计算机网络安全电子教案(新版)第四章.pptVIP

第四章 常用的网络安全技术 * * 第一节 数据加密 一、数据加密技术 数据加密:就是将被传输的数据转换成表面上杂乱无章的数据，只有合法的接收者才能恢复数据的本来面目，而对于非法窃取者来说，转换后的数据是读不懂的毫无意义的数据。我们把没有加密的原始数据称为明文，将加密以后的数据称为密文，把明文变换成密文的过程叫加密，而把密文还原成明文的过程叫解密。 例： 同济大学计算机科学技术系基础学科教研室啊啊啊啊啊 同机基室济科础啊大学学啊学技科啊计术教啊算系研啊 同济大学计算机科学技术系基础学科教研室 置换加密：按某一规则重新排列明文中的字符顺序，即改变字符的位置，字符本身不变。（属于对称密码体系） 欢天喜地再牵手， 迎来和平弃干戈。 连接两岸丰功业， 战胜台独全民乐！ 传统的藏头诗实为一种对称加密。 密码学 对称密钥密码体系（加解密使用相同的密钥） 非对称密钥密码体系（加解密使用不同的密钥） 1.对称密钥密码体系 加密方式的特点： （l）对称密钥密码体系的安全性 （2）对称加密方式的速度 （3）对称加密方式中密钥的分发与管理 （4）常见的对称加密算法 明文 明文 密文 发送 接收 2.非对称密钥密码体系 非对称密钥密码体系又叫公钥密码体系，非对称加密使用两个密钥：一个公共密钥PK和一个私有密钥SK，如图所示 （l）非对密钥密码体系的安全性 （2）非对称加密方式的速度 （3）非对称加密方式中密钥的分发与管理 （4）常见的非对称加密算法(RSA) 明文 明文 密文 其他人 本人 公共密钥PK 私有密钥PK 二、数字签名 数字签名（Digital Signature）是指对网上传输的电子报文进行签名确认的一种方式，这种签名方式不同于传统的手写签名。 数字签名必须满足以下3点： ①接收方能够核实发送方对报文的签名。 ②发送方不能抵赖对报文的签名。 ③接收方不能伪造对报文的签名。 假设A要发送一个电子报文给B，A、B双方只需经过下面3个步骤即可： ①A用其私钥加密报文，这便是签字过程。 ②A将加密的报文送达B。 ③B用A的公钥解开A送来的报文。 例：如果需要发送添加数字签名的安全电子邮件，首先启动outlook express，选择“工具”?“选项”命令中的“安全”标签，显示如图所示的对话框，选中“在对所有待发邮件中添加数字签名”，或在“新邮件”窗口单击“工具”?“数字签名”就可以对指定新邮件添加数字签名，如右图 三、 数字证书 数字证书相当于网上的身份证，它以数字签名的方式通过第三方权威认证中心(Certificate Authority，CA)有效地进行网上身份认证，数字身份认证是基于国际公钥基础结构（Public Key Infrastructure，PKI）标准的网上身份认证系统，帮助网上各终端用户识别对方身份和表明自身的身份，具有真实性和防抵赖的功能，与物理身份证不同的是，数字证书还具有安全、保密、防篡改的特性，可对网上传输的信息进行有效的保护和安全的传递。 数字证书一般包含用户的身份信息、公钥信息以及身份验证机构(CA）的数字签名数据 中国金融认证中心（CFCA） RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般设置在商业银行的总行、证券公司、保险公司总部 数字证书包含一下内容： （l）申请者的信息 ①版本信息 用来与X.509的将来版本兼容； ②证书序列号 每一个由CA发行的证书必须有一个惟一的序列号； ③CA所使用的签名算法； ④发行证书 CA的名称； ⑤证书的有效期限； ⑥证书主题名称； ⑦被证明的公钥信息 包括公钥算法和公钥的位字符串表示； ⑧额外信息的特别扩展 （2）身份验证机构的信息 右面是Outlook Express 中收发电子邮件时对邮件实行数字签名和加密传输时从Version Class 1 CA Individual Subscriber－personal Not Validated”（一个国际中级证书颁发机构）获取的用于发送安全电子邮件时所用的数字证书 例： *