文件加密與數字簽名.ppt

上傳人:max****ui 文檔編號:14784085 上傳時間:2020-07-30 格式:PPT 頁數:24 大?。?31.16KB
收藏 版權申訴 舉報 下載
文件加密與數字簽名.ppt_第1頁
第1頁 / 共24頁
文件加密與數字簽名.ppt_第2頁
第2頁 / 共24頁
文件加密與數字簽名.ppt_第3頁
第3頁 / 共24頁

下載文檔到電腦,查找使用更方便

9.9 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《文件加密與數字簽名.ppt》由會員分享,可在線閱讀,更多相關《文件加密與數字簽名.ppt(24頁珍藏版)》請在裝配圖網上搜索。

1、文件加密與數字簽名,文件加密與數字簽名技術是目前應用最廣泛的安全技術,分別是用來防止文件不被非法用戶所打開和確保用戶收到的是真正自己所需用戶發(fā)來的郵件。本章重點如下: 主要加密算法及各自加密原理 EFS加密文件系統(tǒng)的加密原理 EFS文件加密與解密方法 EFS文件恢復代理創(chuàng)建方法 動態(tài)文件加密與數字簽名原理 PGP密鑰生成方法 PGP文件加密方法 PGP郵件加密與簽名策略配置方法 iSignature簽章系統(tǒng)的基本使用方法,8.1 文件加密概述,文件加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼(通常稱為“密文”),使其只能在輸入相應的密鑰之后才能顯示出本

2、來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉化為其原來數據的過程。 8.1.1 加密的由來 加密作為保障數據安全的一種方式,它不是現(xiàn)在才有的,它產生的歷史相當久遠,它是起源于要追溯于公元前2000年(幾十個世紀了),雖然它不是現(xiàn)在我們所講的加密技術(甚至不叫加密),但作為一種加密的概念,確實早在幾個世紀前就誕生了。當時埃及人是最先使用特別的象形文字作為信息編碼的,隨著時間推移,巴比倫、美索不達米亞和希臘文明都開始使用一些方法來保護他們的書面信息。,8.1.2 選擇加密的意義,加密在網絡上的作用就是防止有用或私有化信息在網絡上被攔截和竊取

3、。一個簡單的例子就是密碼的傳輸。通過網絡進行登錄時,所鍵入的密碼以明文的形式被傳輸到服務器,而網絡上的竊聽是一件極為容易的事情,所以很有可能黑客會竊取得用戶的密碼,如果用戶是Root用戶或Administrator用戶,那后果將是極為嚴重的。密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。 數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。應用最多的還是電子郵件。如當用戶收到一封電子郵件時,郵件上面標有發(fā)信人的姓名和信箱地址,很多人可能會簡單地認為發(fā)信人就是信上說明的那個人,但實際上偽造一封電子郵件對于一個通常人來說是極為容易的事。在這種情況下,就要用到加密技術基礎上的

4、數字簽名,用它來確認發(fā)信人身份的真實性。 本節(jié)節(jié)詳細內容參見書本P276P277頁。,8.1.3 代表性的數據加密標準,目前主要的加密標準有三種:DES、MD5(早先采用MD2、MD3、MD4)、SHA-1(早先采用SHA-0)。 1. DES算法 DES使用56位密鑰對64位的數據塊進行加密,并對64位的數據塊進行16輪編碼。在發(fā)明之初,DES被認為是一種十分強大的加密方法。 2. MD5算法 MD5可生成128位的摘要信息串,出現(xiàn)之后迅速成為主流算法,并在1992年被收錄到RFC中。 3. SHA-1算法 SHA-1生成長度為160位的摘要信息串,雖然之后又出現(xiàn)了SHA-224、S

5、HA-256、SHA-384和SHA-512等被統(tǒng)稱為“SHA-2”的系列算法,但仍以SHA-1為主流。 本節(jié)詳細內容參見書本P277P278頁。,8.1.4 電子簽名與數字簽名,電子簽名和數字簽名的內涵并不一樣,數字簽名是電子簽名技術中的一種,不過兩者的關系也很密切,目前電子簽名法中提到的簽名,一般指的就是“數字簽名”。 1. 電子簽名 能夠在電子文件中識別雙方交易人的真實身份,保證交易的安全性和真實性以及不可抵懶性,起到與手寫簽名或者蓋章同等作用的簽名技術稱之為電子簽名。簽名有標識簽名人和表示簽名人對文件內容的認可雙重功能。實現(xiàn)電子簽名的主要技術手段還是“數字簽名”技術。 2. 數字簽名

