网络信息安全的关键技术

KRc
网络信息安全的关键技术
33
双重签名
▪ D有S签=E名K密Rc[钥H(H(PI)‖H(OI))] 式中KRC为客户私
▪ 商户接收客户发来的OI、PIMD=H(PI)、DS后， 利下用两从 项客 结户 果证 ，书若中相获等得则的客客户户签公名钥正确KUC，计算如
• H(PIMD‖H(OI))
• DKUc[DS]
•数字证书证明公钥 的真实性
公钥证书
数字证书
网络信息安全的关键技术
42
数字证书的作用
▪ 证实在电子商务或信息交换中参加者的 身份；
防火墙概念（3）
▪ 防火墙的实质是一对矛盾（或称机制)： • 限制数据流通 • 允许数据流通
▪ 两种极端的表现形式： • 除了允许的都被禁止，安全但不好用。 （限制政策） • 除了禁止的都被允许，好用但不安全。 （宽松政策）
多数防火墙都在两种之间采取折衷。
为什么需要防火墙
▪ 在一个没有防火墙环境中，网络安全完全依 赖于主机安全，并且在某种意义上所有主机 都必须协同达到统一的安全标准
▪ 数字证书通常包含有：
1. 唯一标识证书所有者(即贸易方)的名称
2. 唯一标识证书发布者的名称
3. 证书所有者的公开密钥
4. 证书发布者的数字签名
5. 证书的有效期及证书的序列号等。
网络信息安全的关键技术
41
公钥密码与数字证书
•公钥密码使公钥的 分配不需要机密性 保证
•公钥密码需要保证 公钥的真实性
网络信息安全的关键技术
22
公开密钥技术
▪ 亦称非对称加密算法，是由斯坦福大学 三人研究发明的，自1977年进入市场以 来，成为目前应用最普遍的一种加密算 法(RSA)。
▪ 重要特点：加密和解密使用不同的密钥， 每个用户保存着两个密钥：一个公开密 钥，简称公钥，一个私人密钥，简称私 钥。
网络信息安全的关键技术
4. 有关网络使用、滥用的记录和统计
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •防火墙技术 •密码技术 •加反密入和侵解（密黑客防范）技术 ••1防 安、病全算毒审法技计术技术 •2安、全体管制理技术
• 对称加密体制
• 非对称加密体制
3、VPN
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •防火墙技术 •密码技术 •反入侵技术 •1防. 病漏毒洞技扫术描技术 •2安. 全入管侵理侦技测术技术
时
间 第三方私钥加密 戳
网络信息安全的关键技术
32
双重签名
▪ 网上购物过程中，客户需要发送定购信息OI给 商户，发送支付信息PI给银行。这两条信息是 相关联的。用DS连接这两条消息的摘要 （PIMD和OIMD），并安全地将连接后的消息 分别传送到不同的接收方
PI
H
PIMD
‖
H
POMD
E
DS
OI
H
OIMD
IPSec
PKI
Communications
Payments Mail Web VPNs
Technologies
Directories Databases Smart Cards
Applications
EDI
Banking
e-Commerce
Digital Signing
CRM ERP
CA的定义与功能
5. 将解密后的摘要和收到的文件在接收方重新 加密产生的摘要相互对比。如两者一致，则 说明传送过程中信息没被破坏或纂改过，否 则就有伪劣假冒的嫌疑。
网络信息安全的关键技术
30
原
Hash加密
IK加密
摘要
数字签名
发送
PK解密
数字签名
摘要
原
原
摘要 文
文
文 Hash加密
发送方
接收方
原理示意图
网络信息安全的关键技术
• 接收者不能伪造对报文的签名。
网络信息安全的关键技术
28
数字签名的原理
原理为：
1. 被发送的文件用HASH编码加密产生一 定长度的数字摘要；
2. 发送方用自己的私钥对摘要再加密， 这就形成了数字签名；
3. 将原文和加密的摘要同时传送给对方；
网络信息安全的关键技术
29
数字签名
4. 对方用发送方的公钥对摘要进行解密，同时 对收到的文件用HASH编码加密产生另外一个 摘要；
网络信息安全的关键技术
