【正文】 上對(duì)其信息的本源性放心 ? 信息安全屬性 ? 信息保密性、完整與真實(shí)性、可用性、可靠性、不可否認(rèn)性和可控性 ? 信息安全保障體系 分類 說明 監(jiān)察安全 監(jiān)控查驗(yàn) 發(fā)現(xiàn)違規(guī) 確定入侵 定位損害 監(jiān)控威脅 犯罪起訴 起訴 量刑 管理安全 技術(shù)管理安全 多級(jí)安全用戶鑒別術(shù)的管理 多級(jí)安全加密術(shù)的管理 密鑰管理術(shù)的管理 行政管理安全 人員管理 系統(tǒng) 應(yīng)急管理安全 應(yīng)急的措施組織 入侵的自衛(wèi)與反擊 技術(shù)安全 實(shí)體安全 環(huán)境安全（溫度、濕度、氣壓等） 建筑安全（防雷、防水、防鼠等） 網(wǎng)絡(luò)與設(shè)備安全 軟件安全 軟件的安全開發(fā)與安裝 軟件的安全復(fù)制與升級(jí) 軟件加密 軟件安全性能測(cè)試 網(wǎng)絡(luò)安全 安全協(xié)議 安全體系結(jié)構(gòu) 安全產(chǎn)品 數(shù)據(jù)安全 數(shù)據(jù)加密 數(shù)據(jù)隱藏 數(shù)據(jù)存儲(chǔ)安全 數(shù)據(jù)備份 運(yùn)行安全 訪問控制 審計(jì)跟蹤 入侵告警與系統(tǒng)恢復(fù)等 立法安全 有關(guān)信息安全的政策、法令、法規(guī) 認(rèn)知安全 辦學(xué)、辦班 獎(jiǎng)懲與揚(yáng)抑 信息安全宣傳與普及教育 技術(shù)安全涉及的學(xué)科： 密碼學(xué)理論與技術(shù) 信息隱藏理論與技術(shù) 安全協(xié)議理論與技術(shù) 安全體系結(jié)構(gòu)理論與技術(shù) 信息對(duì)抗理論與技術(shù) 網(wǎng)絡(luò)安全與安全產(chǎn)品 核心：密碼學(xué) ? 電子商務(wù)安全保障體系 ? 密碼學(xué)是技術(shù)安全的核心 ? 保密性：直接加密 ? 完整與真實(shí)性 ? 可用性： 使用密碼技術(shù)進(jìn)行系統(tǒng)登錄管理、存取授權(quán)管理 … . … . 明文 數(shù)字摘要 簽名后的摘要 密文 散列算法 發(fā)送方私鑰加密 （ 數(shù)字簽名 ） 接收方的公鑰加密 ? 電子商務(wù)安全保障體系 ? 密碼學(xué)是技術(shù)安全的核心 ? 可信計(jì)算機(jī)系統(tǒng)（ Trusted Computer System） 可信計(jì)算機(jī)系統(tǒng)（ Trusted Computer System） 的概念是美國國防部首先提出來的，為了保證計(jì)算機(jī)系統(tǒng)的保密性，美國國防部于 80年代提出了一套訪問控制機(jī)制來增強(qiáng)系統(tǒng)的可信性，并制定了可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則 ( TCSEC)。這些準(zhǔn)則對(duì)研究導(dǎo)向、規(guī)范生產(chǎn)、指導(dǎo)用戶選型、提供檢查機(jī)關(guān)評(píng)價(jià)依據(jù)，都起了良好的推動(dòng)作用。數(shù)據(jù)塊 64位，密碼 64或 56位。 RC 非對(duì)稱加密 RSA 由 MIT的 Ron rivest、 Adi Shamir、 Leonard Adleman于 1978年提出。基于 “ 將一個(gè)譯碼容易的線性碼經(jīng)過變換而偽裝成一個(gè)譯碼困難的線性碼 ” 原理。 把 (n， b)作為公開密鑰 ， 而 (p， q， a， φ (n))作為秘密密鑰 。 RSA算法比通常的 DES算法慢了 1500倍。 ? 散列算法與數(shù)字簽名 ? MD散列 算法 ? 