收藏
下载资源

网络通信加密技术

上传人:豆浆 文档编号:31941179 上传时间:2018-02-09 格式:DOC 页数:10 大小:85KB
返回 下载 相关 举报
网络通信加密技术_第1页
第1页 / 共10页
网络通信加密技术_第2页
第2页 / 共10页
网络通信加密技术_第3页
第3页 / 共10页
网络通信加密技术_第4页
第4页 / 共10页
网络通信加密技术_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《网络通信加密技术》由会员分享,可在线阅读,更多相关《网络通信加密技术(10页珍藏版)》请在金锄头文库上搜索。

1、网络通信中的基本安全技术发布时间:2006 年 5 月 23 日 点击次数:703 来源: 电子技术应用 作者:北京化工大学自动化系(100029) 潘立登 盛乃军摘 要: 介绍了网络安全的基本内容,详细分析了 DES、RSA、数字签名、数字信封、密钥管理和认证体系等基本的安全技术。 关键词:Internet DES RSA 加密 密钥管理Internet 已经成为当今全球数据通信的有效工具,它的迅猛发展对全球经济和社会生活都产生了巨大影响。 Internet 网的应用领域极其广阔,如许多高等学校都已建立自己校园网并与 Internet 相连。作为远程教学的工具和获得信息的重要途径,商业界也在

2、积极地建立企业内部网络并通过 Internet 向公众提供种类繁多的信息服务,其中最引人注目的当属电子商务,电子商务正是在 Internet 快速发展的浪潮下应运而生的,它是信息时代社会生产与社会消费之间发生的一次革命。Internet 在为人们带来无限商机的同时,也给人们提出一个十分严峻的课题,即如何保证各种网络应用的安全性。例如在电子商务中网上购物是在线付款,用户的信用卡号等许多信息都是敏感信息,而这些网上传输的敏感数据和存放敏感信息的站点正是网络黑客的重点攻击对象。因此,人们在开展各种网络业务时,首先考虑的是这种网络业务是否能够保证安全,如果不能保证安全,人们也就不会接受这种业务。网络通

3、信的数据安全包括以下几个方面: 数据传输的安全性 数据传输的安全性即是要保证在公网上传输的数据不被第三方窃 数据的完整性 对数据的完整性需求是指数据在传输过程中不被篡改。 身份验证 由于网上的通信双方互不见面,必须在相互通信时(交换敏感信息时)确认对方的真实身份。 不可抵赖性 在网上开展业务的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证发生纠纷时有所对证。通常情况下,网络通信中所采用的安全技术主要有防火墙技术、数据加密技术和身份认证技术等。本文讨论的重点是数据加密技术和身份认证技术以及它们在网络通信安全策略中的应用。 加密技术计算机网络中保护数据安全性最有效的方法就是

4、数据加密技术。数据加密算法有很多种,每种加密算法的加密强度各不相同。目前存在两种基本的加密体制:对称密钥加密和非对称密钥加密。1.1 对称密钥加密对称密钥加密体制又被称为私钥加密体制,它使用同一组钥匙对消息进行加密和解密。因此,消息的接收者和发送者必须拥有一组相同的密钥。在私钥加密体制中,比较有名的加密算法是 DES(Data Encryption Standard) (数据加密标准)。美国国家标准局于 1977 年宣布数据加密标准 DES 用于非国家保密机关。该加密算法是由 IBM 公司研究提出的,使用 64 比特的密钥对 64 比特的数据进行加密和脱密。DES 可以采取多种操作方式,下面介

5、绍两种最为通用的操作方式,即 ECB、CBC:)电子密码本型ECB 这种操作模式是用同一把钥匙独立地加密每个 64-bit 的明文组,其操作特点如下:可加密 64bits。加密与代码组的顺序无关。对同一组密钥,相同明文组将产生相同密文组,因此易受字典攻击的破译。 错误只影响当前的密文组,不会扩散传播。)密码分组链接型CBC 每组明文在加密之前先与前一个密文组进行异或运算,然后再进行加密,其操作特点如下:可加密 64 bits 的整数倍。对相同的密钥和初始向量 相同的明文将生成相同的密文。链接操作使密文组依赖于当前及其前面所有的明文组,因此密文组的顺序不能被打乱。可用不同的初始向量来防止相同的明

