1、第4章 數(shù)據(jù)加密與身份認(rèn)證,2,本章概要,本章就各種網(wǎng)絡(luò)安全技術(shù)進(jìn)行了闡述。所涉及的網(wǎng)絡(luò)安全技術(shù)有： 數(shù)據(jù)加密技術(shù)（Encryption） 身份認(rèn)證技術(shù)（Authentication） 包過濾技術(shù)（Packet Filtering） 資源授權(quán)使用（Authorization） 內(nèi)容安全（防病毒）技術(shù),3,課程目標(biāo),通過本章學(xué)習(xí)，讀者應(yīng)能夠： 了解常用的網(wǎng)絡(luò)安全技術(shù)及其適用范圍； 了解內(nèi)容安全(防病毒)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的重要地位。,4.1 數(shù)據(jù)加密技術(shù),5,4.1 數(shù)據(jù)加密技術(shù),信息安全技術(shù)是一門綜合的學(xué)科，它涉及信息論、計(jì)算機(jī)科學(xué)和密碼學(xué)等多方面知識(shí)，它的主要任務(wù)是研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)

2、信息的保護(hù)方法以實(shí)現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實(shí)和完整。其中，信息安全的核心是密碼技術(shù)。 隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷滲透到各個(gè)領(lǐng)域，密碼學(xué)的應(yīng)用也隨之?dāng)U大，數(shù)字簽名、身份鑒別等都是由密碼學(xué)派生出來的新技術(shù)和應(yīng)用。 隨著計(jì)算機(jī)聯(lián)網(wǎng)的逐步實(shí)現(xiàn)，計(jì)算機(jī)信息的保密問題顯得越來越重要。數(shù)據(jù)保密變換，或密碼技術(shù)，是對(duì)計(jì)算機(jī)信息進(jìn)行保護(hù)的最實(shí)用和最可靠的方法，下面對(duì)信息加密技術(shù)作一簡(jiǎn)要介紹。,6,數(shù)據(jù)加密的概念,數(shù)據(jù)加密模型,密文,加密密鑰,信息竊取者,解密密鑰,加密算法,解密算法,7,數(shù)據(jù)加密的概念,數(shù)據(jù)加密技術(shù)的概念,數(shù)據(jù)加密(Encryption)是指將明文信息(Plaintext)采取數(shù)學(xué)方法進(jìn)行函數(shù)轉(zhuǎn)換成

3、密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過程。,明文(Plaintext) ： 加密前的原始信息； 密文(Ciphertext) ：明文被加密后的信息； 密鑰(Key)： 控制加密算法和解密算法得以實(shí)現(xiàn)的關(guān)鍵信息，分為加密密鑰和解密密鑰； 加密(Encryption)：將明文通過數(shù)學(xué)算法轉(zhuǎn)換成密文的過程； 解密(Decryption)：將密文還原成明文的過程。,8,數(shù)據(jù)加密的概念,數(shù)據(jù)加密技術(shù)的應(yīng)用,數(shù)據(jù)保密； 身份驗(yàn)證； 保持?jǐn)?shù)據(jù)完整性； 確認(rèn)事件的發(fā)生。,9,數(shù)據(jù)加密技術(shù)原理,對(duì)稱密鑰加密（保密密鑰法） 非對(duì)稱密鑰加密（公開密鑰法） 混合

4、加密算法 哈希（Hash）算法 數(shù)字簽名 數(shù)字證書 公共密鑰體系,數(shù)據(jù)加密技術(shù)原理,10,數(shù)據(jù)加密技術(shù)原理,對(duì)稱密鑰加密（保密密鑰法）,加密算法,解密算法,密鑰,網(wǎng)絡(luò)信道,明文,明文,密文,兩者相等,11,數(shù)據(jù)加密技術(shù)原理,非對(duì)稱密鑰加密（公開密鑰加密）,加密算法,解密算法,公開密鑰,網(wǎng)絡(luò)信道,明文,明文,密文,私有密鑰,公鑰,私鑰,公鑰,私鑰,不可相互推導(dǎo),不相等,12,數(shù)據(jù)加密技術(shù)原理,混合加密系統(tǒng),對(duì)稱密鑰加密算法,對(duì)稱密鑰解密算法,對(duì)稱密鑰,網(wǎng)絡(luò)信道,明文,明文,密文,混合加密系統(tǒng)既能夠安全地交換對(duì)稱密鑰，又能夠克服非對(duì)稱加密算法效率低的缺陷！,非對(duì)稱密鑰加密算法,非對(duì)稱密鑰解密算法,