簡介 MD的全稱是 MessageDigest Algorithm（ 信息摘要算法 ） ， 在 90年代初由 MIT Laboratory for Computer Science和 RSA Data Security Inc的 Ronald L. Rivest開發(fā)出來 ， 經(jīng) MD MD3和 MD4發(fā)展到 MD5。只要明文稍有改動(dòng)，哪怕是只改動(dòng)一個(gè)字母，生成的數(shù)字摘要就不一樣。 實(shí)例 2：用于授權(quán)訪問控制 (可 結(jié)合密碼技術(shù) ) 在 UNIX系統(tǒng)中 ， 用戶的密碼是以 MD5（ 或其它類似的算法 ） 散列后的摘要存儲(chǔ)到文件系統(tǒng)中 。 實(shí)例 3：用于數(shù)字簽名 在安全協(xié)議 SSL、 PGP中 ， 用 MD5來數(shù)字簽名 ? 散列算法與數(shù)字簽名 ? MD散列 算法 ? 簡介 ? 應(yīng)用 ? MD5 算法描述 MD5以 512位分組來處理輸入的信息 ， 且每一分組又被劃分為 16個(gè) 32位子分組 ， 經(jīng)過了一系列的處理后 ， 算法的輸出由四個(gè) 32位分組組成 ，將這四個(gè) 32位分組級(jí)聯(lián)后將生成一個(gè) 128位散列值 。 2） 在這個(gè)結(jié)果后面附加一個(gè)以 64位二進(jìn)制表示的填充前信息長度 。 4） 對(duì)信息中的每一個(gè) 512字節(jié)塊進(jìn)行四輪循環(huán)運(yùn)算： ? 將上面四個(gè)鏈接變量復(fù)制到四個(gè)臨時(shí)變量中： A到 a， B到 b，C到 c， D到 d。Z)|(Yamp。 再將所得結(jié)果向右環(huán)移一個(gè)不定的數(shù) ， 并加上 a、 b、 c或 d中之一 。 幾個(gè)實(shí)例 ： MD5 () = d41d8cd98f00b204e9800998ecf8427e MD5 (a) = 0cc175b9c0f1b6a831c399e269772661 MD5 (abc) = 900150983cd24fb0d6963f7d28e17f72 MD5 (message digest) = f96b697d7cb7938d525a2f31aaf161d0 MD5 (abcdefghijklmnopqrstuvwxyz) = c3fcd3d76192e4007dfb496cca67e13b ? 散列算法與數(shù)字簽名 ? MD算法 ? 數(shù)字簽名 ? 原理 … . … . 明文 數(shù) 字 摘要 簽名后的摘要 密文 散列算法 發(fā)送方私鑰加密 （ 數(shù)字簽名 ） 接收方的公鑰加密 進(jìn)一步的讀物 ? Bruce Schneier,《 Applied Cryptography: Protocols, algorithms and source code in C》 ,1996 ? Simon Singh,《 The Code Book》 ,1999 ? 馮登國，裴定一 ,《 密碼學(xué)導(dǎo)引 》 ,科學(xué)出版社 , 1999 ? 王育民，劉建偉 ,《 通信網(wǎng)的安全 理論與技術(shù) 》 ,西安電子科技大學(xué)出版社 , 1999 ? 梁晉，施仁，王育民等 ,《 電子商務(wù)核心技術(shù) – 安全電子易協(xié)議的理論與設(shè)計(jì) 》 ,2020 ? William Stallings著，楊明，胥光輝，齊望東等譯 ,《 密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實(shí)踐 (第二版 )》 ,電子工業(yè)出版社， 2020 公鑰體系結(jié)構(gòu) （ PKI） ? 使用公鑰體系結(jié)構(gòu) (PKI)的必要性 ? 