信息安全技术与实施第五章.docx
- 文档编号:10502113
- 上传时间:2023-02-14
- 格式:DOCX
- 页数:30
- 大小:61.92KB
信息安全技术与实施第五章.docx
《信息安全技术与实施第五章.docx》由会员分享,可在线阅读,更多相关《信息安全技术与实施第五章.docx(30页珍藏版)》请在冰豆网上搜索。
信息安全技术与实施第五章
第五章数字身份认证
5.1信息认证技术
5.1.1信息认证技术概述
边界安全(防火墙-网络安全隔离卡与线路选择器-安全隔离与信息交换产品)
通信安全(安全路由器)
身份鉴别与访问控制(智能卡COS)
数据安全(数据备份与恢复产品)
基础平台(安全操作系统-安全数据库系统)
内容安全(反垃圾邮件产品)
评估审计与监控(入侵检测系统IDS-网络脆弱性扫描产品-安全审计产品)
应用安全(网站恢复产品)
5.1.2数据摘要
5.2数字签名
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。
一套数字
基本介绍
数字签名不是指将你的签名扫描成数字图像,或者用触摸板获取的签名,更不是你的落款。
数字签名了的文件的完整性是很容易验证的(不需要骑缝章,骑缝签名,也不需要笔迹专家),而且数字签名具有不可抵赖性(不需要笔迹专家来验证)。
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。
包括普通数字签名和特殊数字签名。
普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。
显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。
数字签名(DigitalSignature)技术是不对称加密算法的典型应用。
数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。
数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。
在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。
主要功能
保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。
如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
数字签名是个加密的过程,数字签名验证是个解密的过程。
签名过程
报文的发送方用一个哈希函数从报文文本中生成报文摘要(散列值)。
发送方用自己的私人密钥对这个散列值进行加密。
然后,这个加密后的散列值将作为报文的附件和报文一起发送给报文的接收方。
报文的接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密。
如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。
通过数字签名能够实现对原始报文的鉴别。
数字签名有两种功效:
一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。
二是数字签名能确定消息的完整性。
因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。
不同的文件将得到不同的数字签名。
一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。
个人安全邮件证书
具有数字签名功能的个人安全邮件证书是用户证书的一种,是指单位用户收发电子邮件时采用证书机制保证安全所必须具备的证书。
个人安全电子邮件证书是符合x.509标准的数字安全证书,结合数字证书和S/MIME技术对普通电子邮件做加密和数字签名处理,确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。
具有数字签名功能的个人安全邮件证书中包含证书持有人的电子邮件地址、证书持有人的公钥、颁发者(CA)以及颁发者对该证书的签名。
个人安全邮件证书功能的实现决定于用户使用的邮件系统是否支持相应功能。
目前,MSOutlook、OutlookExpress、Foxmail及CA安全电子邮件系统均支持相应功能。
使用个人安全邮件证书可以收发加密和数字签名邮件,保证电子邮件传输中的机密性、完整性和不可否认性,确保电子邮件通信各方身份的真实性。
用数字签名识别病毒
[1][2]如何区分数字签名攻击呢?
有两个方法:
1.查看数字签名的详细信息,我们应该查看该数字签名的详细信息,点击“详细信息”按钮即可。
我们会发现正常EXE和感染(或捆绑木马)后的EXE数字签名的区别
正常EXE的数字签名详细信息
被篡改后的EXE数字签名信息无效
方法2,使用数字签名验证程序sigcheck.exe(可以XX一下找这个工具,著名系统工具包SysinternalsSuite的组件之一。
)
数字签名异常的结果为:
C:
\DocumentsandSettings\litiejun\?
?
\modify.exe:
Verified:
Unsigned
Filedate:
15:
462008-5-23
Publisher:
n/a
Description:
n/a
Product:
n/a
Version:
n/a
Fileversion:
n/a
数字签名正常的结果为:
C:
\DocumentsandSettings\litiejun\?
?
