《网络技术》.ppt

第六章 网络安全技术 OSI 6.5.4 数字签名 数字签名和数据加密的区别是： 数字签名使用的是公钥密码体制中的认证模型，发送者用自己的私钥加密信息，接收者使用发送者的公钥解密信息。 数据加密使用的是公钥密码体制中的加密模型，发送者用接收者的公钥加密信息，接收者使用自己的私钥解密信息。 1、数字签名的原理 第六章 网络安全技术 OSI 6.5.4 数字签名 利用公钥密码体制，数字签名是一个加密的消息摘要，附加在消息后面。 例子：如果鲍伯想要在他给爱丽丝发送的消息中创建一个数字签名，需要遵循下列步骤： 2、数字签名的创建 第六章 网络安全技术 OSI 6.5.4 数字签名 鲍伯创建一个公钥/密钥对； 鲍伯把他的公钥给爱丽丝； 鲍勃把要发给爱丽丝的消息作为一个单向散列函数的输入，散列函数的输出就是消息摘要； 鲍勃用他的私钥加密消息摘要，就得到数字签名。 2、数字签名的创建 第六章 网络安全技术 OSI 6.5.4 数字签名 鲍伯发送给爱丽丝的数据是消息与数字签名的组合； 例子：数字签名的验证过程：在接收方，爱丽丝需要遵循下列步骤，以验证消息的确来自鲍伯，即验证鲍伯的数字签名。 3、数字签名的验证 第六章 网络安全技术 OSI 6.5.4 数字签名 爱丽丝把接收到的数据分离成消息和数字签名； 爱丽丝使用鲍伯的公钥对数字签名解密，从而得到消息摘要； 爱丽丝把消息作为鲍伯所使用的相同散列函数的输入，得到了一个消息摘要； 爱丽丝比较这两个消息摘要，看它们是否相互匹配。 3、数字签名的验证 第六章 网络安全技术 OSI 6.5.4 数字签名 如果爱丽丝计算出来的消息摘要与鲍伯解密后的消息摘要相匹配，则证明了该消息的完整性并验证了消息的发送者是鲍伯。 3、数字签名的验证 第六章 网络安全技术 OSI 6.4.4 密钥管理 通常的密钥分发技术有两种： KDC（密钥分发中心）技术可用于必威体育官网网址密钥的分发； CA（证书权威机构）技术可用于公钥和必威体育官网网址密钥的分发； 2、必威体育官网网址密钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 采用KDC技术分发密钥的过程： 当主机A需要建立与主机B的连接时，就向密钥分发中心发送建立连接请求，申请会话密钥。主机A与密钥分发中心之间的通信是用只有两者共享的永久密钥进行加密的； 如果密钥分发中心批准了连接请求，就会生成会话密钥，并对每个主机使用不同的永久密钥把会话密钥传送到两个主机上； 主机A建立到主机B的连接，A、B两个主机交换的所有数据都用临时会话密钥进行加密。 2、必威体育官网网址密钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 采用KDC技术分发密钥的过程： 是一种面向连接的自动分发密钥的方法，具有动态的特点； 密钥分发中心确定哪些主机能够互相通信，当允许两个主机建立连接时，密钥分发中心就为该连接提供临时的会话密钥，所有的用户数据都是用一次性会话密钥进行加密； 在会话或连接结束时，销毁会话密钥； 2、必威体育官网网址密钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 采用KDC技术分发密钥的过程： 会话密钥是用永久密钥加密的； 永久密钥一般在KDC分发会话密钥给主机时使用； 在ANSI X.9.17密钥管理标准中，永久密钥是通过手工分发的。 2、必威体育官网网址密钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 公钥的完整性是必须保证的； 为此，目前人们采用数字证书来分发公钥； 数字证书要求使用可信任的第三方：证书权威机构； 证书权威机构CA就是用户团体可信任的第三方，如政府部门或金融机构，它保证证书的有效性； 3、公钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 CA负责注册证书、分发证书，并且当证书包含的信息变得无效后撤销证书； 用户以安全的方式向公钥证书权威机构出具他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到这个证书，并通过相关的信任签名来验证公钥的有效性。 3、公钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 数字证书是一条数字签名的消息，通常用于证明某个实体的公钥的有效性； 数字证书是一个数据结构，具有一种公共的格式，它将某一成员的识别符和一个公钥值绑定在一起。 证书数据结构由某一证书权威机构的成员进行数字签名； 假定用户提前知道权威认证机构的真实公钥，用户就能检查证书的签名的合法性。 3、公钥的分发 第六章 网络安全技术 OSI 6.4.4 密钥管理 数字证书的类型包括： X.509公钥证书 简单