【文章內容簡介】 完善。7） 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網(wǎng)絡安全設備分發(fā)密鑰，監(jiān)控網(wǎng)絡安全設備的運行狀態(tài)，負責收集網(wǎng)絡安全設備的審計信息等。8） 入侵檢測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統(tǒng)中不可或缺的反饋鏈。9） 安全數(shù)據(jù)庫：由于大量的信息存儲在計算機數(shù)據(jù)庫內，有些信息是有價值的，也是敏感的，需要保護。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。10） 安全操作系統(tǒng)：給系統(tǒng)中的關鍵服務器提供安全運行平臺，構成安全WWW服務，安全FTP服務，安全SMTP服務等，并作為各類網(wǎng)絡安全產(chǎn)品的堅實底座，確保這些安全產(chǎn)品的自身安全。 在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術的應用，并且是非?；A性的應用。很多的安全功能和機制的實現(xiàn)都是建立在密碼技術的基礎之上，甚至可以說沒有密碼技術就沒有安全可言。但是，我們也應該看到密碼技術與通信技術、計算機技術以及芯片技術的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割。在一個計算機系統(tǒng)中，很難簡單地劃分某個設備是密碼設備，某個設備是通信設備。而這種融合的最終目的還是在于為用戶提供高可信任的、安全的計算機和網(wǎng)絡信息系統(tǒng)。 網(wǎng)絡安全的解決是一個綜合性問題，涉及到諸多因素，包括技術、產(chǎn)品和管理等。目前國際上已有眾多的網(wǎng)絡安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，不能直接用于解決我國自己的網(wǎng)絡安全，因此我國的網(wǎng)絡安全只能借鑒這些先進技術和產(chǎn)品，自行解決。可幸的是，目前國內已有一些網(wǎng)絡安全解決方案和產(chǎn)品，不過，這些解決方案和產(chǎn)品與國外同類產(chǎn)品相比尚有一定的差距。數(shù)字簽名技術研究 –棋蟲博客數(shù)字簽名技術的核心是加密和解密，把明文變換成密文的過程叫加密；把密文變換成明文的過程叫解密，明文和密文之間的變換應該是唯一的；對稱密碼學的加解密：加密需要三個東西，第一：明文，指需要加密的信息；第二：加密算法；第三：密鑰，加密時：加密算法根據(jù)密鑰將明文加密生成密文，相同的加密算法利用不同的密鑰生成的密文是不一樣的。同樣的，解密時，也需要用于解密的密鑰，盡管算法一樣但用不同的加密密鑰生成密文需要不同的解密密鑰來將密文重新變回明文。由此可見，有一個加密密鑰就有一個解密密鑰相對應，加密密鑰和解密密鑰是不同的；加密算法保證了即使你知道加密密鑰，知道明文，并且知道加密后的密文，也是無法推出解密密鑰；通常情況下，加密密鑰是公開的，所以經(jīng)常叫做公鑰，解密密鑰不公開，常叫做私鑰。舉一個電子郵件加解密的過程來說明公鑰和私鑰，比如你擁有一組相對應的公鑰和私鑰你先將你的公鑰通過某種方式公開，我要給你發(fā)郵件時，先取得你的公鑰，并利用這個公鑰將郵件信息加密，然后將郵件發(fā)給你。這封加密后的郵件只有你的那一個密鑰才能解密。如果郵件在傳送途中被黑客截走，由于黑客沒有解密密鑰,也是無法看到郵件加密前的信息。前面已經(jīng)提到，根據(jù)公鑰是推算不出密鑰的，公鑰和密鑰是不對稱的。公鑰和密鑰的不對稱，并且無法相互推算是由加密算法決定的。公鑰和私鑰反過來也是能用的，就是用私鑰加密，公鑰解密也是可以的。這樣，就可以利用私鑰簽名，而其他人就可以利用公鑰來檢驗發(fā)送該信息的人的身份，如果用公鑰無法解密，說明發(fā)該信息的人不擁有與公鑰相對應的私鑰。