《第九章數(shù)字圖書館的信息安全技術(shù)》由會員分享，可在線閱讀，更多相關(guān)《第九章數(shù)字圖書館的信息安全技術(shù)（89頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式

2、,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,,,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,第九章 數(shù)字圖書館的信息安全技術(shù),第一節(jié) 數(shù)字圖書館信息安全概述,第一節(jié) 概述,一 網(wǎng)絡安全的定義,網(wǎng)絡安全就是要保證網(wǎng)絡上的信息安全，包括對網(wǎng)絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)安全性的保護，使網(wǎng)絡系統(tǒng)中的信息不受偶然的或者惡意的原因而遭到破壞、更改、泄露，網(wǎng)絡系統(tǒng)可以連續(xù)可靠正常地運行，保證網(wǎng)絡服務不中斷。,,第一節(jié) 概述,一 網(wǎng)絡安全的定義,不同環(huán)境和應用中的網(wǎng)絡信息安全可以歸納為以下四點：,運行系統(tǒng)安全：即保證信息處理和傳輸

3、系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。,網(wǎng)絡上系統(tǒng)信息的安全：包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計，安全問題跟蹤，計算機病毒防治，數(shù)據(jù)加密。,第一節(jié) 概述,一 網(wǎng)絡安全的定義,,網(wǎng)絡上信息內(nèi)容的安全：側(cè)重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護用戶的利益和隱私。,網(wǎng)絡上信息傳播安全：即信息傳播后果的安全，包括信息過濾等。它側(cè)重于防止和控制非法、有害的信息進行傳播后的后果。避免公用網(wǎng)絡上大量自由傳輸?shù)男畔⑹Э亍?第一

4、節(jié) 概述,二 網(wǎng)絡安全的目標,,（一）可靠性,可靠性是系統(tǒng)安全的最基本要求。可靠性是指網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成指定功能的特性，是所有網(wǎng)絡信息系統(tǒng)的建設和運行目標。,,（二）服務可用性,可用性指的是保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。,,（三）身份真實性,能對通訊實體身份的真實性進行鑒別。,,第一節(jié) 概述,二 網(wǎng)絡安全的目標,（四）信息機密性,保證機密信息不會泄露給非授權(quán)的人或?qū)嶓w是網(wǎng)絡安全中的最基本要求。,,（五）信息完整性,完整性是網(wǎng)絡信息未經(jīng)授權(quán)不能進行改變的特性。即保證數(shù)據(jù)的一致性，能夠防止數(shù)據(jù)被偶然的或者非授權(quán)用戶蓄意得建立、修改、刪除和破壞。,,,

5、（六）不可否認性,建立有效的責任機制，防止實體否認其行為。在網(wǎng)絡信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性，保證所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。,,第一節(jié) 概述,二 網(wǎng)絡安全的目標,,（七）系統(tǒng)可控性,可控性是對網(wǎng)絡信息的傳播及內(nèi)容具有控制能力的描述。系統(tǒng)應該可以能夠控制使用資源的人或?qū)嶓w的使用方。,,（八）可審查性,對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。,,（九）系統(tǒng)易用性,在滿足以上安全要求的條件下，系統(tǒng)也應當盡量保證操作簡單、維護方便。,,第一節(jié) 概述,三 數(shù)字圖書館的信息安全保障體系,,（一）管理上的安全措施,制定企業(yè)內(nèi)部、外部網(wǎng)絡安全規(guī)劃和標準，制定詳細的

6、安全行為規(guī)范，注意安全條例的執(zhí)行保障，即有了規(guī)定就一定要按照規(guī)定去執(zhí)行。,,（二）法律上的安全保障,需要完善的法律體系來維持秩序。這需要從法律上給與其合法地位，涉及的法律要素有：身份認證、知識產(chǎn)權(quán)、數(shù)字簽名與數(shù)字簽章等。,第一節(jié) 概述,三 數(shù)字圖書館的信息安全保障體系,,（三）技術(shù)上的安全保障,對于維護企業(yè)內(nèi)部網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)、防火墻技術(shù)、虛擬私人網(wǎng)（,VPN,）技術(shù)、網(wǎng)絡殺毒技術(shù)等；維護數(shù)字資源,Internet,上安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密、數(shù)字簽名等，其中為了識別用戶在現(xiàn)實世界中的真實身份還要涉及到,CA,認證中心；,,第,二,二,節(jié),節(jié),影,影,響,響,網(wǎng),網(wǎng),絡

7、,絡,信,信,息,息,安,安,全,全,的,的,主,主,要,要,因,因,素,素,一,物,物,理,理,安,安,全,全,風,風,險,險,不,可,可,控,控,制,制,的,的,自,自,然,然,災,災,害,害,，,，,如,如,地,地,震,震,、,、,火,火,災,災,、,、,水,水,災,災,、,、,雷,雷,擊,擊,等,等,環(huán),環(huán),境,境,事,事,故,故,；,；,電,電,源,源,故,故,障,障,造,造,成,成,設,設,備,備,斷,斷,電,電,以,以,至,至,操,操,作,作,系,系,統(tǒng),統(tǒng),引,引,導,導,失,失,敗,敗,、,、,數(shù),數(shù),據(jù),據(jù),庫,庫,丟,丟,失,失,或,或,信,信,息,息,泄,泄,漏,漏,；