5、對(duì)稱密鑰,公開密鑰,私有密鑰,混合加密系統(tǒng)是對(duì)稱密鑰加密技術(shù)和非對(duì)稱密鑰加密技術(shù)的結(jié)合,13,數(shù)據(jù)加密技術(shù)原理,哈希（Hash）算法,信息,哈希算法（hash algorithm），也叫信息標(biāo)記算法（message-digest algorithm），可以提供數(shù)據(jù)完整性方面的判斷依據(jù)。,哈希算法,結(jié)果相同，則數(shù)據(jù)未被篡改,比較,結(jié)果不同，則數(shù)據(jù)已被篡改,信息標(biāo)記 （digest）,常用的哈希算法： MD5 SHA-1,哈希算法,14,數(shù)據(jù)加密技術(shù)原理,數(shù)字簽名,數(shù)字簽名（digital signature）技術(shù)通過某種加密算法，在一條地址消息的尾部添加一個(gè)字符串，而收信人可以根據(jù)這個(gè)字符串驗(yàn)明

6、發(fā)信人的身份，并可進(jìn)行數(shù)據(jù)完整性檢查。,15,數(shù)據(jù)加密技術(shù)原理,數(shù)字簽名的工作原理,非對(duì)稱加密算法,非對(duì)稱解密算法,Alice的私有密鑰,網(wǎng)絡(luò)信道,合同,Alice的公開密鑰,哈希算法,標(biāo)記,標(biāo)記-2,合同,哈希算法,比較,標(biāo)記-1,如果兩標(biāo)記相同，則符合上述確認(rèn)要求。,Alice,Bob,16,數(shù)據(jù)加密技術(shù)原理,數(shù)字簽名的作用,唯一地確定簽名人的身份； 對(duì)簽名后信件的內(nèi)容 是否又發(fā)生變化進(jìn)行驗(yàn)證； 發(fā)信人無法對(duì)信件的內(nèi)容進(jìn)行抵賴。,當(dāng)我們對(duì)簽名人同公開密鑰的對(duì)應(yīng)關(guān)系產(chǎn)生疑問時(shí)，我們需要第三方頒證機(jī)構(gòu)（CA: Certificate Authorities）的幫助。,Office軟件中實(shí)現(xiàn)數(shù)字

7、簽名,保證文件的完整性和原始性，對(duì)文檔進(jìn)行數(shù)字簽名，防止任何人對(duì)文檔進(jìn)行修改。 對(duì)一份需要保護(hù)的辦公文件添加數(shù)字簽名后，任何人（包括本人）對(duì)文件進(jìn)行修改，數(shù)字簽名就會(huì)遭到破壞。接收文件的人，通過該數(shù)字簽名就可以判斷文件的完整性和原始性。 Office中的Word、Excel、Powerpoint的數(shù)字簽名的原理和方式相同。 利用Selfcert工具為Excel文檔創(chuàng)建自己的數(shù)字證書。,Office軟件中實(shí)現(xiàn)數(shù)字簽名,創(chuàng)建數(shù)字簽名 選擇“開始程序Microsoft Office Microsoft Office工具VBA項(xiàng)目的數(shù)字證書”命令，打開“創(chuàng)建數(shù)字證書”對(duì)話框。,Office軟件中實(shí)現(xiàn)數(shù)

8、字簽名,創(chuàng)建數(shù)字簽名 在“創(chuàng)建數(shù)字證書”對(duì)話框中，根據(jù)需要輸入創(chuàng)建的數(shù)字證書的名稱。單擊“確定”按鈕后，數(shù)字簽名創(chuàng)建完成。,Office軟件中實(shí)現(xiàn)數(shù)字簽名,添加數(shù)字簽名 數(shù)字證書創(chuàng)建完成后，就可打開需要添加保護(hù)的Excel工作薄文件，添加數(shù)字證書了。 在Excel中打開需要數(shù)字簽名的數(shù)據(jù)文件，選擇菜單“工具選項(xiàng)”對(duì)話框，選中“安全性”選項(xiàng)卡。單擊“數(shù)字簽名”按鈕，打開“數(shù)字簽名”對(duì)話框，可以看到數(shù)字簽名列表中沒有任何記錄，這表示該文件還沒被添加數(shù)字簽名。,Office軟件中實(shí)現(xiàn)數(shù)字簽名,添加簽名,Office軟件中實(shí)現(xiàn)數(shù)字簽名,添加簽名 單擊“數(shù)字簽名”對(duì)話框中的“添加”按鈕，打開“選擇證書”

