个e=5（公钥=5）3：计算d，( d 5) mod 96=1，d=77（私钥=77） 明文：T=19密文：C=195 mod 119 = 66 第11页，共51页。（二）加密技术一个密码体制由明文、密文、密钥与加密运算这四个基本要素构成。图7-1显示了一个明文加密解密的过程。 ec第12页，共51页。加密术语明文(cleartext) 最初的原始信息。密文(ciphertext) 被加密信息打乱后的信息。算法(algorithm) 将明文改为密文的方法。密钥(

5、key)将明文转换为密文或将密文转换为明文的算法中输入的数据。加密(encryption) 将明文转换为密文的过程。解密(decryption) 将密文转换为明文的过程。ec第13页，共51页。密钥体制密钥是用户按照一种密码体制随机选取的一个字符串，是控制明文和密文变换的唯一参数。根据密钥类型不同将现代密码技术分为两类：1.单密钥体制加密密钥和解密密钥相同或本质相同的体制被称为单密钥加密体制。其特点是运算速度快，适合于加解密传输中的信息。如美国的数据加密标准（DES算法）。2.公钥体制指加密密钥和解密密钥不相同且从其中一个很难推断出另一个的体制。公钥密码体制可以使通信双方无须事先交换密钥就可以

6、建立安全通信。公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。ec第14页，共51页。数据加密标准DES：基于私有密钥体制的信息认证基于私有密钥(Private Key，私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法，也就是说，信息交换的双方共同约定一个口令或一组密码，建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方，乙方用相同的私钥解密后获得甲方传递的信息。由于通信双方共享同一密钥，因而通信的乙方可以确定信息是由甲方发出的。这是一种最简单的信息来源的认证方法。下图是对称加密示意图。ec第15页，共51页。对称加密示意图 会话密钥会话密钥密

7、钥预分配明文密文明文密文密文明文ec第16页，共51页。对称加密算法在电子商务交易过程中存在三个问题：(1) 要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，因此双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商。 (2) 密钥的数目将快速增长而变得难以管理，因为每一对可能的通信实体需要使用不同的密钥，这很难适应开放社会中大量信息交流的要求。(3) 对称加密算法一般不能提供信息完整性鉴别。 对称加密方法DESec第17页，共51页。基于公开密钥体制的信息认证1976年，美国学者Diffie和Hellman 为解决信息公开传

8、送和密钥管理问题，提出了一种密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。 与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥公开密钥(Public Key，公钥)和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。图12-3是使用公钥加密和用对应的私钥解密的示意图。非对称加密方法RSAec第18页，共51页。图 使用公钥加密和对应的私钥解密的示意图 生成会话密钥数字信封数字信封明文明文密文密文目录用户B的私钥用户B的

9、公钥ec第19页，共51页。密钥管理技术加密体系中有两个基本要素：加密算法和密钥管理。其中密钥是控制加密算法和解密算法的关键。存放密钥的媒体有各种磁卡、磁盘、闪盘、智能卡等存储介质，他们很易被盗或损坏。因而密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。ec第20页，共51页。密钥管理创建Your TextYour Text分发Your TextYour Text保护Your TextYour Text吊销Your TextYour Text1234ec第21页，共51页。两种管理技术比较1. 对称密钥管理优点：即使泄露了一把密钥也只会影响一笔交易,而不会对其它的交易产生影

10、响。2. 公开密钥管理优点：用于解密的私钥不需发往别处，因而即使公钥被截获，因为没有与其匹配的私钥，也无法解读加密信息。另外还可用它进行身份验证。ec第22页，共51页。安全认证技术数字摘要数字签名数字水印数字时间戳生物统计识别安全认证技术数字证书ec第23页，共51页。1. 数字摘要数字摘要(digital digest)又称安全Hash编码法。其原理是采用单向Hash(哈希)函数将需加密的明文进行某种变换运算，得到固定长度的摘要码。不同的明文摘要转成密文，其结果总是不同的，而同样的明文其摘要必定一致。 该算法与公钥加密系统联合使用，就可以生成一个与传入的保密文件相关的数字签名。安全认证技术

