絡(luò)安全主題班會課件 一六

安全現(xiàn)狀及關(guān)鍵技術(shù)簡介計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)人:XXXX時(shí)間:二二X.X一網(wǎng)絡(luò)安全事件二網(wǎng)絡(luò)攻擊類型與解決三保障網(wǎng)絡(luò)安全關(guān)鍵技術(shù)CONTENT目錄網(wǎng)絡(luò)安全事件wangluoanquanshijian一網(wǎng)絡(luò)安全事件有關(guān)報(bào)道

據(jù)聯(lián)邦調(diào)查局統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全造成損失高達(dá)七五億美元.

據(jù)美國金融時(shí)報(bào)報(bào)道,世界上平均每二秒就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡(luò)計(jì)算機(jī)安全事件,三分之一防火墻被突破.

美國聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆?塞特爾稱:給我精選一名“黑客”,組成個(gè)小組,九天內(nèi),我將使美國趴下.

超過五%攻擊來自內(nèi)部,其次是黑客.案例一:某電子商務(wù)網(wǎng)站被攻擊主服務(wù)器遭到黑客攻擊后癱瘓?jiān)趩⒂脗浞莘?wù)器后,數(shù)據(jù)大部分被刪除有CheckPoint防火墻,但防火墻行同虛設(shè)主機(jī)上沒有作過多配置,存在大量服務(wù)安裝了pcAnywhere遠(yuǎn)程控制軟件

現(xiàn)象案例一教訓(xùn)在遭到黑客攻擊后應(yīng)采取措施關(guān)鍵數(shù)據(jù)備份主機(jī)日志檢查與備份主機(jī)服務(wù)端口關(guān)閉主機(jī)可疑進(jìn)程檢查主機(jī)帳號修改防火墻策略修改啟用防火墻日志詳細(xì)記錄避免使用危險(xiǎn)進(jìn)程利用DiskRecovery技術(shù)對硬盤數(shù)據(jù)進(jìn)行恢復(fù)案例二:中國電信信息港被攻擊遭到黑客DDOS攻擊服務(wù)器被癱瘓,無法提供正常服務(wù)來源地址有三多個(gè),多數(shù)來自與國內(nèi)有一部分攻擊主機(jī)是電信內(nèi)部IP地址

案例加強(qiáng)對骨干網(wǎng)設(shè)備監(jiān)控減少骨干網(wǎng)上主機(jī)存在漏洞在受到攻擊時(shí),迅速確定來源地址,在路由器和防火墻上作一些屏蔽實(shí)現(xiàn)IDS和防火墻聯(lián)動

教訓(xùn)二網(wǎng)絡(luò)攻擊類型與解決wangluogongjileixingyujiejue案例一:某電子商務(wù)網(wǎng)站被攻擊一、信息收集

入侵者攻擊第一步就是盡一切可能對攻擊目標(biāo)進(jìn)行信息收集以獲取充足資料.采取方法包括:使用whois工具獲取網(wǎng)絡(luò)注冊信息；使用nslookup或dig工具搜索DNS表以確定機(jī)器名稱；確定了攻擊目標(biāo)基本屬性（站點(diǎn)地址、主機(jī)名稱）,入侵者將對它們進(jìn)行深入剖析.使用ping工具探尋“活”著機(jī)器；對目標(biāo)機(jī)器執(zhí)行TCP掃描以發(fā)現(xiàn)是否有可用服務(wù).黑客入侵步驟二、實(shí)施攻擊

列舉兩種攻擊方法:（一）通過發(fā)送大量數(shù)據(jù)以確定是否存在緩沖區(qū)溢出漏洞.所謂緩沖區(qū)溢出:指入侵者在程序有關(guān)輸入項(xiàng)目中了輸入了超過規(guī)定長度字符串,超過部分通常就是入侵者想要執(zhí)行攻擊代碼,而程序編寫者又沒有進(jìn)行輸入長度檢查,最終導(dǎo)致多出攻擊代碼占據(jù)了輸入緩沖區(qū)后內(nèi)存而執(zhí)行.（二）嘗試使用簡單口令破解登錄障礙.三、安裝后門,清除日志對于入侵者而言,一旦成功地入侵了網(wǎng)絡(luò)中一臺機(jī)器,入侵者現(xiàn)在要做就是隱藏入侵痕跡并制造日后再攻后門,這就需要對日志文件或其他系統(tǒng)文件進(jìn)行改造,或者安裝上木馬程序、或者替換系統(tǒng)文件為后門程序.SQLInjection攻擊原理漏洞分析─Script描述語言ASP程序語言為一種Script描述語言.Script描述語言特點(diǎn):