8、,；,設,設,備,備,的,的,自,自,然,然,老,老,化,化,；,；,報,報,警,警,系,系,統(tǒng),統(tǒng),的,的,設,設,計,計,不,不,足,足,二,人,人,為,為,無,無,意,意,失,失,誤,誤,（,一,一,）,）,資,資,源,源,共,共,享,享,（,二,二,）,）,電,電,子,子,郵,郵,件,件,系,系,統(tǒng),統(tǒng),（,三,三,）,）,病,病,毒,毒,侵,侵,害,害,（,四,四,）,）,數(shù),數(shù),據(jù),據(jù),信,信,息,息,第,二,二,節(jié),節(jié),影,影,響,響,網(wǎng),網(wǎng),絡,絡,信,信,息,息,安,安,全,全,的,的,主,主,要,要,因,因,素,素,三,人,人,為,為,惡,惡,意,意,攻,攻,擊,擊,（,一

9、,一,）,）,主,主,動,動,攻,攻,擊,擊,（,二,二,）,）,被,被,動,動,攻,攻,擊,擊,。,。,它,它,是,是,在,在,不,不,影,影,響,響,網(wǎng),網(wǎng),絡,絡,正,正,常,常,工,工,作,作,的,的,情,情,況,況,下,下,，,，,進,進,行,行,截,截,獲,獲,、,、,竊,竊,取,取,、,、,破,破,譯,譯,以,以,獲,獲,得,得,重,重,要,要,機,機,密,密,信,信,息,息,。,。,四,軟,軟,件,件,漏,漏,洞,洞,和,和,“,“,后,后,門,門,”,”,五,管,管,理,理,不,不,善,善,據(jù),調(diào),調(diào),查,查,，,，,在,在,已,已,有,有,的,的,網(wǎng),網(wǎng),絡,絡,安,安,全

10、,全,攻,攻,擊,擊,事,事,件,件,中,中,，,，,約,約,70%,是,來,來,自,自,內(nèi),內(nèi),部,部,網(wǎng),網(wǎng),絡,絡,的,的,侵,侵,犯,犯,。,。,第,三,三,節(jié),節(jié),訪,訪,問,問,控,控,制,制,技,技,術(shù),術(shù),一,身,身,份,份,識,識,別,別,技,技,術(shù),術(shù),,一,般,般,而,而,言,言,，,，,數(shù),數(shù),字,字,圖,圖,書,書,館,館,系,系,統(tǒng),統(tǒng),只,只,允,允,許,許,合,合,法,法,的,的,用,用,戶,戶,才,才,能,能,訪,訪,問,問,其,其,中,中,的,的,數(shù),數(shù),字,字,資,資,源,源,。,。,因,因,此,此,身,身,份,份,識,識,別,別,是,是,數(shù),數(shù),字,字,

11、圖,圖,書,書,館,館,系,系,統(tǒng),統(tǒng),應,應,該,該,解,解,決,決,的,的,問,問,題,題,。,。,身,身,份,份,識,識,別,別,一,一,般,般,有,有,兩,兩,種,種,方,方,式,式,，,，,一,一,種,種,是,是,使,使,用,用,口,口,令,令,方,方,式,式,，,，,另,另,一,一,種,種,是,是,使,使,用,用,標,標,記,記,的,的,方,方,式,式,。,。,第,三,三,節(jié),節(jié),訪,訪,問,問,控,控,制,制,技,技,術(shù),術(shù),二,訪,訪,問,問,權(quán),權(quán),限,限,控,控,制,制,,訪,問,問,權(quán),權(quán),限,限,控,控,制,制,是,是,指,指,對,對,合,合,法,法,用,用,戶,戶,進

12、,進,行,行,文,文,件,件,或,或,數(shù),數(shù),據(jù),據(jù),操,操,作,作,權(quán),權(quán),限,限,的,的,限,限,制,制,。,。,這,這,種,種,權(quán),權(quán),限,限,主,主,要,要,包,包,括,括,對,對,信,信,息,息,資,資,源,源,的,的,讀,讀,、,、,寫,寫,、,、,刪,刪,、,、,改,改,、,、,拷,拷,貝,貝,、,、,執(zhí),執(zhí),行,行,等,等,。,。,第,三,三,節(jié),節(jié),訪,訪,問,問,控,控,制,制,技,技,術(shù),術(shù),三,用,用,戶,戶,權(quán),權(quán),限,限,控,控,制,制,,對,于,于,多,多,用,用,戶,戶,操,操,作,作,系,系,統(tǒng),統(tǒng),而,而,言,言,，,，,如,如,Unix,、,Linux,等

13、,，,，,給,給,不,不,同,同,用,用,戶,戶,授,授,予,予,不,不,同,同,的,的,存,存,取,取,許,許,可,可,權(quán),權(quán),限,限,，,，,不,不,同,同,的,的,賬,賬,戶,戶,具,具,有,有,不,不,同,同,的,的,存,存,取,取,權(quán),權(quán),限,限,。,。,顯,顯,然,然,，,，,為,為,了,了,更,更,好,好,地,地,維,維,護,護,系,系,統(tǒng),統(tǒng),的,的,安,安,全,全,，,，,一,一,個,個,用,用,戶,戶,被,被,授,授,予,予,盡,盡,可,可,能,能,少,少,的,的,權(quán),權(quán),限,限,，,，,只,只,要,要,能,能,夠,夠,滿,滿,足,足,日,日,常,常,的,的,工,工,作,作

14、,需,需,要,要,即,即,可,可,。,。,第,三,三,節(jié),節(jié),訪,訪,問,問,控,控,制,制,技,技,術(shù),術(shù),四,防,防,火,火,墻,墻,,第一,是,是限,制,制外,部,部網(wǎng),主,主機,/,用戶,。,。,第二,是,是限,制,制內(nèi),部,部用,戶,戶。,第三,是,是內(nèi),部,部網(wǎng),用,用戶,訪,訪問,外,外部,網(wǎng),網(wǎng)時,的,的安,全,全保,護,護。,第四,是,是外,部,部網(wǎng),用,用戶,訪,訪問,內(nèi),內(nèi)部,網(wǎng),網(wǎng)時,的,的安,全,全防,護,護。,防火,墻,墻結(jié),構(gòu),構(gòu),,,第三,節(jié),節(jié),訪,訪問,控,控制,技,技術(shù),五,應,應,用,用網(wǎng),關(guān),關(guān)與,代,代理,服,服務,器,器,,與傳,統(tǒng),統(tǒng)的,防,防火