6、文产生相同的密文。错误将影响从当前开始的两个密文组。DES 在密码学发展历史上具有重要的地位。在 DES 加密标准公布以前,密码设计者出于安全性考虑,总是掩盖算法的实现细节,而 DES 开历史之先河,首次公开了全部算法。同时,DES 作为一种数据加密标准,推动了保密通信在各种领域的广泛应用。1.2 非对称密钥加密非对称密钥加密又被称为公开密钥加密体制,是由 Wwhitfield Diffie 和 Martin Hellman 在 1976 年提出。其加密机制是,每个人拥有一对密钥,一个称为公开密钥,另一个称为秘密密钥,这两个密钥是数学相关的。公开密钥是公开信息,秘密密钥由用户自己保存。在这种体

7、制中,加密和解密使用不同的密钥,因此,发送者和接收者不再需要共享一个秘密(对称密钥加密体制中,发送者和接收者必需共享一个密钥),即在通信的全部过程中不需要传送秘密密钥。公开密钥算法的主要特点如下:)用加密密钥 PK 对明文 A 加密后得到密文,再用解密密钥 SK 对密文解密,即可恢复出明文 A。 )加密密钥不能用来解密,即: )用 SK 加密的信息只能用 PK 解密;用 PK 加密的信息只能用 SK 解密。)从已知的不可能推导出。或者说,由推导出在计算上是不可能的。)加密和解密的运算可以对调,即: 公开密钥算法在运算速度较对称密钥加密算法慢一些,因此在实际应用中,对称密钥算法主要用于产生数字签

8、名、数字信封 而并不直接对大量的应用数据进行加密。在公开密钥体制中,最为通用的是 RSA 公钥加密体制,它已被推荐为公开密钥数据加密标准。RSA 是由 Rivet、Shamir 和 Adleman 提出的,它的安全性是基于大数因子分解,由于大数因子分解在数学上没有行之有效的算法,因此该加密技术的破译是相当困难的。1.3 数字指纹技术在继续介绍其它的安全技术之前,我们还要先讨论一下数字指纹技术。数字指纹是一种形象的说法,在密码学上又被称为“信息摘要”(message)。它是通过安全的单向散列函数(Secure Hash)作用于将要发送的信息(message)上产生的:message digest

9、=Secure Hash(message)单向散列函数有三个主要特点:)它能处理任意大小的信息,并将其按信息摘要(message digest)方法生成固定大小的数据块,对同一个源数据反复执行 Secure Hash 函数将总是得到同样的结果。 )它是不可预见的。产生的数据块的大小与原始信息的大小没有任何联系,同时源数据和产生的数据块看起来也没有明显关系,源信息的一个微小变化都会对小数据块产生很大的影响。)它是完全不可逆的,没有办法通过生成的数据块直接恢复源数据。数字指纹技术并不是一种加密机制,但却能产生信息的数字“指纹”,通过验证信息的“指纹”来确保数据没有被修改或变化,保证信息的完整性不被

10、破坏。常用的信息摘要算法有 MD2、MD5 和 SHA-1 等。 身份认证技术2.1 数字签名数字签名是用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性的一种安全技术。首先,接收者能够验证发送者对报文的签名,以确保数据的完整性。同时,由于第三方公证机构可以通过数字签名进行公证,因此发送者事后不能抵赖对报文的签名。另外,数据签名还具有不可伪造性,同现实世界中手工签名具有相同的效果。公开密钥算法是实现数字签名的主要技术。使用公开密钥算法实现数字签名技术,类似于公开密钥加密技术。它有两个密钥:一个是签名密钥,它是对外保密的,因此称为私有密钥或秘密密钥,简称私钥;另一个是验证密钥

