ch6網(wǎng)絡(luò)安全實用教程

1、第第 六六 章章 數(shù)據(jù)加密與認證技術(shù)數(shù)據(jù)加密與認證技術(shù)本章有五小節(jié)：本章有五小節(jié)：6.1 密碼學(xué)基礎(chǔ)6.2 數(shù)據(jù)加密體制6.3 數(shù)字簽名與認證6.4 網(wǎng)絡(luò)通信加密6.5 數(shù)據(jù)加密技術(shù)應(yīng)用實例6 61 1 密碼學(xué)基礎(chǔ)密碼學(xué)基礎(chǔ)6.1.1 密碼學(xué)的基本概念密碼學(xué)的基本概念l密碼學(xué)(Cryptography)就是研究密碼的科學(xué)，具體包括加密和解密變換。1密碼學(xué)的發(fā)展密碼學(xué)的發(fā)展（1）傳統(tǒng)密碼學(xué)階段（2）計算機密碼學(xué)階段（3）現(xiàn)代密碼學(xué)階段2密碼學(xué)的相關(guān)概念密碼學(xué)的相關(guān)概念（1）明文P(PlainText)：信息的原文。（2）密文C(CipherText)：加密后的信息。（3）加密(Encryptio

2、n)： 將明文轉(zhuǎn)變?yōu)槊芪牡倪^程。（4）解密(Decryption)： 將密文轉(zhuǎn)換為明文的過程。（5）密碼算法：l用于加密和解密的變換規(guī)則，多為數(shù)學(xué)函數(shù)。通常情況下，密碼算法包括加密算法(加密時使用的算法)和解密算法(解密時使用的算法)（6）密鑰(Key)：l密鑰是進行加密或解密時包含在算法中的參數(shù)。同樣，密鑰也分為加密密鑰和解密密鑰。3密碼的分類密碼的分類（1）按密碼的歷史發(fā)展階段和應(yīng)用技術(shù)分類 手工密碼、機械密碼、電子機內(nèi)亂密碼和計算機密碼（2）按密碼轉(zhuǎn)換的操作類型區(qū)分分類 替代密碼和移位密碼（3）按明文加密時的處理方法分類 分組密碼和序列密碼（4）按密鑰的類型分類 對稱密鑰密碼和非對稱密鑰

3、密碼4典型密碼介紹典型密碼介紹（1）摩爾斯電碼（2）四方密碼（3）希爾密碼（4）波雷費密碼（5）仿射密碼6.1.2 傳統(tǒng)密碼技術(shù)傳統(tǒng)密碼技術(shù)l傳統(tǒng)密碼技術(shù)一般是指在計算機出現(xiàn)之前所采用的密碼技術(shù)，主要由文字信息構(gòu)成。在計算機出現(xiàn)前，密碼學(xué)是由基于字符的密碼算法所構(gòu)成的。不同的密碼算法主要是由字符之間互相代換或互相之間換位所形成的算法。l傳統(tǒng)加密方法加密的對象是文字信息。文字由字母表中的字母組成，在表中字母是按順序排列的，可賦予它們相應(yīng)的數(shù)字標號，可用數(shù)學(xué)方法進行變換。1替代密碼替代密碼l替代變換要先建立一個替換表，加密時將需要加密的明文依次通過查表，替換為相應(yīng)的字符，明文字符被逐個替換后，生成

4、無任何意義的字符串(密文)，替代密碼的密鑰就是替換表。l根據(jù)密碼算法加密時使用替換表多少的不同，替代密碼又可分為單表替代密碼和多表替代密碼。2移位密碼移位密碼l移位密碼是指將明文的字母保持不變，但字母順序被打亂后形成的密碼。l移位密碼的特點是只對明文字母重新排序，改變字母的位置，而不隱藏它們，是一種打亂原文順序的替代法。3一次一密鑰密碼一次一密鑰密碼l一次一密鑰密碼是指一個包括多個隨機密碼的密碼字母集，這些密碼就好像一個記事本，其中每頁上記錄一條密碼。其使用方法類似日歷的使用過程，每使用一個密碼加密一條信息后，就將該頁撕掉作廢，下次加密時再使用下一頁的密碼。因此，一次一密鑰密碼是一種理想的加密

5、方案6 62 2 數(shù)據(jù)加密體制數(shù)據(jù)加密體制6.2.1 對稱密鑰密碼體制及算法對稱密鑰密碼體制及算法1對稱密鑰密碼算法對稱密鑰密碼算法l對稱密鑰密碼算法也叫做傳統(tǒng)密鑰密碼算法。在該算法中，加密密鑰和解密密鑰相同或相近，由其中一個很容易得出另一個，加密密鑰和解密密鑰都是保密的。l在大多數(shù)對稱密鑰密碼算法中，加密密鑰和解密密鑰是相同的，對稱密鑰密碼的算法是公開的，其安全性完全依賴于密鑰的安全。l對稱密鑰密碼體制的優(yōu)點：算法簡單加密/解密速度快便于用硬件實現(xiàn)l對稱密鑰密碼體制的缺點：密鑰位數(shù)少保密強度不夠密鑰管理(密鑰的生成、保存和分發(fā)等)復(fù)雜l在計算機網(wǎng)絡(luò)中廣泛使用的對稱加密算法 DES TDEA

6、IDEA AES等2DES對稱加密算法對稱加密算法lDES（Data Encryption Standard，數(shù)據(jù)加密標準）算法最初是由IBM公司所研制，于1977年由美國國家標準局頒布作為非機密數(shù)據(jù)的數(shù)據(jù)加密標準，并在1981年由國際標準化組織作為國際標準頒布。lDES算法采用的是以56位密鑰對64位數(shù)據(jù)進行加密的算法。（1）DES算法原理l在DES算法中有Data、Key、Mode三個參數(shù)。其中Data代表需要加密或解密的數(shù)據(jù)，由8字節(jié)64位組成；Key代表加密或解密的密鑰，也由8字節(jié)64位組成；Mode代表加密或解密的狀態(tài)。l在DES算法中加密和解密的原理是一樣的，只是因為Mode的狀態(tài)