9、對(duì)話框，可以在列表中看到先前創(chuàng)建的數(shù)字證書，單擊“確定”按鈕后，再單擊“確定”按鈕返回，這樣就完成了數(shù)字簽名的添加。不需要進(jìn)行保存操作，直接退出Excel，數(shù)字簽名就添加成功了。,Office軟件中實(shí)現(xiàn)數(shù)字簽名,測(cè)試數(shù)字簽名 為了解文件添加數(shù)字簽名后的特征，重新打開Excel工作薄，可以看到標(biāo)題欄上出現(xiàn)“已簽名，未驗(yàn)證”的提示，這表明數(shù)字簽名已經(jīng)生效。,Office軟件中實(shí)現(xiàn)數(shù)字簽名,測(cè)試數(shù)字簽名 對(duì)于已經(jīng)添加數(shù)字簽名的文件，任何人（包括添加數(shù)字簽名的用戶本人），如果對(duì)文件進(jìn)行任何修改操作，都會(huì)破壞這個(gè)數(shù)字簽名。 嘗試對(duì)已經(jīng)添加數(shù)字簽名的Excel文件進(jìn)行修改，當(dāng)執(zhí)行菜單“文件保存”命令時(shí)，會(huì)

10、彈出警告框。,Office軟件中實(shí)現(xiàn)數(shù)字簽名,測(cè)試數(shù)字簽名 如果單擊“是”按鈕，Excel會(huì)保存修改后的數(shù)據(jù)，但當(dāng)再次打開該工作薄時(shí)，原來Excel標(biāo)題欄中的“已簽名，未驗(yàn)證”的標(biāo)識(shí)就會(huì)消失，表明原有的數(shù)字簽名已經(jīng)被破壞，接收者根據(jù)這一特點(diǎn)就可以知道收到的文檔的完整性和原始性已經(jīng)受到破壞。 利用數(shù)字簽名，可以有效地確保重要文件的完整性和原始性，結(jié)合加密，可以大大提高文件的安全性。而具體操作也比較簡(jiǎn)單。,26,數(shù)據(jù)加密技術(shù)原理,數(shù)字證書,數(shù)字證書相當(dāng)于電子化的身份證明，應(yīng)有值得信賴的頒證機(jī)構(gòu)（CA機(jī)構(gòu)）的數(shù)字簽名，可以用來強(qiáng)力驗(yàn)證某個(gè)用戶或某個(gè)系統(tǒng)的身份及其公開密鑰。 數(shù)字證書既可以向一家公共的

11、辦證機(jī)構(gòu)申請(qǐng)，也可以向運(yùn)轉(zhuǎn)在企業(yè)內(nèi)部的證書服務(wù)器申請(qǐng)。這些機(jī)構(gòu)提供證書的簽發(fā)和失效證明服務(wù)。,27,數(shù)據(jù)加密技術(shù)原理,數(shù)字證書中的常見內(nèi)容,發(fā)信人的公開密鑰； 發(fā)信人的姓名； 證書頒發(fā)者的名稱； 證書的序列號(hào)； 證書頒發(fā)者的數(shù)字簽名； 證書的有效期限。,如:目前通用的X.509證書,28,數(shù)據(jù)加密技術(shù)原理,申請(qǐng)數(shù)字證書，并利用它發(fā)送電子郵件,29,數(shù)據(jù)傳輸?shù)募用?鏈路加密方式,30,數(shù)據(jù)傳輸?shù)募用?鏈路加密方式,用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)，通常用硬件 在物理層或數(shù)據(jù)鏈路層實(shí)現(xiàn)。,優(yōu)點(diǎn) 由于每條通信鏈路上的加密是獨(dú)立進(jìn)行的，因此當(dāng)某條鏈路受到破壞不會(huì)導(dǎo)致其它鏈路上傳輸?shù)男畔⒌陌踩浴?報(bào)文中的

12、協(xié)議控制信息和地址都被加密，能夠有效防止各種流量分析。 不會(huì)減少網(wǎng)絡(luò)有效帶寬。 只有相鄰節(jié)點(diǎn)使用同一密鑰，因此，密鑰容易管理。 加密對(duì)于用戶是透明的，用戶不需要了解加密、解密過程。,31,數(shù)據(jù)傳輸?shù)募用?鏈路加密方式,缺點(diǎn) 在傳輸?shù)闹虚g節(jié)點(diǎn)，報(bào)文是以明文的方式出現(xiàn)，容易受到非法訪問的威脅。 每條鏈路都需要加密/解密設(shè)備和密鑰，加密成本較高。,32,數(shù)據(jù)傳輸?shù)募用?端對(duì)端加密方式,33,數(shù)據(jù)傳輸?shù)募用?端對(duì)端加密方式,在源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)對(duì)傳輸?shù)膱?bào)文進(jìn)行加密和解密，一般在應(yīng)用層或表示層完成。,優(yōu)點(diǎn) 在高層實(shí)現(xiàn)加密，具有一定的靈活性。用戶可以根據(jù)需要選擇不同的加密算法。,缺點(diǎn) 報(bào)文的控制信息和地址不