密碼的算法據(jù)說是利用了歌德巴赫猜想，將一個大數(shù)分解成兩個質數(shù)的乘機（～），還好網(wǎng)上有很多現(xiàn)成的算法，并且都提供了相關的SDK，比如DES等，網(wǎng)上很多地方都有用于C++，在微軟的Windows SDK里算法已經(jīng)被集成進了CryptoAPI，可以在MFC等程序中都可以調用。公鑰和密鑰在編程中就是一個字符串。證書每對密鑰由一個公鑰和一個私鑰組成，私鑰由擁有者自己保存，而公鑰則需要公開出來，公鑰本身并沒標記，僅從公鑰本身不能判別誰擁有與這個公鑰相對應的私鑰，在很小的范圍內，比如只有兩人，他們之間相互信任，交換公鑰，用于相互之間驗證身份，沒有什么問題。這個集體再稍大一點，彼此信任，也不成問題，但從法律角度講這種信任也是有問題的。想個簡單的情況：比如某人用自己的私鑰對一個信息進行簽名，過了一段時間之后有人發(fā)現(xiàn)這段信息有某種糾紛了，需要追查，那么如果擁有私鑰的簽名者不承認自己擁有這個私鑰，那也沒什么辦法了．．．簽名就變得毫無意義。證書將公鑰和公鑰的主人名字（也就是誰擁有與這個公鑰相對應的私鑰）聯(lián)系在一起，再請一個大家都信得過有信譽的公正、權威機構確認，就形成了證書。大體上證書包含這么三個東西：公鑰、主人的名字等信息、權威機構的確認信息。由于證書上有權威機構的確認信息（當然也是加密的，下文再描述怎么確認），所以可以認為證書上的內容是可信任的；又由于證書的內容里有主人的各種信息，所以就可以確認這份證書里的公鑰是誰的（也就是誰擁有與這個公鑰相對應的私鑰）。(證書目前最常用的是X509格式的證書)前面說的那個權威機構就是我們經(jīng)常在網(wǎng)上看到的這個名詞：ＣＡ（英文全稱：Certificate Authority）。這個CA也有他自己的公鑰和私鑰。Windows 環(huán)境下，我們的電腦存儲有我們所信任的CA的證書（里邊有該CA的公鑰），啟動Internet Explorer――工具――InterNet 選項――內容――證書，可以看到你的電腦所信任的權威機構的證書。權威機構可以利用自己的私鑰對另一份證書進行簽名，也就是前面所說的證書中的權威機構的確認信息，一旦權威機構對一份證書簽了名，就表示他確認這本證書是屬于某人的。被簽了名的證書還能繼續(xù)對其他證書進行簽名，這樣一層層簽下去，就形成了一個證書鏈。每個證書鏈有一個開始，那就是根證書，根證書是利用與自己本身公鑰相對應的私鑰進行簽名的，所以又叫自簽名證書。微軟為我們的windows 默認裝了幾十個根證書，以及十幾個這些根證書簽過名的第二級證書。以后我們要作“正宗”證書的話就要要求這些根證書的擁有者用他們的私鑰給我們的證書簽一下名（當然要錢的）。如果是企業(yè)內部的應用，我們也可以自己做一個自簽名證書，項目實施的時候給用戶的電腦裝上。生成自簽名證書有很多方法：1． 利用SDK，自己編程生成，網(wǎng)上有很多這方面的SDK，最著名的如OpenSSL2． 利用openssl提供的命令行工具生成3． Windows2000的證書服務也可以自己生成自簽名證書（自簽名證書就是根證書）.有了根證書的私鑰就可以對其他證書進行簽名，注：私鑰不僅可以用來對信息，程序，代碼甚至是證書等等各種信息進行簽名。Windows SDK的 CryptoAPI 中包含了對證書進行編程的函數(shù)，可以方便的進行證書方面的編程，OpenSSL不僅可以進行Windows下的證書編程，也可以進行Unix下的編程，但網(wǎng)上幾乎很能找到OpenSSL的說明資料，中文的根本沒有，入門比較難。，同時在MSDN里還能看到X509Certificate的十幾個派生類，對于編程者來說，開發(fā)功能能夠簡單許多。常見使用舉例： 的網(wǎng)站訪問方法，網(wǎng)站服務器將公鑰發(fā)給瀏覽者，瀏覽者發(fā)給web服務器的信息都經(jīng)過公鑰加密，然后web服務器端利用私鑰將信息進行解密,黑客即使獲得了公鑰和加密后的信息,也無法獲得加密前的信息3．