新计算机网络安全 教学课件 鲁立 1_ 04.pptVIP

第4章 加密与数字签名 本章要点 ? 对称加密算法和非对称加密算法的工作原理。 ? 数字签名技术工作原理。 ? 公钥基础架构（PKI）、CA、数字证书的工作原理和相关概念。 ? PGP工具软件的应用。 ? EFS工作原理及应用。 ? SSL安全传输及安全Web站点的应用配置。 4.1 加密技术 4.1.1 加密技术概述 加密技术是网络安全的核心技术之一，也是对付网络中各种安全威胁和安全隐患的有力武器，通过适当的加密管理机制可以保证网络通信的安全。本章所介绍的密码技术是一种新型的数字化信息加密技术，并不是指普通意义上利用“密码保护”使数据仅被授权用户访问。加密技术能将一段通俗易懂的明文变换成一段晦涩难懂的密文，实现对数据的保护。 4.1.1 加密技术概述 加密技术有关的专业术语 ?? ?明文 ???密文 ???加密 ???解密 ???密钥 加密技术的应用具备以下几种基本特性。 ???机密性 ???完整性 ???可用性 ???抗否认性 4.1.2 数据加密常见方式 1．数据存储加密 2．数据传输加密 （1）链路加密 （2）节点加密 （3）端到端加密 4.2 加密算法 4.2.1 古典加密算法 1．替代密码 （1）单表替代密码 （2）多表替代密码 4.2.1 古典加密算法 2．变位密码 （1）列变位密码 （2）矩阵变位密码 4.2.2 现代加密算法 1．对称加密算法 （1）DES算法 （2）IDEA算法 （3）AES算法 4.2.2 现代加密算法 2．非对称加密算法 （1）RSA算法 （2）DSA算法 （3）Diffie-Hellman算法 4.3 数字签名技术 4.3.1 数字签名技术概述 数字签名（Digital Signature）又称为公钥数字签名或电子签章，它不同于签名数字扫描图像或用触摸板获取的签名。 一套数字签名定义了两种互补的密钥：一种用于签名，另一种用于验证。 数字签名一般具有以下3种特性。 ???完整性 ???不可伪造性 ???不可抵赖性 4.3.2 数字签名技术的工作原理 数据发送方使用自己的私钥对数据及与数据有关的变量进行运算，将合法的数字签名与数据原文一起传送给接收方，接收方利用发送方的公钥对收到的数字签名进行运算，将得到的结果与发送方发送过来的签名做比较，如果相同，则说明收到的数据是完整的，反之说明数据被修改过，以此对数据完整性做检验，以确认签名的真实性和合法性。 4.3.3 数字签名技术的算法 一般数字签名包括普通数字签名和特殊数字签名两种：普通数字签名算法有DES、DSA、RSA、ElGamal、Fiat-Shamir算法等；特殊数字签名有盲签名、群签名、代理签名、不可否认签名等，它与具体应用环境相关。 MD5是目前应用最广泛的报文摘要算法，是一个可以为每段数据生成一个数字签名的工具，属于哈希函数的一种。 4.4 PKI技术 4.4.1 PKI概述 在Diffie-Hellman算法思想的基础上，很快出现了非对称密钥密码体制，即PKI。 PKI（Public Key Infrastructure）称为公钥基础架构，它利用非对称密码算法原理和技术来提供一种安全服务，实现具有通用性的安全基础设施，并遵循标准的公钥加密技术为网络数据安全传输提供一个安全的基础平台。 4.4.2 PKI技术原理 PKI技术利用公钥理论和技术建立并提供网络信息安全服务的基础设施，能够为网络中所有用户提供所需的密钥管理，用户可以在PKI平台上实现加密和数字签名等密码服务。PKI系统应具备以下几个部分 ： 1．CA（Certificate Authority） 2．数字证书库 3．密钥备份及还原系统 4．证书吊销系统 5．PKI应用接口系统 4.4.3 证书颁发机构 CA作为网络安全通信中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性验证的工作。CA在密钥管理方面的主要作用如下 ： 1．管理自身密钥 2．密钥生成和分发 3．管理客户证书 4．密钥托管和密钥还原 4.4.4 数字证书 1．数字证书概述 数字证书是网络中标识通信双方身份信息的一系列数据的总和，是一个由CA证书颁发机构进行数字签名并颁发的包含公钥拥有者信息和公钥的文件。 2．数字证书的内容 一个标准的X.509数字证书包含以下一些内容 ???证书的版本信息。 ???证书的序列号，一个唯一的证书序列号。 ???证书所使用的签名算法。 ???证书所有者的名称，命名规则通常采用X.500格式。 ???证书发行机构的名称，命名规则通常采用X.500格式。 ???证书有效期，现在通用的证书通常采用UTC时间格式。 ???证书所有者的公开密钥。 ???证书颁发者对证书的签名。 3．数字证书的申请过程