•身份认证技术 对•访网问络控中制的技主术体进行验证的过程 三••主 防种机火验安墙证全技方技术法术： 1•.密只码有技该术主体了解的秘密 ••反 防•入病侵毒口（技令黑术，客密防钥范）技术 2•.安主全体审携计带技的术物品 •安•全管智理能技卡术，令牌卡 3. 只有主体具有的独一无二的特征或能力
▪ 基于主机的安全伸缩性不好：当一个站点上 主机的数量增加时，确定每台主机处于高安 全级别之上，势必会使性能下降
▪ 如果某个网络软件的薄弱点被发现，没有防 火墙保护的站点必须尽可能快地更正每个暴 露的系统。
防火墙的作用示意图
非法获取内部 数据
互联网
防火墙的局限性
防火墙不是解决所有网络安全问题的万能 药方，只是网络安全政策和策略中的一个组成 部分。
目录服务
网络信息安全的关键技术
公布用户的证书信息 39
数字证书
▪ 数字证书就是在网络通信中，标
志通信各方身份信息的一系列数
据，其作用类似于现实生活中的
身份证。它是用电子手段来证实
一个用户的身份和对网络资源访
问的权限，它是由一个权威机构
发行的。
网络信息安全的关键技术
40
数字证书
▪ 贸易伙伴间可以使用数字证书(公开密钥证 书)来交换公开密钥。
4. 对称密钥的管理和分发工作是一项具有潜在 危险和烦琐的过程。
网络信息安全的关键技术
21
公开密钥密码体制
在Internet中使用更多的是公钥系统。 即公开密钥加密，它的加密密钥和解密 密钥是不同的。一般对于每个用户生成 一对密钥后，将其中一个作为公钥公开， 另外一个则作为私钥由属主保存。常用 的公钥加密算法是RSA算法。
首先，A向KDC申请公开密钥，将信息（A，B）发给KDC。 KDC返回给A的信息为（CA，CB），其中，CA=DSK（A， PKA，T1），CB=DSK（B，PKB，T2）。CA和CB称为证书 （Certificate），分别含有A和B的公开密钥。KDC使用其解密 密钥SK对CA和CB进行了签名，以防止伪造。时间戳T1和T2的 作用是防止重复攻击。
网络信息安全的关键技术
26
具体操作方法
公钥B
加 密
对称密钥
加 密
普通报文
加密的密钥
密文
网络信息安全的关键技术
私钥B
解 密
对称密钥
解 密
普通报文
27
数字签名
数字签名技术是实现交易安全的核心 技术之一，它的实现基础就是加密技术。 数字签名必须保证以下几点：
• 接收者能够核实发送者对报文的签名；
• 发送者事后不能抵赖对报文的签名；
CA是颁发、管理数字证书的机构， 是可信第三方。
其功能包括：
• 验证申请人身份 • 生成数字证书 • 归档数字证书 • 废除数字证书 • 发布数字证书和数字证书废除清单
网络信息安全的关键技术
38
CA的组成、证书周期
证书废止
证书用户
企事业单位、个体、应用商等
使用PKI-Enabled 安全软件 申请使用数字证书
3. 安全审计技术
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •防火墙技术 •密码技术 •反入侵技术 •安全管理技术 1. 网络安全的规划
2. 安全风险评估和分析
3. 安全实施
电子商务系统的安全
▪ 电子商务主要的安全要素 1. 可靠性； 2. 完整性； 3. 保密性； 4. 确定性； 5. 不可否认性； 6. 合法性。
▪ 典型代表是：
数据加密标准----DES
网络信息安全的关键技术
19
对称密钥加密法
加密
安全通道 密钥
网络信息安全的关键技术
解密
20
对称加密算法的优劣
▪ 优点：加密、解密速度非常快。
▪ 缺点：
1. 要求提供一个安全的渠道使交易双方在首次 通信时能够协商一个共同的密钥。
2. 密钥难以管理。
3. 不能提供信息完整性的鉴别，无法验证发送 者和接受者的身份。
在网络应用中一般采取两种加密形式：对 称密钥和公开密钥。
网络信息安全的关键技术
17
下面介绍几种最常见的加密体制的 技术实现：
1．数据加密标准DES
2．公开密钥密码体制
网络信息安全的关键技术
18
对称式加密算法
▪ 对称加密的算法与体制是加密和解密双 方共用一个公共的密钥，加密方使用这 个密钥对数据进行加密，而解密方只有 用这个密钥才能使数据还原。
• 指纹，声音，视网膜，签字
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •保主证机网安络全资技源术不被非法使用和非法访问 •防火墙技术 •企密业码网技络术的访问控制： •1反. 入网侵内（用黑户客的防访范问）控技制术 •防病毒技术 •2安. 全内管联理网技对术外部的访问控制
