第四讲 数据加密与身份鉴别

第四讲 数据加密与身份鉴别9265508884,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第四讲 数据加密与身份鉴别,第四讲 数据加密与身份鉴别,9265508884,本章就各种网络平安技术进展了阐述。所涉及的网络平安技术有：,数据加密技术Encryption,身份认证技术Authentication,包过滤技术Packet Filtering,资源授权使用Authorization,内容平安防病毒技术,2,第四讲 数据加密与身份鉴别,9265508884,第四讲 数据加密与身份鉴别,9265508884,数据加密的概念,数据加密技术原理,数据传输的加密,常用加密协议,本局部涉及以下内容：,4,第四讲 数据加密与身份鉴别,9265508884,数据加密模型,密文,网络信道,明文,明文,五要素：信息明文、密钥、信息密文、加密、解密,加密密钥,信息窃取者,解密密钥,加密算法,解密算法,5,第四讲 数据加密与身份鉴别,9265508884,数据加密技术的概念,数据加密(Encryption)是指将明文信息(Plaintext)采取数学方法进展函数转换成密文(Ciphertext)，只有特定承受方才能将其解密(Decryption)复原成明文的过程。,明文(Plaintext)：加密前的原始信息；,密文(Ciphertext)：明文被加密后的信息；,密钥(Key)：控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥；,加密(Encryption)：将明文通过数学算法转换成密文的过程；,解密(Decryption)：将密文复原成明文的过程。,6,第四讲 数据加密与身份鉴别,9265508884,数据加密技术的应用,数据保密；,身份验证；,保持数据完整性；,确认事件的发生。,7,第四讲 数据加密与身份鉴别,9265508884,对称密钥加密保密密钥法,非对称密钥加密公开密钥法,混合加密算法,哈希Hash算法,数字签名,数字证书,公共密钥体系,数据加密技术原理,8,第四讲 数据加密与身份鉴别,9265508884,对称密钥加密保密密钥法,加密算法,解密算法,密钥,网络信道,明文,明文,密文,加密密钥,解密密钥,两者相等,常见的有：DES、IDEA、3DES、RC4、RC5,优点：加密快强度高、经得住时间考验。,缺点：必须平安传输密钥，密钥管理成为系统平安重要因素。,9,第四讲 数据加密与身份鉴别,9265508884,非对称密钥加密公开密钥加密,加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,常见的有：,RSA,、,Diffie-Hellman,优点：适用开放型网络、密钥管理简单、方便实现数字签名和验证。,缺点：算法复杂加密效率低。,公钥密码体制根据其所依据的难题一般分为三类：大数因子分解问题类、离散对数问题类、椭圆曲线类。,10,第四讲 数据加密与身份鉴别,9265508884,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够平安地交换对称密钥，又能够抑制非对称加密算法效率低的缺陷！,非对称密钥加密算法,非对称密钥解密算法,对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合,11,第四讲 数据加密与身份鉴别,9265508884,哈希Hash算法,信息,加密,解密,网络信道,信息,密文,哈希算法hash algorithm，也叫信息标记算法message-digest algorithm，可以提供数据完整性方面的判断依据。,哈希算法,结果一样，那么数据未被篡改,比较,结果不同，那么数据已被篡改,信息标记,digest,常用的哈希算法：,MD5,SHA-1,CRC-32,哈希算法,12,第四讲 数据加密与身份鉴别,9265508884,数字签名,数字签名digital signature技术通过某种加密算法，在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进展数据完整性检查。,13,第四讲 数据加密与身份鉴别,9265508884,数字签名的工作原理,非对称加密算法,非对称解密算法,Alice,的私有密钥,网络信道,合同,Alice,的公开密钥,哈希算法,标记,标记,-2,合同,哈希算法,比较,标记,-1,如果两标记一样，那么符合上述确认要求。,Alice,Bob,假定,Alice,需要传送一份合同给,Bob,。,Bob,需要确认：,合同的确是,Alice,发送的,合同在传输途中未被修改,14,第四讲 数据加密与身份鉴别,9265508884,数字签名的作用,唯一地确定签名人的身份；,对签名后信件的内容 是否又发生变化进展验证；,发信人无法对信件的内容进展抵赖。,当我们对签名人同公开密钥的对应关系产生疑问时，我们需要第三方颁证机构CA:Certificate Authorities的帮助。,无法验证接收人,15,第四讲 数据加密与身份鉴别,9265508884,数字证书,数字证书相当于电子化的身份证明，应有值得信赖的颁证机构CA机构的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。,数字证书既可以向一家公共的办证机构申请，也可以向运转在企业内部的证书效劳器申请。这些机构提供证书的签发和失效证明效劳。