13、加密，容易受到流量分析的攻擊。 需要在全網(wǎng)范圍內(nèi)對(duì)密鑰進(jìn)行管理和分配。,34,常用加密協(xié)議,SSL協(xié)議:,安全套接層協(xié)議（Secure Socket Layer）。 SSL是建立安全通道的協(xié)議，位于傳輸層和應(yīng)用層之間，理論上可以為任何數(shù)量的應(yīng)用層網(wǎng)絡(luò)通信協(xié)議提供通信安全。 SSL協(xié)議提供的功能有安全（加密）通信、服務(wù)器（或客戶）身份鑒別、信息完整性檢查等。 SSL協(xié)議最初由Netscape公司開發(fā)成功，是在Web客戶和Web服務(wù)器之間建立安全通道的事實(shí)標(biāo)準(zhǔn)。 SSL協(xié)議的版本。,35,常用加密協(xié)議,SSL協(xié)議:,安全套接層協(xié)議所在層次,36,常用加密協(xié)議,TLS協(xié)議:,傳輸層安全協(xié)議（Tran

14、sport Layer Security）。 TLS協(xié)議由IETF（Internet Engineering Task Force）組織開發(fā)。 TLS協(xié)議是對(duì)SSL 3.0 協(xié)議的進(jìn)一步發(fā)展。 同SSL協(xié)議相比，TLS協(xié)議是一個(gè)開放的、以有關(guān)標(biāo)準(zhǔn)為基礎(chǔ)的解決方案，使用了非專利的加密算法。,37,常用加密協(xié)議,IP-Sec協(xié)議(VPN 加密標(biāo)準(zhǔn)):,與SSL協(xié)議不同，IP-Sec協(xié)議試圖通過對(duì)IP數(shù)據(jù)包進(jìn)行加密，從根本上解決因特網(wǎng)的安全問題。 IP-Sec是目前遠(yuǎn)程訪問VPN網(wǎng)的基礎(chǔ)，可以在Internet上創(chuàng)建出安全通道來。,38,常用加密協(xié)議,IP-Sec協(xié)議:,IP-Sec協(xié)議有兩種模式：

15、 透明模式：把IP-Sec協(xié)議施加到IP數(shù)據(jù)包上，但不改變數(shù)據(jù)包原來的數(shù)據(jù)頭； 信道模式：把數(shù)據(jù)包的一切內(nèi)容都加密（包括數(shù)據(jù)頭），然后再加上一個(gè)新的數(shù)據(jù)頭。,39,常用加密協(xié)議,其它加密協(xié)議與標(biāo)準(zhǔn):,SSH：Secure Shell。 DNSSEC：Domain Name Server Security。 GSSAPI： Generic Security Services API。 PGP協(xié)議：Pretty Good Protocol。,4.2 身份認(rèn)證與識(shí)別,41,身份鑒別技術(shù),Is that Alice?,Hi, this is Alice. Please send me data.,In

16、ternet,身份鑒別技術(shù)的提出,在開放的網(wǎng)絡(luò)環(huán)境中，服務(wù)提供者需要通過身份鑒別技術(shù)判斷提出服務(wù)申請(qǐng)的網(wǎng)絡(luò)實(shí)體是否擁有其所聲稱的身份。,數(shù)字簽名的目的是防止篡改，但沒有解決信息安全的基本要求： 用戶是不是冒名頂替者？ 訪問資源的用戶是否可信？,身份鑒別技術(shù),通常有三種主要方法： 只有該主體知道的秘密，如口令、密鑰等 該主體攜帶的能證實(shí)其身份的物品，如智能卡 只有該主體才具有的生理特征，如指紋、視網(wǎng)膜、聲音和簽字等。 各自優(yōu)缺點(diǎn)： 口令方法成本較低，但安全性較差，而且口令長(zhǎng)了不易記憶； 生理特征技術(shù)安全性強(qiáng)，但成本較高； 智能卡技術(shù)較成熟，能實(shí)現(xiàn)一次一密，安全性優(yōu)于口令。 處理機(jī)密級(jí)信息的系統(tǒng)提