15、,墻,墻在,IP,協(xié)議,層,層進,行,行過,濾,濾和,檢,檢查,相,相對,應,應，,應,應用,網(wǎng),網(wǎng)關(guān),和,和代,理,理服,務,務器,在,在應,用,用層,或,或傳,輸,輸層,進,進行,過,過濾,和,和轉(zhuǎn),發(fā),發(fā)。,應用,網(wǎng),網(wǎng)關(guān),和,和代,理,理服,務,務器,首,首先,檢,檢查,訪,訪問,用,用戶,是,是否,有,有權(quán),訪,訪問,該,該應,用,用網(wǎng),關(guān),關(guān)和,代,代理,服,服務,器,器，,以,以及,是,是否,能,能夠,進,進行,所,所要,求,求的,應,應用,。,。如,果,果用,戶,戶得,到,到了,應,應用,網(wǎng),網(wǎng)關(guān),和,和代,理,理服,務,務器,的,的認,可,可，,則,則可,以,以訪,問,問外,

16、部,部服,務,務器,或,或進,行,行相,應,應的,通,通信,。,。,第三,節(jié),節(jié),訪,訪問,控,控制,技,技術(shù),六,審,審,計,計、,跟,跟蹤,技,技術(shù),,計算,機,機安,全,全保,密,密防,范,范的,第,第三,道,道防,線,線是,審,審計,跟,跟蹤,技,技術(shù),，,，審,計,計跟,蹤,蹤是,一,一種,事,事后,追,追查,手,手段,，,，它,對,對涉,及,及計,算,算機,系,系統(tǒng),安,安全,保,保密,的,的操,作,作進,行,行完,整,整的,記,記錄,，,，以,便,便事,后,后能,有,有效,地,地追,查,查事,件,件發(fā),生,生的,用,用戶,、,、時,間,間、,地,地點,和,和過,程,程。,計算,機

17、,機網(wǎng),絡,絡系,統(tǒng),統(tǒng)應,有,有詳,細,細的,系,系統(tǒng),日,日志,，,，記,錄,錄每,個,個用,戶,戶每,次,次活,動,動訪,問,問時,間,間和,訪,訪問,的,的數(shù),據(jù),據(jù)、,程,程序,、,、設,備,備等,）,），,以,以及,系,系統(tǒng),出,出錯,信,信息,和,和配,置,置修,改,改信,息,息,第四,節(jié),節(jié)信息,加,加密,技,技術(shù),一、,加密,技,技術(shù),概,概述,明文,、,、密,文,文、,加,加密,、,、解,密,密和,密,密鑰,等,等概,念,念,信息,的,的發(fā),送,送者,以,以一,種,種任,何,何人,都,都能,讀,讀懂,和,和理,解,解的,形,形式,擬,擬定,的,的內(nèi),容,容稱,明,明文,（,

18、（,cleartext,，,orplaintext,）。,加,加密,是,是指,將,將明,文,文數(shù),據(jù),據(jù)進,行,行編,碼,碼，,使,使它,成,成為,一,一種,一,一般,人,人不,可,可理,解,解的,形,形式,，,，這,種,種不,可,可理,解,解的,內(nèi),內(nèi)容,叫,叫做,密,密文,(ciphertext),。解,密,密是,加,加密,的,的逆,過,過程,，,，即,將,將密,文,文還,原,原成,原,原來,可,可理,解,解的,形,形式,（,（即,明,明文,）,）的,過,過程,。,。,一、,加密,技,技術(shù),概,概述,明文,、,、密,文,文、,加,加密,、,、解,密,密和,密,密鑰,等,等概,念,念,算法,

19、是,是加,密,密或,解,解密,的,的具,體,體過,程,程。,在,在這,個,個過,程,程中,需,需要,一,一串,數(shù),數(shù)字,，,，這,個,個數(shù),字,字就,是,是密,鑰,鑰（,key,）。,例如,，,，將,字,字母,a,、,b,、,c,、,d,、,…,、,w,、,x,、,y,、,z,的自,然,然順,序,序保,持,持不,變,變，,但,但使,之,之與,E,、,F,、,G,、,…,、,Z,、,A,、,B,、,C,、,D,分別,對,對應,，,，即,相,相差,4,個字,母,母。,這,這條,規(guī),規(guī)則,就,就是,加,加密,算,算法,，,，其,中,中的,4,為密,鑰,鑰。,若,若明,文,文為,Howareyou,，

20、則,按,按照,這,這個,加,加密,算,算法,和,和密,鑰,鑰，,加,加密,后,后的,密,密文,就,就是,LSAEVICSY,。不,知,知道,算,算法,和,和密,鑰,鑰的,人,人，,是,是不,能,能將,這,這條,密,密文,還,還原,成,成,Howareyou,的。,一、,加密,技,技術(shù),概,概述,明文,、,、密,文,文、,加,加密,、,、解,密,密和,密,密鑰,等,等概,念,念,加密,技,技術(shù),的,的關(guān),鍵,鍵是,密,密鑰,，,，其,原,原因,是,是：,（,1,）由,于,于設,計,計算,法,法很,困,困難,，,，因,此,此基,于,于密,鑰,鑰的,變,變化,就,就解,決,決了,這,這一,難,難題,