2數(shù)字簽名 數(shù)字簽名(也稱數(shù)字簽字、電子簽名)在信息安全方面有重要應用，是實現(xiàn)認證的重要工具，在電子商務系統(tǒng)中是不可缺少的。3．2．1 數(shù)字簽名的基本概念 在電子商務中，為了保證電子商務安全中的認證性和不可否認性，必須具有數(shù)字簽名技術。數(shù)字簽名是利用數(shù)字技術實現(xiàn)在網(wǎng)絡傳送文件時，附加個人標記，完成傳統(tǒng)上手書簽名蓋章的作用，以表示確認、負責、經(jīng)手等。 數(shù)字簽名與消息的真實性認證是不同的。消息認證是使接收方能驗證消息發(fā)送者及所發(fā)信息內容是否被篡改過。當收發(fā)者之間沒有利害沖突時，這對于防止第三者的破壞來說是足夠了。但當接收者和發(fā)送者之間相互有利害沖突時，單純用消息認證技術就無法解決他們之間的糾紛，此時需借助數(shù)字簽名技術。3．2．2 數(shù)字簽名的必要性 商業(yè)中的契約、合同文件、公司指令和條約，以及商務書信等，傳統(tǒng)采用手書簽名或印章，以便在法律上能認證、核準、生效。 傳統(tǒng)手書簽名儀式要專門預定日期時間，契約各方到指定地點共同簽署一個合同文件，短時間的簽名工作量需要很長時間的前期準備工作。由于某個人不在要簽署文件的當?shù)?，于是要等待、再等待。這種狀況對于管理者，是延誤時機：對于合作伙伴，是丟失商機：對于政府機關，是辦事效率低下。 電子商務的發(fā)展大大地加快了商務的流程，已經(jīng)不能容忍這種“慢條斯理”的傳統(tǒng)手書簽名方式。在電子商務時代，為了使商、貿、政府機構和直接消費者各方交流商務信息更快、更準確和更便于自動化處理，各種憑證、文件、契約、合同、指令、條約、書信、訂單、企業(yè)內部(分散在各地)的管理等必須實現(xiàn)網(wǎng)絡化的傳遞。保障傳遞文件的機密性應使用加密技術，保障其完整性則用信息摘要技術，而保障認證性和不可否認性則應使用數(shù)字簽名技術。 數(shù)字簽名可做到高效而快速的響應，任一時刻，在地球任何地方——只要有Internet，就可完成簽署工作。 數(shù)字簽名除了可用于電子商務中的簽署外，還可用于電子辦公、電子轉賬及電子郵遞等系統(tǒng)。3．2．3 數(shù)字簽名的原理 簽名是針對某一文件的，數(shù)字簽名也必須針對某一電子文件，加上簽名者個人的數(shù)字標記形成“數(shù)字簽名”電子文件，這個電子文件從網(wǎng)上發(fā)送出去，接收方要能識別簽名，具有認證性：從法律角度，具有不可否認性：發(fā)送方確實簽署了，而接收方確實收到了。 數(shù)字簽名用一般的加密方法是無法完成的。它的基本原理是：發(fā)送者A用自己的私鑰KSA對消息M加密后，得密文c，B收到密文c后，用A的公鑰KPA解密后，得消息M’。如果可得消息M’，且M和M’一致，即KSA和KPA是一對密鑰，M是經(jīng)KSA加密的——說明M是經(jīng)過A“簽字”的，因為只有A有這個私鑰KSA。而對于消息M，B可同時通過其他途徑直接從A處得到。 上述的基本原理是嚴格的，但不“實用”，因為用雙鑰密碼體制加密消息M是非常慢的。與單鑰密碼體制加密消息的速度相比，雙鑰的要慢1 000倍以上。即使以后計算機的速度大幅度地提高，情況依然如此。因為為了防止破密，加密的復雜性和位數(shù)也會提高的。因此，在實際應用中，不是直接加密消息M，而是加密消息M的消息摘要H(M)；消息摘要是很短的，用雙鑰密碼體制加密它是很快的。消息用散列函數(shù)處理得到消息摘要，再用雙鑰密碼體制的私鑰加密就得到數(shù)字簽名。這是實際使用的實現(xiàn)數(shù)字簽名處理的方法。 歸納一下，數(shù)字簽名實際使用原理是：消息M用散列函數(shù)H得到消息摘要h1=H(M)，然后發(fā)送方A用自己的雙鑰密碼體制的私鑰KSA對這個散列值進行加密：EKSA（h1），來形成發(fā)送方A的數(shù)字簽名。