7、不同，適用密鑰的順序不同而已。（2）DES算法的加密過程 DES算法的加密過程如圖6.2所示。輸入輸入64位明文位明文64位密鑰組位密鑰組輸出輸出64位密文位密文圖6.2 DES算法加密流程初始置換初始置換(IP)逆初始置換逆初始置換(IP-1)乘積變換乘積變換子密鑰生成子密鑰生成l初始置換（Initial Permutation，IP）是對輸入的64位數(shù)據(jù)按照規(guī)定的矩陣改變數(shù)據(jù)位的排列順序的換位變換，此過程與密鑰無關(guān)。l子密鑰生成是由64位外部輸入密鑰通過置換和移位操作生成加密和解密所需的16組（每組56位）子密鑰的過程。l乘積變換過程非常復(fù)雜，是加密過程的關(guān)鍵。該過程通過16輪重復(fù)的替代、

8、移位、異或和置換操作打亂原輸入數(shù)據(jù)。l逆初始置換（IP-1）與初始置換過程相同，只是置換矩陣是初始置換的逆矩陣。 初始置換(IP)l將64位明文按照初始置換表(如表6.1)的規(guī)則進行置換。其置換過程為：將輸入明文的第58位置換到第1位，第50位置換到第2位，第12位置換到第3位，依此類推，最后第7位置換到第64位。58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 462 54 46 38 30 22 14 6 64 56 48 40 32 24 16 857 49 41 33 25 17 9 1 59 51 43 35 27 19 11 361 53 45

9、 37 29 21 13 5 63 55 47 39 31 23 15 7表6.1初始置換(IP)表 子密鑰生成l輸入的密鑰K是64位數(shù)據(jù)，但其中第8、16、24、32、40、48、56、64位用于奇偶校驗，實際使用的密鑰位只有56位。子密鑰Ki的生成流程如圖6.3所示。圖6.3 子密鑰Ki的產(chǎn)生l第1步：PC1變換。將56位密鑰按置換選擇1（PC-1）的規(guī)律(見表6.2)進行置換，變換后分為左右兩路（C0、D0）各28位。57 49 41 33 25 17 9 1 58 50 42 34 26 1810 2 59 51 43 35 27 19 11 3 60 52 44 3663 55 47

10、 39 31 23 15 7 62 54 46 38 30 2214 6 61 53 45 37 29 21 13 5 28 20 12 4表6.2 PC1變換表l第2步：數(shù)據(jù)左移。將兩個28位的C0和D0按表6.3的規(guī)則進行循環(huán)左移。表6.3中第1行表示迭代輪次，第2行表示左移的位數(shù)。左移的規(guī)律是將C0和D0所有的位按表中規(guī)定的位數(shù)循環(huán)左移。輪12345678910111213141516位數(shù)1122222212222221表6.3 循環(huán)移位表l第3步：PC2變換和子密鑰生成。C0和D0左移1位后得到C1和D1 ，再將C1和D1數(shù)據(jù)組合后(56位)按照PC2變換的要求變換得到48位的子密鑰K

11、1，在進行第1輪迭代時使用K1；同理，將C1和D1左移1位得到C2和D2，再將C2和D2數(shù)據(jù)組合后按照PC2變換的要求變換得到48位的子密鑰K2；依此類推，就可以得到K3、K4.K16。PC2變換如表6.4所示。PC2變換是將輸入的56位數(shù)據(jù)變換為48位輸出，該變換是一種壓縮變換。l根據(jù)不同輪數(shù)分別進行左移和壓縮變換，分別得到16個48位的子密鑰K1, K2, K16。14 17 11 24 1 5 3 28 15 6 21 1023 19 12 4 26 8 16 7 27 20 13 241 52 31 37 47 55 30 40 51 45 33 4844 49 39 56 34 53

12、 46 42 50 36 29 32表6.4 PC2變換表 乘積變換l初始置換后的數(shù)據(jù)分為各32位的兩部分，左部分為L0，右部分為R0，這樣，L0 = D58D50D12.D8，R0 = D57D49D41D7。乘積變換過程就是將L0和R0按照乘積變換運算公式進行迭代運算，最后得出L16和R16。如圖6.4所示。KiLi-1Ri-1RiP變換變換LiE變換變換S盒變換盒變換 圖6.4 乘積變換l第1步：E變換。E變換是一個擴展變換，其過程是將32位的數(shù)據(jù)Ri-1變換成48位，變換規(guī)則如表6.5所示。32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 1

13、4 15 16 1716 17 18 19 20 21 20 21 22 23 24 2524 25 26 27 28 29 28 29 30 31 32 1表6.5 E變換表l第2步：異或變換。將E變換輸出的48位數(shù)據(jù)與48位的子密鑰Ki進行異或運算，得到48位的S盒數(shù)據(jù)。l第3步：S盒變換。將48位的S盒數(shù)據(jù)均分為8部分，每部分為6位，用8個S盒S1S8表示。每個S盒的輸入為6位，變換后輸出為4位，即經(jīng)過8個S盒S1S8變換后輸出為32位，如圖6.5所示。圖6.5 S盒變換lS盒的變換規(guī)則：以S1盒為例，將6位輸入數(shù)據(jù)(a1a2a3a4a5a6)的中間4位(a2a3a4a5)對應(yīng)的數(shù)值作為