21、；,；,（,2,）簡,化,化了,信,信息,發(fā),發(fā)送,方,方與,多,多個,接,接收,方,方加,密,密信,息,息的,傳,傳送,，,，即,發(fā),發(fā)送,方,方只,需,需使,用,用一,個,個算,法,法多,種,種密,鑰,鑰就,可,可向,多,多個,接,接收,方,方發(fā),送,送密,文,文；,（,2,）如,果,果密,文,文被,破,破譯,，,，換,一,一個,密,密鑰,就,就能,解,解決,問,問題,。,。,一、,加密,技,技術(shù),概,概述,明文,、,、密,文,文、,加,加密,、,、解,密,密和,密,密鑰,等,等概,念,念,密鑰,的,的長,度,度是,指,指密,鑰,鑰的,位,位數(shù),。,。密,文,文的,破,破譯,實,實際,上,

22、上是,經(jīng),經(jīng)過,長,長時,間,間的,測,測試,密,密鑰,，,，破,獲,獲密,鑰,鑰后,，,，解,開,開密,文,文。,增,增加,黑,黑客,破,破獲,密,密鑰,難,難度,的,的一,種,種方,法,法這,就,就是,使,使用,長,長鑰,。,。例,如,如一,個,個,16,位的密鑰,有,有二的,16,次方（,65536,）種不同,的,的密鑰。,順,順序猜測,65536,種密鑰對,于,于計算機,來,來說是很,容,容易的。,如,如果,100,位的密鑰,，,，計算機,猜,猜測密鑰,的,的時間需,要,要好幾個,世,世紀了。,因,因此，密,鑰,鑰的位數(shù),越,越長，加,密,密系統(tǒng)就,越,越牢固。,（規(guī)定試,錯,錯次數(shù)）

23、,一、,加密技術(shù),概,概述,加密算法,E,解密算法,D,明文,數(shù)據(jù),M,密文,數(shù)據(jù),C,明文,數(shù)據(jù),M,發(fā)送端,接收端,E,k,(M)=C,D,k,(C)=M,加密算法,E,解密算法,D,明文,數(shù)據(jù),M,密文,數(shù)據(jù),C,明文,數(shù)據(jù),M,發(fā)送端,接收端,加密算法,解密算法,明文,密文,根據(jù)密碼,算,算法所使,用,用的加密,密,密鑰和解,密,密密鑰是,否,否相同、,能,能否由加,密,密過程推,導,導出解密,過,過程（或,者,者由解密,過,過程推導,出,出加密過,程,程），可,將,將密碼體,制,制分為對稱密碼,體,體制和非,對,對稱密碼,體,體制。,二、對稱,密,密鑰密碼,體,體制,如果一個,加,加

24、密系統(tǒng),的,的加密密,鑰,鑰和解密,密,密鑰相同,，,，則該系,所,所采用的,就,就是,對稱密碼,體,體制,（也叫作,單,單鑰密碼,體,體制、秘,密,密密鑰密,碼,碼體制、,對,對稱密鑰,密,密碼體制,）,）。,,對稱密鑰,系,系統(tǒng)的特,點,點：,（,1,）加密算,法,法與解密,算,算法是公,開,開的；,（,2,）加密密,鑰,鑰與解密,密,密鑰相同,；,；,（,3,）要求加,解,解密算法,是,是協(xié)議安,全,全的；,（,4,）其安全,性,性基于密,鑰,鑰的保密,性,性,(,密鑰空間,、,、隨機性,、,、保密性,),；,（,5,）分為塊,(,分組,),加密和流,(,序列,),加密；,,對稱加密,體

25、,體制,,缺點是：,第,第一，隨,著,著網(wǎng)絡規(guī),模,模的擴大,，,，密鑰的,管,管理成為,一,一個難點,；,；,第二，無,法,法解決消,息,息確認問,題,題；,最后，缺,乏,乏自動檢,測,測密鑰泄,露,露的能力,。,。,對稱加密,體,體制數(shù)據(jù),流,流程示意,圖,圖,,,對稱加密,示,示意圖,三、非對,稱,稱密鑰密,碼,碼體制,如果一個,加,加密系統(tǒng),把,把加密和,解,解密的能,力,力分開，,加,加密和解,密,密分別用,兩,兩個不同,的,的密鑰實,現(xiàn),現(xiàn)，并且,不,不可能由,加,加密密鑰,推,推導出解,密,密密鑰（,或,或者不可,能,能由解密,密,密鑰推導,出,出加密密,鑰,鑰），則,該,該系統(tǒng)

26、所,采,采用的就,是,是,非對稱密,碼,碼體制,（也叫作,雙,雙鑰密碼,體,體制、公,開,開密鑰密,碼,碼體制、,非,非對稱密,鑰,鑰密碼體,制,制）。,,,非對稱加,密,密體制,,兩個鑰匙,是,是兩個很,大,大的質(zhì)數(shù),，,，用其中,的,的一個質(zhì),數(shù),數(shù)與原信,息,息相乘，,對,對信息加,密,密，可以,用,用其中的,另,另一個質(zhì),數(shù),數(shù)與收到,的,的信息相,乘,乘來解密,。,。但不能,用,用其中的,一,一個質(zhì)數(shù),求,求出另一,個,個質(zhì)數(shù)。,每,每個網(wǎng)絡,上,上的用戶,都,都有一對,公,公鑰和私,鑰,鑰。公鑰,是,是公開的,，,，可以公,布,布在網(wǎng)上,，,，也可以,公,公開傳送,給,給需要的,人