6、 所謂“數字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章?!皵底趾灻笔悄壳半娮由虅?、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。 本節(jié)詳細內容參見書本P278279頁。,8.2 靜態(tài)文件加密EFS,在各種各樣的文件加密方式中,應用最多的還是基于靜態(tài)文件的保護,防止非法用戶打開自己需要保護的文件。這時我們就可以選擇微軟在他的近期Windows版本中提供的EFS加密文件系統(tǒng)。它的功能非常強大,是一種最為理想的靜態(tài)文件加密保護措施。 8.2.1 EFS概述 加密文件系統(tǒng)(EFS)是Windows 2000、Windows XP

7、 Professional和Windows Server 2003的NTFS文件系統(tǒng)的一個組件(Windows XP Home版本不包含EFS功能) 。 加密文件系統(tǒng)(EFS)提供一種核心文件加密技術,該技術用于在NTFS文件系統(tǒng)卷上存儲已加密的文件。加密了文件或文件夾之后,您還可以像使用其他文件和文件夾一樣使用它們。加密對加密該文件的用戶自己是透明的(對其他用戶則不是),這表明不必在使用前手動解密已加密的文件,您就可以正常打開和更改文件。,使用EFS類似于使用文件和文件夾上的權限。兩種方法都可用于限制數據的訪問,然而未經許可對加密文件和文件夾進行物理訪問的入侵者將無法閱讀這些文件和文件夾中

8、的內容。如果入侵者試圖打開或復制已加密文件或文件夾,入侵者將收到拒絕訪問消息。文件和文件夾上的權限不能防止未授權的物理攻擊。 EFS采用高級的標準加密算法實現(xiàn)透明的文件加密和解密。任何不擁有合適密鑰的個人或者程序都不能讀取加密數據。即便是物理擁有駐留加密文件的計算機,加密文件仍然受到保護。甚至是有權訪問計算機及其文件系統(tǒng)的用戶,也無法讀取這些數據。還應該采取其他防御策略,加密這種解決方法不是解決每種威脅的恰當對策,加密只是其他防御策略之外的又一種有力措施。 然而,任何一種防御工具,如果不能正確使用,也會帶來潛在的危害。必須充分理解,妥善實施和有效管理EFS,確保用戶提供技術支持的經驗和希望保護

9、的數據不受到破壞。 本節(jié)詳細內容參見書本P280頁。,8.2.2使用EFS加密文件時的注意事項,在使用EFS加密文件和文件夾時,需注意以下事項: 只有NTFS卷上的文件或文件夾才能被加密。 EFS加密文件,如果在遠程服務器的文件夾中保存或者打開過,則傳輸時就不再為加密狀態(tài)。 不能加密壓縮的文件或文件夾。如果用戶加密某個壓縮文件或文件夾,則該文件或文件夾將會被解壓。 如果將加密的文件復制或移動到非NTFS格式的卷上,該文件將會被解密。 如果將非加密文件移動到加密文件夾中,則這些文件將在新文件夾中自動加密。然而,反向操作則不能自動解密文件,文件必須明確解密。 無法加密標記為“系統(tǒng)”屬性的文件,并

10、且位于systemroot目錄結構中的文件也無法加密。 加密文件夾或文件不能防止刪除或列出文件或目錄。,在允許進行遠程加密的遠程計算機上可以加密或解密文件及文件夾。然而,如果通過網絡打開已加密文件,通過此過程在網絡上傳輸的數據并未加密。 EFS加密不是發(fā)生在應用層,而是位于文件-系統(tǒng)層,因此對于用戶和應用程序來說,加密和解密過程都是透明的。 文件加密使用對稱密鑰,該密鑰本身使用公鑰加密對的公鑰進行加密。 EFS密鑰依靠用戶的密碼來保護。如果Windows XP或Windows Server 2003家族遠程服務器上存儲加密文件,則請注意以下事項: Windows XP和Windows Serv

11、er 2003家族支持遠程服務器上加密文件的存儲。 當兩臺計算機都是同一Windows Server 2003家族林的成員時,用戶才能遠程使用EFS。 加密的數據在網絡上傳輸時是不加密的,只有當它存儲在磁盤上時才是加密的。 加密的文件不能從Macintosh客戶端訪問。 目前不支持在智能卡上存儲EFS證書和私鑰,也不支持對EFS私鑰進行強私鑰保護。 管理員必須指定遠程服務器為信任委派,用戶才能對遠程服務器上的文件進行加密。 本節(jié)詳細內容參見書本P280P282頁。,8.2.3 EFS恢復的工作原理,您可以使用“加密文件系統(tǒng)(EFS)”安全地存儲數據。EFS通過在選定的NTFS文件系統(tǒng)文件和文件