14、列，兩端的2位(a1a6) 對應(yīng)的數(shù)值作為行，找到如表6.6所示的S1轉(zhuǎn)換表中相應(yīng)的位，得到的數(shù)值再轉(zhuǎn)換成二進制形式的4位數(shù)據(jù)，此即為S1盒的輸出。其他S的轉(zhuǎn)換表參見教材。表6.6 S1轉(zhuǎn)換表l第4步：P變換。P變換的過程是將S盒輸出的32位數(shù)據(jù)進行位置變換得到一個新的32數(shù)據(jù)組，因此P變換為線性變換，其變換規(guī)則如表6.14所示。l第5步：異或變換。P變換輸出的32位數(shù)據(jù)與32位的Li-1異或后輸出32位數(shù)據(jù)，此數(shù)據(jù)就是Ri。當(dāng)i15時，Ri與Li各32位數(shù)據(jù)將被用來進行下一輪迭代變換。 逆初始置換(IP-1)l將第16輪迭代變換的輸出R16與L16組合在一起構(gòu)成64位數(shù)據(jù)組，作為逆初始置換(

15、IP-1 -1)的輸入。逆初始置換的變換規(guī)則如表6.15所示，置換完成后的數(shù)據(jù)即為64位密文。40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25表6.15 逆初始置換表（3 3）DESDES算法的解密過程算法的解密過程lDES的解密算法與加密算法相同，解密密鑰也與加密密鑰相同，區(qū)別僅在

16、于進行16輪迭代運算時使用的子密鑰順序與加密時是相反的，即第1輪用子密鑰K16、第2輪用K15、，最后一輪用子密鑰K1。（4 4）DESDES算法的安全性算法的安全性lDES是世界上使用最為廣泛和流行的一種分組密碼算法，被公認為世界上第一個實用的密碼算法標準。lDES的缺點是密鑰位數(shù)太短(56位)，而且算法是對稱的，使得這些密鑰中還存在一些弱密鑰和半弱密鑰，因此容易被采用窮盡密鑰方法解密l由于DES算法完全公開，其安全性完全依賴于對密鑰的保護，必須有可靠的信道來分發(fā)密鑰。3 3其他對稱加密算法其他對稱加密算法（1）TDEA算法lTDEA（Triple Data Encryption Algor

17、ithm，三重DES）算法，其本質(zhì)和DES算法是一致的。它是為了解決DES算法密鑰過短的而出現(xiàn)的。在TDEA算法中，使用三個密鑰，執(zhí)行三次DES算法，該算法的總密鑰長度為168位（56位的三倍）。（2 2）AESAES算法算法lAES（Advanced Encryption Standard，高級加密標準）算法是一個非保密的、全球免費使用的分組加密算法，并被確定為替代DES的數(shù)據(jù)加密標準。lRijndael算法具有加密強度高、可抵御所有已知攻擊、運算速度快和靈活性好等特點，成為AES最合適的選擇。（3 3）IDEAIDEA算法算法lIDEA（International Data Encrypt

18、ion Algorithm，國際數(shù)據(jù)加密算法）是瑞士著名學(xué)者提出的。該算法是在DES算法的基礎(chǔ)上發(fā)展起來的，類似于三重DES，也是一種分組密碼算法，分組長度為64位，但密鑰長度為128位。該算法就是用128位密鑰對64位二進制碼數(shù)據(jù)進行加密的，同樣用128位密鑰對64位密文進行解密變換。4 4對稱密鑰加密算法比較對稱密鑰加密算法比較算法名稱密鑰長度(位)分組長度(位) 循環(huán)運算次數(shù)DES566416TDEA112、1686448AES128、192、25612810、12、14IDEA1286486.2.2 公開密鑰密碼體制及算法公開密鑰密碼體制及算法1 1公開密鑰密碼算法公開密鑰密碼算法l公

19、開密鑰密碼算法也叫做非對稱密鑰密碼算法。在該算法中，信息發(fā)送方和接收方所使用的密鑰是不同的，即加密密鑰與解密密鑰不同，且由其中的一個很難導(dǎo)出另一個。l常用的公鑰加密算法有：RSA算法、ElGamal算法、背包算法、拉賓（Rabin）算法和散列函數(shù)算法（MD4、MD5）等。2 2RSARSA算法算法lRSA算法是典型的公開密鑰密碼算法，利用公開密鑰密碼算法進行加密和數(shù)字簽名的大多數(shù)場合都使用RSA算法。（1 1）RSARSA算法的原理算法的原理lRSA算法是建立在素數(shù)理論(Euler函數(shù)和歐幾里德定理)基礎(chǔ)上的算法。其具體的算法過程參見教材。（2 2） RSARSA算法的安全性算法的安全性lRS

20、A算法的安全性建立在難于對大數(shù)進行質(zhì)因數(shù)分解的基礎(chǔ)上，因此大數(shù)n是否能夠被分解是RSA算法安全的關(guān)鍵。l由于用RSA算法進行的都是大數(shù)運算，使得RSA算法無論是用軟件實現(xiàn)還是硬件實現(xiàn)，其速度要比DES慢得多。因此，RSA算法一般只用于加密少量數(shù)據(jù)。6.3 6.3 數(shù)字簽名與認證數(shù)字簽名與認證6.3.1 數(shù)字簽名概述數(shù)字簽名概述1 1數(shù)字簽名數(shù)字簽名l數(shù)字簽名（digital signature）就是附加在數(shù)據(jù)單元上的一些特殊數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者來確認數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性，防止被人偽造。2 2公鑰密碼技術(shù)用于數(shù)字簽名公鑰密碼技術(shù)用于數(shù)

