【正文】 目前建議使用模長(zhǎng)為 1024比特以上的模作為密鑰 數(shù)字簽名與消息摘要 (1) ? 什么是數(shù)字簽名： – 是一種確保數(shù)據(jù)完整性和非否認(rèn)性的手段，通過(guò)給消息附加一段數(shù)據(jù)來(lái)實(shí)現(xiàn) – 使用對(duì)稱密碼體制或公鑰密碼體制，目前一般使用公鑰密碼體制實(shí)現(xiàn) ? 問(wèn)題： – 速度慢 – 產(chǎn)生大量數(shù)據(jù)，大約是原始數(shù)據(jù)的兩倍 數(shù)字簽名與消息摘要 (2) ? 解決方法： – 引入消息摘要 ? 什么是消息摘要： – 通過(guò)對(duì)一段任意長(zhǎng)的消息使用單向函數(shù)，獲得的一段定長(zhǎng)的數(shù)據(jù) ? 流程： – 構(gòu)造一段消息的消息摘要 – 對(duì)該段消息摘要進(jìn)行數(shù)字簽名 數(shù)字簽名與消息摘要 (3) ? 對(duì)消息摘要算法的要求： – 函數(shù)必須是單向的，即對(duì)任意消息摘要來(lái)構(gòu)筑能產(chǎn)生該消息摘要的輸入消息是計(jì)算上不可行的 – 構(gòu)造兩個(gè)能產(chǎn)生相同消息摘要的不同的消息是計(jì)算上不可行的 PGP中的對(duì)稱密碼體制 ? 什么是對(duì)稱密碼體制 – 一種使用相同密鑰（或相互容易推出的）進(jìn)行加密和解密的密碼體制 – 分為序列密碼和分組密碼， PGP中使用分組密碼中的 IDEA算法來(lái)加密數(shù)據(jù) ? 優(yōu)點(diǎn)： – 加解密速度快 ? 缺點(diǎn)： – 必須有一個(gè)安全的傳遞通道用來(lái)傳遞密鑰 PGP (Pretty Good Privacy) ? PGP發(fā)展歷史與現(xiàn)狀 ? 加密流程 ? PGP加解密算法 ? PGP的密鑰管理機(jī)制 PGP的密鑰管理機(jī)制 ? 一個(gè)成熟的加密體系必然要有一個(gè)成熟的密鑰管理機(jī)制配套 ? PGP密鑰管理的問(wèn)題： – 容易被他人篡改、偽造 ? 解決方法： – 公鑰介紹機(jī)制 – 通過(guò)其他人對(duì)公鑰的簽名保證公鑰的可信度 ? 存在的問(wèn)題： – 密鑰撤銷 課程內(nèi)容 ? 防火墻 ? VPN ? 內(nèi)外網(wǎng)隔離 ? 日志審計(jì) ? 入侵檢測(cè) ? 隱患掃描 ? PKI(CA) ? PGP ? 安全加固 ? 防病毒 安全加固 (1) ? 安全加固通常是指通過(guò)一定的技術(shù)手段，在不增加新產(chǎn)品的基礎(chǔ)上，提高系統(tǒng)的安全性和抗攻擊能力 ? 安全加固的優(yōu)點(diǎn) – 相對(duì)于重新開(kāi)發(fā)系統(tǒng)，成本較低 – 可以滿足大多數(shù)用戶對(duì)安全系統(tǒng)的要求 安全加固 (2) ? 常見(jiàn)手段有： – 提供密碼系統(tǒng)安全增強(qiáng) – 提供訪問(wèn)控制策略和工具 – 增強(qiáng)遠(yuǎn)程維護(hù)的安全性 – 文件系統(tǒng)完整性審計(jì) – 增強(qiáng)的系統(tǒng)日志分析 – 等等 技術(shù)實(shí)現(xiàn) ? 安全加固的技術(shù)實(shí)現(xiàn) – 在操作系統(tǒng)加固中，一般是通過(guò)截取系統(tǒng)調(diào)用，從根本上為操作系統(tǒng)提供較高的安全性 – 在某些加固中，使用了密碼硬件設(shè)備來(lái)確保保證系統(tǒng)安全 安全增強(qiáng)插件 ? 安全增強(qiáng)插件通過(guò)將安全增強(qiáng)模塊插入到用戶界面與軟件之間，從而可以添加一些安全控制，提高系統(tǒng)的安全性 ? 特點(diǎn)：可以透明地工作于原有的系統(tǒng)或應(yīng)用軟件中 安全增強(qiáng)插件 ? 電子郵件安全增強(qiáng)插件，可以提供 安全加密、數(shù)字簽名、訪問(wèn)控制等安全服務(wù) ? SSL安全連接增強(qiáng)插件，可以提供在透明連接下的機(jī)密性和完整性及身份認(rèn)證 ? 系統(tǒng)登錄安全增強(qiáng)插件，可以通過(guò)替換登錄界面，加強(qiáng)用戶身份認(rèn)證，通常通過(guò)密碼硬件支持加強(qiáng)安全性 課程內(nèi)容 ? 防火墻 ? VPN ? 內(nèi)外網(wǎng)隔離 ? 日志審計(jì) ? 入侵檢測(cè) ? 隱患掃描 ? PKI(CA) ? PGP ? 安全加固 ? 防病毒 防病毒 (Antivirus) ? 計(jì)算機(jī)病毒定義 ? 計(jì)算機(jī)病毒的特性 ? 計(jì)算機(jī)病毒的檢測(cè)方法 防病毒 (Antivirus) ? 計(jì)算機(jī)病毒定義 ? 計(jì)算機(jī)病毒的特性 ? 計(jì)算機(jī)病毒的檢測(cè)方法 計(jì)算機(jī)病毒定義 ? 計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 – －《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第 28條 計(jì)算機(jī)病毒、蠕蟲(chóng)與木馬 ? 蠕蟲(chóng)： 一段可以通過(guò)網(wǎng)絡(luò)或電子郵件傳播的惡意代碼，通常會(huì)造成資源耗盡或?qū)?shù)據(jù)破壞 ? 