高校骨干教師培訓——網絡信息安全培訓高校骨干教師培訓——網絡信息安全培訓高校骨干教師培訓——網絡信息安全培訓網絡信息安全培訓網絡安全概述網絡攻防技術操作系統(tǒng)安全配置信息加密技術數字簽名技術發(fā)展歷程

培訓目的培訓目的了解網絡安全的現狀了解網絡安全的研究范圍理解信息安全的防護體系掌握信息安全的主要技術了解網絡安全的趨勢培訓重點重點掌握OS安全配置服務器OS安全客戶端OS安全黑客技術口令破解工具綜合掃描器拒絕服務攻擊木馬緩沖區(qū)溢出信息攻防技術信息加密算法對稱加密算法非對稱加密算法數字簽名技術數字簽名數字證書信息加密技術一、網絡安全概述網絡安全現狀分析12網絡安全的定義3

信息安全的特性4網絡安全的防護體系5

網絡脆弱性分析1.1網絡安全現狀分析網絡使用情況現狀研究的重要性1.1.1目前互聯網使用情況據中國互聯網絡信息中心（CNNIC）2013年1月發(fā)布的第31次中國互聯網絡發(fā)展狀況統(tǒng)計報告顯示：截至2012年12月底，中國網民數量達到5.64億，互聯網普及率為42.1%(2012年6月份的數據是39.9%)。手機網民規(guī)模達到4.20億，我國網民中農村人口規(guī)模達到1.56億。截至2012年12月底，受訪中小企業(yè)中，使用計算機辦公的比例為91.3%，使用互聯網的比例為78.5%，固定寬帶普及率為71.0%，開展在線銷售、在線采購的比例分別為25.3%和26.5%，利用互聯網開展營銷推廣活動的比例為23.0%。病毒、木馬肆虐網頁掛馬釣魚網站猛增現狀AB網絡犯罪集團化D黑客與時俱進C1.1.2網絡安全現狀典型的網絡安全事件發(fā)生在我們身邊的網絡安全事件你還記得多少？2011年——資料泄露年，躺著也中槍?！捌蜇ぁ碧雒诳透扮姁邸?。病毒更“專業(yè)”，威脅更巨大。微博成載體，人人變“蠕蟲”?！岸径睓M行，Duqu成“神偷”?！熬W絡釣魚”高速壯大，網絡生活“步步小心”2012年十大網絡安全事件盤點

比較熱門的網絡欺詐QQ視頻詐騙網絡游戲交易詐騙網上虛假中獎詐騙網購詐騙網絡付款詐騙微博詐騙1.2網絡安全的定義網絡安全信息安全1.2.1

網絡安全的定義網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。廣義上講，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。

1.2.2網絡信息安全因此研究網絡安全問題實際上包括兩方面的內容：一是網絡的系統(tǒng)安全，二是網絡的信息安全，而保護網絡的信息安全是最終目的。信息安全的研究主要涉及到哪些方面呢？信息傳輸安全和信息存儲安全（2010年三級網絡計算機等級考試試題）。進不來拿不走改不了跑不了看不懂1.2.3研究網絡安全的目的1.3網絡脆弱性原因分析INTERNET的美妙之處在于:——你和每個人都能互相連接;INTERNET的可怕之處在于:——每個人都能和你互相連接。網絡絕對隱私權的時代已一去不復返了1993年《紐約時報》曾刊登過一幅卡通漫畫，上面有一句令網民至今還津津樂道的名言：“在互聯網上，沒有人知道你是一條狗?！?/p>

但現在互聯網另一端的人不但知道你是“一條狗”，甚至還知道“你”是一條什么品種的狗、血統(tǒng)是否純正等各種私人信息……開放性的網絡環(huán)境協(xié)議本身的缺陷