使用數(shù)字證書進(jìn)行信息的交換，不能完全保證信息交易的安全。 公開鑰體系結(jié)構(gòu)（ PKI） ? 使用公開鑰體系結(jié)構(gòu) (PKI)的必要性 ? PKI簡介 PKI（ Public Key Infrastructure ） 是一個(gè)用公鑰概念和技術(shù)來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。 公鑰密碼證書管理。 密鑰的備份和恢復(fù)。 自動(dòng)管理歷史密鑰。 CA中心，又稱為數(shù)字證書認(rèn)證中心。 在公鑰證書體系中，如果某公鑰用戶需要任何其它已向 CA注冊(cè)的用戶的公鑰，可直接向該用戶索取證書，而后用 CA的公鑰解密解密即可得到認(rèn)證的公鑰；由于證書中已有 CA的簽名來實(shí)現(xiàn)認(rèn)證，攻擊者不具有 CA的簽名密鑰，很難偽造出合法的證書，從而實(shí)現(xiàn)了公鑰的認(rèn)證性。概括地說， CA認(rèn)證中心的功能主要有：證書發(fā)放、證書更新、證書撤銷和證書驗(yàn)證。 （ 4）接收、處理用戶的數(shù)字證書更新請(qǐng)求。 （ 8）密鑰歸檔。 Baltimore Technologies 提供了名為 UniCERT 的 PKI 產(chǎn)品系 列，這些產(chǎn)品在管理多個(gè) CA 之間的交互操作方面建立了良好的聲譽(yù)。 ntrust Technologies 的 Entrust/Authority 產(chǎn)品系列以其自 動(dòng)密鑰管理的工具而著稱。它是利用數(shù)字簽名技術(shù)由一個(gè)權(quán)威機(jī)構(gòu) — CA證書認(rèn)證 (Certificate Authority)中心簽發(fā)。 公開鑰體系結(jié)構(gòu) （ PKI） ? 使用公開鑰體系結(jié)構(gòu) (PKI)的必要性 ? ? PKI的操作模型 ? 數(shù)字證書 ?證書頒發(fā)過程 用戶向注冊(cè)中心 RA提出申請(qǐng)，注冊(cè)中心首先為用戶產(chǎn)生密鑰對(duì)，然后生成一個(gè) csr文件，內(nèi)含公共密鑰及部分用戶身份信息；認(rèn)證中心收到RA的 csr文件后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求真實(shí)，然后進(jìn)行簽名，生成數(shù)字證書。 ? 按協(xié)議 ： SSL證書、 SET證書 ? 按格式： , PGP, SDSI/SPKI, (AADS), AC等 公開鑰體系結(jié)構(gòu) （ PKI） ? 使用公開鑰體系結(jié)構(gòu) (PKI)的必要性 ? ? PKI的操作模型 ? 數(shù)字證書 ?證書頒發(fā)過程 ?數(shù)字證書類型 ? (csr,Certification Service Request)： Version: 0(v1)、 1(v2)、 2(v3) Subject:用 DN表示 ， 表示誰的公鑰將被認(rèn)證 SubjectPublicKeyInfo:包含將被認(rèn)證的公鑰 Attributes:在 pkcs9中定義的屬性 SignatureAlgorithm SignatureValue:用被認(rèn)證的對(duì)象的私鑰進(jìn)行簽名的值 ，目的是以防他人冒用此公鑰來申請(qǐng)證書 ： Version SerialNumber： 由ＣＡ所產(chǎn)生的唯一正整數(shù) SignatureAlgorithm： (與上面的一致 ) Issuer： CA的 DN Validity： 有效期 SubjectPublicKeyInfo IssuerUniqueID SubjectUniqueID Extensions: …… TbsCertificate SignatureAlgorithm SignatureValue