3. 外部用户对内联网的访问控制ห้องสมุดไป่ตู้
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •主防要火指墙操技作术系统的安全 •密码技术 •1反. 入U侵NI（X系黑统客安防全范）技术 ••2防 安. 病全W毒审in技计do术技w术s系统安全 •安全• 管漏理洞技术
• 安全配置
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •防火墙技术 •加密强码网技络术间的访问控制 ••1反 防. 入病防侵毒止（技易黑术受客攻防击范的）服技务术 •2安. 全控审制计访技问术网络系统 •3安. 全集管中理安技全术性
最后，A将证书CA和CB传送给B。B获得了A的公开密钥 PKA，同时也可检验他自己的公开密钥PKB。
网络信息安全的关键技术
35
licensingSiteSettings2
1 2
密钥分配中心
4
用户A
3
用户B
网络信息安全的关键技术
36
PKI(公共密钥基础设施)
Protocols
SET
SSL
S/MIME
网络信息安全的关键技术
8
电子商务 安 全 技术之一
内部网与互联网怎样有效隔离
网络间的访问 ----需隔离 FIREWALL
防火墙示意图
3. 分公司网络
2. 部门子网
Internet
1. 企业内联网
防火墙的概念（1）
▪ 最初含义：当房屋还处于木制结构的时侯，人 们将石块堆砌在房屋周围用来防止火灾的发生。 这种墙被称之为防火墙 。
证书公布
目录 服务
证书生成
CA
RA
证书 用户
证书过期 证书存档
CA - Certification Authority
证书管理中心 制订证书相关规定 生成证书 管理废止证书（黑名单） 更新证书目录 密钥管理
RA - Registration Authority
证书审批受理点 办理和审批证书申请
证书申请
31
数字时间戳
数字时间戳技术就是对电子文件签署的日期和时间进 行的安全性保护和有效证明的技术。它是由专门的认证 机构来加的，并以认证机构收到文件的时间为依据。
H函a数sh 加密
摘
原
要
信
息
摘
要
时
间数
字
时
间
发送端
戳
internet
Hash 函
摘 加时间 摘 数加密 新
要
要
摘
时
要
间
internet
数 字
▪ 防火墙是一种访问控制技术，在某个机构的网 络和不安全的网络之间设置障碍，阻止对信息 资源的非法访问。换句话说，防火墙是一道门 槛，控制进/出两个方向的通信。
防火墙的概念（2）
▪ 具有下列性质：
1.只允许本地安全策略授权的通信信息通过 2.双向通信信息必须通过防火墙 3.防火墙本身不会影响信息的流通
▪ 银行接收客户发来的DS、PI、OIMD=H(OI)和 客等户，公 则钥 银行KU确C，认若了如客下户运的算签所名得的两个数值相
• H(H(PI‖OIMD))
• DKUc[DS]
网络信息安全的关键技术
34
密钥管理
目前，公认的有效方法是通过密钥分配中心KDC来管理和 分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开 密钥PK。用户可以通过KDC获得任何其他用户的公开密钥。
•防火墙不能防范绕过防火墙的攻击 ，如内 部提供拨号服务。 •防火墙不能防范来自内部人员恶意的攻击。 •防火墙不能阻止被病毒感染的程序或文件的 传递。 •防火墙不能防止数据驱动式攻击。如特洛伊 木马。
加密技术
数据加密从技术上的实现分为在软件和硬 件两方面。按作用不同，数据加密技术主要分 为数据传输、数据存储、数据完整性的鉴别以 及密钥管理技术这四种。
23
非对称加密算法
公钥 加密
私钥 解密
原文
加密原文
网络信息安全的关键技术
原文
24
甲方： （甲密钥和乙公钥）
乙方： （乙密钥和甲公钥）
用甲密 钥加密
用甲公 钥解密
用乙公 钥加密
用乙密 钥解密
网络信息安全的关键技术
25
数字信封
“数字信封”技术结合了对称 加密和非对称加密的优点， 使用两个层次的加密来获得 非对称加密的灵活性和对称 加密的高效性。