第11章数据安全技术基础.ppt
第11章数据安全技术基础,基于互联网的应用层出不穷如何保证互联网上传送的数据不被篡改如何保证机密资料不被泄密如何保证用户身份被恶意假冒迫切需要完整安全解决方案,引入,,,描述数据传输面临的主要安全威胁理解加密技术和密钥的概念。描述数字签名相关技术原理掌握数字证书的概念及数字证书包含的主要内容理解PKI体系,描述证书的发放、维护、回收的过程独立进行PKI基本配置,课程目标,学习完本课程,您应该能够,概念和术语数据加解密数据完整性数字签名数字证书公钥基础设施PKI,目录,互联网应用现状,机遇全球互联网用户的快速增长电子商务有着巨大的市场与无限的商业机遇基于互联网的应用逐步在电子商务、电子政务以及各个领域应用成熟,,,,,企业总部,合作伙伴,SOHO办公/分支机构,移动办公,EtranetVPN,,,IntranetVPN,,RemoteAccessVPN,,,,窃听,篡改,冒名,黑客,挑战用户帐号、密码被大量窃取/误用私有或机密资料被泄露或被篡改个人被假冒身份而造成损害由于证据有限而增加的纠纷及解决成本钓鱼网站层出不穷,用户安全无法保证由于感受到安全方面的弱点,造成用户裹足不前。。。。。。,四个安全要素,加解密简介,明文需要被隐蔽的消息密文明文经变换形成的隐蔽形式加密把明文信息转化为密文的过程解密把密文信息还原成明文的过程密钥在明文转换为密文或将密文转换为明文的算法中输入的参数加密算法分为两类对称密钥加密算法和非对称密钥加密算法,加密,对称密钥加密,两个通讯者之间的密钥是一样的。,明文,密文,明文,,,,,对称密钥,CEM,K,MDC,K,C密文M明文K密钥E加密算法,,,,,C密文M明文K密钥D解密算法,奉天承运皇帝诏曰,奉天承运皇帝诏曰,解密,对称密钥典型算法,非对称密钥加密,用户B拥有两个对应的密钥用其中一个加密,只有另一个能够解密,两者一一对应“公钥加密,私钥解密”或“私钥加密,公钥解密”用户B将其中一个私下保存(私钥),另一个公开发布(公钥)公钥和私钥不可互相推算如果A想送秘密信息给BA获得B的公钥A使用该公钥加密信息发送给BB使用自己的私钥解密信息,A,B,加密,解密,,,,,奉天承运皇帝诏曰,奉天承运皇帝诏曰,B的私钥,B的公钥,,,非对称密钥典型算法,组合加解密技术,使用对称加密算法进行大批量的数据加密每次产生一个新的随机密钥(会话密钥)使用非对称加密算法传递随机产生的会话密钥,明文,明文,,,,会话密钥,,X2c67afGkz78,,,会话密钥,Adsbufh892,A,B,密文(信息会话密钥),,,,,B的公钥,,,,非对称加密,对称加密,奉天承运皇帝诏曰,解密,奉天承运皇帝诏曰,,信息,,会话密钥,组合加解密技术,明文,明文,,,会话密钥,,X2c67afGkz78,,,会话密钥,Adsbufh892,A,B,密文(信息会话密钥),,,,,,,非对称算法,对称加密,奉天承运皇帝诏曰,奉天承运皇帝诏曰,加密,,B的私钥,利用B的私钥使用非对称加密算法解密得到会话密钥利用会话密钥运行对称加密算法解密得到明文,摘要算法,,,公司财务报告销售额186,000利润36,000,53963509879,公司财务报告销售额186,000利润36,000--------------------53963509879,,,发送方,,Hash,,,公司财务报告销售额186,000利润6,000,34752834945,53963509879,公司财务报告销售额186,000利润6,000--------------------53963509879,,,黑客,接收方,,摘要算法可以验证数据的完整性HASH函数计算结果称为摘要,同一种算法,不管输入长度是多少,结果定长无法从摘要的值反推回原始内容,具有单向性、不可逆性不同的内容其摘要也不同,HMAC算法,,,公司财务报告销售额186,000利润36,000,53963509879,公司财务报告销售额186,000利润36,000--------------------53963509879,,,发送方,,Hash,,,公司财务报告销售额186,000利润6,000,34752834945,12943546532,公司财务报告销售额186,000利润6,000--------------------12943546532,,,黑客,接收方,,MAC密钥,MAC密钥,,,HMAC(HashMessageAuthenticationCode)对单输入hash算法进行了改进收发双方共享一个MAC密钥,计算摘要时不仅输入数据报文,还输入MAC密钥,数字签名概述,数字签名是用签名方的私钥对信息摘要进行加密的一个过程签名过程所得到的密文即称为签名信息数字签名主要功能保证信息传输的完整性发送者的身份认证防止交易中的抵赖发生,加密,,数字签名原