在程序執(zhí)行以前,所有原先是變數(shù)地方,都會被替換成當(dāng)時(shí)輸入值.select*fromAccountswhereId=‘輸入密碼’

andPassword=‘輸入密碼’因此若輸入帳號為「a’or‘’=‘’」,輸入密碼為「a’or‘’=‘’」,則原先SQL指令就被改成了select*fromAccountswhereId=‘a(chǎn)’or‘’=‘’andPassword=‘a(chǎn)’or‘’=‘’SQLInjection攻擊原理SQLInjection攻擊原理服務(wù)器端程序select*fromAccountswhereId=‘Id’andPassword=‘Password’惡意使用者輸入范例一:Login:'or''=‘Password:'or''=‘原SQL指令變成

select*fromAccountswhereId=''or''=''andPassword=''or''=''Internet攻擊類型一一、拒絕服務(wù)攻擊PING風(fēng)暴（PINGFlooding）PING命令是用來在網(wǎng)絡(luò)中確認(rèn)特定主機(jī)是否可達(dá),但它也被用作攻擊主機(jī)手段.二同步包風(fēng)暴（SYNFlooding）,同步風(fēng)暴是應(yīng)用最為廣泛一種DOS攻擊方式.三電子郵件炸彈（E-mailBomb）.電子郵件炸彈目是通過不斷地向目標(biāo)E-MAIL地址發(fā)送垃圾郵件,占滿收信者郵箱,使其無法正常使用.

四Land攻擊,Land攻擊原理是:向目標(biāo)主機(jī)某個(gè)開放端口發(fā)送一個(gè)TCP包,并偽造TCP/IP地址,使得源IP地址等于目標(biāo)IP地址,源端口等于目標(biāo)端口,這樣,就可以造成包括WINDOWS二在內(nèi)很多操作平臺上主機(jī)死機(jī).Internet攻擊類型二、后門

“后門”一般隱藏在操作系統(tǒng)或軟件中,不為使用者知曉為漏洞,而它可使某些人繞過系統(tǒng)安全機(jī)制獲取訪問權(quán)限.黑客可利用一些“掃描機(jī)（scanners）”小程序,專門尋找上網(wǎng)用戶系統(tǒng)漏洞,例如NetBIOS及Windows“文件及打印共享”功能所打開系統(tǒng)后門.一旦掃描程序在網(wǎng)上發(fā)現(xiàn)了系統(tǒng)存在著漏洞,那些惡意攻擊者就會設(shè)法通過找到“后門”進(jìn)入你計(jì)算機(jī),并獲取你信息.所有這些非法入侵行為,你可能毫無查覺.Internet攻擊類型三、遠(yuǎn)程緩沖溢出攻擊緩沖區(qū)溢出漏洞是一種利用了C程序中數(shù)組邊界條件、函數(shù)指針等設(shè)計(jì)不當(dāng)而造成地址空間錯(cuò)誤來實(shí)現(xiàn).大多數(shù)Windows、Linux、Unix、數(shù)據(jù)庫系統(tǒng)開發(fā)都依賴于C語言,而C缺點(diǎn)是缺乏類型安全,所以緩沖區(qū)溢出成為操作系統(tǒng)、數(shù)據(jù)庫等大型應(yīng)用程序最普遍漏洞.四、網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊主要手段表現(xiàn)為端口掃描,端口掃描目是找出目標(biāo)系統(tǒng)中所提供服務(wù),它逐個(gè)嘗試與TCP/UDP端口建立連接,然后根據(jù)端口與服務(wù)對應(yīng)關(guān)系,綜合服務(wù)器端反應(yīng)來判斷目標(biāo)系統(tǒng)運(yùn)行了哪些服務(wù).利用端口掃描,黑客可以判斷目標(biāo)主機(jī)操作系統(tǒng)類型及端口開放情況,然后實(shí)施攻擊.Internet攻擊類型五、特洛伊木馬攻擊