11、ec第24页，共51页。2、 数字签名 在网络环境中，由于参与交易的各方在整个交易过程中有可能自始至终不见面，因此多采用数字签名方式来解决这个问题。 (1)概念：加密后的数字摘要 数字签名是指通过使用非对称加密系统和哈希函数来变换电子记录的一种电子签名。 人们可以准确地判断信息的变换是否是使用与签名人公开密匙相配的私人密匙作成的，进行变换后初始电子记录是否被改动过。 安全认证技术ec第25页，共51页。2、 数字签名 数字签名与用户的姓名及手写签名形式毫无关系，它实际上是采用了非对称加密技术，用信息发送者的私钥变换所需传输的信息，因而不能复制，安全可靠。安全认证技术ec第26页，共51页。2、

12、 数字签名 （2）实现方法 实现数字签名的方法有多种，目前采用较多的技术有两类： 一类是对称加密，要求双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用。 另一类是非对称加密： 如果用公开密钥对数据进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。因此，通常一个用户拥有两个密钥对。安全认证技术ec第27页，共51页。2、 数字签名 (3)数字签名文档的法律地位 中华人民共和国电子签名法2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过，该法自2005年4月1日起施行。安全认证技术ec第28页，共51页。3、数字水印

13、 由于图形、图像、视频和声音等数字信息很易通过网络、CD进行传递与复制，存在非法拷贝、传播或篡改有版权的作品的问题，因此，能对数字产品实施有效的版权保护及信息保密的数字水印技术应运而生。 （1）概念 数字水印技术是通过一定的算法将数字、序列号、文字、图像标志等版权信息嵌入到多媒体数据中，但不影响原内容的价值和使用，并且不能被人的感知系统觉察或注意到。安全认证技术ec第29页，共51页。3、数字水印 （1）概念 被其保护的信息可以是任何一种数字媒体，如软件、图像、音频、视频或一般性的电子文档等。 在产生版权纠纷时，可通过相应的算法提取出该数字水印，从而验证版权的归属，确保媒体著作权人的合法利益，

14、避免非法盗版的威胁。安全认证技术ec第30页，共51页。3、数字水印 (2) 数字水印的应用 信息隐藏及数字水印技术在版权保护、真伪鉴别、隐藏通信、标志隐含等方面具有重要的应用价值，有着巨大的商业前景。安全认证技术ec第31页，共51页。4. 时间戳在电子商务交易文件中，时间是十分重要的信息。同书面文件类似，文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(Digita1 Time Stamp sever，DTS)是网上电子商务安全服务项目之一，它能提供电子文件的日期和时间信息的安全保护。 安全认证技术ec第32页，共51页。4. 时间戳时间戳（time-stamp）是一

15、个经加密后形成的凭证文档，它包括三个部分： （1） 需加时间戳的文件的摘要（digest）。 （2） DTS收到文件的日期和时间。 （3）DTS的数字签名。 时间戳将日期和时间与数字文档以加密的方式关联。数字时间戳可用于证明电子文档在其时间戳所述的时间期限内有效。安全认证技术/dealer.do?method=myDealerec第33页，共51页。 5、数字证书 根据联合国电子签字示范法第一条，“证书”系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。中华人民共和国电子签名法规定，电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。安全认证技术

16、ec第34页，共51页。图数字证书的组成 证书格式版本证书序列号码(证书识别号)签字法识别符(发证机构)证书发行机构名使用期限(起止日期、时间)主体名主体公司信息 算法识别 公钥值发证者身份识别符主体者身份识别符证实机构签字数字签字证实机构的签字密钥证书ec第35页，共51页。带有数字签名和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书，其基本流程如下图所示。ec第36页，共51页。图12-11 带有数字签字和数字证书的加密系统 ec第37页，共51页。四、安全体系构建素材网收集提供,版权归原作者所有第38页，共51页。（一）构建安全体系一个完善的网络安全体系必须合