12、夾中加密數據來達到這一目的。由于EFS與文件系統(tǒng)集成在一起,所以它易于管理、難以被攻擊而且對用戶完全透明。這對于保護易于盜竊的計算機(如便攜計算機)上的數據非常有用。 文件和文件夾不能在FAT卷上進行加密和解密。同時,由于EFS是設計用來在本地計算機上安全地存儲數據。因此EFS不支持通過網絡安全傳輸文件。 如果用戶指定某文件進行加密,那么對用戶來講實際的數據加密和解密過程是完全透明的。用戶并不需要理解這個過程。 文件的EFS具體加密過程參見書本P282P283頁。,8.3 使用EFS,本節(jié)要具體介紹利用EFS系統(tǒng)進行文件加密,加密文件的解密,以及啟用用于文件加密的遠程服務器的方法。本節(jié)及以下

13、各節(jié)配置均是在系統(tǒng)管理員帳戶中執(zhí)行的。如果是企業(yè)域網絡,除了系統(tǒng)管理員組(Administrators)外,還可以是Domain Admins組或Enterprise Admins成員。 【說明】8.3.1的“加密文件或文件夾”、8.3.2節(jié)的“解密文件或文件夾“和8.3.3節(jié)的“在資源管理器菜單中添加“加密”和“解密”選項”具體步驟參見書本P284P286頁。,8.3.4 復制加密的文件夾或文件,因為只有NTFS文件格式的磁盤分區(qū)文件和文件夾才可以加密,那么加密后的文件或文件夾在同卷,或不同卷;同格式,或者不同格式磁盤分區(qū)中移動、復制、刪除、備份和還原操作對它的加密屬性又有什么影響呢?是否

14、會與NTFS文件的訪問權限一樣改變呢?本節(jié)就是答案,具體內容參見書本P286P288頁。,8.4 數據恢復策略,當雇員離開后需要恢復雇員加密的數據時或者當用戶丟失私鑰時,數據恢復非常重要。作為系統(tǒng)整個安全策略的部分,通過加密文件系統(tǒng)(EFS)可使用數據恢復。例如,如果由于磁盤故障、火災或任何其他原因永久丟失文件加密證書和相關私匙,指定為故障恢復代理的人員可以恢復數據。在商務環(huán)境中,當雇員離開公司之后,公司可以恢復雇員加密的數據。 8.4.1 數據恢復策略概述 利用EFS加密數據的過程非常簡單,但是一旦密鑰丟失,數據恢復就非常困難。為了預防這類損失的發(fā)生,非常有必要預先做好各種防范工作,其中包

15、括:恢復策略的建立、恢復代理的配置、密鑰的備份等。 恢復策略是單位的安全策略之一,旨在規(guī)劃妥善恢復加密文件。本地安全策略的公鑰策略或者組策略的公鑰策略,也強制采用該策略。,EFS使用故障恢復策略(也稱“數據恢復策略”)提供內置數據恢復?!肮收匣謴筒呗浴笔且环N公鑰策略,可提供用于指定為故障恢復代理的一個或多個用戶帳戶。 故障恢復策略是為單獨的計算機在本地配置的。對于網絡中的計算機,可以在域、部門或單獨計算機級別上配置故障恢復策略,并將其應用到策略可應用的所有基于Windows XP和Windows Server 2003家族的計算機上。證書頒發(fā)機構(CA)頒發(fā)故障恢復證書,您可以使用Micros

16、oft管理控制臺(MMC)中的“證書”來管理它們。 在域中,當設置第一個域控制器時,Windows Server 2003家族執(zhí)行該域的默認故障恢復策略,自行簽署的證書將頒發(fā)給域管理員。該證書將域管理員指定為故障恢復代理。要更改域的默認故障恢復策略,須以管理員身份登錄到第一個域控制器,可以將其他故障恢復代理添加到本策略中,并且可以隨時刪除原始故障恢復代理。 本節(jié)詳細內容參見書本P288頁。 【說明】8.4.2節(jié)的“更改本地計算機的故障恢復策略”和8.4.3節(jié)的“更改域的故障恢復策略”所涉及的具體配置方法參照書本P289P292頁。,8.5 數據恢復代理,數據恢復代理是指獲得授權解密由其他用戶