“特洛伊木馬程序”是黑客常用攻擊手段.它通過在你電腦系統(tǒng)隱藏一個(gè)在Windows啟動時(shí)悄悄運(yùn)行程序,采用服務(wù)器/客戶機(jī)運(yùn)行方式,從而達(dá)到在你上網(wǎng)時(shí)控制你電腦目.黑客可以利用它竊取你口令、瀏覽你驅(qū)動器、修改你文件、注冊表等.特洛伊木馬不僅可收集信息,它還可能破壞系統(tǒng),特洛伊木馬不能自身復(fù)制,因此,它不屬于計(jì)算機(jī)病毒.Internet攻擊類型六.網(wǎng)絡(luò)病毒

Internet開放性,為病毒滋生、變種和傳播提供了一個(gè)無限廣闊空間.病毒是將自身依附于其他軟件一段程序,目是破壞計(jì)算機(jī)系統(tǒng)數(shù)據(jù)或硬件,有許多專業(yè)反病毒軟件公司開發(fā)出了很多優(yōu)秀殺毒軟件,反病毒關(guān)鍵是找出病毒特征碼,并且定期更新病毒數(shù)據(jù)庫.網(wǎng)絡(luò)病毒傳播主要途徑是電子郵件附件,此外,下載文件、瀏覽網(wǎng)頁等也都有可能讓病毒有入侵機(jī)會.網(wǎng)絡(luò)安全目標(biāo)篡

改冒名傳送竊聽否認(rèn)傳送網(wǎng)際網(wǎng)絡(luò)機(jī)密性完整性身份認(rèn)證不可否認(rèn)性使用者甲使用者乙訪問攻擊訪問攻擊是攻擊者企圖獲得非授權(quán)信息,這種攻擊可能發(fā)生在信息駐留在計(jì)算機(jī)系統(tǒng)中或在網(wǎng)絡(luò)上傳輸情況下,這類攻擊是針對信息機(jī)密性攻擊.常見訪問攻擊窺探（snooping）是查信息文件,發(fā)現(xiàn)某些對攻擊者感興趣信息.攻擊者試圖打開計(jì)算機(jī)系統(tǒng)文件,直到找到所需信息.-一--二--三-

窺探竊聽（eavesdropping）是偷聽他人對話,為了得到非授權(quán)信息訪問,攻擊者必須將自己放在一個(gè)信息通過地方,一般采用電子竊聽方式.截獲（interception）不同于竊聽,它是一種主動攻擊方式.攻擊者截獲信息是通過將自己插入信息通過通路,且在信息到達(dá)目地前能事先捕獲這些信息.攻擊者檢查截獲信息,并決定是否將信息送往目站,如圖所示.

竊聽

截獲常見訪問攻擊對傳輸中信息可通過竊聽獲得.在局域網(wǎng)中,攻擊者在聯(lián)到網(wǎng)上計(jì)算機(jī)系統(tǒng)中安裝一個(gè)信息包探測程序（sniffer）,來捕獲在網(wǎng)上所有通信.通常配置成能捕獲ID和口令.竊聽也可能發(fā)生在廣域網(wǎng)（如租用線和電話線）中,然而這類竊聽需要更多技術(shù)和設(shè)備.通常在設(shè)施接線架上采用T形分接頭來竊聽信息.它不僅用于電纜線,也可用于光纖傳輸線,但需要專門設(shè)備.三保障網(wǎng)絡(luò)安全關(guān)鍵技術(shù)baozhangwnagluoanquandeguanjianjishu保障網(wǎng)絡(luò)安全關(guān)鍵技術(shù)一身份認(rèn)證技術(shù)二訪問控制技術(shù)三密碼技術(shù)四防火墻技術(shù)五身份認(rèn)證技術(shù)六安全審計(jì)技術(shù)防火墻技術(shù)(Firewall)

在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開方法,它實(shí)際上是一種隔離技術(shù).防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,它能允許你“同意”人和數(shù)據(jù)進(jìn)入你網(wǎng)絡(luò),同時(shí)將你“不同意”人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中黑客來訪問你網(wǎng)絡(luò).換句話說,如果不能通過防火墻,公司內(nèi)部人就無法訪問Internet,Internet上人也無法和公司內(nèi)部人進(jìn)行通信.在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間任何活動,保證了內(nèi)部網(wǎng)絡(luò)安全.防火墻防火墻（FireWall）是一種位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間,實(shí)施網(wǎng)絡(luò)之間訪問控制組件集合.它實(shí)際上是一種隔離技術(shù).它能允許你“同意”數(shù)據(jù)進(jìn)入你網(wǎng)絡(luò),同時(shí)將你“不同意”數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中黑客訪問你網(wǎng)絡(luò).