\che.exe:
Verified:
Signed
Signingdate:
16:
282008-4-29
Publisher:
n/a
Description:
n/a
Product:
n/a
Version:
n/a
Fileversion:
n/a
原因分析
1,精心设计的感染
当EXE被感染时,是很容易破坏文件的数字签名信息的,如果攻击者感染或破坏文件时,有意不去破坏EXE中有关数字签名的部分,就可能出现感染后,数字签名看上去正常的情况。
但认真查看文件属性或校验文件的HASH值,你会发现该EXE程序已经不是最原始的版本了。
2.该软件发行商的数字签名文件被盗,攻击者可以把捆绑木马或感染病毒后的EXE程序,也打包上数字签名,这种情况下就更严重了。
企业如果申请了数字签名证书,一定要妥善保管,否则后患无穷。
使用方法
你可以对你发出的每一封电子邮件进行数字签名。
这不是指落款,普遍把落款讹误成签名。
在我国大陆,数字签名是具法律效力的,正在被普遍使用。
2000年,中华人民共和国的新《合同法》首次确认了电子合同、电子签名的法律效力。
2005年4月1日起,中华人民共和国首部《电子签名法》正式实施。
原理特点
每个人都有一对“钥匙”(数字身份),其中一个只有她/他本人知道(密钥),另一个公开的(公钥)。
签名的时候用密钥,验证签名的时候用公钥。
又因为任何人都可以落款申称她/他就是你,因此公钥必须向接受者信任的人(身份认证机构)来注册。
注册后身份认证机构给你发一数字证书。
对文件签名后,你把此数字证书连同文件及签名一起发给接受者,接受者向身份认证机构求证是否真地是用你的密钥签发的文件。
在通讯中使用数字签名一般基于以下原因:
鉴权
公钥加密系统允许任何人在发送信息时使用公钥进行加密,数字签名能够让信息接收者确认发送者的身份。
当然,接收者不可能百分之百确信发送者的真实身份,而只能在密码系统未被破译的情况下才有理由确信。
鉴权的重要性在财务数据上表现得尤为突出。
举个例子,假设一家银行将指令由它的分行传输到它的中央管理系统,指令的格式是(a,b),其中a是账户的账号,而b是账户的现有金额。
这时一位远程客户可以先存入100元,观察传输的结果,然后接二连三的发送格式为(a,b)的指令。
这种方法被称作重放攻击。
完整性
传输数据的双方都总希望确认消息未在传输的过程中被修改。
加密使得第三方想要读取数据十分困难,然而第三方仍然能采取可行的方法在传输的过程中修改数据。
一个通俗的例子就是同形攻击:
回想一下,还是上面的那家银行从它的分行向它的中央管理系统发送格式为(a,b)的指令,其中a是账号,而b是账户中的金额。
一个远程客户可以先存100元,然后拦截传输结果,再传输(a,b3),这样他就立刻变成百万富翁了。
不可抵赖
在密文背景下,抵赖这个词指的是不承认与消息有关的举动(即声称消息来自第三方)。
消息的接收方可以通过数字签名来防止所有后续的抵赖行为,因为接收方可以出示签名给别人看来证明信息的来源。
如何实现
数字签名算法依靠公钥加密技术来实现的。
在公钥加密技术里,每一个使用者有一对密钥:
一把公钥和一把私钥。
公钥可以自由发布,但私钥则秘密保存;还有一个要求就是要让通过公钥推算出私钥的做法不可能实现。
普通的数字签名算法包括三种算法:
1.密码生成算法;
2.标记算法;
3.验证算法。
Java数字签名步骤
1、将applet的class文件打包成*.jar(不会的可以在命令行中输入jar查看帮助)[3]
2首先我们要生成一个keystore否则在签名的时候报如下错误
jarsigner错误:
java.lang.RuntimeException:
密钥库装入:
C:
\DocumentsandSettings\ij2ee\.keystore(系统找不到指定的文件。
).(这边的ij2ee是我当前系统用户名)
生成keystore的语句:
keytool-genkey-alias别名你可以自己写-keyalgRSA-keystore.keystore
比如我的就是keytool-genkey-aliasij2ee-keyalgRSA-keystore.keystore
下面是会出现的数字签名的一些步骤操作:
输入keystore密码:
再次输入新密码:
您的名字与姓氏是什么?
[Unknown]:
ij2ee
您的组织单位名称是什么?
[Unknown]:
mtk
您的组织名称是什么?
[Unknown]:
mtk
您所在的城市或区域名称是什么?
[Unknown]:
suzhou
您所在的州或省份名称是什么?
[Unknown]:
jiangsu
该单位的两字母国家代码是什么
[Unknown]:
cn
CN=jeson,OU=mtk,O=mtk,L=suzhou,ST=jiangsu,C=cn正确吗?