理,明文,B,A的私钥,摘要,,gJ39vzamp4x,,,,,数字签名,明文,新摘要,,,,相同,奉天承运皇帝诏曰,,,A,,加密,,奉天承运皇帝诏曰,,数字签名,奉天承运皇帝诏曰,明文,,,摘要,摘要,,,A的公钥,没有篡改A发送的,公钥技术的规模应用难题,如何解决公钥的传播问题如何把自己的公钥告诉别人得到一个公钥后如何验证其真实性公钥如何管理如何实现不可否认服务,数字证书,网络世界的电子身份证与现实世界的身份证类似能够证明个人、团体或设备的身份包含相关信息包含姓名、地址、公司、电话号码、Email地址、包含所有者的公钥证书的序列号,NameBrianLiuSerialnumber484865IssuedbyABCcorpCAIssuedate19970102Expirationdate19990102Publickey38ighwejbDigitalSignaturehwefdsaf,,,,证书的有效期限由可信的颁发机构颁发比如身份证由公安局颁发一样颁发机构对证书进行签名与身份证上公安局的盖章类似可以由颁发机构证明证书是否有效可防止擅改证书上的任何资料,X.509证书的格式,版本号序列号签名算法标识符指该证书中的签名算法签发人名字有效时间起始和终止时间个体名字个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名,PKI概述,,PKI是一个签发证书、传播证书、管理证书、使用证书的环境PKI保证了公钥的可获得性、真实性、完整性,证书的发放和维护,PKI体系结构,,,,,,,,,,,,PKI存储库,,,受理点,受理点,受理点,RA,RA,RA,CA,CA,CA,CA,CA接受用户的证书请求,签发用户证书,是PKI的核心接受、验证用户的申请,将验证通过的申请提交给CA,由CA签发证书,证书的验证,验证证书的签名,用签发该证书的CA的公钥进行验证CRL检查,证书是否撤销。有效期验证证书用途,配置任务,配置实体DN(DistinguishedName,可识别名称)实体DN的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者。配置PKI域参数实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合就是一个实体的PKI域。PKI证书申请和获取证书申请就是实体向CA自我介绍的过程。实体向CA提供身份信息,以及相应的公开密钥,这些信息将成为颁发给该实体证书的主要组成部分。,配置实体DN,创建一个实体,并进入该实体视图。,[H3C]pkientityentity-name,配置实体通用名(可选),[H3C-pki-entity-entity1]common-namename,配置PKI域参数,创建一个PKI域,并进入PKI域视图,[H3C]pkidomaindomain-name,配置信任的CA名称,[H3C-pki-domain-domain1]caidentifiername,指定实体名称,[H3C-pki-domain-domain1]certificaterequestentityentity-name,配置证书申请的注册受理机构,[H3C-pki-domain-domain1]certificaterequestfrom{ca|ra},配置注册服务器URL,[H3C-pki-domain-domain1]certificaterequesturlurl-string,配置证书申请和获取,生成本地RSA或ECDSA密钥对,[H3C]public-keylocalcreate{ecdsa|rsa},获取证书,[H3C]pkiretri-certificate{ca|local|peer-entityentity-name}domaindomain-name,[H3C]pkiimport-certificate{ca|local|peer-entityentity-name}domaindomain-name{der|p12|pem}[filenamefilename],申请本地证书,[H3C]pkirequest-certificatedomaindomain-name[password][pkcs10[filenamefilename]],显示证书内容或证书申请状态,[H3C]displaypkicertificate{{ca|local|peer-entityentity-name}domaindomain-name|request-status},介绍了数据传输存在的安全隐患,并讲解了私密性、完整性、身份验证等基本概念详细描述了对称、非对称等各种加密方法介绍了数字签名的基本概念和实现介绍数字证书概念作用讲解了PKI体系结构及其配置,本章总结,