防火墻（一）過濾一些不安全服務(wù)和非法用戶,防止未授權(quán)用戶訪問安全網(wǎng)絡(luò)（二）控制對特殊站點(diǎn)或端口訪問,防火墻可以根據(jù)安全策略允許受保護(hù)網(wǎng)絡(luò)一部分主機(jī)被外部網(wǎng)絡(luò)訪問,而另一部分主機(jī)則被很好地保護(hù)起來.（三）作為網(wǎng)絡(luò)安全集中監(jiān)測點(diǎn),防火墻可以記錄所有通過它訪問,并提供統(tǒng)計(jì)數(shù)據(jù)、預(yù)警和審計(jì)功能.防火墻功能防火墻局限（一）不能防范惡意知情者從內(nèi)部攻擊（二）不能防范不通過防火墻聯(lián)接（三）防火墻不能防范病毒入侵檢測技術(shù)(IDS)入侵檢測概念（IntrusionDetectionSystem）通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析,以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略行為和遭受襲擊跡象.入侵檢測是對防火墻合理補(bǔ)充,被認(rèn)為是防火墻之后第二道安全閘門.知識庫待檢測數(shù)據(jù)包入侵檢測:入侵否?響應(yīng)繼續(xù)監(jiān)聽,檢測下一個(gè)數(shù)據(jù)包數(shù)據(jù)加密與數(shù)字認(rèn)證數(shù)據(jù)加密和數(shù)字認(rèn)證是網(wǎng)絡(luò)信息安全核心技術(shù).其中,數(shù)據(jù)加密是保護(hù)數(shù)據(jù)免遭攻擊一種主要方法；數(shù)字認(rèn)證是解決網(wǎng)絡(luò)通信過程中雙方身份認(rèn)可,以防止各種敵手對信息進(jìn)行篡改一種重要技術(shù).數(shù)據(jù)加密和數(shù)字認(rèn)證聯(lián)合使用,是確保信息安全有效措施.一、密碼學(xué)與密碼技術(shù)計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換新興科學(xué),密碼技術(shù)是密碼學(xué)具體實(shí)現(xiàn),它包括四個(gè)方面:保密(機(jī)密)、消息驗(yàn)證、消息完整和不可否認(rèn)性.

一保密（privacy）:在通信中消息發(fā)送方與接收方都希望保密,只有消息發(fā)送者和接收者才能理解消息內(nèi)容.二驗(yàn)證（authentication）:安全通信僅僅靠消息機(jī)密性是不夠,必須加以驗(yàn)證,即接收者需要確定消息發(fā)送者身份.三完整（integrity）:保密與認(rèn)證只是安全通信中兩個(gè)基本要素,還必須保持消息完整,即消息在傳送過程中不發(fā)生改變.四不可否認(rèn)（nonrepudiation）:安全通信一個(gè)基本要素就是不可否認(rèn)性,防止發(fā)送者抵賴（否定）.二、加密和解密密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分.加密是把需要加密報(bào)文按照以密碼鑰匙（簡稱密鑰）為參數(shù)函數(shù)進(jìn)行轉(zhuǎn)換,產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進(jìn)行解密,還原成原文件.數(shù)據(jù)加密和解密過程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密,經(jīng)過信道傳輸,到信宿接收時(shí)進(jìn)行解密,以實(shí)現(xiàn)數(shù)據(jù)通信保密.數(shù)據(jù)加密和解密過程如圖所示.加密密鑰報(bào)文解密原報(bào)文加密解密模型明文密文傳輸明文信源加密單元解密單元信宿三、密鑰體系加密和解密是通過密鑰來實(shí)現(xiàn).如果把密鑰作為加密體系標(biāo)準(zhǔn),則可將密碼系統(tǒng)分為單鑰密碼（又稱對稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對稱密碼或公鑰密碼）體系.在單鑰密碼體制下,加密密鑰和解密密鑰是一樣.在這種情況下,由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對方）,所以密碼體制安全完全取決于密鑰安全.雙鑰密碼體制是一九七六年W.Diffie和M.E.Heilinan提出一種新型密碼體制.一九七七年Rivest,Shamir和Adleman提出RSA密碼體制.在雙鑰密碼體制下,加密密鑰與解密密鑰是不同,它不需要安全信道來傳送密鑰,可以公開加密密鑰,僅需保密解密密鑰.四、傳統(tǒng)加密方法保持明文次序,而把明文字符隱藏起來.