27、,人；私鑰,只,只有本人,知,知道，是,保,保密的。,,非對稱加,密,密體制,,網(wǎng)絡中的,加,加密普遍,采,采用雙鑰,和,和單鑰密,碼,碼相結(jié)合,的,的混合加,密,密體制，,即,即加解密,時,時采用對,稱,稱加密，,密,密鑰傳送,則,則采用非,對,對稱加密,。,。這樣既,解,解決了密,鑰,鑰管理的,困,困難，又,解,解決了加,解,解密速度,的,的問題。,非對稱加,密,密體制工,作,作流程示,意,意,,,非對稱密,鑰,鑰密碼體,制,制,非對稱密,鑰,鑰密碼體,制,制示意圖,第五節(jié),數(shù),數(shù)字簽名的技,術(shù),術(shù)實現(xiàn),《,中華人民,共,共和國電,子,子簽名法,》,已于,2004,年８月２,８,８日第十,

28、屆,屆全國人,民,民代表大,會,會常務委,員,員會第十,一,一次會議,通,通過，自,２,２００５,年,年４月１,日,日起施行,。,。,第一條為了規(guī)范,電,電子簽名,行,行為，確,立,立電子簽,名,名的法律,效,效力，維,護,護有關(guān)各,方,方的合法,權(quán),權(quán)益，制,定,定本法。,2000,年,6,月,30,日美國總,統(tǒng),統(tǒng)克林頓,正,正式簽署,了,了美國的,《,全球及全,國,國商業(yè)電,子,子簽名法,》,，這是美,國,國歷史上,第,第一部聯(lián),邦,邦級的電,子,子簽名法,，,，它于,2000,年,10,月,1,日起生效,。,。,什么是電,子,子簽名？,能夠在電,子,子文件中,識,識別雙方,交,交易人的

29、,真,真實身份,，,，保證交,易,易的安全,性,性和真實,性,性以及不,可,可抵賴性,，,，起到與,手,手寫簽名,或,或者蓋章,同,同等作用,的,的簽名的,電,電子技術(shù),手,手段，稱,之,之為電子,簽,簽名。,,聯(lián)合國貿(mào),發(fā),發(fā)會的,《,電子簽名,示,示范法,》,中對電子,簽,簽名作如,下,下定義：,“,指在數(shù)據(jù),電,電文中以,電,電子形式,所,所含、所,附,附或在邏,輯,輯上與數(shù),據(jù),據(jù)電文有,聯(lián),聯(lián)系的數(shù),據(jù),據(jù),,,它可用于,鑒,鑒別與數(shù),據(jù),據(jù)電文相,關(guān),關(guān)的簽名,人,人和表明,簽,簽名人認,可,可數(shù)據(jù)電,文,文所含信,息,息,”,《,中華人民,共,共和國電,子,子簽名法,》,第二條,

30、本,本法所稱,電,電子簽名,，,，是指數(shù),據(jù),據(jù)電文中,以,以電子形,式,式所含、,所,所附用于,識,識別簽名,人,人身份并,表,表明簽名,人,人認可其,中,中內(nèi)容的,數(shù),數(shù)據(jù)。,本法所稱,數(shù),數(shù)據(jù)電文,，,，是指以,電,電子、光,學,學、磁或,者,者類似手,段,段生成、,發(fā),發(fā)送、接,收,收或者儲,存,存的信息,。,。,,什么是數(shù),字,字簽名？,所謂,“,數(shù)字簽名,”,就是通過,某,某種密碼,運,運算生成,一,一系列符,號,號及代碼,組,組成電子,密,密碼進行,簽,簽名，來,代,代替書寫,簽,簽名或印,章,章，對于,這,這種電子,式,式的簽名,還,還可進行,技,技術(shù)驗證,，,，其驗證,的,的

31、準確度,是,是一般手,工,工簽名和,圖,圖章的驗,證,證無法比,擬,擬的。,,,數(shù)字簽名,技,技術(shù)所解,決,決的問題,是,是使接收,方,方能夠確,認,認或證實,發(fā),發(fā)送方的,簽,簽名；發(fā),送,送方發(fā)出,簽,簽名的消,息,息送收方,后,后，就不,能,能再否認,他,他所簽發(fā),的,的消息。,,數(shù)字簽名,的,的設計要,求,求,:,簽名必須使,用,用某些對發(fā),送,送者是惟一,的,的信息，以,防,防止雙方的,偽,偽造與否認,。,。,必須相對容,易,易生成該數(shù),字,字簽名。,必須相對容,易,易識別和驗,證,證該數(shù)字簽,名,名,偽造該數(shù)字,簽,簽名在計算,復,復雜性意義,上,上具有不可,行,行性，既包,括,括

32、對一個已,有,有的數(shù)字簽,名,名構(gòu)造新的,消,消息，也包,括,括對一個給,定,定消息偽造,一,一個數(shù)字簽,名,名。,在存儲器中,保,保存一個數(shù),字,字簽名副本,是,是現(xiàn)實可行,的,的。,,使用公開密,鑰,鑰的認證方,式,式,在實際應用,操,操作中發(fā)出,的,的文件簽名,并,并非是對原,文,文本身進行,加,加密，而是,要,要對原文進,行,行所謂的,“,哈希,”,（,Hash,）運算，即對原文,做,做數(shù)字摘要。該密碼算,法,法也稱單向,散,散列運算，,其,其運算結(jié)果,稱,稱為哈希值,，,，或稱數(shù)字,摘,摘要，也有,人,人將其稱為,“,數(shù)字指紋,”,。哈希值有,固,固定的長度,，,，運算是不,可,可逆

33、的，不,同,同的明文其,哈,哈希值是不,同,同的，而同,樣,樣的明文其,哈,哈希值是相,同,同并且是惟,一,一的，原文,有,有任何改動,，,，其哈希值,就,就要發(fā)生變,化,化。數(shù)字簽,名,名是用私鑰,對,對數(shù)字摘要,進,進行加密，,用,用公鑰進行,解,解密和驗證,。,。,常見的,Hash,算法有：,MD,算法（,Message DigestAlgorithm,，信息摘要,算,算法）是由,Rivest,從,20,世紀,80,年代末起所,開,開發(fā)的系列,散,散列算法的,合,合稱，歷經(jīng),MD2,、,MD3,和,MD4,發(fā)展到現(xiàn)在,的,的,MD5,。,SHA,（,Secure Hash Algorit

