网络信息安全_第七次课.ppt

* (6) 解密和验证(7) 文件销毁 图5.24 验证 图5.23 输入密码 图5.25 输入解密密钥 图5.26 加密和签名的文件显示 * 思考和答疑 课后习题 网络信息安全_第七次课. 谢谢 * 在本章前部分内容中我们学习了密码学的一些基础知识，包括密码学的基本概念、对称密钥密码体制和公开密钥密码体制，这些多可以对信息进行加密，防止有用信息泄露，但是单纯对信息加密并不能应对非法用户对信息系统的主动攻击，为此，发展出了鉴别与认证技术。鉴别与认证时以密码学为基础发展起来的。 首先看一下什么是鉴别。 * 报文鉴别和身份验证可采用数字签名技术及其他技术来实现。在接下来的内容我们就会了解一下什么是数字签名。 * 信息的真伪一般包括：发送者和报文内容、发送时间、序列等。 报文鉴别又称完整性校验，在银行业称为消息认证，在OSI安全模型中称为封装。 这些确定可由数字签名、信息摘要或散列函数来完成。 * 识别信息一般是非秘密的，如用户信用卡的号码、用户名、身份证号码等；而验证信息一般是秘密的，如用户信用卡的密码。 * 之前说过，鉴别的基础是数字签名和哈希函数，接下来了解一下数字签名和哈希函数。 * 双向加密：明文-》加密-》密文-》解密-》明文 单向加密：明文-》加密-》密文 1、基于分组密码算法的Hash函数。 2、系列Hash函数MD2、MD4和MD5等。这些函数都产生128位的输出，MD5（信息摘要算法）就是一种优秀的单向加密算法。 3、美国政府的安全Hash标准（SHA-1）。SHA-1是MD4的一个变形，产生160位的输出，与DSA（数字签名算法）匹配使用。美国政府特有。 美国的《爱国者法案》，一旦个人或集体行为危害国家安全，所有的人权都被取消，财产可以被随意征用，隐私不存在了。 * 前边对数字签名有了简单了解，在这里将进一步展开。 * 被广泛用于银行的信用卡系统、电子商务系统、电子邮件以及其他需要验证、核对信息真伪的系统中。 模拟与数字之间的区别：模拟连续、数字离散？？？调制解调器？电流信号时模拟的还是数字的 手工签名麻烦、数字签名方便。模仿手工签名例子很多。 * 用户A与B之间进行信息传递，明文利用数字签名算法产生签名，对签名进行加密经过加密发送给B，B利用密钥进行解密，这里使用了公开密钥密码体制。 * 与上一个过程不同，这里将信息也进行加密，安全性能更高。这里使用了两组密钥。 * 用户的公钥和验证用户公钥的CA签名组合在一起制作数字证书。 数字证书 * CA签发并管理正式使用的公钥和与用户相关联的证书。证书只在某一时间内有效，因而CA保存一份有效证书及其有效期清单。有时证书或许要及早废除，因而CA保存一份废除的证书及有效证书的清单。CA的有效证书、废除证书或过期证书的清单可提供给任何一个要获得这种清单的人。 * 数字证书：是一个经证书授权中心数字签名的、包含公开密钥拥有者信息及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及CA中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。 * 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和验证，确保网上传递信息的保密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 * 数字证书主要有以下四大功能 (1) 保证信息的保密性 (2) 保证信息的完整性 (3) 保证交易者身份的真实性 (4) 保证不可否认性 * 数字证书通常有以下类型 个人证书：包括个人安全电子邮件证书和个人身份证书。 企业证书：包括企业安全电子邮件证书和企业身份证书。 服务器证书：包括Web服务器证书和服务器身份证书。 信用卡身份证书：包括消费者证书、商家证书和支付网关证书。 * 数字证书的应用：网络上的行政作业和商务活动，如发送安全电子邮件、访问安全站点、网上证券、网上招投标、网上签约、网上办公、网上缴费、网上纳税等网上安全电子事务处理和安全电子交易活动。其应用范围涉及需要身份认证及数据安全的各个行业。 * 5.7.4 安全套接层（SSL）协议 1．SSL协议概述 SSL安全协议最初是由Netscape Communication公司为了保证Web通信协议的安全设计开发的，又叫“安全套接层（Secure Sockets Layer）协议”，主要用于提高应用程序之间数据的安全系数。 * SSL协议可以被概括为：一个保证任何安装了安全套接字的客户机和服务器间事务安全的协议，它涉及所有的TCP/IP应用程序。SSL协议所采用的加密算法和认证算法使它具有较高的安全性，因此它很快成为事实上的工业标准。