17、理地协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术。 国外的一项安全调查显示，超过85%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。1、集中管理的认证机制 对网络设备、主机、数据库等信息系统而言，只有明确了访问者的身份，才可决定提供何种相应的服务,才可能采用正确的安全策略实现访问控制、安全审计等安全功能。 ec第39页，共51页。（一）构建安全体系2、集中权限分配与管理 集中授权管理，是指集中对用户使用信息系统资源的权限进行合理分配，并在此基础上实现不同用户对系统不同部分资源的访问控制。具体来说

18、，就是集中实现对各用户（主 3、高效灵活的策略化审计与响应机制 审计和响应功能可以简单地描述为：某个特定的网络资源或服务（如主机、服务器、数据库、FTP、Telnet等）可以（或不可以）被某个特定的用户怎样地访问，这需要审计系统具有很强的针对性和准确性，具体说来，针对具体的应用需求，如系统维护操作、数ec第40页，共51页。思考思考题：怎样进行网络安全体系设计？如何实施网络安全体系？ec第41页，共51页。（二）综合安全体系1、设计原则（1） “木桶”原则，即根据系统中最薄弱的地方最易受到攻击的原则，有效防止最常见的攻击手段。（2）整体性原则，即对系统建立安全防护机制、安全监测机制、安全恢复机

19、制三种控制机制，以提高系统的整体防御能力。（3） 一致性与易操作性原则，即制定的安全体系结构必须与网络的安全需求相一致且易于操作。ec第42页，共51页。（二）综合安全体系1、设计原则（4）动态化原则，即安全措施应具有良好的可扩展性，能随着网络性能及安全需求的变化而变化。 （5）安全性评价原则，即对网络安全系统是否安全的评价决定于系统的用户需求和具体的应用环境。（6）等级性原则，即应针对不同的安全对象进行分级，包括：对信息保密程度、用户操作权限、网络安全程度、系统实现结构的分级。ec第43页，共51页。2、安全体系设计内容制定安全管理措施。 建立安全模型。 制定完备的安全策略。 确定面临的各种

20、攻击和风险。 ec第44页，共51页。3、安全设备的选择安全设备安全实用性价比路由器攻防检测产品防火墙杀毒软件ec第45页，共51页。（三）网络安全体系的实施首先，对网络安全的重要性要有一个清醒的认识，对必购的安全产品要舍得购买。其次，要加强外部防范，对一些重要设备（如主机、服务器等）独立存放。第三，识别并验证用户，将用户的访问限制在授权的活动和资源范围之内。第四，人事控制，对欲雇用人员做背景审查，对新雇人员进行安全培训。ec第46页，共51页。（三）网络安全体系的实施第五，操作控制，防止网络系统及其管理人员出现失误及对出错后的恢复操作。第六，服务器控制，为文件服务器购买防火墙、配置备份服务器

21、等。第七，工作站控制，如使用无盘工作站；对工作站的每个用户设置登录口令等。第八，防止无意识信息泄露，如对PC机安装屏幕消隐程序，剪碎被废弃的有价值的信息等。ec第47页，共51页。（四）网络安全的控制标准TextTextText美国7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级。 中国5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。 TextTextec第48页，共51页。4.小结 本节课主要内容：（1）密码的概念；（2）加密技术发展阶段以及各阶段的加密方法。 ec第49页，共51页。谢 谢！电子商务教研室第50页，共51页。激励学生学习的名言格言220、每一个成功者都有一个开始。勇于开始，才能找到成功的路。221、世界会向那些有目标和远见的人让路（冯两努香港著名推销商）222、绊脚石乃是进身之阶。223、销售世界上第一号的产品不是汽车，而是自己。在你成功地把自己推销给别人之前，你必须百分之百的把自己推销给自己。224、即使爬到最高的山上，一次也只能脚踏实地地迈一步。225、积极思考造成积极人生，消极思考造成消极人生。226、