34、hm,，安全散列,算,算法）由美,國,國國家標準,和,和技術(shù)協(xié)會,開,開發(fā)，,SHA-1,是該協(xié)會于,1994,年發(fā)布的,SHA,算法的修訂,版,版。,,公開密鑰與,對,對稱密鑰相,結(jié),結(jié)合的認證,方,方式,,,真實性、完,整,整性、保密,性,性、不可否,認,認性,完整的公鑰,加,加密和數(shù)字,簽,簽名流程,,第六節(jié)數(shù)字證書,一、什么是,數(shù),數(shù)字證書,數(shù)字證書（,Digital ID,），又叫,“,數(shù)字身份證,”,、,“,網(wǎng)絡身份證,”,是由認證中,心,心發(fā)放并經(jīng),認,認證中心數(shù),字,字簽名的，,包,包含公開密,鑰,鑰擁有者以,及,及公開密鑰,相,相關(guān)信息的,一,一種電子文,件,件，可以用,來,

35、來證明數(shù)字,證,證書持有者,的,的真實身份,。,。,一個標準的,X.509,數(shù)字證書包,含,含以下內(nèi)容,：,證書的版本,信,信息。,證書的序列,號,號,證書所使用,的,的簽名算法,。,。,證書的發(fā)行,機,機構(gòu)名稱（,認,認證機構(gòu)）,證書的有效,期,期,證書所有人,的,的名稱,證書所有人,的,的公開密鑰,證書發(fā)行者,對,對證書的簽,名,名,數(shù)字證書示,意,意圖,二、證書授,權(quán),權(quán)中心,證書授權(quán)（,Certificate Authority,）中心，認,證,證機構(gòu),CA,，,CA,機構(gòu)，認證,中,中心，,CA,，,CA,認證機構(gòu)在,《,電子簽名法,》,中被稱做,“,電子認證服,務,務提供者,”,。

36、,CA,是負責簽發(fā),證,證書、認證,證,證書、管理,已,已頒發(fā)證書,的,的機關(guān)。,根,CA,一級子,CA1,一級子,CA2,二級子,CA2,終端實體,A,二級子,CA2,終端實體,C,認證機構(gòu)（,CA,）層次結(jié)構(gòu),認證機構(gòu)（,CA,）層次結(jié)構(gòu),,第七節(jié)數(shù)字時間戳,技,技術(shù),數(shù)字時間認,證,證包括兩層,含,含義：,其一是指對,數(shù),數(shù)字文檔自,身,身產(chǎn)生或更,改,改的時間進,行,行認證,；,其二是指對,以,以數(shù)字化形,式,式表示的時,間,間的真實性,進,進行認證,。,目前實現(xiàn)數(shù),字,字時間認證,的,的主要方法,是,是加蓋數(shù)字,時,時間戳,。,數(shù)字時間戳,的,的實行，需,要,要一個可信,任,任的第三

37、方,—,時間戳權(quán)威,TSA(time stampauthority),，來提供可,信,信賴的且不,可,可抵賴的數(shù),字,字時間戳服,務,務（,DTS,，,digital timestamp service).,TSA,的主要功能是提供可靠,的,的時間信息,，,，證明某份,文,文件,(,或某條信息,),在某個時間,(,或以前,),存在，防止,用,用戶在這個,時,時間后偽造,數(shù),數(shù)據(jù)進行欺,騙,騙活動,,,時間戳服務,提,提供商擔當,著,著中介者的,角,角色，負責,TSA,與最終使用,者,者之間的溝,通,通,.,,數(shù)字時間戳,,數(shù)字時間戳,(Digital Time-Stamp—DTS),方法可以解

38、,決,決收方對已,收,收到的簽名,消,消息不能否,認,認，即有收,到,到認證；第,三,三方可以確,認,認收發(fā)雙方,之,之間的傳送,，,，但不能偽,造,造過程。,,,,數(shù)字時間戳,,交易文件中,，,，時間和簽,名,名一樣是十,分,分重要的證,明,明文件有效,性,性的內(nèi)容。,數(shù),數(shù)字時間戳,就,就是用來證,明,明消息的收,發(fā),發(fā)時間的。,用,用戶首先將,需,需要加時間,戳,戳的文件用,Hash,函數(shù)加密形,成,成摘要，然,后,后將摘要發(fā),送,送到專門提,供,供數(shù)字時間,戳,戳服務的權(quán),威,威機構(gòu)，該,機,機構(gòu)對原摘,要,要加上時間,后,后，進行數(shù),字,字簽名（用,私,私鑰加密）,，,，并發(fā)送給,原

39、,原用戶。原,用,用戶可以把,它,它再發(fā)送給,接,接收者。,對單方請求,的,的時間認證,技,技術(shù),第八節(jié),PKI—,公鑰基礎設,施,施,一、什么是,PKI,？,PKI,是,“,Public KeyInfrastructure,”,的縮寫，,PKI,就是利用公,共,共密鑰理論,和,和技術(shù)建立,的,的提供安全,服,服務的基礎,設,設施。,PKI,技術(shù)以公鑰,技,技術(shù)為基礎,，,，以數(shù)字證,書,書為媒介，,結(jié),結(jié)合對稱加,密,密和非對稱,加,加密技術(shù)，,將,將個人、組,織,織、設備的,標,標識信息與,各,各自的公鑰,捆,捆綁在一起,，,，其主要目,的,的是通過自,動,動管理密鑰,和,和證書，為,用,