轉(zhuǎn)換密碼法不是隱藏它們,而是靠重新安排字母次序.二、轉(zhuǎn)換密碼法⑴單字母加密方法:是用一個(gè)字母代替另一個(gè)字母,它把A變成E,B變成F,C變?yōu)镚,D變?yōu)镠.⑵多字母加密方法:密鑰是簡短且便于記憶詞組.

一、代換密碼法就是用一頁上代碼來加密一些詞,再用另一頁上代碼加密另一些詞,直到全部明文都被加密.四、一次性密碼簿加密法把明文中字母重新排列,字母本身不變,但位置變了.常見有簡單變位法、列變位法和矩陣變位法.三、變位加密法現(xiàn)代加密方法

一、DES加密算法

DES加密算法是一種通用現(xiàn)代加密方法,該標(biāo)準(zhǔn)是在五六位密鑰控制下,將每六四位為一個(gè)單元明文變成六四位密碼.采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法,使密碼被破譯可能性幾乎沒有.

二、IDEA加密算法

相對于DES五六位密鑰,它使用一二八位密鑰,每次加密一個(gè)六四位塊.這個(gè)算法被加強(qiáng)以防止一種特殊類型攻擊,稱為微分密碼密鑰.

IDEA特點(diǎn)是用了混亂和擴(kuò)散等操作,主要有三種運(yùn)算:異或、模加、模乘,并且容易用軟件和硬件來實(shí)現(xiàn).IDEA算法被認(rèn)為是現(xiàn)今最好、最安全分組密碼算法,該算法可用于加密和解密.現(xiàn)代加密方法郵件內(nèi)容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機(jī)加密密鑰E一=ENIDEA(M)E二=ENRSA(K)KRP將E一+E二寄出發(fā)送郵件收到E一+E二K=DERSA(E二)KRSM=DEIDEA(E一)K將M分離成C和SH一=MD五(C)取得收信人分開密鑰KPS一=DERSA(H一)KPS一=S?NoYes接收此郵件拒絕此郵件接收郵件取得收信人分開密鑰KRP三、RSA公開密鑰算法RSA是屹今為止最著名、最完善、使用最廣泛一種公匙密碼體制.RSA算法要點(diǎn)在于它可以產(chǎn)生一對密鑰,一個(gè)人可以用密鑰對中一個(gè)加密消息,另一個(gè)人則可以用密鑰對中另一個(gè)解密消息.任何人都無法通過公匙確定私匙,只有密鑰對中另一把可以解密消息.現(xiàn)代加密方法

四、Hash－MD五加密算法

Hash函數(shù)又名信息摘要（MessageDigest）函數(shù),是基于因子分解或離散對數(shù)問題函數(shù),可將任意長度信息濃縮為較短固定長度數(shù)據(jù).這組數(shù)據(jù)能夠反映源信息特征,因此又可稱為信息指紋（MessageFingerprint).Hash函數(shù)具有很好密碼學(xué)性質(zhì),且滿足Hash函數(shù)單向、無碰撞基本要求.

五、量子加密系統(tǒng)

量子加密系統(tǒng)是加密技術(shù)新突破.量子加密法先進(jìn)之處在于這種方法依賴是量子力學(xué)定律.傳輸光量子只允許有一個(gè)接收者,如果有人竊聽,竊聽動作將會對通信系統(tǒng)造成干擾.通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽,隨即結(jié)束通信,生成新密鑰.

破密方法

一.密鑰窮盡搜索

就是嘗試所有可能密鑰組合,雖然這種密鑰嘗試通常是失敗,但最終總會有一個(gè)密鑰讓破譯者得到原文.

二.密碼分析

密碼分析是在不知密鑰情況下利用數(shù)學(xué)方法破譯密文或找到秘密密鑰.常見密碼分析有如下兩種:

⑴已知明文破譯方法:是當(dāng)密碼分析員掌握了一段明文和對應(yīng)密文,目是發(fā)現(xiàn)加密密鑰.在實(shí)際應(yīng)用中,獲得某些密文所對應(yīng)明文是可能.

⑵選定明文破譯方法:密碼分析員設(shè)法讓對手加密一段分析員選定明文,并獲得加密后結(jié)果,以獲得確定加密密鑰.