17、倡使用智能卡加口令的鑒別方法，處理絕密級(jí)的系統(tǒng)應(yīng)當(dāng)使用一次性口令或生理特征等強(qiáng)鑒別方法。,43,身份鑒別技術(shù),常用的身份鑒別技術(shù),基于用戶名和密碼的身份鑒別 基于對(duì)稱密鑰密碼體制的身份鑒別技術(shù) 基于KDC（密鑰分配中心）的身份鑒別技術(shù) 基于非對(duì)稱密鑰密碼體制的身份鑒別技術(shù) 基于證書的身份鑒別技術(shù),44,身份鑒別技術(shù),Yes. I have a user named “Alice” whose password is “byebye”. I can send him data.,Hi, this is Alice. My User Id is “Alice”, my password is “b

18、yebye”. Please send me data.,Internet,基于用戶名和密碼的身份鑒別,身份鑒別技術(shù),PAP全稱為：Password Authentication Protocol（口令認(rèn)證協(xié)議），是PPP中的基本認(rèn)證協(xié)議。PAP就是普通的口令認(rèn)證，要求將密鑰信息在通信信道中明文傳輸，因此容易被sniffer監(jiān)聽而泄漏。,46,身份鑒別技術(shù),This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于對(duì)稱密鑰體制的身份鑒別,A,在這種技術(shù)中，鑒別雙方共享一個(gè)對(duì)稱密鑰KAB，該對(duì)稱密鑰在鑒別之前已

19、經(jīng)協(xié)商好（不通過網(wǎng)絡(luò)）。,RB,KAB(RB),RA,KAB(RA),Alice,Bob,身份鑒別技術(shù),CHAP全稱為：Challenge Handshake Authentication Protocol(挑戰(zhàn)握手認(rèn)證協(xié)議)，主要就是針對(duì)PPP的，除了在撥號(hào)開始時(shí)使用外，還可以在連接建立后的任何時(shí)刻使用。 CHAP 協(xié)議基本過程是認(rèn)證者先發(fā)送一個(gè)隨機(jī)挑戰(zhàn)信息給對(duì)方，接收方根據(jù)此挑戰(zhàn)信息和共享的密鑰信息，使用單向HASH函數(shù)計(jì)算出響應(yīng)值，然后發(fā)送給認(rèn)證者，認(rèn)證者也進(jìn)行相同的計(jì)算，驗(yàn)證自己的計(jì)算結(jié)果和接收到的結(jié)果是否一致，一致則認(rèn)證通過，否則認(rèn)證失敗。這種認(rèn)證方法的優(yōu)點(diǎn)即在于密鑰信息不需要在通信

20、信道中發(fā)送，而且每次認(rèn)證所交換的信息都不一樣，可以很有效地避免監(jiān)聽攻擊。 CHAP缺點(diǎn)：密鑰以明文信息進(jìn)行保存，不能防止中間人攻擊。 使用CHAP的安全性除了本地密鑰的安全性外，網(wǎng)絡(luò)上的安全性在于挑戰(zhàn)信息的長(zhǎng)度、隨機(jī)性和單向HASH算法的可靠性。,48,身份鑒別技術(shù),This is Bob. Are you Alice?,Hi, this is Alice. Are you Bob ?,Internet,基于KDC的身份鑒別技術(shù),A, KA(B,KS),基于KDC（Key Distribution Center，密鑰分配中心）的身份鑒別技術(shù)克服了基于對(duì)稱密鑰的身份鑒別技術(shù)中的密鑰管理的困難。在這種技術(shù)中，參與鑒別的實(shí)體只與KDC共享一個(gè)對(duì)稱密鑰，鑒別通過KDC來完成。,KB(A,KS),Alice,Bob,KDC,身份鑒別技術(shù),Kerberos鑒別服務(wù) 美國麻省理工學(xué)院開發(fā)的基于可信賴的第三方的鑒別系統(tǒng)。 特點(diǎn)： Kerberos建立在可信的第三方鑒別協(xié)議基礎(chǔ)上，密鑰分配中心KDC負(fù)責(zé)向用戶頒發(fā)用于證明用戶身份的許可證和與網(wǎng)絡(luò)資源安全通信的會(huì)話密鑰。 Kerberos是基于常規(guī)密碼體制的鑒別。 Kerberos跨域鑒別。 Kerberos服務(wù)器KDC上維持著一個(gè)數(shù)據(jù)庫，用于存放所有用戶，應(yīng)用服務(wù)器的注冊(cè)信息。K