40、用戶建立起,一,一個安全、,可,可信的網(wǎng)絡,運,運行環(huán)境，,使,使用戶可以,在,在多種應用,環(huán),環(huán)境下方便,地,地使用加密,和,和數(shù)字簽名,技,技術(shù)，在互,聯(lián),聯(lián)網(wǎng)上驗證,用,用戶的身份,，,，從而保證,了,了互聯(lián)網(wǎng)上,所,所傳輸信息,的,的真實性、,完,完整性、機,密,密性和不可,否,否認性。,PKI,是目前為止,既,既能實現(xiàn)用,戶,戶身份認證,，,，又能保證,互,互聯(lián)網(wǎng)上所,傳,傳輸數(shù)據(jù)安,全,全的惟一技,術(shù),術(shù)。,,二、,PKI,的組成,1,）證書機構(gòu),（,（,Certificate Authority,）,2,）證書庫（,Repository,）,3,）證書撤消,處,處理系統(tǒng),4,）密

41、鑰備份,與,與恢復系統(tǒng),5,）自動密鑰,更,更新系統(tǒng),6,）密鑰文檔,管,管理系統(tǒng),7,）交叉認證,系,系統(tǒng),8,）數(shù)字時,間,間認證系,統(tǒng),統(tǒng),9,）客戶端,軟,軟件,三、,PKI,的構(gòu)建,對于任何,想,想要建立,自,自己的,PKI,系統(tǒng)的組,織,織來說，,目,目前存在,兩,兩種模式,：,：,自建,托管,自建模式,（,（,In-houseModel,）是指用戶,購,購買整套,的,的,PKI,軟件和所,需,需的硬件,設,設備，按,照,照,PKI,的構(gòu)建要,求,求自行建,立,立起一套,完,完整的服,務,務體系。,在,在這種模,式,式下，用,戶,戶將參與,PKI,系統(tǒng)的建,立,立、維護,、,、運營

42、以,及,及可信雇,員,員專業(yè)培,訓,訓的整個,過,過程，并,對,對,PKI,系統(tǒng)的所,有,有事務負,全,全責，其,中,中包括系,統(tǒng),統(tǒng)、通信,、,、數(shù)據(jù)庫,以,以及物理,安,安全、網(wǎng),絡,絡安全配,置,置、高可,靠,靠性的冗,余,余系統(tǒng)、,災,災難恢復,，,，用戶還,需,需提供龐,大,大的運營,資,資金作后,盾,盾。這種,模,模式需要,將,將,PKI,運營人員,培,培訓成為,PKI,技術(shù)專家,、,、法律專,家,家。,,托管模式,（,（,OutsourcingModel,）是指用戶,利,利用現(xiàn)有,的,的可信第,三,三方（,TrustedThird Part,，,TTP,）,——,認證中心,CA,

43、提供的,PKI,服務，用,戶,戶只需配,置,置并全權(quán),管,管理一套,集,集成的,PKI,平臺即可,建,建立起一,套,套完整的,服,服務體系,，,，對內(nèi)、,對,對外提供,全,全部的,PKI,服務。此,模,模式下，,用,用戶只需,通,通過前臺,系,系統(tǒng)完成,簡,簡單的系,統(tǒng),統(tǒng)配置，,而,而復雜、,專,專業(yè)的其,他,他,PKI,核心服務,及,及其維護,工,工作將交,與,與可信的,第,第三方來,完,完成，用,戶,戶不需要,資,資深的,PKI,技術(shù)專家,、,、法律專,家,家，只需,對,對其內(nèi)部,相,相關(guān)人員,進,進行簡單,的,的培訓即,可,可提供服,務,務，用戶,也,也不需要,單,單獨承擔,全,全部的

44、投,資,資與風險,。,。,四、,PKI,技術(shù)的應,用,用,1,、,Web,安全,一般來講,，,，,Web,上的交易,可,可能帶來,的,的安全問,題,題有：,詐騙,泄漏,篡改,攻擊,SSL,（,Secure Sockets Layer,）安全套,接,接層協(xié)議，是,Netscape,公司設計,的,的主要用,于,于,Web,的安全傳,輸,輸協(xié)議。,SSL,是一個介,于,于,HTTP,協(xié)議與,TCP,之間的一,可,可選層，,它,它在,TCP,之上建立,了,了一個安,全,全通道，,提,提供基于,證,證書的認,證,證、信息,完,完整性和,數(shù),數(shù)據(jù)保密,性,性，通過,這,這一層的,數(shù),數(shù)據(jù)經(jīng)過,了,了加密，

45、,因,因此達到,保,保密的效,果,果。,,客戶端,WEB,服務器,請求建立,安,安全連接,通,通道,服務器發(fā),送,送服務器,證,證書,用服務器,證,證書公鑰,加密會話,密,密鑰,客戶端發(fā),送,送用戶證,書,書,用用戶端,證,證書公鑰,加密會話,密,密鑰,建立安全,連,連接通道,SSL,技術(shù)原理,圖,圖,,SSL,技術(shù)原理,圖,圖,2,、安全電,子,子郵件,電子郵件,安,安全問題,：,：,消息和附,件,件可以在,不,不為通信,雙,雙方所知,的,的情況下,被,被讀取、,篡,篡改或截,掉,掉；,沒有辦法,可,可以確定,一,一封電子,郵,郵件是否,真,真的來自,某,某人（發(fā),信,信者的身,份,份可能被