操作系統(tǒng)的漏洞

人為因素

網絡脆弱性的原因1.4網絡信息安全的特性信息安全的特性信息安全的發(fā)展歷程信息安全涉及知識領域機密性：防止泄密

完整性：防止篡改可用性：防止中斷可控性：防止非法利用不可否認性：防止抵賴1.4.1信息安全的特性年代關注的重點保障措施時代標志20世紀40、50年代通信保密加密和基于計算機規(guī)則的訪問控制《保密通信的信息理論》20世紀70年代計算機安全計算機系統(tǒng)不被他人非法授權使用可信計算機評估準則20世紀90年代網絡安全如何防止通過網絡對聯網計算機進行攻擊“莫里斯”蠕蟲事件21世紀信息保障信息及信息系統(tǒng)的保障1.4.2信息安全的發(fā)展歷程1.4.3信息安全涉及知識領域信息安全是一門技術性學科不排除建立在深奧的理論基礎上數論、量子密碼；數據挖掘、聚類分析、序列理論；神經網絡、自學習機、智能決策；計算機體系、操作系統(tǒng)內核、網絡協(xié)議；

……更多的是設計方案和具體操作安全加固、管理策略；嵌入式、B/S、C/S；編寫程序、分析取證等信息（網絡）安全涉及方面應用安全系統(tǒng)安全網絡安全管理安全物理安全網絡安全面臨的威脅類型常見的攻擊方式網絡安全的防護體系網絡安全技術1.5網絡安全的防護體系1.5.1網絡安全面臨的威脅類型病毒蠕蟲后門拒絕服務內部人員誤操作非授權訪問暴力猜解物理威脅系統(tǒng)漏洞利用嗅探冒名頂替廢物搜尋身份識別錯誤不安全服務配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網絡安全威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網絡安全威脅網絡安全威脅病毒、木馬程序(冰河,灰鴿子…)端口掃描技術(Nmap,protscanner…)拒絕服務攻擊

(DoS和DDoS)緩沖區(qū)溢出口令破解(lc5,fakegina)社會工程學1.5.2常見的攻擊方式黑客攻擊網絡過程拒絕服務攻擊DoS--DenialofService：凡是能導致合法用戶不能夠訪問正常網絡服務的行為都是“拒絕服務攻擊”。DoS最主要的目的是：造成被攻擊服務器資源耗盡或系統(tǒng)崩潰而無法提供服務。服務本身無傷害；可使提供服務的信任度下降，影響公司的聲譽以及用戶對網絡服務的使用。常見的DoS攻擊：①帶寬攻擊：以極大的通信量沖擊網絡，使網絡所有可用的帶寬都被消耗掉。②連通性攻擊：用大量的連接請求沖擊計算機，最終導致計算機無法響應和處理合法用戶的請求。單一的DoS攻擊一般是采用一對一的方式，當攻擊的計算機CPU速度低、內存小或網絡帶寬小等各項性能指標不高時，效果是明顯的。DoS攻擊的分類以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）攻擊者

目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認SYN攻擊的原理（1）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發(fā)送SYN攻擊的原理（2）死亡之pingSYNFloodLand攻擊淚珠（Teardrop）攻擊

行行色色的DoS攻擊1)攻擊者攻擊諸客戶主機以及分析他們的安全水平和脆弱性。攻擊者各種客戶主機目標系統(tǒng)2)攻擊者進入其已經發(fā)現的最弱的客戶主機之內(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監(jiān)督程序)。攻擊準備：安置代理代理程序DDoS(分布式拒絕服務)攻擊（1）

3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數字包構成的連接請求送至目標系統(tǒng)。攻擊者目標系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內的大量殘缺的數字包攻擊目標系統(tǒng)，最終將導致它因通信淤塞而崩潰。虛假的連接請求DDoS(分布式拒絕服務)攻擊（2）DDoS和DoS小結DDoS的攻擊策略側重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，因此，拒絕服務攻擊又被稱之為“洪水式攻擊”，常見的DDoS攻擊手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；DoS則側重于通過對主機特定漏洞的利用攻擊導致網絡棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網絡服務功能，從而造成拒絕服務，常見的DoS攻擊手段有Teardrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。安全管理中：人是核心，技術是保證，運行是關鍵。1.5.3網絡安全的防護體系虛擬專用網防火墻訪問控制防病毒入侵檢測網絡安全整體框架(形象圖)信息加密安全審計身份認證防火墻技術防病毒技術入侵檢測技術漏洞掃描1.5.4網絡安全技術信息加密技術密碼學的定義12數據加密技術