然后，這個數(shù)字簽名將作為消息M的附件和消息M一起發(fā)送給消息接收方B。消息的接收方B首先把接收到的原始消息分成M’和EKSA（h1）。從M’中計算出散列值h2= H(M’)，接著再用發(fā)送方的雙鑰密碼體制的公鑰KPA來對消息的數(shù)字簽名進行解密DKPA(EKSA（h1）)得h1。如果散列值h1=h2，那么接收方就能確認該數(shù)字簽名是發(fā)送方A的，而且還可以確定此消息沒有被修改過。3．2．4 數(shù)字簽名的要求 類似于手書簽名，數(shù)字簽名也應滿足以下要求； (1)接收方B能夠確認或證實發(fā)送方A的簽名，但不能由B或第三方C偽造； (2)發(fā)送方A發(fā)出簽名的消息給接收方B后，A就不能再否認自己所簽發(fā)的消息； (3)接收方B對已收到的簽名消息不能否認，即有收報認證； (4)第三者C可以確認收發(fā)雙方之間的消息傳送，但不能偽造這一過程。 數(shù)字簽名與手書簽名的區(qū)別在于：手寫簽名(包括蓋章)是模擬的，因人而異，即使同一個人也有細微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專家。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，要區(qū)別是否為偽造，不需專家。對不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實現(xiàn)了文件與簽署的最緊密的“捆綁”。 數(shù)字簽名分確定性數(shù)字簽名和隨機化式數(shù)字簽名。確定性數(shù)字簽名，其明文與密文一一時應，它對一特定消息的簽名不變化，如RSA，Rabin等簽名；另一類是隨機式(概率式)數(shù)字簽名，根據(jù)簽名算法中的隨機參數(shù)值，對同一消息的簽名也有對應的變化。這樣，一個明文可能有多個合法數(shù)字簽名，如ELGamal等簽名。3．2．5 數(shù)字簽名的作用 數(shù)字簽名可以證明： (1)如果他人可以用公鑰正確地解開數(shù)字簽名，則表示數(shù)字簽名的確是由簽名者產(chǎn)生的。 (2)如果消息M是用散列函數(shù)H得到的消息摘要H(M)，和消息的接收方從接收到的消息M’計算出散列值H(M’)，這兩種信息摘要相同表示文件具有完整性。 數(shù)字簽名機制提供了一種數(shù)字鑒別方法，普遍用于銀行、電子商務、電子辦公等。 數(shù)字簽名可以解決下述安全鑒別問題： (1)接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)送方發(fā)送的； (2)發(fā)送者或接收者否認：發(fā)送者或接收者事后不承認自己曾經(jīng)發(fā)送或接收過文件： (3)第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收文件； (4)接收方篡改：接收方對收到的文件進行改動。 posted on 20060120 18:24 LabVIEW開發(fā)者 閱讀(209) 評論(1) 編輯 收藏 網(wǎng)摘 數(shù)字簽名技術　　數(shù)字簽名技術即進行身份認證的技術。在數(shù)字化文檔上的數(shù)字簽名類似于紙張上的手寫簽名，是不可偽造的。接收者能夠驗證文檔確實來自簽名者，并且簽名后文檔沒有被修改過，從而保證信息的真實性和完整性。在指揮自動化系統(tǒng)中，數(shù)字簽名技術可用于安全地傳送作戰(zhàn)指揮命令和文件?！　⊥晟频暮灻麘獫M足以下三個條件：　　；　?。弧　?，能夠在公正的仲裁者面前通過驗證簽名來確認其真?zhèn)巍?　　數(shù)字簽名技術 　　Internet的迅猛發(fā)展使電子商務成為商務活動的