第三讲 数据加密与身份认证.pptVIP

第三讲 数据加密与身份认证 本讲概要 　密码学是整个信息安全技术的基石，只有对数据加密技术有一定的了解学员才可能对信息安全体系所涉及的各项技术有较好的掌握。身份认证是信息安全的一个重要领域，它和数据加密有着密切的关联，所以本讲讲就数据加密与身份认证技术展开阐述，本讲主要内容如下： 数据加密的概念 数据加密技术原理 数据传输的加密 常用加密协议 身份认证方法 本讲学习目标 通过学习，学员应该掌握： 数据加密的概念 对称加密算法、非对称加密算法与混合加密算法原理 常见的数据加密协议 身份认证的概念和方法 对SSL协议有初步的认识 （一） 数据加密 (二）身份认证与识别 身份鉴别技术 Is that Alice? Hi, this is Alice. Please send me data. Internet 身份鉴别技术的提出 在开放的网络环境中，服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。 身份鉴别技术 常用的身份鉴别技术 基于用户名和密码的身份鉴别 基于对称密钥密码体制的身份鉴别技术 基于KDC（密钥分配中心）的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于证书的身份鉴别技术 身份鉴别技术 Yes. I have a user named “Alice” whose password is “byebye”. I can send him data. Hi, this is Alice. My User Id is “Alice”, my password is “byebye”. Please send me data. Internet 基于用户名和密码的身份鉴别 身份鉴别技术 This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? Internet 基于对称密钥体制的身份鉴别 A 在这种技术中，鉴别双方共享一个对称密钥KAB，该对称密钥在鉴别之前已经协商好（不通过网络）。 RB KAB(RB) RA KAB(RA) Alice Bob ① ② ③ ④ ⑤ 身份鉴别技术 This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? Internet 基于KDC的身份鉴别技术 A, KA(B,KS) 基于KDC（Key Distribution Center，密钥分配中心）的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中，参与鉴别的实体只与KDC共享一个对称密钥，鉴别通过KDC来完成。 KB(A,KS) Alice Bob ① ② KDC 身份鉴别技术 基于非对称密钥体制的身份鉴别 在这种技术中，双方均用对方的公开密钥进行加密和传输。 This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? Internet EPKB(A,RA) EPKA(RA,RB,KS) KS(RB) Alice Bob ① ② ③ 身份鉴别技术 基于证书的身份鉴别技术 为解决非对称密钥身份鉴别技术中存在的“公开密钥真实性”的问题，可采用证书对实体的公开密钥的真实性进行保证。 This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? Internet PKB(A,KS), CA PKA(B,KS) Alice Bob ① ② 身份鉴别技术 身份鉴别技术的提出 用户的身份鉴别是开放网络安全的关键问题之一。身份鉴别（Authentication）是指判断一个网络实体是否是其所声称的身份的处理过程。 在开放的网络环境中，服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。 身份鉴别技术 常用的身份鉴别技术 基于用户名和密码的身份鉴别 基于对称密钥密码体制的身份鉴别技术 基于非对称密钥密码体制的身份鉴别技术 基于KDC（密钥分配中心）的身份鉴别技术 基于证书的身份鉴别技术 身份鉴别技术 基于用户名和密码的身份鉴别 这种身份鉴别方法是一种最常用和最方便的方法。但存在两大问题： 1、用户往往采用如生日、年龄等容易记忆的字符串作为密码（Password），使得这个方法经不起攻击的考验。 2、口令以明码的方式在网络上传播也会带来很大的风险。 3、更为安全的身份鉴别需要建立在安全的密码系统之上。 身份鉴别技术