20 元
下载资源

常见加密算法及身份验证协议探究资料课件

上传人:9** 文档编号:241309393 上传时间:2024-06-17 格式:PPT 页数:33 大小:1.45MB
返回 下载 相关 举报
常见加密算法及身份验证协议探究资料课件_第1页
第1页 / 共33页
常见加密算法及身份验证协议探究资料课件_第2页
第2页 / 共33页
常见加密算法及身份验证协议探究资料课件_第3页
第3页 / 共33页
点击查看更多>>
资源描述
讲师姓名:林麟讲师姓名:林麟讲师姓名:林麟大纲加密对称加密对称加密非对称加密非对称加密公共密钥体系公共密钥体系证书服务证书服务SSLSSL身份验证常见身份验证方法常见身份验证方法NTLMNTLM和和KerberosKerberos身份验证协议与微软操作系统身份验证协议与微软操作系统大纲加密常见加密算法及身份验证协议探究资料课件加密的优势数据保密性数据保密性确保只有特定的接受者才能查看内容确保只有特定的接受者才能查看内容数据完整性数据完整性通过通过HashHash算法确保数据不被篡改算法确保数据不被篡改认证认证数字签名提供认证服务数字签名提供认证服务不可否定性不可否定性数字签名允许用户证明信息交换确实发数字签名允许用户证明信息交换确实发生过生过金融组织用于电子货币交易金融组织用于电子货币交易加密的优势数据保密性确保只有特定的接受者才能查看内容数据完整加密的种类和强度加密种类对称加密(对称加密(Symmetric Symmetric)非对称加密(非对称加密(Asymmetric Asymmetric)哈希算法(哈希算法(Hash Hash)加密强度算法强度算法强度密钥的保密性密钥的保密性密钥的长度密钥的长度配方数配方数=2=2的的n n次方次方加密的种类和强度加密种类计算机和密码破译能力花销花销(US$)(US$)对称对称对称对称/非对称密钥长度非对称密钥长度非对称密钥长度非对称密钥长度 (bit)bit)40/38440/38456/51256/51264/76864/76880/179280/1792128/2304128/2304$10$10万万.2.2秒秒秒秒3.53.5小时小时小时小时3737天天天天70007000年年年年10181018年年年年$100$100万万.02.02秒秒秒秒2121分钟分钟分钟分钟4 4天天天天700700年年年年10171017年年年年$1$1亿亿2 2毫秒毫秒毫秒毫秒2 2分钟分钟分钟分钟9 9小时小时小时小时7070年年年年10161016年年年年$10$10亿亿.2.2毫秒毫秒毫秒毫秒1313秒秒秒秒1 1小时小时小时小时7 7年年年年10151015年年年年$1000$1000亿亿2 2 微秒微秒微秒微秒.1.1秒秒秒秒3232秒秒秒秒245245天天天天10141014年年年年计算机和密码破译能力花销对称/非对称密钥长度(bit)加密算法示例最早的恺撒密文就是一种简单的字母替换加密算法,算法本身非常简单但同时也是最容易破解的算法。其加密方式就是按照其在英文字母表里的顺序将字母循环移位。整个算法可归结为下面的公式F(x)=(x+s)mod 26F(x)=(x+s)mod 26x x 是原文字母是原文字母是原文字母是原文字母s s 是一个常数是一个常数是一个常数是一个常数缺点:字母出现的频率没有变化缺点:字母出现的频率没有变化缺点:字母出现的频率没有变化缺点:字母出现的频率没有变化加密算法示例最早的恺撒密文就是一种简单的字母替换加密算法,算对称加密在加密和解密过程中使用同一个密钥常见对称加密算法Data encryption Data encryption standard standard(64/2 bit,64/2 bit,16 round16 round,56bit 56bit keykey)Triple DESTriple DES(128key128key)Symmetric algorithms Symmetric algorithms created by the RSA created by the RSA Security CorporationSecurity CorporationInternational Data International Data Encryption AlgorithmEncryption AlgorithmBlowfish and TwofishBlowfish and TwofishSkipjackSkipjackMARSMARSRijndael and SerpentRijndael and SerpentAdvanced Encryption Advanced Encryption StandardStandard对称加密在加密和解密过程中使用同一个密钥Data encryDES描述DES是一种block密文,意思是把数据加密成64位的block。使用相同的密钥来加密和解密。每64位的数据又被分成两半,并利用密钥对每一半进行运算(称做次round)。DES进行16个rounds,并且对于每个round运算所使用密钥的位数是不同的。