电子商务安全与管理第二章.ppt

第2章 信息安全技术,上海财经大学 劳帼龄,2,2.1 信息安全概述2.2 信息传输中的加密方式2.3 对称加密与不对称加密2.4 数字签名技术2.5 密钥管理技术2.6 验证技术,目录,上海财经大学 劳帼龄,3,引例网银的三种加密认证方式,为什么数字证书是最安全的方式？它所采用的技术是怎样实现安全保障的？除了这些技术，还需要哪些技术来保障信息安全？,上海财经大学 劳帼龄,4,2.1 信息安全概述,信息安全问题与信息安全技术：,上海财经大学 劳帼龄,5,2.2 信息传输中的加密方式,2.2.1 几种常用的加密方式链路链路加密节点加密端端加密ATM网络加密卫星通信加密2.2.2 加密方式的选择策略,上海财经大学 劳帼龄,6,2.2.1 几种常用的加密方式链路链路加密节点加密端端加密ATM网络加密卫星通信加密2.2.2 加密方式的选择策略多个网络互联环境下：端端加密链路数不多、要求实时通信、不支持端端加密远程调用通信场合：链路链路加密链路较多，文件保护、邮件保护、支持端端加密的远程调用、实时性要求不高：端端加密需要防止流量分析的场合：链路链路加密和端端加密组合,2.2 信息传输中的加密方式,上海财经大学 劳帼龄,7,2.3对称加密与不对称加密2.3.1 对称加密系统对称加密对称加密算法信息验证码2.3.2 不对称加密系统公开密钥加密RSA算法加密与验证模式的结合2.3.3 两种加密方法的联合使用,上海财经大学 劳帼龄,8,所谓加密，就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。,2.3对称加密与不对称加密,上海财经大学 劳帼龄,9,2.3.1 对称加密系统私有密钥1.对称加密特点:数据的发送方和接受方使用的是同一把密钥过程:发送方对信息加密发送方将加密后的信息传送给接收方接收方对收到信息解密，得到信息明文,2.3对称加密与不对称加密,上海财经大学 劳帼龄,10,2.3.1 对称加密系统2.对称加密算法数据加密标准（DES）高级加密标准（AES）三重DESRivest 密码3.信息验证码（MAC）MAC也称为完整性校验值或信息完整校验常用生成MAC的方法：基于散列函数的方法基于对称加密的方法,2.3对称加密与不对称加密,上海财经大学 劳帼龄,11,2.3对称加密与不对称加密,2.3.1 对称加密系统信息验证码（MAC）的使用过程：,上海财经大学 劳帼龄,12,2.3对称加密与不对称加密,2.3.2 不对称加密系统公开密钥1.公开密钥加密加密模式过程发送方用接收方的公开密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文,上海财经大学 劳帼龄,13,2.3对称加密与不对称加密,2.3.2 不对称加密系统2.RSA算法1997，麻省理工，Ronald Rivest、Adi Shamir、Leonard Adleman可逆的公开密钥加密系统通过一个称为公共模数的数字来形成公开密钥，公共模数是通过两个形成私人密钥的两个质数的乘数来获得的。,上海财经大学 劳帼龄,14,2.3对称加密与不对称加密,2.3.2 不对称加密系统3.加密与验证模式的结合保障信息机密性&验证发送方的身份使用过程：,上海财经大学 劳帼龄,15,2.3对称加密与不对称加密,2.3.3 两种加密方法的联合使用使用过程：,上海财经大学 劳帼龄,16,2.4 数字签名技术,2.4.1 数字签名的基本原理2.4.2 RSA数字签名2.4.3 美国数字签名标准算法2.4.4 椭圆曲线数字签名算法2.4.5 特殊数字签名算法,上海财经大学 劳帼龄,17,2.4.1 数字签名的基本原理 数字签名，其实是伴随着数字化编码的信息一起发送并与发送的信息有一定逻辑关联的数据项。数字签名类似于MAC，但不同于MAC，数字签名可以支持不可否认服务。