21、字簽名l目前數(shù)字簽名主要是采用基于公鑰密碼體制的算法，這是公開密鑰加密技術(shù)的另一種重要應(yīng)用。3 3數(shù)字簽名算法數(shù)字簽名算法l目前，廣泛應(yīng)用的數(shù)字簽名算法主要有RSA簽名、DSS(數(shù)字簽名系統(tǒng))簽名和Hash簽名。這三種算法可單獨使用，也可混合在一起使用。4 4PKIPKIlPKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。lPKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。6.3.2 CA認證與數(shù)字證書認證與數(shù)字證書1 1CACA認證認證lCA（Certificate Authority，認

22、證機構(gòu)）是PKI的主要組成部分和核心執(zhí)行機構(gòu)，一般簡稱為CA，業(yè)界通常稱為認證中心。CA是一種具有權(quán)威性、可信任性和公正性的第三方機構(gòu)。lCA的組成主要有證書簽發(fā)服務(wù)器、密鑰管理中心和目錄服務(wù)器。2 2數(shù)字證書數(shù)字證書lCA認證中心所發(fā)放的數(shù)字證書就是網(wǎng)絡(luò)中標志通信各方身份信息的電子文件，它提供了一種在Internet上驗證用戶身份的方式。l數(shù)字證書簡稱證書，是PKI的核心元素，是數(shù)字簽名的技術(shù)基礎(chǔ)。數(shù)字證書可證明某一實體的身份及其公鑰的合法性，以及該實體與公鑰二者之間的匹配關(guān)系。6.3.3 數(shù)字證書應(yīng)用實例數(shù)字證書應(yīng)用實例1 1安裝證書服務(wù)安裝證書服務(wù)l第1步：在Windows組件中安裝證書

23、服務(wù)。點擊“程序”“設(shè)置”“控制面板”“添加/刪除Windows 組件”，勾選“證書服務(wù)”復(fù)選框，點擊“下一步”按鈕，如圖6.8所示。l第2步：證書通過Web注冊。在“證書服務(wù)”對話框中，勾選“證書服務(wù)CA”和“證書服務(wù)web注冊支持”，如圖6.9所示，點擊“確定”按鈕，即可安裝證書服務(wù)。圖6.9 證書服務(wù)2 2創(chuàng)建企業(yè)根創(chuàng)建企業(yè)根CACAlCA的類型包括企業(yè)根CA、企業(yè)從屬CA和獨立根CA。l下面以企業(yè)根CA為例，介紹Microsoft 證書服務(wù)的安裝過程。l第1步：在“CA類型”頁面，選擇“企業(yè)根CA”，并勾選“用自定義設(shè)置生成密鑰對和CA證書(U)”項，如圖6.11所示，點擊“下一步”按

24、鈕，出現(xiàn)“公鑰/私鑰對”頁面。圖6.11 “CA類型”選擇l第2步：在“CSP(C)”列表框里選擇對應(yīng)的加密算法提供方，在“散列算法(H)”列表框里選擇欲使用的加密算法，如圖6.12所示，點擊“下一步”按鈕。圖6.12 公鑰/私鑰對設(shè)置l第3步：在“CA識別信息”對話框中，可以修改對應(yīng)的內(nèi)容。如圖6.13所示，點擊“下一步”按鈕。圖6.13 CA識別信息設(shè)置l第4步：在“證書數(shù)據(jù)庫設(shè)置”對話框中，分別選擇證書數(shù)據(jù)庫、數(shù)據(jù)庫日志和配置信息的保存位置，建議不要保存在操作系統(tǒng)的安裝目錄下。如圖6.14所示，點擊“下一步”按鈕。圖6.14 證書數(shù)據(jù)庫設(shè)置l第5步：系統(tǒng)提示“要安裝完成，證書服務(wù)必須暫時

25、停止Internet信息服務(wù)。l第6步：在隨后出現(xiàn)的頁面中，點擊“完成”按鈕，即完成“Microsoft 證書服務(wù)”的安裝。3 3為為WebWeb服務(wù)器申請服務(wù)器申請CACA認證認證（1）證書申請過程l第1步：打開“IIS 管理器”，右擊“默認網(wǎng)站”選擇“屬性”，在“目錄安全性”選項卡下單擊“安全通信”的“服務(wù)器證書”按鈕，開始證書的申請。如圖6.15所示，點擊“下一步”。圖6.15 Web服務(wù)器證書向?qū)第2步：在出現(xiàn)的“服務(wù)器證書”頁面，選擇網(wǎng)站分配證書的方法，如選擇“新建證書”，如圖6.16所示，點擊“下一步”按鈕。圖6.16 網(wǎng)站分配證書方法選擇l第3步：在“延遲或立即請求”頁面，選擇

26、“現(xiàn)在準備證書請求，但稍后發(fā)送(P)”，如圖6.17所示，點擊“下一步”按鈕。圖6.17 延遲或立即請求選擇l第4步：在“名稱和安全性設(shè)置”頁面，輸入新證書名稱，選擇密鑰的位長，如圖6.18所示，點擊“下一步”按鈕。圖6.18 名稱和安全性設(shè)置l第5步：在“單位信息”頁面，輸入單位和部門信息，如圖6.19所示，點擊“下一步”按鈕。圖6.19 單位信息設(shè)置l第6步：在出現(xiàn)的頁面中，按要求輸入站點公用名稱，如圖6.20所示，點擊“下一步”按鈕。圖6.20 站點公用名稱設(shè)置l第7步：在出現(xiàn)的頁面中輸入站點地理信息，如國家(地區(qū))、省/自治區(qū)和市縣，如圖6.21所示，點擊“下一步”。圖6.21 站點地