3

加密算法二、信息加密技術信息隱藏：看不到，找不到信息加密：看不懂，難理解信息鎖定：看到了，帶不走信息需要安全保密2.1密碼學概述2.1.1密碼學的定義2.1.2密碼體制的分類2.1.1密碼學的定義密碼學（Cryptology）——研究如何實現秘密通信的科學。密碼編碼學（Cryptography）——主要研究對信息進行編碼實現信息保密性的科學。密碼分析學（Cryptanalytics）——主要研究加密消息的破譯或消息的偽造。明文加密密文解密密碼編碼學密碼分析學

主要術語加密系統(tǒng):由密碼算法、所有可能的明文、密文及密鑰組成。

密碼算法：密碼算法也叫密碼(cipher),適用于加密和解密的數學函數.(通常情況下,有兩個相關的函數：

一個用于加密,一個用于解密)。明文(plaintext)：未被加密的消息。密文(ciphertext)：被加密的消息。密鑰(key)：密鑰就是參及加密及解密算法的關鍵數據。沒有它明文不能變成密文,密文不能解譯成明文。加密算法E解密算法D原始明文密文明文P加密密鑰KE解密密鑰KD

它必須滿足P=D（KD，E（KE，P））函數！對稱密鑰體制非對稱密鑰體制2.1.2密碼體制的分類2.2數據加密技術

數據加密技術主要分為數據存儲加密和數據傳輸加密。數據存儲加密技術文件級加密數據庫級加密介質級加密嵌入式加密設備應用加密數據傳輸加密技術數據傳輸加密技術主要是對傳輸中的數據流進行加密，常用的有鏈路加密、節(jié)點加密和端到端加密三種方式。（1）鏈路加密

不但要加密報文，還要加密報頭。要傳輸到下一個節(jié)點必須解密再加密，直到到達目的節(jié)點。在一個網絡節(jié)點，鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在。因此所有節(jié)點在物理上必須是安全的，否則就會泄漏明文內容。

節(jié)點1節(jié)點2節(jié)點n解密加密密文密文明文鏈路加密存在的問題：要求鏈路兩端加密設備同步，頻繁同步給網絡性能及管理帶來負作用。加密小部分數據也需要使得所有傳輸數據被加密，增加了開銷。保證每一個節(jié)點的安全性開銷高。由于加解密鑰相同，密鑰需秘密保存。密鑰分配在鏈路加密系統(tǒng)中就成了一個問題。（2）節(jié)點加密在操作方式上節(jié)點加密及鏈路加密是類似的。但它不允許消息在節(jié)點中以明文存在，用另外的密鑰在節(jié)點的安全模塊中對消息進行加密。節(jié)點加密要求報頭和路由信息以明文形式傳輸，以便節(jié)點能夠處理信息。節(jié)點1節(jié)點2節(jié)點n解密加密密文密文安全模塊用另外的密鑰對消息進行加密形成密文消息報頭、路由明文密文（3）端-端加密數據在從源點到終點的傳輸過程中始終以密文形式存在。消息在被傳輸時到達終點之前不進行解密。它不允許對消息的目的地址進行加密。不能掩蓋被傳輸消息的源點及終點，因此對于防止攻擊者分析通信業(yè)務是脆弱的。

節(jié)點1節(jié)點2節(jié)點n解密加密密文消息報頭、路由密文密文明文密文2.3加密算法2.3.1古典密碼2.3.2對稱密鑰算法2.3.3公開密鑰算法2.3.1古典密碼

古典密碼采用手工或機械操作實現加解密，實現起來相對簡單。古典密碼大體上可分為兩類:

（1）代替密碼技術（2）換位密碼技術代替密碼：明文中每一個字符被替換成密文中的另外一個字符。四類典型的代替密碼：簡單代替密碼、多名碼代替密碼、多字母代替密碼、多表代替密碼換位密碼。古典密碼：代替密碼技術單表替換技術(愷撒密碼)2.3.2對稱密鑰算法對稱密鑰算法（symmetricalgorithm）有時也稱傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來，反過來也成立。

加密：EK(P)=C解密：DK(C)=P密鑰：K等效于

DK（EK（P））=P相同密鑰方案&#&#方案發(fā)方收方明文密文明文密文單鑰加密體制算法

DESIDEAAES

數據加密標準（DES）

DES算法為密碼體制中的對稱密碼體制，又被成為美國數據加密標準，是1972年美國IBM公司研制的對稱密碼體制加密算法。明文按64位進行分組,密鑰長64位，密鑰事實上是56位參及DES運算（第8、16、24、32、40、48、56、64位是校驗位，使得每個密鑰都有奇數個1）分組后的明文組和56位的密鑰按位替代或交換的方法形成密文組的加密方法數據加密標準（DES）DES是一種分組加密算法，輸入的明文為64位，密鑰為56位，生成的密文為64位。DES對64位的明文分組進行操作。通過一個初始置換，將明文分組分成左半部分和右半部分，各32位長。然后進行16輪完全相同的運算。DES的破譯DES使用56位密鑰對64位的數據塊進行加密，并對64位的數據塊進行16輪編碼。在1977年，人們估計要耗資兩千萬美元才能建成一個專門計算機用于DES的解密，而且需要12個小時的破解才能得到結果。所以，當時DES被認為是一種十分強壯的加密方法。但今天，只需二十萬美元就可以制造一臺破譯DES的特殊的計算機，所以現在DES對要求“強壯”加密的場合已經不再適用了。

明文用K1加密密文密文K1：密鑰1K2：密鑰2K3：密鑰3密文用K2解密用K1加密明文用K1加密密文密文密文用K2解密用K3加密三重DES（TripleDES）三重DES用兩個密鑰（或三個密鑰）對明文進行三次加密解密運算。密鑰長度從56位變成112位（或168位）。IDEA算法IDEA（InternationDataEncryptionAlgorithm）數據加密算法是由瑞士聯邦技術學院的中國學者來學嘉博士和著名的密碼專家JamesL.Massey于1990年聯合提出的PES(建議標準算法稱作PES(ProposedEncryptionStandard))，91年修訂，92公布細節(jié)并更名為IDEA。

IDEA是對稱、分組密碼算法，輸入明文為64位，密鑰為128位，生成的密文為64位；設計目標從兩個方面考慮加密強度易實現性IDEA是一種專利算法(在歐洲和美國)，專利由瑞士的Ascom公司擁有。AES算法1997年4月15日，美國國家標準技術研究所（NIST）發(fā)起征集高級加密標準（AdvancedEncryptionStandard）AES的活動，活動目的是確定一個非保密的、可以公開技術細節(jié)的、全球免費使用的分組密碼算法，作為新的數據加密標準。1997年9月12日，美國聯邦登記處公布了正式征集AES候選算法的通告。作為進入AES候選過程的一個條件，開發(fā)者承諾放棄被選中算法的知識產權。對AES的基本要求是：比三重DES快、至少及三重DES一樣安全、數據分組長度為128比特、密鑰長度為128/192/256比特。2.3.3公鑰密碼體制公開密鑰算法（public-keyalgorithm）也稱非對稱密鑰算法，加密密鑰不同于解密密鑰，而且解密密鑰不能根據加密密鑰計算出來。加密密鑰叫做公開密鑰（public-key，簡稱公鑰），解密密鑰叫做私人密鑰（private-key，簡稱私鑰）。加密：EK1(P)=C解密：DK2(C)=P公鑰：K1私鑰：K2等效于

DK2（EK1（P））=P比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、DiffeHellman、Rabin、OngFiatShamir、零知識證明的算法、橢圓曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊，而最近勢頭正勁的ECC算法正有取代RSA的趨勢。加密密鑰方案&#&#方案發(fā)方收方明文密文明文密文雙鑰加密體制解密密鑰認證中心公鑰（證書）私鑰（智能卡）