破密方法

三、防止密碼破譯措施

為了防止密碼破譯,可以采取一些相應(yīng)技術(shù)措施.目前通常采用技術(shù)措施以下三種.

⑴好加密算法:一個(gè)好加密算法往往只有用窮舉法才能得到密鑰,所以只要密鑰足夠長就會比較安全.二世紀(jì)七～八年代密鑰長通常為四八～六四位,九年代,由于發(fā)達(dá)國家不準(zhǔn)許出口六四位加密產(chǎn)品,所以國內(nèi)大力研制一二八位產(chǎn)品.

⑵保護(hù)關(guān)鍵密鑰（KCK:KEYCNCRYPTIONKEY）.

⑶動態(tài)會話密鑰:每次會話密鑰不同.

動態(tài)或定期變換會話密鑰是有好處,因?yàn)檫@些密鑰是用來加密會話密鑰,一旦泄漏,被他人竊取重要信息,將引起災(zāi)難性后果.數(shù)字認(rèn)證技術(shù)一、數(shù)字簽名

“數(shù)字簽名”是數(shù)字認(rèn)證技術(shù)中其中最常用認(rèn)證技術(shù).在日常工作和生活中,人們對書信或文件驗(yàn)收是根據(jù)親筆簽名或蓋章來證實(shí)接收者真實(shí)身份.在書面文件上簽名有兩個(gè)作用:一是因?yàn)樽约汉灻y以否認(rèn),從而確定了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰讉蚊?從而確定了文件是真實(shí)這一事實(shí).但是,在計(jì)算機(jī)網(wǎng)絡(luò)中傳送報(bào)文又如何簽名蓋章呢,這就是數(shù)字簽名所要解決問題.

數(shù)字認(rèn)證是一種安全防護(hù)技術(shù),它既可用于對用戶身份進(jìn)行確認(rèn)和鑒別,也可對信息真實(shí)可靠性進(jìn)行確認(rèn)和鑒別,以防止冒充、抵賴、偽造、篡改等問題.數(shù)字認(rèn)證技術(shù)包括數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書和認(rèn)證中心等.數(shù)字認(rèn)證技術(shù)Key數(shù)字簽名初始文件簽名文件加密簽名文件數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要正確初始文件HASH編碼一致KeyKeyKey數(shù)字摘要初始文件數(shù)字簽名驗(yàn)證及文件竄送過程在網(wǎng)絡(luò)傳輸中如果發(fā)送方和接收方加密、解密處理兩者信息一致,則說明發(fā)送信息原文在傳送過程中沒有被破壞或篡改,從而得到準(zhǔn)確原文.傳送過程如下圖所示.數(shù)字簽名技術(shù)隨著信息時(shí)代來臨,人們希望通過數(shù)字通信網(wǎng)絡(luò)迅速傳遞貿(mào)易合同,數(shù)字簽名應(yīng)運(yùn)而生了.

數(shù)字簽名必須保證以下三點(diǎn):a、接收者能夠核實(shí)發(fā)送者對報(bào)文簽名；b、發(fā)送者事后不能抵賴對報(bào)文簽名；c、接收者不能偽造對報(bào)文簽名.

二、數(shù)字時(shí)間戳（DTS）

在電子交易中,同樣需要對交易文件日期和時(shí)間信息采取安全措施,數(shù)字時(shí)間戳就是為電子文件發(fā)表時(shí)間提供安全保護(hù)和證明.DTS是網(wǎng)上安全服務(wù)項(xiàng)目,由專門機(jī)構(gòu)提供.數(shù)字時(shí)間戳是一個(gè)加密后形成憑證文檔,它包括三個(gè)部分:

◆需要加時(shí)間戳文件摘要

◆DTS機(jī)構(gòu)收到文件日期和時(shí)間

◆DTA機(jī)構(gòu)數(shù)字簽名

數(shù)字時(shí)間戳產(chǎn)生過程:用戶首先將需要加時(shí)間戳文件用HASH編碼加密形成摘要,然后將這個(gè)摘要發(fā)送到DTS機(jī)構(gòu),DTS機(jī)構(gòu)在加入了收到文件摘要日期和時(shí)間信息后,再對這個(gè)文件加密（數(shù)字簽名）,然后發(fā)送給用戶.數(shù)字認(rèn)證技術(shù)

一