17、加密的數據的個人。數據恢復代理無需該角色的任何其他功能權限,可以是普通用戶。但在添加域數據恢復代理之前,必須確保每位數據恢復代理均獲得了X.509 v3證書。具體內容參見書本P292P293頁。 8.5.1 EFS證書 EFS包括兩種類型的證書: 加密文件系統(tǒng)證書:此類證書允許其持有者使用EFS加密和解密數據,它通常也被直接稱為EFS證書。 文件恢復證書:此類證書的持有者可以在整個域或其他范圍內對任何人加密的文件和文件夾進行恢復。 本節(jié)詳細內容參見書本P293頁。另外8.5.2節(jié)的“創(chuàng)建默認的獨立計算機上的數據恢復代理”步驟參見書本P293P295頁。,8.5.3 添加其他恢復代理,要實現(xiàn)此目

18、的,您必須完成下列過程。 必須有企業(yè)證書頒發(fā)機構(CA) 這部分的工作實際上就是針對“EFS故障恢復代理”證書模板的用戶權限配置,把相應用戶添加到可以使用該模板注冊和自動注冊權限之中。具體參見第七章7.3.2節(jié)介紹。 每個需要成為代理的用戶都必須申請一個文件恢復證書 證書的申請方法在第七章7.3.2和7.3.3節(jié)也有詳細介紹,不同的只是此所要申請的是“EFS故障恢復代理”證書,其它參見7.3.2節(jié)(向導方式申請)或7.3.3節(jié)(網頁方式申請)。同樣用戶需要以自己的帳戶登錄網絡,由用戶自己申請,因為用戶證書只能由用戶自己申請,其他人無法替代,包括系統(tǒng)管理員。 本節(jié)詳細內容參見P295P296

19、頁。另8.5.4節(jié)的“啟用EFS文件共享”方法和8.6節(jié)具體內容均參見書本P296P298頁。,8.7公鑰基礎結構在文件傳輸和數字簽名方面的應用,公鑰基礎結構除了應用在前面介紹的EFS文件加密外,還被廣泛應用于網絡中的文件傳輸和郵件數字簽名。它利用的也是非對稱密鑰技術,就是一個用戶有兩個不同的密鑰,分別稱之為“公鑰”和“私鑰”。公鑰是可以任意被別人知道的,而私鑰卻只能永遠由自己一人,只有用同一個用戶的兩個密鑰正確配合才能打開加密后的文件。文件加密和郵件的數字簽名用的就是這兩個密鑰的不同應用。 在公鑰基礎結構中,最關鍵的就是公、私鑰密鑰對的獲取,其實就是證書的發(fā)證機構,不同的不同機構頒發(fā)的證書公

20、信效力不一樣,也就決定了有不同的主要應用領域。如利用自己的Windows系統(tǒng)頒發(fā)的密鑰證書,則主要應用于企業(yè)內部網絡用戶之間,因為它的證書頒發(fā)機構就是企業(yè)自己,對其他非本單位用戶來說缺乏必要的公信力。,8.7.1 動態(tài)文件加密原理,文件加密的目的就是在于保護文件不被非法用戶打開,防止別人查看文件內容?,F(xiàn)在網絡還存在許多不安全因素,在我們發(fā)送電子郵件或進行文件傳輸時或許有很多人在別處密切監(jiān)視著我們,特別是對一些著名的大公司。怎樣實現(xiàn)安全傳輸呢?公鑰基礎結構就是應用最廣的一種安全技術。 首先要清楚公鑰基礎結構中的兩個密鑰在文件加密中是如何應用的。其實很簡單,就是發(fā)送文件的用戶(假如為A)先用接收文

21、件方用戶(假如為B)的公鑰加密文件,然后發(fā)給接收方用戶B。B在收到A發(fā)來的用自己公鑰加密的文件后,再用自己的私鑰即可打開文件。 有關公鑰基礎結構中公鑰與私鑰在文件加密和解密過程的具體應用,在書本P299頁中有一個具體的示例,參見即可。,8.7.2 數字簽名原理,數字簽名主要是為了證明發(fā)件人身份,就象我們來看到的某文件簽名一樣。在上一節(jié)我們介紹了在文件傳輸和郵件發(fā)送中利用文件加密方式來阻止非法用戶打開的原理,其實僅用了文件加密方式還不足以保證郵件傳輸的真正安全,因為郵件內容還可能被非法用戶替換,盡管這些非法用戶不能查看原郵件中的真正內容。這就涉及到如何確保自己收到的郵件就是自己希望的用戶發(fā)來的問

