第2章信息安全技术基础-《物联网安全导论》.ppt

版本号 证书序列号 算法、参数 发放者名称 起始时间 终止时间 主体名称 算法 参数 公钥 发放者唯一识别符 主体唯一识别符 扩充域 算法 参数 签字 签字 V2 V1 V3 2.4 数字证书和电子签证机关CA 2.4 数字证书和电子签证机关CA 互连网络的用户群决不是几个人互相信任的小集体，在这个用户群中，从法律角度讲用户彼此之间都不能轻易信任。 公钥加密体系采取了一个办法，将公钥和公钥的主人名字联系在一起，再请一个大家都信得过有信誉的公正、权威机构确认，并加上这个权威机构的签名。这就形成了数字证书。 CRL颁发者 本次更新 下次更新 用户证书序列号 撤销日期 撤销原因 用户证书序列号 撤销日期 撤销原因 CRL扩展 CRL颁发者数字签名 CRL 散列 签名产生 CA私钥 证书撤销列表 2.4 数字证书和电子签证机关CA 2. 电子签证机关CA（Certificate Authority） CA（Certificate Authority：证书发行机构），是采用PKI（Public Key Infrastructure：公开密钥体系）公开密钥技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像颁发证件的部门，如护照办理机构。 2.4 数字证书和电子签证机关CA 如果用户想得到一份属于自己的证书，他应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给那个用户（申请者）。 如果一个用户想鉴别另一个证书的真伪，他就用CA的公钥对那个证书上的签字进行验证（如前所述，CA签字实际上是经过CA私钥加密的信息，签字验证的过程还伴随使用CA公钥解密的过程），一旦验证通过，该证书就被认为是有效的。 2.5 数字签名 数字签名是指通过一个单向函数对传送的报文进行处理得到的，是一个用以认证报文来源并核实报文是否发生变化的一个字母数字串。 数字签名的作用：为了鉴别文件或书信真伪，签名起到认证、生效的作用。 数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。 2.5 数字签名 1. 数字签名技术 数字签名（Digital Signature）技术是不对称加密算法的典型应用。 数字签名的应用过程：数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。 比较 发送方A 接收方B 2.5 数字签名 2.5 数字签名 数字签名原理：将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。 如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。 2.5 数字签名 具有保密性的数字签名 比较 发送方A 接收方B 2.5 数字签名 2. 数字签名的使用 使用数字签名一般基于以下原因： （1）鉴权 数字签名能够让信息接收者确认发送者的身份。鉴权的重要性在财务数据上表现得尤为突出。 （2）完整性 传输数据的双方都总希望确认消息未在传输的过程中被修改。 加密使得第三方想要读取数据十分困难，然而第三方仍然能采取可行的方法在传输的过程中修改数据。 2.5 数字签名 （3）不可抵赖 在密文背景下，抵赖这个词指的是不承认与消息有关的举动（即声称消息来自第三方）。消息的接收方可以通过数字签名来防止所有后续的抵赖行为，因为接收方可以出示签名给别人看来证明信息的来源。 Thank You! * * * * 第2章 信息安全技术基础 学习内容 数据加密与身份认证 访问控制与口令 1 2 4 4 数据加密算法 3 4 数字证书与电子签证机关 数字签名 5 2.1 数据加密与身份认证 1. 数据加密 数据加密是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行变换，实现信息隐蔽，从而保护信息的安全。 考虑到用户可能试图旁路系统的情况，如物理地取走数据库，在通信线路上窃听。对这样的威胁最有效的解决方法就是数据加密，即以加密格式存储和传输敏感数据。 2.1 数据加密与身份认证 2.1 数据加密与身份认证 2. 身份认证 又称为身份验证，是指通过一定的手段，完成对用户身份的确认。身份验证的目的是确认当前所声称为某种身份的用户，确实是所声称的用户。 身份验证的方法有很