27、理信息設(shè)置l第8步：在出現(xiàn)的頁面中輸入證書請求的文件名，如圖6.22所示，點擊“下一步”按鈕。圖6.22 證書請求文件名設(shè)置l第9步：在出現(xiàn)的頁面中輸出請求文件摘要，如圖6.23所示，點擊“下一步”按鈕后，即完成Web服務(wù)器證書的申請。l申請過程中生成了文本文件certreq.txt，如圖6.24所示，此文件將提交給CA。圖6.23 請求文件摘要圖6.24 申請過程中生成的文本文件（2 2）提交證書申請?zhí)峤蛔C書申請l如果在生成服務(wù)器證書的申請過程中選擇了“立即將證書請求發(fā)送到聯(lián)機證書頒發(fā)機構(gòu)”，在生成證書的申請后，即可提交證書申請。操作步驟如下：l第1步：用記事本打開證書請求文件，如c:cer

28、treq.txt，復(fù)制所有內(nèi)容。l第2步：在IE地址欄打開http:/服務(wù)器IP地址/certsrv/certrqxt.asp頁面，如圖6.25所示，點擊“高級證書申請”。圖6.25 提交證書申請l第3步：在如圖6.26所示“高級證書申請”頁面，點擊“使用base64編碼的CMC或PKCS #10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請”。打開“提交一個證書申請或續(xù)訂申請”頁面，如圖6.27所示。圖6.26 提交高級證書申請圖6.27 提交一個證書申請或續(xù)訂申請l第4步：將剛才復(fù)制的“證書請求的文件”(c:certreq.txt)內(nèi)容粘貼到文本框內(nèi)，單擊“提交

29、”按鈕。（3 3）頒發(fā)證書頒發(fā)證書l打開“管理工具”中的“證書頒發(fā)機構(gòu)”，在test文件夾下點擊“掛起的申請”，右擊右側(cè)的任務(wù)，選擇“所有任務(wù)”“頒發(fā)”，如圖6.28所示。圖6.28 頒發(fā)掛起的申請（4 4）下載證書下載證書l第1步：在Web服務(wù)器上打開Microsoft 證書服務(wù)，選擇“查看掛起的證書申請的狀態(tài)”， 如圖6.29所示。圖6.29 Microsoft 證書服務(wù)l第2步：在“查看掛起的證書申請的狀態(tài)”頁面單擊“保存的申請證書”， 如圖6.30所示。 圖6.30 查看掛起的證書申請的狀態(tài)l第3步：此時顯示“證書已頒發(fā)”，點選“Base 64 編碼”，并單擊“下載證書”，如圖6.31

30、所示，完成證書的下載。圖6.31 下載證書（5 5）在在WebWeb服務(wù)器上安裝證書服務(wù)器上安裝證書l第1步：打開“IIS 管理器”，右擊“默認網(wǎng)站”，選擇“屬性”，打開“目錄安全性”選項卡，單擊“安全通信”中“服務(wù)器證書”按鈕，打開Web服務(wù)器證書安裝向?qū)?，單擊“下一步”按鈕。l第2步：在圖6.32所示“掛起的證書請求”頁面點選“處理掛起的請求并安裝證書”單擊“下一步”按鈕。圖6.32 掛起的證書請求l第3步：在圖6.33窗口中輸入包含證書頒發(fā)機構(gòu)響應(yīng)的文件的路徑和名稱，單擊“下一步”按鈕。圖6.33 處理掛起的證書請求l第4步：在圖6.34中為網(wǎng)站指定SSL端口，默認為443，單擊“下一步

31、”按鈕。圖6.34 SSL通訊端口設(shè)置l第5步：出現(xiàn)如圖6.35所示生成的證書摘要，在此可以查看證書的相關(guān)信息，單擊“下一步”，按鈕，即完成Web服務(wù)器證書向?qū)АD6.35 證書摘要（6 6）在在WebWeb服務(wù)器上查看證書服務(wù)器上查看證書l第1步：完成證書的安裝后，右擊“默認網(wǎng)站”選擇屬性，打開“目錄安全性”選項卡，如圖6.36所示。圖6.36 目錄安全性設(shè)置l第2步：在“目錄安全性”選項卡下單擊“安全通信”的“查看證書”按鈕，出現(xiàn)Web服務(wù)器證書信息，如圖6.37所示。圖6.37 WEB服務(wù)器證書信息（7 7）啟用安全通道啟用安全通道(SSL)(SSL)l在圖6.36的“目錄安全性”選項卡

32、下單擊“安全通信”的“編輯”按鈕，出現(xiàn)“安全通信”對話框，如圖6.38所示。在安全通信對話框中勾選“要求安全通道(SSL)”復(fù)選框。圖6.38 在WEB服務(wù)器上設(shè)置SSL4 4用數(shù)字證書對文檔簽名用數(shù)字證書對文檔簽名l第1步：打開要簽名的Word 文檔（Office 2003/XP），單擊菜單“工具”“選項”，點開“安全性”標簽，如圖6.39所示。圖6.39 文檔的安全性選項l第2步：單擊中部左側(cè)的“數(shù)字簽名”按鈕，隨后會彈出一個如圖6.40所示的“數(shù)字簽名”窗口。圖6.40 添加數(shù)字簽名證書l第3步：單擊“添加”按鈕，從你的數(shù)字證書中選擇一個(如“l(fā)iu yuansheng”)進行添加，如圖

33、6.41所示。圖6.41 選擇數(shù)字簽名證書l第4步：單擊“確定”按鈕返回，得到添加的數(shù)字證書，如圖6.42所示。 圖6.42 添加數(shù)字證書l第5步：當(dāng)你再次打開簽名后的該文件時，就會看到Word頁面最上方顯示的文件名后面的括號中有“已簽名，未驗證”字樣。簽名后的文檔不能再修改，若要保存修改的內(nèi)容，則會取消其簽名，如圖6.43所示。圖6.43 文檔簽名后的提示信息5 5網(wǎng)上銀行的數(shù)字證書應(yīng)用網(wǎng)上銀行的數(shù)字證書應(yīng)用l銀行數(shù)字證書主要用于網(wǎng)上交易的網(wǎng)上銀行結(jié)算。其主要功能是交易方身份鑒別、保證信息的完整性和信息內(nèi)容的保密性。l只要用戶申請并使用了銀行提供的數(shù)字證書，即可保證網(wǎng)上銀行業(yè)務(wù)的安全。即使黑

