cism0202密码跟网络安全技术.pptVIP

密码和网络安全技术 中国信息安全测评中心 课程内容 2 密码和网络 安全技术 网络安全基础 常见网络安全设备 VPN技术 知识体：密码和网络安全技术 知识域：密码及PKI技术基础 了解密码学的基本概念和术语，包括密码编码学、密码分析学、加密、解密、算法、明文、密文等 了解常见对称密码算法，理解对称算法特点 了解常见非对称密码算法，理解非对称算法特点 了解常见哈希算法和签名算法，理解其作用和特点 了解PKI和数字证书概念 理解PKI的典型应用场景，包括网上银行、软件代码签名和安全邮件通信等 3 什么是密码学 密码学研究什么 密码编码学——主要研究对信息进行编码，实现对信息的隐蔽、完整性验证等 密码分析学——主要研究加密信息的破译或信息的伪造 密码学在信息安全中的地位 信息安全的重要基础技术 4 密码学发展 古典密码学（ 1949年之前） 1949年之前，密码学是一门艺术 主要特点：数据的安全基于算法的保密 近代密码学（1949～1975年） 1949～1975年，密码学成为科学 主要特点：数据的安全基于密钥而不是算法的保密 现代密码学（ 1976年以后） 密码学的新方向—公钥密码学 主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能 5 密码学基本术语 明文：被隐蔽的消息被称做明文（Plain Text），通常用P或M表示。 密文：隐蔽后的消息被称做密文(Cipher Text)，通常用C表示。 发送者：在信息传送过程中，主动提供信息的一方称为发送者。 接受者：在信息传送过程中，得到信息的一方称为接收者。 加密：将明文变换成密文的过程称为加密(Encryption)。 解密：将密文变换成明文的过程称为解密(Decryption)。 加密算法：对明文进行加密时所采用的一组规则称为加密算法(Encryption Algorithm)。通常用E表示。 解密算法：对密文进行解密时所采用的一组规则称为解密算法(Decryption Algorithm)。通常用D表示。 密钥:加密和解密算法的操作通常都是在一组密钥(Key)的控制下进行的，分别称为加密密钥和解密密钥。通常用Ke和Kd表示。 6 对称加密算法 7 DES算法：56bit的密钥强度 3DES：三重DES算法 IDEA：128bit密钥强度 AES：高级数据加密标准，简单、灵活、适应性好 对称密码算法的优缺点 优点： 效率高，算法简单，系统开销小 适合加密大量数据 缺点： 需要以安全方式进行密钥交换 密钥管理复杂 8 非对称加密（公钥）算法 9 RSA算法：基于大数因子分解 ECC算法：基于椭圆曲线的离散对数问题 SM2算法：一种基于椭圆曲线的算法 公钥密码体制的优缺点 优点： 解决密钥传递的问题 大大减少密钥持有量 提供了对称密码技术无法或很难提供的服务（数字签名） 缺点： 计算复杂、耗用资源大 非对称会导致得到的密文变长 10 哈希运算——完整性 11 用户A 用户B 哈希值 哈希算法 哈希值 哈希值 哈希算法 如果哈希值匹配，说明数据有效 用户A发送数据和哈希值给用户 B 哈希算法：MD5、SHA1 数字签名——抗抵赖性 12 如果哈希值匹配，说明该数据由该私钥签名。 基于密码技术的安全支撑体系-PKI 什么是PKI PKI是公钥基础设施（Public Key Infrastructure）的简称，PKI利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。 PKI体系组成 CA（认证权威） RA（注册权威） 证书存放管理（目录服务） 证书持有者和应用程序 13 CA：认证权威 14 签发证书 更新证书 管理证书 撤销、查询 审计、统计 验证数字证书 黑名单认证（CRL） 在线认证 (OCSP) CA是PKI体系的核心 CRL：证书撤销列表 CRL (Certificate Revocation List):证书撤销列表，也称“证书黑名单” 在证书的有效期期间，因为某种原因（如人员调动、私钥泄漏等等），导致相应的数字证书内容不再是真实可信，此时，进行证书撤销，说明该证书已是无效 CRL中列出了被撤销的证书序列号 15 RA：注册权威 16 受理用户的数字证书申请 对证书申请者身份进行审核并提交CA制证 类似于申请身份证的派出所 提供证书生命期的维护工作 受理用户证书申请 协助颁发用户证书 审核用户真实身份 受理证书更新请求 受理证书吊销 目录服务（LDAP） 信息的存储库 ，提供了证书的保存，修改，删除和获取的能力 CA采用LDAP标准的目录服务存放证书，其作用与数据库相同，优点是在修改操作少的情况下，对于访问的效率比传统数据库要高 17 数字证书 数字证书是一段电子数据，是经