网络信息安全(第二版)课件.pptVIP

* * 3. 安全管理的程序和方法 PDCA管理模型是指有效地进行任何一项工作的合乎逻辑的工作程序， 它包括计划（Plan）、执行(Do)、检查(Check)、和行动(Action)的持续改进模式， 每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。 * * PDCA安全管理持续改进模型 * * 9.5.3 信息安全管理与法律 1. 《中华人民共和国宪法》 2. 《中华人民共和国计算机信息系统安全保护条例》 3. 《计算机信息网络国际联网安全保护管理办法》 4. 《中华人民共和国刑法》 5. 《全国人民代表大会常务委员会关于维护互联网安全的决定》 6. 《计算机病毒防治管理办法》 7. 《计算机信息系统国际联网保密管理规定》 8. 《互联网电子公告服务管理规定》 9. 《中华人民共和国电子签名法》 10.《互联网安全保护技术措施规定》 11.《信息安全等级保护管理办法》 * * * 　密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院 （NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。 　　该算法为比利时密码学家Joan Daemen和Vincent Rijmen所设计，结合两位作者的名字，以Rijndael之命名之，投稿高级加密标准的甄选流程。（Rijdael的发音近于 Rhinedoll。） 编辑本段AES－－高级数据加密标准 　　 ?? AES模拟地勤 　　对称密码体制的发展趋势将以分组密码为重点。分组密码算法通常由密钥扩展算法和加密（解密）算法两部分组成。密钥扩展算法将b字节用户主密钥扩展成r个子密钥。加密算法由一个密码学上的弱函数f与r个子密钥迭代r次组成。混乱和密钥扩散是分组密码算法设计的基本原则。抵御已知明文的差分和线性攻击，可变长密钥和分组是该体制的设计要点。 　　AES是美国国家标准技术研究所NIST旨在取代DES的21世纪的加密标准。 　　AES的基本要求是，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。1998年NIST开始AES第一轮分析、测试和征集，共产生了15个候选算法。1999年3月完成了第二轮AES2的分析、测试。2000年10月2日美国政府正式宣布选中比利时密码学家Joan Daemen 和 Vincent Rijmen 提出的一种密码算法RIJNDAEL 作为 AES. 　　在应用方面，尽管DES在安全上是脆弱的，但由于快速DES芯片的大量生产，使得DES仍能暂时继续使用，为提高安全强度，通常使用独立密钥的三级DES。但是DES迟早要被AES代替。流密码体制较之分组密码在理论上成熟且安全，但未被列入下一代加密标准。 　　AES加密数据块大小最大是256bit，但是密钥大小在理论上没有上限。AES加密有很多轮的重复和变换。大致步骤如下：1、密钥扩展（KeyExpansion），2、初始轮（Initial Round），3、重复轮（Rounds），每一轮又包括：SubBytes、ShiftRows、MixColumns、AddRoundKey，4、最终轮（Final Round），最终轮没有MixColumns。 * 用户A需要发送信息给用户B时，用户A首先生成一个对称密钥，用这个对称密钥加密要发送的信息，然后用用户B的公开密钥加密这个对称密钥，用户A将加密的信息连同用用户B的公钥加密后的对称密钥一起传送给用户B。用户B首先使用自己的私钥解密被加密的对称密钥，再用该对称密钥解密出信息。电子信封技术在外层使用公开密钥技术，解决了密钥的管理和传送问题，由于内层的对称密钥长度通常较短，公开密钥加密的相对低效率被限制到最低限度，而且每次传送都可由发送方选定不同的对称密钥，更好的保证数据通信的安全性。 * 数字签名是在公钥密码体制下很容易获得的一种服务，它的机制与手写签名类似：单个实体在数据上签名，而其他的实体能够读取这个签名并能验证其正确性。数字签名从根本上说是依赖于公私密钥对的概念，可以把数字签名看作是在数据上进行的私钥加密操作。如果发送方是唯一知道这个私钥的实体，很明显他就是唯一能签署该数据的实体，另一方面，任何实体（只要能够获得发送方相应的公钥）都