34、客竊取了用戶的賬戶密碼，沒有用戶的數(shù)字證書，也無法進入用戶的網(wǎng)上銀行賬戶。經(jīng)過數(shù)字簽名的網(wǎng)銀交易數(shù)據(jù)是不可修改的，且具有唯一性和不可否認性，從而可以防止他人冒用證書持有者名義進行網(wǎng)上交易。6 64 4 網(wǎng)絡(luò)通信加密網(wǎng)絡(luò)通信加密6.4.1 保密通信保密通信1 1TCP/IPTCP/IP協(xié)議的脆弱性協(xié)議的脆弱性（1 1） SMTPSMTP服務(wù)漏洞：服務(wù)漏洞：電子郵件附著的文件中可能帶有病毒，郵箱經(jīng)常被塞滿，電子郵件炸彈，郵件溢出等。（2 2）TFTPTFTP服務(wù)漏洞：服務(wù)漏洞：TFTP用于LAN，它沒有任何安全認證，且安全性極差，常被人用來竊取密碼文件。（3 3）FTPFTP服務(wù)漏洞：服務(wù)漏洞：有

35、些匿名FTP站點為用戶提供一些可寫的區(qū)域，用戶可上傳一些信息到站點上，這就會浪費用戶的磁盤空間、網(wǎng)絡(luò)帶寬等資源，還可能造成“拒絕服務(wù)”攻擊。（4 4） FingerFinger服務(wù)漏洞服務(wù)漏洞：Finger服務(wù)可查詢用戶信息，包括網(wǎng)上成員姓名、用戶名、最近的登錄時間、地點和當(dāng)前登錄的所有用戶名等，這也為入侵者提供了必要的信息和方便。2 2線路安全線路安全l通過在通信線路上搭線可以截獲(竊聽)傳輸信息，還可以使用相應(yīng)設(shè)施接收線路上輻射的信息，這些就是通信中的線路安全問題。3 3通信加密通信加密l網(wǎng)絡(luò)中的數(shù)據(jù)加密可分為兩個途徑，一種是通過硬件實現(xiàn)數(shù)據(jù)加密，一種是通過軟件實現(xiàn)數(shù)據(jù)加密。6.4.2 網(wǎng)

36、絡(luò)加密方式網(wǎng)絡(luò)加密方式1 1鏈路加密鏈路加密l鏈路加密（Link Encryption）是傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層上進行加密。l鏈路加密是為保護兩相鄰節(jié)點之間鏈路上傳輸?shù)臄?shù)據(jù)而設(shè)立的。只要把兩個密碼設(shè)備安裝在兩個節(jié)點間的線路上，并裝有同樣的密鑰即可l被加密的鏈路可以是微波、衛(wèi)星和有線介質(zhì)。2 2節(jié)點加密節(jié)點加密l節(jié)點加密(Node Encryption)是為解決數(shù)據(jù)在節(jié)點中是明文的缺點而采取的加密方式。l節(jié)點加密是在中間節(jié)點裝有加密和解密裝置，由該裝置完成一個密鑰向另一個密鑰的變換。3 3端端- -端加密端加密l端-端加密（End-to-End Encryption）是傳輸數(shù)據(jù)在應(yīng)用層上完成的加

37、密方式。l端-端加密可為兩個用戶之間傳輸?shù)臄?shù)據(jù)提供連續(xù)的安全保護。數(shù)據(jù)在初始節(jié)點上被加密，直到目的節(jié)點時才被解密，在中間節(jié)點和鏈路上數(shù)據(jù)均以密文形式傳輸。4 4通信加密方式的比較通信加密方式的比較（1 1） 鏈路加密的特點鏈路加密的特點l加密方式比較簡單，實現(xiàn)也較容易。l可防止報文流量分析的攻擊。l一條鏈路被攻破，而不影響其它鏈路上的信息l一個中間節(jié)點被攻破時，通過該節(jié)點的所有信息將被泄露。l加密和維護費用大，用戶費用很難合理分配。（2 2）端端- -端加密特點端加密特點l加密在網(wǎng)絡(luò)應(yīng)用層實現(xiàn)，可提高網(wǎng)絡(luò)加密功能的靈活性。l加密可采用軟件實現(xiàn)，使用起來很方便。l加密費用低，加密費用能準確分攤。

38、l不能防止對信息流量分析的攻擊。l整個通信過程中各分支相互關(guān)聯(lián)，任何局部受到破壞都將影響整個通信過程。（3 3）加密方式的選擇加密方式的選擇l在需要保護的鏈路數(shù)少，且要求實時通信、不支持端-端加密遠程調(diào)用等場合，選用鏈路加密方式l在需要保護的鏈路數(shù)較多，或在文件保護、郵件保護、支持端-端加密的遠程調(diào)用等通信場合，宜采用端-端加密方式，既降低成本，又支持高靈活性、高保密性通信。l在多個網(wǎng)絡(luò)互聯(lián)的環(huán)境中，宜采用端-端加密方式l在需要抵御信息流量分析場合，可考慮采用鏈路加密和端-端加密相結(jié)合的方式。對路由信息采用鏈路加密方式，對端到端傳輸?shù)膱笪牟捎枚?端加密方式。6.5 6.5 數(shù)據(jù)加密技術(shù)應(yīng)用實例

