网络通信中的基本安全技术.docVIP

　　网络通信中的基本安全技术|第1 １）用加密密钥PK对明文A加密后得到密文，再用解密密钥SK对密文解密，即可恢复出明文A。 500)this.style.ouseg(this) ２）加密密钥不能用来解密，即： 500)this.style.ouseg(this) 500)this.style.ouseg(this) ３）用SK加密的信息只能用PK解密；用PK加密的信息只能用SK解密。 ４）从已知的ＰＫ不可能推导出ＳＫ。或者说，由ＰＫ推导出ＳＫ在计算上是不可能的。 ５）加密和解密的运算可以对调，即： 500)this.style.ouseg(this) 公开密钥算法在运算速度较对称密钥加密算法慢一些，因此在实际应用中，对称密钥算法主要用于产生数字签名、数字信封 而并不直接对大量的应用数据进行加密。 在公开密钥体制中，最为通用的是RSA公钥加密体制，它已被推荐为公开密钥数据加密标准。RSA是由Rivet、Shamir和Adleman提出的，它的安全性是基于大数因子分解，由于大数因子分解在数学上没有行之有效的算法，因此该加密技术的破译是相当困难的。1.3 数字指纹技术 在继续介绍其它的安全技术之前，我们还要先讨论一下数字指纹技术。 数字指纹是一种形象的说法，在密码学上又被称为“信息摘要”（message）。它是通过安全的单向散列函数（Secure Hash）作用于将要发送的信息（message）上产生的： message digest=Secure Hash(message) 单向散列函数有三个主要特点： １）它能处理任意大小的信息，并将其按信息摘要（message digest）方法生成固定大小的数据块，对同一个源数据反复执行Secure Hash函数将总是得到同样的结果。 ２）它是不可预见的。产生的数据块的大小与原始信息的大小没有任何联系，同时源数据和产生的数据块看起来也没有明显关系，源信息的一个微小变化都会对小数据块产生很大的影响。 ３）它是完全不可逆的，没有办法通过生成的数据块直接恢复源数据。 数字指纹技术并不是一种加密机制，但却能产生信息的数字“指纹”，通过验证信息的“指纹”来确保数据没有被修改或变化，保证信息的完整性不被破坏。 常用的信息摘要算法有MD2、MD5和SHA-1等。 ２ 身份认证技术 2.1 数字签名 数字签名是用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性的一种安全技术。首先，接收者能够验证发送者对报文的签名，以确保数据的完整性。同时，由于第三方公证机构可以通过数字签名进行公证，因此发送者事后不能抵赖对报文的签名。另外，数据签名还具有不可伪造性，同现实世界中手工签名具有相同的效果。 公开密钥算法是实现数字签名的主要技术。使用公开密钥算法实现数字签名技术，类似于公开密钥加密技术。它有两个密钥：一个是签名密钥，它是对外保密的，因此称为私有密钥或秘密密钥，简称私钥；另一个是验证密钥，它是对外公开的，因此称为公开密钥，简称公钥。 500)this.style.ouseg(this)由于公开密钥算法的运算速度比较慢，因此可使用安全的单向散列函数对要签名的信息进行摘要处理，减小使用公开密钥算法的运算量。实现数字签名的过程如图１所示。 １）信息发送者A使用一单向散列函数对信息生成信息摘要。 ２）信息发送者A使用自己的私钥签名信息摘要（用私钥对摘要加密）。 ３）信息发送者A把信息本身和已签名的信息摘要一起发送出去。 ４）任何接收者B通过使用与信息发送者A使用的同一个单向散列函数对接收的信息生成新的信息摘要，再使用信息发送者A的公钥对数字签名解密，并与新生成的信息摘要比较，以确认信息发送者的身份和信息是否被修改过。 在数字签名的基础上，还可以实现双重签名技术。双重签名技术是为了保证在事务处理过程中三方安全地传输信息的一种技术，实现了三方通信时的身份认证和信息完整性、防抵赖的保护。例如在网上购物的业务中，客户和商家之间要完成在线付款，那么客户、商家和银行之间将面临以下问题：客户（甲）需要给商家（乙）发送购买信息和客户的付款帐户信息；乙作为商家，接受购买信息后，还要同银行（丙）交互，以实现资金转帐。但甲不愿让乙看到自己的付款帐户信息，也不愿让处理甲付款信息的丙看到订购信息。此时甲使用双重签名技术对两种信息作数字签名，来完成以上功能。 双重数字签名的实现步骤如下： １）甲对发给乙的信息1生成信息摘要1； ２）甲对发给丙的信息2生成信息摘要22； ３）甲把信息摘要11和信息摘要2合在一起，对其生成信息摘要3，并使用自己的私钥签名信息摘要3； ４）甲把信息1、信息摘要22和信息摘要3的签名发给乙； ５）甲把信息2、信息摘要1和信息摘要3的签名发给丙；