22、題了,此時就需要用到數字簽名技術。但是在郵件傳輸中,通常又不是單獨使用文件加密或者數字簽名,而是一起結合起來使用,它們兩者一起作用就可取到非常好的安全保護了。 具體的數字簽名原理參見書本P300頁。另8.7.3節(jié)的“加密密鑰對的獲取”方法和整個8.8節(jié)的“PGP動態(tài)文件加密和數字簽名”方法均參見書本P300P316頁。,8.9 電子簽章,前面介紹的“數字簽名“與本節(jié)要介紹的“電子簽章”雖然作用幾乎一樣,但實施的方法不完全一樣。在數字簽名中并不一真正的用戶簽名,而是通過用戶證書中的私鑰來保證的;而此處的“電子簽章”則是實實在在的印章或者簽名,就像我們平常蓋章或者簽名一樣。 8.9.1 iSign

23、ature簽章系統(tǒng)簡介 江西金格據科技公司的iSignature 手寫簽名電子印章控件系統(tǒng)就是比較著名的代表,另外還如iTrusChina(天威誠信)公司代理的VeriSign公用數字證書應用也非常廣。 iSignature 手寫簽名電子印章系統(tǒng)由簽章鑰匙盤和軟件構成,簽章鑰匙盤自帶CPU、快速存儲器和加密處理機制,用于存放單位或個人數字證書、印章信息或簽名信息。 iSignature電子簽章系統(tǒng)具有的特點參見書本P318319頁。,8.9.2 iSignature主要功能,iSignature主要功能如下: 文檔簽章功能 手寫簽名功能 簽章驗證功能 支持第三方數字證書 支持雙證書功能 撤消簽

24、章功能 證書查看功能 移動簽章功能 禁止簽章移動功能 文檔保護功能 文檔解鎖功能 讀取服務器時間功能 提供相應二次開發(fā)數據接口本節(jié)具體內容參見書本P319P320頁。,8.9.3 數字證書簡介,數字證書又稱為數字標識(Digital Certificate,Digital ID)。它提供了一種在Internet上進行身份驗證的方式,是用來標志和證明網絡通信雙方身份的數字信息文件。在網上進行電子商務活動時,交易雙方需要使用數字證書來表明自己的身份,并使用數字證書來進行有關的交易操作。通俗地講,數字證書就是個人或單位在Internet的身份證。數字證書主要包括三方面的內容:證書所有者的信息、證書所

25、有者的公開密鑰和證書頒發(fā)機構的簽名。 數字身份認證是基于國際PKI標準的網上身份認證系統(tǒng),數字證書相當于網上的身份證,它以數字簽名的方式通過第三方權威認證有效地進行網上身份認證,幫助各個實體識別對方身份和表明自身的身份,具有真實性和防抵賴功能。與物理身份證不同的是,數字證書還具有安全、保密、防篡改的特性,可對企業(yè)網上傳輸的信息進行有效保護和安全的傳遞。,一個標準的X.509 數字證書包含(但不限于)以下內容: 證書的版本信息; 證書的序列號,每個證書都有一個唯一的證書序列號; 證書所使用的簽名算法; 證書的發(fā)行機構名稱(命名規(guī)則一般采用X.500 格式)及其私鑰的簽名;證書的有效期; 證書使

26、用者的名稱及其公鑰的信息。 在使用數字證書的過程中應用公開密鑰加密技術,建立起一套嚴密的身份認證系統(tǒng),可以實現(xiàn): 除發(fā)送方和接收方外信息不被其他人竊??; 信息在傳輸過程中不被篡改; 接收方能夠通過數字證書來確認發(fā)送方的身份; 發(fā)送方對于自己發(fā)送的信息不能抵賴。 【說明】8.9.4 節(jié)的“個人數字證書申請”和 8.9.5節(jié)的“iSignature簽章系統(tǒng)使用”方法參見書本P321P329頁介紹。,8.9.6 天威誠信安證通簡介,安證通(OnSite)是天威誠信公司提供的一種企業(yè)信息安全解決方案,她是一種完善的PKI解決方案。她主要解決了在企業(yè)進行電子商務過程中的身份認證、信息機密性、信息完整性和信息的不可抵賴性這四種進行電子商務活動時遇到的最核心安全障礙。除此以外還提供了一系列針對企業(yè)的不同應用相應的解決方案來解決類如:電子郵件系統(tǒng)、Lotus Notes、Microsoft Exchange、VPN等安全問題。 根據不同的企業(yè)用戶以及企業(yè)的不同應用,安證通解決方案可以分為:公用安證通解決方案、專用安證通解決方案和Web服務器安證通解決方案,企業(yè)可以根據自身需求采用一種或多種解決方案來滿足他們自身的需要。 本節(jié)詳細內容參見書本P329P331頁。,

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
5. 裝配圖網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關資源

更多
正為您匹配相似的精品文檔
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對上載內容本身不做任何修改或編輯。若文檔所含內容侵犯了您的版權或隱私,請立即通知裝配圖網,我們立即給予刪除!