39、數(shù)據(jù)加密技術(shù)應(yīng)用實例6.5.1 加密軟件加密軟件PGP及其應(yīng)用及其應(yīng)用1 1PGPPGP介紹介紹lPGP（Pretty Good Privacy，完美隱私）是一個采用公開密鑰加密與對稱密鑰加密相結(jié)合加密體制的、可對郵件和文件加密的軟件。lPGP把公開密鑰體系的密鑰管理方便和對稱密鑰體系的高速度結(jié)合起來。在PGP系統(tǒng)中，主要使用IDEA算法對數(shù)據(jù)進行加密(IDEA速度快、安全性好)；使用RSA算法對IDEA的密鑰進行加密(RSA的密鑰管理方便)。2 2PGPPGP加密軟件的使用加密軟件的使用（1 1）PGPPGP系統(tǒng)的安裝系統(tǒng)的安裝l第1步：從網(wǎng)上下載PGP軟件，下載完成后點擊安裝文件開始安裝。

40、l第2步：在出現(xiàn)的“Welcome” 界面中，點擊“Next”按鈕，出現(xiàn)文檔說明、ReadMe及協(xié)議界面等，跳過后出現(xiàn)如圖6.46所示要求選擇用戶類型頁面。如果用戶是第一次使用PGP，則應(yīng)選擇“No，Im a New User”選項。圖6.46 安裝類型l第3步：點擊“Next”按鈕，出現(xiàn)如圖6.47所示選擇安裝路徑及安裝組件頁面。圖6.47 安裝組件選項l第4步：選擇相應(yīng)的項后點擊“Next”按鈕，PGP軟件安裝完畢，按要求重新啟動系統(tǒng)，系統(tǒng)會自動縮為托盤上的一個小鎖頭圖標。（2 2）創(chuàng)建創(chuàng)建PGPPGP密鑰密鑰l第1步：系統(tǒng)重新啟動后，PGP程序要求輸入相關(guān)注冊信息，輸入后點擊“下一步”按

41、鈕，出現(xiàn)PGP密鑰創(chuàng)建向?qū)?，如圖6.48所示。圖6.48 密鑰創(chuàng)建向?qū)第2步：點擊“下一步”按鈕后出現(xiàn)如圖6.49所示頁面，按要求輸入用戶名及郵箱(該郵箱接收用戶的密鑰)。圖6.49 用戶名及郵箱對話框l第3步：點擊“下一步”按鈕，出現(xiàn)如圖6.50所示對話框，按要求輸入8位以上的字符作為密碼，并再確認輸入一次。 圖6.50 輸入密碼并確認l第4步：點擊“下一步”按鈕，出現(xiàn)如圖6.51所示頁面，PGP程序自動生成PGP密鑰。圖6.51 生成密鑰過程l第5步：點擊“下一步”按鈕，完成密鑰的生成，在隨后出現(xiàn)的頁面中點擊“完成”按鈕，即可見已生成的密鑰，如圖6.52所示。圖6.52 顯示生成密鑰（3

42、 3）加密文件加密文件l第1步：安裝并配置PGP成功后，右擊欲加密的文件，在下拉菜單中選擇新增的“PGP”項，繼而選擇“Encrypt”，如圖6.53所示。圖6.53 加密文件l第2步：在出現(xiàn)的如圖6.54所示頁面中選擇所要使用的加密密鑰，并在圖左下方勾選“Text Output”(表示加密后以文件形式輸出)。圖6.54 選擇加密密鑰l第3步：點擊“OK”按鈕后，系統(tǒng)在當(dāng)前目錄下自動產(chǎn)生一個加密后的新文件，新文件增加了“pgp”擴展名，如圖6.55所示。圖6.55 原文件和生成的加密文件圖標（4 4）加密郵件加密郵件lPGP加密郵件功能在安裝時已和Outlook進行了關(guān)聯(lián)(見圖6.47)，因此

43、如果用Outlook來進行郵件的發(fā)送，就可自動對郵件進行PGP加密和簽名。如圖6.56所示，在新發(fā)送郵件時，點擊工具欄“檢查”項右面的“”即可看到下拉菜單，其中“Encrypt Message(PGP)”表示對郵件進行PGP加密傳送；“Sign Message(PGP)表示對郵件進行簽名。圖6.56 加密郵件及對郵件簽名（5 5）文件的解密和驗證文件的解密和驗證l當(dāng)需要解密一個加密文件時，雙擊該加密文件，會出現(xiàn)要求輸入密鑰的界面，如圖6.57所示。只有在正確輸入圖6.50中選擇的密鑰后，文件才能夠轉(zhuǎn)換成明文。如果文件在加密時還經(jīng)過簽名的操作，那么系統(tǒng)會要求輸入密碼進行驗證(簽名的反過程)，然后

44、再解密文件。圖6.57 輸入密鑰（6）其他操作其他操作l用戶可以通過選擇“開始”“程序”“PGP”“PGPmail”后出現(xiàn)的如圖6.58所示的操作工具對文件或郵件進行加密、簽名、解密、驗證和清除等操作。圖6.58 PGP工具6.5.2 Office 2003/XP文檔的文檔的安全保護安全保護1 1密碼保護密碼保護l在Office中，密碼分為兩種：“打開文件密碼”和“修改文件密碼”。用戶在打開文件時，如果輸入的是“打開文件密碼”，則意味著用戶對此文檔只能讀，不能改；如果輸入的是“修改文件密碼”，則該用戶可以修改此文檔。（1 1）WordWord文檔的加密和解密文檔的加密和解密 Word Word