,16,第四讲 数据加密与身份鉴别,9265508884,数字证书中的常见内容,发信人的公开密钥；,发信人的姓名；,证书颁发者的名称；,证书的序列号；,证书颁发者的数字签名；,证书的有效期限。,如,:,目前通用的证书,17,第四讲 数据加密与身份鉴别,9265508884,申请数字证书，并利用它发送电子邮件,用户向,CA,机构申请一份数字证书，申请过程会生成他的公开,/,私有密钥对。公开密钥被发送给,CA,机构，,CA,机构生成证书，并用自己的私有密钥签发之，然后向用户发送一份拷贝。,用户的同事从,CA,机构查到用户的数字证书，用证书中的公开密钥对签名进行验证。,用户把文件加上签名，然后把原始文件同签名一起发送给自己的同事。,证书申请,签发的数字证书,文件和数字签名,数字证书的验证,用户,同事,CA,18,第四讲 数据加密与身份鉴别,9265508884,链路加密方式,SH,：会话层包头；,TH,：传输层包头；,NH,：网络层包头；,LH,：链路层包头；,E,：链路层包尾；,应用层,表示层,会话层,传输层,网络层,链路层,物理层,Message,Message,SH,Message,TH,NH,LH,LH,SH,TH,SH,NH,TH,SH,NH,TH,SH,Message,Message,Message,Message,E,E,：明文信息,：密文信息,19,第四讲 数据加密与身份鉴别,9265508884,链路加密方式,用于保护通信节点间传输的数据，通常用硬件 在物理层或数据链路层实现。,优点,由于每条通信链路上的加密是独立进展的，因此当某条链路受到破坏不会导致其它链路上传输的信息的平安性。,报文中的协议控制信息和地址都被加密，能够有效防止各种流量分析。,不会减少网络有效带宽。,只有相邻节点使用同一密钥，因此，密钥容易管理。,加密对于用户是透明的，用户不需要了解加密、解密过程。,20,第四讲 数据加密与身份鉴别,9265508884,链路加密方式,缺点,在传输的中间节点，报文是以明文的方式出现，容易受到非法访问的威胁。,每条链路都需要加密/解密设备和密钥，加密本钱较高。,21,第四讲 数据加密与身份鉴别,9265508884,端对端加密方式,应用层,表示层,会话层,传输层,网络层,链路层,物理层,Message,Message,SH,Message,TH,NH,LH,LH,SH,TH,SH,NH,TH,SH,NH,TH,SH,Message,Message,Message,Message,E,E,SH,：会话层包头；,TH,：传输层包头；,NH,：网络层包头；,LH,：链路层包头；,E,：链路层包尾；,：明文信息,：密文信息,22,第四讲 数据加密与身份鉴别,9265508884,端对端加密方式,在源节点和目标节点对传输的报文进展加密和解密，一般在应用层或表示层完成。,优点,在高层实现加密，具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点,报文的控制信息和地址不加密，容易受到流量分析的攻击。,需要在全网范围内对密钥进展管理和分配。,23,第四讲 数据加密与身份鉴别,9265508884,SSL,协议,:,平安套接层协议Secure Socket Layer。,SSL是建立平安通道的协议，位于传输层和应用层之间，理论上可以为任何数量的应用层网络通信协议提供通信平安。,SSL协议提供的功能有平安加密通信、效劳器或客户身份鉴别、信息完整性检查等。,SSL协议最初由Netscape公司开发成功，是在Web客户和Web效劳器之间建立平安通道的事实标准。,SSL协议的版本。,24,第四讲 数据加密与身份鉴别,9265508884,数据链路层和物理层,网络层（,IP,）,传输层（,TCP,）,安全套接层（,SSL,）,Telnt,mail,news,等,S/MIME,HTTP,S-HTTP,SSL,协议,:,平安套接层协议所在层次,25,第四讲 数据加密与身份鉴别,9265508884,TLS,协议,:,传输层平安协议Transport Layer Security。,TLS协议由IETFInternet Engineering Task Force组织开发。,TLS协议是对SSL 3.0 协议的进一步开展。,同SSL协议相比，TLS协议是一个开放的、以有关标准为根底的解决方案，使用了非专利的加密算法。,26,第四讲 数据加密与身份鉴别,9265508884,IP-Sec,协议,(VPN,加密标准,):,Internet,InternalNetwork,Encrypted IP,与SSL协议不同，IP-Sec协议试图通过对IP数据包进展加密，从根本上解决因特网的平安问题。,IP-Sec是目前远程访问VPN网的根底，可以在Internet上创立出平安通道来。,27,第四讲 数据加密与身份鉴别,9265508884,IP-Sec,协议,:,IP HDR,May Be Encrypted,IP HDR,Data,IPsec HDR,Data,IP HDR,Data,IPsec HDR,IP HDR,New IP HDR,May Be Encrypted,Data,信道模式,透明模式,IP-Sec协议有两种模式：,透明模式：把IP-Sec协议施加到IP数据包上，但不改变数据包原来的数据头；,信道模式：把数据包的一切内容都加密包括数据头，然后再加上一个新的数据头。,28,第四讲 数据加密与身份鉴别,9265508884,其它加密协议与标准,:,SSH,：,Secure Shell,。,DNSSEC,：,Domain Name Server Security,。,GSSAPI,：,Generic Secu