代表算法

RSA

橢圓曲線公開密鑰算法的安全性公開密鑰算法都是基于復雜的數學難題。根據所給予的數學難題來分類，有以下三類系統(tǒng)目前被認為是安全和有效的。1.大整數因子分解系統(tǒng)（RSA）2.離散對數系統(tǒng)（DSA,ElGamal）3.橢圓曲線離散對數系統(tǒng)（ECDSA）公開密鑰算法的特點1）用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復出明文，或寫為：DSK（EPK（X））=X。2）加密密鑰不能用來解密，即DPK（EPK（X））≠X。（密鑰不相同，不能用推理的方法推出）3）在計算機上可以容易地產生成對的PK和SK。4）從已知的PK實際上不可能推導出SK。5）加密和解密的運算可以對調，即：EPK（DSK（X））=X。RSA公開密鑰密碼系統(tǒng)

（1）RSA的歷史1976年，Dittie和Hellman為解決密鑰管理問題，提出一種密鑰交換協(xié)議，允許在不安全的媒體上通過通訊雙方交換信息，安全地傳送秘密密鑰。1977年，R.Rivest、A.Shamir和L.Adleman教授提出了RSA算法。（2）RSA實現原理

節(jié)點B隨機生成密鑰e作公有密鑰，再由e計算出另一密鑰d作私開密鑰。密文密文明文明文A節(jié)點B用密鑰e加密數據生成密鑰e用密鑰d解密數據竊聽到的數據只有密鑰e和加密后的數據，無法解密（3）RSA密鑰生成體制1）生成兩個大素數p和q，計算n=p*q；（對于巨大的質數p和q,計算乘積n=p*q非常簡便，逆運算卻難之又難。）2）計算z=(p-1)*(q-1)，并找出一個及z互質的數e（e為公有密鑰）；3）利用歐拉函數計算出d，使其滿足e*dmod(p-1)(q-1)=1（或者(e*d-1)mod(p-1)(q-1）=0），mod為模運算（d為私有密鑰）；4）公開密鑰為：PK=(n，e)，用于加密，可以公開出去。5）秘密密鑰為：SK=(n，d)，用于解密，必須保密。（4） RSA加解密過程1）加密：設m為要傳送的明文，利用公開密鑰（n，e）加密，c為加密后的密文。 則加密公式為：c=memodn，（0≤c<n）；2）解密：利用秘密密鑰（n，d）解密。 則解密公式為：m=cdmodn，（0≤m<n）。

（5）RSA加解密舉例1）選取p=3，q=11。則n=p*q=33。z=(p-1)*(q-1)=2*10=20；2）選取d=13(大于p、q的數，且小于z，并及z互質)，通過e*13≡1mod20，計算出e=17。(大于p、q的數，并與z互質)

假如明文為整數M=8,則密文

C=memodn=817mod33=2251799813685248mod33=2復原明文m=cdmodn=213mod33=8192mod33=8例如：1）選取p=11，q=13。則n=p*q=143。z=(p-1)*(q-1)=10*12=120；2）選取e=17（大于p和q的質數），計算其逆，d=17^142mod143=113。3）那么公鑰PK為（143，17），私鑰SK為（143，113）。4）假設張三要傳送機密信息（明文）m=85給李四，張三已經從李四或者其它公開媒體得到公鑰PK（143，17），張三算出加密值

c=m^emodn=85^17mod143=24并發(fā)送給李四。5）李四在收到密文c=24后，利用自己的私鑰SK（143，113）計算出明文。m=c^dmodn=24^113mod143=85。6）這樣張三和李四就實現了信息加解密。（6）RSA的缺點1）密鑰生成難——受到素數產生技術的限制，因而難以做到一次一密。2）安全性有欠缺——沒有從理論上證明破譯RSA的難度及大數分解難度等價。另外，目前人們正在積極尋找攻擊RSA的方法。如：攻擊者將某一信息作一下偽裝，讓擁有私鑰的實體簽署。然后，經過計算就可得到它所想要的信息。