数字签名的过程：,2.4 数字签名技术,上海财经大学 劳帼龄,18,2.4.1 数字签名的基本原理数字签名的要求数字签名的分类基于签字内容的分类基于数学难题的分类基于签名用户的分类基于数字签名所具有特性的分类基于数字签名所涉及的通信角色分类,2.4 数字签名技术,上海财经大学 劳帼龄,19,2.4.1 数字签名的基本原理数字签名的使用数字签名与手写签名的区别手写签名模拟的，因人而异数字签名0和1的字符串，因消息而异,2.4 数字签名技术,上海财经大学 劳帼龄,20,2.4.2 RSA数字签名简化的RSA数字签名：,2.4 数字签名技术,上海财经大学 劳帼龄,21,2.4.2 RSA数字签名用散列函数进行的RSA数字签名：,2.4 数字签名技术,上海财经大学 劳帼龄,22,2.4.3 美国数字签名标准算法基于离散对数问题单项不可逆的公开密钥系统验证过程中对资源的处理要比RSA更彻底2.4.4 椭圆数字签名算法利用离散对数一种运用RSA和DSA来实施数字签名的方法在生成签名和进行验证时比RSA和DSA快,2.4 数字签名技术,上海财经大学 劳帼龄,23,2.4.5 特殊数字签名算法盲签名多重签名代理签名定向签名双联签名团体签名不可争签名,2.4 数字签名技术,上海财经大学 劳帼龄,24,2.5 密钥管理技术,2.5.1 密钥管理概述2.5.2 RSA密钥传输2.5.3 Diffie-Hellman 密钥协议2.5.4 公开密钥的分发,上海财经大学 劳帼龄,25,2.5.1 密钥管理概述密钥都有时间期限，因为：攻击者可以使用数学分析方法来进行密码分析从而破解加密系统，攻击者获得大量有效的密文可以帮助他们加快密码的分析。密钥使用的时间越长，攻击者收集密文的机会就越多；密钥有可能被泄漏，攻击者可以对用某个特定密钥进行的加密处理进行密码分析，所以缩短密钥的使用期可以减少危险的发生。密钥的生命周期密钥建立（包括生成密钥和发布密钥）密钥备份/恢复或密钥的第三者保管密钥替换/更新密钥吊销密钥期满/终止（其中可能包含密钥的销毁或归档）,2.5密钥管理技术,上海财经大学 劳帼龄,26,2.5.2 RSA密钥传输用RSA密钥传输来加密电子邮件：,2.5密钥管理技术,上海财经大学 劳帼龄,27,2.5.3 Diffie-Hellman 密钥协议这一协议提出了公开密钥加密技术两个在线通信系统可以通过Diffie-Hellman 密钥协议来建立会话密钥2.5.4 公开密钥的分发公开密钥的分发并不要求保密，但必须保证公开密钥的完整性,2.5密钥管理技术,上海财经大学 劳帼龄,28,2.6 验证技术,2.6.1 基于口令的验证2.6.2 验证协议2.6.3 基于个人令牌的验证2.6.4 基于生物统计特征的验证2.6.5 基于地址的验证2.6.6 数字时间戳验证,上海财经大学 劳帼龄,29,2.6验证技术,验证是在远程通信中获得信任的手段，是安全服务中最为基本的内容。当事人/申请人通常基于以下因素：申请人表示所知道的某些事务申请人出示一些所有物申请人展示一些不可改变的特征申请人展示在某些特定场所或网络地址上的证据需要证明申请人身份的一方接受已经对申请人进行了验证的其他可信任方,上海财经大学 劳帼龄,30,2.6.1 基于口令的验证面临威胁：外部泄漏猜测通信窃取重放危及主机安全2.6.2 验证协议用来对与系统有关的被验证方和系统本身之间的与验证有关的数据通信进行管理，常要依靠验证决策,2.6验证技术,上海财经大学 劳帼龄,31,2.6.3 基于个人令牌的验证运作方式：储存式令牌同步一次性口令生成器提问答复数字签名令牌令牌存在的物理方式：人机界面令牌智能卡PCMCIA卡USB令牌,2.6验证技术,上海财经大学 劳帼龄,32,2.6.4 基于生物统计特征的验证常用生物测定技术：指纹识别声音识别书写识别面容识别视网膜识别手形识别,2.6验证技术,上海财经大学 劳帼龄,33,2.6.5 基于地址的验证依据某个呼叫的发送地址来对用户进行验证2.6.6 数字时间戳验证内容包括：需要加时间戳的信息的摘要数字时间戳服务机构收到该信息的日期和时间数字时间戳服务机构的数字签名,2.6验证技术,Thanks!,