理论破解概率:1/70,000,000,000,000,000DES描述DES是一种block密文,意思是把数据加密成64非对称加密在加密和解密过程中使用不同密钥密钥交换手动交换密钥首先和接收方交换公钥首先和接收方交换公钥PGP PGP 和和 S/MIME S/MIME自动交换密钥通过一系列的握手过程可以自动地安全地通过一系列的握手过程可以自动地安全地交换信息交换信息(包括私钥包括私钥)SSLSSL和和IPSecIPSec非对称加密在加密和解密过程中使用不同密钥非对称加密非对称加密特点加密解密速度慢加密解密速度慢强度高强度高实施难度大实施难度大通常与对称加密配合使用通常与对称加密配合使用非对称加密算法RSARSADSADSADiffie-HellmanDiffie-Hellman非对称加密非对称加密特点Diffie-hellman研发人员DiffieDiffieHellmanHellman时间:1976年核心原理密钥保密密钥保密算法公开算法公开Diffie-hellman研发人员RSA算法 研发人员Ron RivestRon RivestAdi ShamirAdi ShamirLeonard AdlemanLeonard Adleman核心原理大数分解难大数分解难其安全性一直未能得到理论上的证明。RSA算法 研发人员RSA算法密钥对的产生 选择两个大素数,选择两个大素数,p p 和和q q。计算:。计算:n=p*q n=p*q (n n称为模数)称为模数)然后随机选择加密密钥然后随机选择加密密钥e n(e n(经常为经常为3 3或或65537)65537),要求要求 e e 和和(p-1)*(q-1)(p-1)*(q-1)互质。最后,利用互质。最后,利用Euclid Euclid 算法计算解密密钥算法计算解密密钥d,d,满足满足 e*d=1(mod(p-1)*(q-1)e*d=1(mod(p-1)*(q-1)其中其中n n和和d d也要互质。数也要互质。数e e和和n n是公钥,是公钥,d d是私钥。两是私钥。两个素数个素数p p和和q q不再需要,应该丢弃,不要让任何人不再需要,应该丢弃,不要让任何人知道。知道。RSA算法密钥对的产生 选择两个大素数,p 和q。计算RSA算法加密解密信息 加密信息加密信息 m m(二进制表示)时,首先把(二进制表示)时,首先把mm分成等分成等长数据块长数据块 m1,m2,.,mi m1,m2,.,mi,块长,块长s s,其中,其中 2s=n,2s=n,s s 尽可能的大。对应的密文是:尽可能的大。对应的密文是:ci=mie(mod n)(a)ci=mie(mod n)(a)解密时作如下计算:解密时作如下计算:mi=cid(mod n)(b)mi=cid(mod n)(b)RSA RSA 可用于数字签名,方案是用可用于数字签名,方案是用(a)(a)式签名,式签名,(b)b)式验证。具体操作时考虑到安全性和式验证。具体操作时考虑到安全性和 m m信息量信息量较大等因素,一般是先作较大等因素,一般是先作 HASH HASH 运算运算 RSA算法加密解密信息 加密信息 m(二进制表示)时,首RSA算法 1978年就出现了这种算法,它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest,AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数(大于 100个十进制位)的函数。据猜测,从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。RSA算法 1978年就出现了这种算法,它是第一个既能用于数公共密钥体系(PKI)域控制器域控制器域控制器域控制器SSL 和和 IPSec证书服务证书服务证书服务证书服务证书申请与吊销证书申请与吊销Active DirectoryActive Directory证书发布证书发布PKI 应用程序应用程序 客户端计算机客户端计算机客户端计算机客户端计算机公共密钥体系(PKI)域控制器SSL 和 IPSec证书服务公共密钥体系加密明文密文User1明文User2证书服务证书服务User2 的公钥User2 的私钥公共密钥体系加密明文密文User1明文User2证书服务公共密钥体系数字签名计算摘要计算摘要计算摘要计算摘要User1(发送方发送方)明文明文User1 的私钥摘要摘要加密摘要加密摘要1 12 23 3User2(接受方接受方)User1 的公钥4 46 6对比对比对比对比5 5计算摘要计算摘要计算摘要计算摘要公共密钥体系数字签名计算摘要User1(发送方)明文U应用 PKI 的产品Outlook/OWA SMIME RADIUS/RAS+Smart cardWireless PKI 支持源码签名(code signing)电子邮件数字签名 Smart card登录SSL应用 PKI 的产品Outlook/OWA SMIME 实用协议分析SSL实用协议分析SSL常见加密算法及身份验证协议探究资料课件身份验证身份验证方法what you knowwhat you know密码密码what you havewhat you have智能卡智能卡/证书证书who you arewho you are物理物理/生物特征生物特征where you arewhere you are源源IPIP地址地址(IIS)(IIS)DNS DNS 反向解析反向解析身份验证身份验证方法常用的身份验证技术Kerberos V5 身份验证身份验证与密码或智能卡一起使用的用于交互式登录的协议。它也是适用与密码或智能卡一起使用的用于交互式登录的协议。它也是适用与密码或智能卡一起使用的用于交互式登录的协议。它也是适用与密码或智能卡一起使用的用于交互式登录的协议。它也是适用于服务的默认的网络身份验证方法。于服务的默认的网络身份验证方法。于服务的默认的网络身份验证方法。于服务的默认的网络身份验证方法。SSL/TLS 身份验证身份验证用户尝试访问安全的用户尝试访问安全的用户尝试访问安全的用户尝试访问安全的 Web Web 服务器时使用的协议。