對稱密鑰及公開密鑰算法優(yōu)劣比較管理方面

第一、在管理方面，公鑰密碼算法只需要較少的資源就可以實現目的，在密鑰的分配上，兩者之間相差一個指數級別（一個是n一個是n2）。所以私鑰密碼算法不適應廣域網的使用，而且更重要的一點是它不支持數字簽名。安全方面第二、在安全方面，由于公鑰密碼算法基于未解決的數學難題，在破解上幾乎不可能。對于私鑰密碼算法，到了AES雖說從理論來說是不可能破解的，但從計算機的發(fā)展角度來看。公鑰更具有優(yōu)越性。速度方面第三、從速度上來看，AES的軟件實現速度已經達到了每秒數兆或數十兆比特。是公鑰的100倍，如果用硬件來實現的話這個比值將擴大到1000倍。

算法方面第四、對于這兩種算法，因為算法不需要保密，所以制造商可以開發(fā)出低成本的芯片以實現數據加密。這些芯片有著廣泛的應用，適合于大規(guī)模生產。三、數字簽名技術數字簽名定義12數字簽名流程3

數字證書3.1數字簽名什么是電子簽名？數字簽名和電子簽名的關系數字簽名定義數字簽名過程數字簽名算法3.1.1

什么是電子簽名？在傳統(tǒng)商務活動中，為了保證交易的安全及真實，一份書面合同或公文要由當事人或其負責人簽字、蓋章，以便讓交易雙方識別是誰簽的合同，保證簽字或蓋章的人認可合同的內容，在法律上才能承認這份合同是有效的。而在電子商務的虛擬世界中，合同或文件是以電子文件的形式表現和傳遞的。在電子文件上，傳統(tǒng)的手寫簽名和蓋章是無法進行的，這就必須依靠技術手段來替代。能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵懶性，起到與手寫簽名或者蓋章同等作用的簽名的電子技術手段，稱之為電子簽名。

3.1.2數字簽名和電子簽名的關系實現電子簽名的技術手段有很多種，但目前比較成熟的，世界先進國家普遍使用的電子簽名技術還是“數字簽名”技術。同樣，《中華人民共和國電子簽名法》中提到的簽名，一般指的就是“數字簽名”?！皵底趾灻笔悄壳半娮由虅?、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。

3.1.3數字簽名定義數字簽名不是手寫簽名的數字圖像，它是一種可以提供認證的加密形式，是轉向完全無紙環(huán)境的一個途徑。數字簽名,是只有信息的發(fā)送者才能產生的,別人無法偽造的一段數字串,它同時也是對發(fā)送者發(fā)送的信息的真實性的一個證明?！皵底趾灻薄峭ㄟ^某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章的驗證而無法比擬的。

3.1.3數字簽名定義數字簽名在ISO7498-2標準中被定義為：附加在數據單元上的一些數據，或是對數據單元所做的密碼變幻，這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被人進行偽造。3.1.4數字簽名流程（1）采用散列算法對原始報文進行運算，得到一個固定長度的數字串，稱為報文摘要（MessageDigest）。（2）發(fā)送方生成報文的報文摘要，用自己的私有密鑰對摘要進行加密來形成發(fā)送方的數字簽名。（3）這個數字簽名將作為報文的附件和報文一起發(fā)送給接收方。（4）接收方首先從接收到的原始報文中用同樣的算法計算出新的報文摘要，再用發(fā)送方的公開密鑰對報文附件的數字簽名進行解釋，比較兩個報文摘要，如果值相同，接收方就能確認該數字簽名是發(fā)送方的，否則就認為收到的報文是偽造的或者中途被篡改了。3.1.4數字簽名流程用接收方的公鑰對原文加密用接收方的私鑰對原文解密簽名過程驗證過程原文加密后的原文散列算法報文摘要數字簽名數字簽名報文摘要報文摘要散列算法發(fā)方的私鑰比較發(fā)送方接收方發(fā)送方發(fā)來的報文摘要接收方計算出的報文摘要非對稱算法加密