[否]:
y
输入
(如果和keystore密码相同,按回车):
这时候会在jdk的bin目录下生成.keystore。
把这个.keystore文件移动到C:
\DocumentsandSettings\当前系统用户的目录下面。
3、创建一个数字证书
在命令行中输入如下指令,peakCA和peakCALib自己起名字好了,3650是有效天数,就是10年左右,在创建证书的的时候,需要填写证书的一些信息和证书对应的私钥密码。
这些信息包括CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx,都是中文,一看就懂的
keytool-genkey-aliaspeakCA-keyalgRSA-keysize1024-keystorepeakCALib-validity3650
4、将证书导出到证书文件中
在命令行中输入如下指令,peakCA和peakCALib自己起名字好了,******是你输入的密码
keytool-export-aliaspeakCA-filepeakCA.cer-keystorepeakCALib-storepass******-rfc
5、授权jar文件,在命令行中输入如下指令
jarsigner-keystorepeakCALibmyapplet.jarpeakCA
5.3数字证书
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
它是由一个由权威机构-----CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
目录
基本简介
特点
1.安全性
2.唯一性
3.方便性
颁发过程
相关作用
授权机构
工作原理
数字签名
分类
1.服务器证书
2.电子邮件证书
3.客户端个人证书
证书格式
证书申请
使用方法
应用
基于数字证书的VIEID
1.释义
2.背景
3.作用
数字证书工作情况图片
编辑本段基本简介
数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。
它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。
使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。
它能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。
当然在数字证书认证的过程中证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的,国家工业和信息化部以资质合规的方式,陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险.为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。
这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。
编辑本段特点
安全性
(1)为了避免传统数字证书方案中,由于使用不当造成的证书丢失等安全隐患,支付宝创造性的推出双证书解决方案:
支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机。
(2)第二张证书不能备份,会员必须为每一台计算机重新申请一张。
这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失。
(3)支付盾是一个类似于U盘的实体安全工具,它内置的微型智能卡处理器能阻挡各种的风险,让您的账户始终处于安全的环境下。
唯一性
(1)支付宝数字证书根据用户身份给予相应的网络资源访问权限
(2)申请使用数字证书后,如果在其他电脑登录支付宝账户,没有导入数字证书备份的情况下,只能查询账户,不能进行任何操作,这样就相当于您拥有了类似“钥匙”一样的数字凭证,增强账户使用安全。
方便性
(1)即时申请、即时开通、即时使用。
(2)量身定制多种途径维护数字证书,例如通过短信,安全问题等。
(3)不需要使用者掌握任何数字证书相关知识,也能轻松掌握。
编辑本段颁发过程
数字证书颁发过程一般为:
用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。
认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。
用户就可以使用自己的数字证书进行相关的各种活动。
数字证书由独立的证书发行机构发布。
数字证书各不相同,每种证书可提供不同级别的可信度。
可以从证书发行机构获得您自己的数字证书。
编辑本段相关作用
基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。
买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
信息的保密性
交易中的商务信息均有保密的要求。
如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。
因此在电子商务的信息传播中一般均有加密的要求。
交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。
要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。
因此能方便而可靠地确认对方身份是交易的前提。
对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。
对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。
银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利益。
例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。
因此电子交易通信过程的各个环节都必须是不可否认的。
不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。
供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。
因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人互不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交易双方身份的真实性。
国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。
数字安全证书提供了一种在网上验证身份的方式。
安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:
信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
编辑本段授权机构
数字证书工作基本原理图
CA机构,又称为证书授证(CertificateAuthority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得攻击者不能伪造和篡改证书。
它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
由此可见,建设证书授权(CA)中心,是开拓和规范电子商务市场必不可少的一步。
为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证书。
编辑本段工作原理
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。
其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。
即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。
按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。
公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。
购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点:
保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。
数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
编辑本段数字签名
将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。
在数学上保证:
只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。
这样就保证了报文的不可更改性。
将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。
接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。
如相等则说明报文确实来自所称的发送者。
编辑本段分类
基于数字证书的应用角度分类,数字证书可以分为以下几种:
服务器证书
服务器证书被安装于服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全技术 实施 第五
![提示](https://static.bdocx.com/images/bang_tan.gif)