木馬： 一段偽裝成正常應(yīng)用程序的惡意代碼，通常不自我復(fù)制，但是某些木馬可以通過(guò)蠕蟲(chóng)傳播 ? 目前計(jì)算機(jī)病毒一般指各種具有自我傳播功能的惡意代碼，包括狹義的病毒以及蠕蟲(chóng)和木馬程序。 ? 公鑰密碼體制的缺點(diǎn) : – 加、解密的速度太慢 – 密鑰長(zhǎng)度太長(zhǎng) ? RSA算法： – 是一個(gè)可逆的公鑰密碼體制，在 PGP中被用來(lái)加密通信密鑰和數(shù)字簽名 。 PGP功能 ? 電子郵件機(jī)密性 ? 身份認(rèn)證 ? 文件加密 PGP (Pretty Good Privacy) ? PGP發(fā)展歷史與現(xiàn)狀 ? PGP加密流程 – 安全機(jī)制 – PGP公鑰與證書(shū) – 口令 ? PGP加解密算法 ? PGP的密鑰管理機(jī)制 PGP安全機(jī)制 ? 采用公開(kāi)密鑰加密與對(duì)稱密鑰加密相結(jié)合的加密體系 ? 對(duì)稱密鑰加密技術(shù)部分所使用的密鑰稱為 “ 會(huì)話密鑰 ” ? 會(huì)話密鑰在每次會(huì)話中隨機(jī)產(chǎn)生 ? 會(huì)話密鑰用來(lái)保護(hù)報(bào)文內(nèi)容 ? 公開(kāi)密鑰加密技術(shù)中的公鑰和私鑰則用來(lái)加密和解密會(huì)話密鑰 PGP公鑰與證書(shū) ? 每個(gè) PGP公鑰都伴隨著一個(gè)證書(shū) ? PGP承認(rèn)兩種不同的證書(shū)格式 – PGP證書(shū) – PGP證書(shū) (1)（圖） PGP證書(shū) (2)（圖） PGP證書(shū) (3)（圖） PGP證書(shū) (3) ? PGP證書(shū)通常包括以下信息 – PGP版本號(hào) – 證書(shū)持有者的公鑰 – 證書(shū)持有者的信息 – 證書(shū)擁有者的數(shù)字簽名 – 證書(shū)的有效期 – 密鑰首選的對(duì)稱加密算法 – 中介人簽名 PGP證書(shū)的不同 ? 用戶可以創(chuàng)建自己的 PGP證書(shū) 。這些 CA都可以進(jìn)行認(rèn)證發(fā)布和撤銷服務(wù)，它們與活動(dòng)目錄集成在一起 活動(dòng)目錄 ? 提供了 CA的定位信息和 CA策略，并可以公布有關(guān)認(rèn)證發(fā)布和撤銷的信息 支持 WIN2022 PKI的應(yīng)用程序 ? Microsoft Inter Explorer ? Microsoft Inter Information Service ? Microsoft Outlook ? Microsoft Outlook Express ? Microsoft Money ? 其他第三方程序 WIN2022 PKI使用的安全協(xié)議 ? 安全套接字協(xié)議 SSL ? 網(wǎng)際安全協(xié)議 IPSec 課程內(nèi)容 ? 防火墻 ? VPN ? 內(nèi)外網(wǎng)隔離 ? 日志審計(jì) ? 入侵檢測(cè) ? 隱患掃描 ? PKI(CA) ? PGP ? 安全加固 ? 防病毒 PGP (Pretty Good Privacy) ? PGP發(fā)展歷史與現(xiàn)狀 ? PGP加密流程 ? PGP加解密算法 ? PGP的密鑰管理機(jī)制 PGP (Pretty Good Privacy) ? PGP概述 – PGP發(fā)展歷史與現(xiàn)狀 – PGP功能 ? PGP加密流程 ? PGP加解密算法 ? PGP的密鑰管理機(jī)制 PGP發(fā)展歷史與現(xiàn)狀 ? 是一個(gè)基于 RSA公鑰加密體系的郵件加密軟件 ? 由美國(guó)的 Phil Zimmermann于 1991年發(fā)布 ? 采用了 RSA和對(duì)稱加密算法相結(jié)合的機(jī)制 ? 1993年，美國(guó)政府以違反出口法規(guī)提起了對(duì) Phil Zimmermann的訴訟。在最簡(jiǎn)單的情況下，認(rèn)證體系可以只包含一個(gè) CA。s Signature） ? 擴(kuò)展項(xiàng) V3版本的 14項(xiàng)標(biāo)準(zhǔn)擴(kuò)展 信任模型 ? 層次信任模型 ? 網(wǎng)狀信任模型 ? 混和信任模型 ? 橋信任模型 層次信任模型 R o o t C AS u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 2 )網(wǎng)狀信任模型 L o c a l C A EL o c a l C A BL o c a l C A A L o c a l C A DL o c a l C A C混和信任模型 S u b o rd i n a t e C A(l e v e l 2 )L o c a l C A B(l e v e l 1 )L o c a l C A A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 2 )橋信任模型 B ri d g e C A(c r o s s c e rt i f i c a t i o na u t h o ri t y )S u b o rd i n a t e C A(l e v e l 2 )C A B(l e v e l 1 )C A A(l e v e l 1 )S u b o rd i n a t e C A(l e v e l 2 )S u b o rd i n a t e C A(l e v e l 2 )