45、文檔加密文檔加密l第1步：點擊Word的“文件”菜單，選擇“另存為”項。在出現(xiàn)的如圖6.59所示“另存為”頁面中，點擊“工具”菜單，再選擇“安全措施選項”。圖6.59 安全保存文檔l第2步：在出現(xiàn)的圖6.60中，分別在“打開文件時的密碼”和“修改文件時的密碼”處輸入“打開文件密碼”和“修改文件密碼”即可。如果還需要提高密碼等級，則單擊“高級”，再進行配置即可。圖6.60 輸入密碼及修改密碼 Word Word文檔解密文檔解密l當(dāng)用戶想打開已加密的Word文檔時，點擊打開該文檔，會出現(xiàn)要求輸入打開文件所需密碼的界面，如圖6.61所示。當(dāng)用戶輸入了正確的密碼后點擊“確定”按鈕后，Word文檔才能打

46、開。如果用戶對文檔還規(guī)定了修改密碼，那么還會繼續(xù)出現(xiàn)要求用戶輸入修改文件的密碼，如圖6.62所示。如果用戶不知道修改密碼，可以點擊“只讀”按鈕，Word文件仍然可以打開，但此時只能閱讀該文檔而不能進行修改操作。圖6.61 輸入打開文件密碼圖6.62 輸入修改文件密碼（2 2）ExcelExcel文檔的加密和解密文檔的加密和解密 Excel Excel文檔加密文檔加密l第1步：點擊Excel的“文件”菜單，選擇“另存為”項。在出現(xiàn)的“另存為”頁面，點擊“工具”菜單，在下拉項中選擇“常規(guī)選項”，如圖6.63所示。圖6.63 安全保存Excel文件l第2步：在保存選項里分別輸入Excel文件的打開密

47、碼和修改密碼，如圖6.64所示。圖6.64 輸入打開密碼和修改密碼 Excel Excel文檔解密文檔解密l當(dāng)用戶打開已加密的Excel文件時，會出現(xiàn)要求用戶輸入打開文件所需密碼的界面，如圖6.65所示。有用戶輸入正確的密碼后，Excel文件才能打開。如果用戶對文件還規(guī)定了修改密碼，同樣還會繼續(xù)要求用戶輸入修改文件的密碼，如圖6.66所示。如果用戶不知道修改密碼，可以點擊“只讀”按鈕，Excel文件仍然可以打開，但只能閱讀該文件而不能進行修改操作。圖6.65 輸入Excel文件的打開密碼 圖6.66 輸入Excel文件的修改密碼2 2宏安全設(shè)置宏安全設(shè)置l在圖6.60中，單擊“宏安全性”按鈕，

48、出現(xiàn)如圖6.67所示頁面。用戶可根據(jù)自身對高、中和低安全些進行選擇，比如選擇“高”安全性。圖6.67 宏安全性設(shè)置3 3保護保護OfficeOffice文件格式文件格式（1 1）保護保護WordWord文件格式文件格式編輯限制編輯限制l“編輯限制”功能主要是防止非法用戶隨意修改文檔的內(nèi)容。在Word文檔中執(zhí)行“工具”“保護文檔”命令，在文檔右側(cè)展開“保護文檔”窗格。選中“僅允許在文檔中進行此類編輯”，然后在下拉菜單中選擇用戶可以進行的操作(如“批注”)，就可以防止非法用戶隨意修改文檔原來的內(nèi)容，只能添加或修改批注的內(nèi)容，如圖6.68所示。圖6.68 編輯限制 啟動強制保護啟動強制保護l“啟動強

49、制保護”的目的是使上述設(shè)置生效。單擊“是，啟動強制保護”，出現(xiàn)啟動強制保護對話框，按要求輸入文檔保護的密碼。對Word文檔“啟動強制保護”后，工具欄和格式的大部分設(shè)置(工具按鈕)都變?yōu)闇\灰色，不能被操作，這就說明設(shè)置的保護已經(jīng)生效。（2 2）保護保護ExcelExcel文件格式文件格式 保護保護ExcelExcel的單元格的單元格l默認情況下，Excel單元格是處于鎖定狀態(tài)的。如果要查看單元格的保護屬性，點擊“格式”菜單“單元格”，選擇“保護”選項卡，勾選“鎖定”項后“確定”，如圖6.69所示。 保護保護ExcelExcel的工作表的工作表l點擊“工具”菜單“保護”“保護工作表”，出現(xiàn)如圖6.

50、70所示界面。在“取消工作表保護時使用的密碼”框中輸入保護密碼，點擊“確定”按鈕。圖6.70 設(shè)置保護工作表 打開具有格式保護的打開具有格式保護的ExcelExcel工作表工作表l當(dāng)用戶在具有保護格式的Excel工作表中操作時，會出現(xiàn)如圖6.71所示的界面。這時只能按照圖中所示點擊“工具”菜單“保護”“撤銷工作表保護”才能操作工作表。在保護工作表格式時如果有密碼保護，那么還需要輸入保護工作表格式的密碼。圖6.71 打開具有格式保護的單元表4 4文檔的自動保存與備份文檔的自動保存與備份（1 1）WordWord文件的自動保存與備文件的自動保存與備份份 WordWord文件的自動保存文件的自動保存

51、l點擊Word的“工具”菜單，選擇“選項”，點擊“保存”選項卡，如圖6.72所示。在圖中勾選“自動保存時間間隔”并在其后輸入或選擇自動保存的時間，圖中所設(shè)為10分鐘，即每隔10分鐘系統(tǒng)自動保存一次Word文檔。 Word Word文件的備份文件的備份l在圖6.72中勾選“保留備份”，并“確定”。這樣，當(dāng)Word文件保存后，系統(tǒng)會保存一份原文件的備份文件(擴展名為.wbk)，如圖6.73所示。圖6.73 原Word文件與備份Word文件（2 2）ExcelExcel文件的自動保存與備份文件的自動保存與備份 Excel Excel文件的自動保存文件的自動保存l打開Excel的“工具”菜單，選擇“選項”，選擇“保存”選項卡。在圖6.74中勾選“保存自動恢復(fù)信息”項，并在其后選定時間間