46、,人,人偽造）,。,。,,S/MIME (Secure/Multipurpose Internet MailExtension,，安全,/,多用途互,聯(lián),聯(lián)網(wǎng)郵件,擴,擴展標準,）,）是,RSA,數(shù)據(jù)安全,公,公司于,1995,年向互聯(lián),網(wǎng),網(wǎng)工程任,務,務組,IETF,提交的規(guī),范,范，該標,準,準使用公,鑰,鑰加密來,保,保護數(shù)據(jù),不,不被未授,權(quán),權(quán)的用戶,看,看到，并,擁,擁有驗證,加,加密郵件,發(fā),發(fā)送者的,功,功能。,S/MIME,的認證機,制,制依賴于,層,層次結(jié)構(gòu),的,的證書認,證,證機構(gòu)，,所,所有下一,級,級的組織,和,和個人的,證,證書由上,一,一級的組,織,織負責認,證

47、,證，而最,上,上一級的,組,組織之間,相,相互認證,。,。,OpenPGP,（,Pretty GoodPrivacy,高質(zhì)量保,密,密標準）,是,是一個屬,于,于網(wǎng)絡聯(lián),盟,盟（,NetworkAssociates),的受專利,保,保護的協(xié),議,議。,第九節(jié),數(shù),數(shù)字水印,與,與版權(quán)保,護,護,,一 數(shù)字,水,水印的基,本,本特征,二 數(shù)字,水,水印的一,般,般模型,三 數(shù)字,水,水印的分,類,類,四 數(shù)字,水,水印的應,用,用領域,一,數(shù),數(shù)字水,印,印的基本,特,特征,（一）不,易,易感知性,由于數(shù)字,水,水印是附,加,加在數(shù)字,產(chǎn),產(chǎn)品上的,額,額外的信,息,息，因此,保,保證數(shù)字,水

48、,水印的存,在,在不妨礙,原,原始數(shù)字,產(chǎn),產(chǎn)品的使,用,用就是數(shù),字,字水印首,先,先必須遵,守,守的一條,準,準則。,（二）安,全,全性,數(shù)字水印,的,的安全性,包,包含有兩,重,重含義。,首,首先，數(shù),字,字水印的,隱,隱藏位置,應,應該具有,安,安全性，,其,其次，數(shù),字,字水印的,安,安全性還,表,表現(xiàn)在他,的,的不可去,除,除、偽造,、,、復制上,。,。,一,數(shù),數(shù)字水,印,印的基本,特,特征,（三）魯,棒,棒性,數(shù)字水印,必,必須對各,種,種信號處,理,理過程具,有,有很強的,魯,魯棒性。,（四）抗,攻,攻擊性,數(shù)字水印,的,的目的是,保,保護數(shù)字,作,作品的著,作,作權(quán)，因,此

49、,此一定會,面,面臨許多,惡,惡意的破,壞,壞和攻擊,。,。,一,數(shù),數(shù)字水,印,印的基本,特,特征,（五）水,印,印調(diào)整和,多,多重水印,在許多具,體,體應用中,，,，希望在,插,插入水印,后,后仍能調(diào),整,整它。,（六）通,用,用性,理想的數(shù),字,字水印算,法,法應該是,擁,擁有廣泛,的,的通用性,的,的。,（七）數(shù),據(jù),據(jù)量,一般的數(shù),字,字水印算,法,法中嵌入,的,的數(shù)據(jù)量,都,都比較小,。,。,二,數(shù),數(shù)字水印,的,的一般模,型,型,數(shù)字水印,尚,尚未與密,碼,碼學一樣,有,有較完整,的,的,的信息論,理,理論基礎,，,，目前沒,有,有好的理,論,論,模型。其,一,一般過程,概,概述

50、如下,：,：,（一）嵌,入,入水印,（二）水,印,印檢測（,水,水印提取,）,）,,,,,,三,數(shù),數(shù)字水印,的,的分類,（一）按,可,可見性劃,分,分,通過對水,印,印的不易,感,感知性的,要,要求的不,同,同，數(shù)字,水,水印可以,分,分為可見,數(shù),數(shù)字水印,和,和不可見,數(shù),數(shù)字水印,。,。,（二）按,特,特性劃分,按水印的,特,特性可以,將,將數(shù)字水,印,印分為魯,棒,棒數(shù)字水,印,印和脆弱,數(shù),數(shù)字水印,。,。,三,數(shù),數(shù)字水印,的,的分類,（三）按,檢,檢測過程,劃,劃分,按水印的,檢,檢測過程,將,將數(shù)字水,印,印分為明,文,文水印和,盲,盲水印。,（四）按,用,用途劃分,不同的應

51、,用,用需求造,就,就了不同,的,的水印技,術(shù),術(shù)。按水,印,印的用途,，,，我們可,以,以將數(shù)字,水,水印劃分,為,為票據(jù)防,偽,偽水印、,版,版權(quán)保護,水,水印、篡,改,改提示水,印,印和隱蔽,標,標識水印,。,。,,,四,數(shù),數(shù)字水印,的,的應用領,域,域,,（一）數(shù),字,字作品的,知,知識產(chǎn)權(quán),保,保護,（二）商,務,務交易中,的,的票據(jù)防,偽,偽,（三）篡,改,改提示,（四）使,用,用控制,,,思考題,1,、數(shù)字圖,書,書館系統(tǒng),的,的安全需,求,求有哪些,？,？,2,、對稱密,鑰,鑰系統(tǒng)有,什,什么特點,？,？,3,、非對稱,密,密鑰系統(tǒng),有,有什么特,點,點？,4,、請分析,數(shù),數(shù)字簽名,的,的實現(xiàn)原,理,理。,5,、請分,析,析數(shù)字,時,時間戳,的,的實現(xiàn),原,原理。,6,、試述,數(shù),數(shù)字證,書,書的作,用,用。,7,、,PKI,有哪些,組,組成部,分,分？,演講完,畢,畢，謝,謝,謝觀看,！,！,