服务器时使用的协议。服务器时使用的协议。服务器时使用的协议。NTLM 身份验证身份验证客户端或服务器使用早期版本的客户端或服务器使用早期版本的客户端或服务器使用早期版本的客户端或服务器使用早期版本的 Windows Windows 时使用的协议。时使用的协议。时使用的协议。时使用的协议。摘要式身份验证摘要式身份验证摘要式身份验证将凭据作为摘要式身份验证将凭据作为摘要式身份验证将凭据作为摘要式身份验证将凭据作为 MD5 MD5 哈希或消息摘要在网络上传递。哈希或消息摘要在网络上传递。哈希或消息摘要在网络上传递。哈希或消息摘要在网络上传递。Passport 身份验证身份验证Passport Passport 身份验证是提供单一登录服务的用户身份验证服务。身份验证是提供单一登录服务的用户身份验证服务。身份验证是提供单一登录服务的用户身份验证服务。身份验证是提供单一登录服务的用户身份验证服务。常用的身份验证技术Kerberos V5 身份验证NTLM身份验证协议Windows NT Windows NT 使用使用NTLMNTLM与远程机器建立一个会话,这个会话与远程机器建立一个会话,这个会话是一个安全隧道,通过它参与隧道的机器之间可以互通信息,是一个安全隧道,通过它参与隧道的机器之间可以互通信息,事件的顺序如下事件的顺序如下1.1.会话请求者(客户)对会话接收者(服务器)传送一个数据会话请求者(客户)对会话接收者(服务器)传送一个数据包,请求安全隧道的建立。包,请求安全隧道的建立。2.2.服务器产生一个随机的服务器产生一个随机的6464位数(挑战)传送回客户。位数(挑战)传送回客户。3.3.客户取得这个由服务器产生的客户取得这个由服务器产生的6464位数,用试图建立连接的帐位数,用试图建立连接的帐号的口令打乱它,将结果返回到服务器(响应)。号的口令打乱它,将结果返回到服务器(响应)。4.4.服务器接受响应发送到本地安全验证(服务器接受响应发送到本地安全验证(LSALSA),),LSALSA通过使通过使用用户正确的口令核实响应确认请求者身份。如果请求者的用用户正确的口令核实响应确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确,一个访问令牌产生,然后传送给客户。客响应核实为正确,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建立的会话户使用这个访问令牌连接到服务器上的资源直到建立的会话被终止。被终止。NTLM身份验证协议Windows NT 使用NTLM与远程Kerberos身份验证到服务器的身份认证更高效 相互身份认证 代理身份认证 简化的信任管理 互操作性 Kerberos身份验证到服务器的身份认证更高效 基本概念鉴别码AliceBobIm Alice,KABAlice,timestampKABtimestamp1423鉴别码鉴别码共享密钥 如何解决密钥分发问题如何解决密钥分发问题!基本概念鉴别码AliceBobIm Alice,基本概念密钥分配ClientServerClient wants ServerKClientuse SCS for ServerKDC inventssession keySCSKServeruse SCS for Client会话密钥会话密钥 长效密钥长效密钥!如何解决如何解决server密钥保存问题密钥保存问题基本概念密钥分配ClientServerClient w基本概念会话票证(Session Ticket)ClientClient wants ServerKClientuse SCS for Server,ticket=KServeruse SCS for ClientKDC inventssession keySCS基本概念会话票证(Session Ticket)Clie基本概念C/S相互身份验证ClientServerSCSClient,time,ticket=KServeruse SCS for ClientSCStime基本概念C/S相互身份验证ClientServerSCS需求需求需求需求NTLMNTLMKerberosKerberos速度速度传递式身份验证,慢传递式身份验证,慢单一票据系统,快单一票据系统,快 智能卡智能卡不支持不支持支持支持文档文档微软专利标准,少微软专利标准,少 开放式标准,多开放式标准,多数据保护数据保护在早期的在早期的NTLMNTLM中几乎中几乎没有任何数据保护没有任何数据保护提供基于密码的强保提供基于密码的强保护护 网络兼容性网络兼容性只与微软网络兼容只与微软网络兼容与任何基于与任何基于KerberosKerberos的网络兼容的网络兼容操作系统兼操作系统兼容性容性兼容兼容Windows 2000Windows 2000之之前的操作系统前的操作系统必须在必须在 Windows Windows 2000 2000 或之后的操作或之后的操作系统的域环境中系统的域环境中NTLM对比Kerberos需求NTLMKerberos速度传递式身份验证,慢单一票据系身份验证协议与微软操作系统NTLMNTLMKerberosKerberos微软产品微软产品微软产品微软产品身份验证协议与微软操作系统NTLMKerberos微软产品常见加密算法及身份验证协议探究资料课件
展开阅读全文
相关资源
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学培训


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!