11、,它是对外公开的,因此称为公开密钥,简称公钥。 由于公开密钥算法的运算速度比较慢 ,因此可使用安全的单向散列函数对要签名的信息进行摘要处理 ,减小使用公开密钥算法的运算量。实现数字签名的过程如图所示。)信息发送者 A 使用一单向散列函数对信息生成信息摘要。)信息发送者 A 使用自己的私钥签名信息摘要(用私钥对摘要加密)。)信息发送者 A 把信息本身和已签名的信息摘要一起发送出去。)任何接收者 B 通过使用与信息发送者 A 使用的同一个单向散列函数对接收的信息生成新的信息摘要,再使用信息发送者 A 的公钥对数字签名解密,并与新生成的信息摘要比较,以确认信息发送者的身份和信息是否被修改过。 在数字

12、签名的基础上,还可以实现双重签名技术。双重签名技术是为了保证在事务处理过程中三方安全地传输信息的一种技术,实现了三方通信时的身份认证和信息完整性、防抵赖的保护。例如在网上购物的业务中,客户和商家之间要完成在线付款,那么客户、商家和银行之间将面临以下问题:客户(甲)需要给商家(乙)发送购买信息和客户的付款帐户信息;乙作为商家,接受购买信息后,还要同银行(丙)交互,以实现资金转帐。但甲不愿让乙看到自己的付款帐户信息,也不愿让处理甲付款信息的丙看到订购信息。此时甲使用双重签名技术对两种信息作数字签名,来完成以上功能。双重数字签名的实现步骤如下:)甲对发给乙的信息 1 生成信息摘要 1;)甲对发给丙的

13、信息 2 生成信息摘要 22;)甲把信息摘要 11 和信息摘要 2 合在一起,对其生成信息摘要 3,并使用自己的私钥签名信息摘要 3;)甲把信息 1、信息摘要 22 和信息摘要 3 的签名发给乙;)甲把信息 2、信息摘要 1 和信息摘要 3 的签名发给丙;)乙接收信息后,对信息 1 生成信息摘要,把这信息摘要和收到的信息摘要 2 合在一起,并对其生成新的信息摘要,同时使用甲的公钥对信息摘要 3 的签名进行验证,以确认信息发送者的身份和信息是否被修改过;)丙接收信息后,对信息生成信息摘要,把这信息摘要和收到的信息摘要合在一起,并对其生成新的信息摘要,同时使用甲的公钥对信息摘要的签名进行验证,以确

14、认信息发送者的身份和信息是否被修改过。 2.2 数字信封数字信封技术结合了秘密密钥加密技术和公开密钥加密技术的优点。克服了秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的问题,使用两个层次的加密来获得公开密钥技术的灵活性和秘密密钥技术的高效性,保证信息的安全性。由于数字信封技术是把要发送的报文用收信方的公钥进行加密,只有收信方的私钥才能解开被加密的报文,而其他人不能解开被加密的报文,这样就确保了只有收信方才能准确地接收到报文,该技术也因此被形象地称为“数字信封”。数字信封的具体实现步骤如图所示。)发送方首先生成一个对称密钥,用该对称密钥加密要发送的报文;)发送方用接收方的公钥加密上述

15、对称密钥;)发送方将第一步和第二步的结果(即数字信封)传给接收方; )接收方使用自己的私钥解密被加密的对称密钥;)接收方用得到的对称密钥解密被发信方加密的报文,得到真正的报文。数字信封技术在外层使用公开密钥加密技术,因此可以获得公开密钥技术的灵活性。由于内层的对称密钥长度通常较短,从而使得公开密钥加密的相对低效率被限制在最低限度,而且由于可以在每次传送中使用不同的对称密钥,系统有了额外的安全保证。2.3 密钥管理和身份认证技术在许多网络攻击事件中,密钥的安全管理是黑客攻击的一个主要环节,因此网络的安全性另一个方面就是密钥的安全保护上,密钥管理包括密钥的设置、产生、分配、存储、注销、验证和使用等

16、一系列过程。密钥分配是密钥管理中最大的问题,也是网络的安全的重中之重。密钥必须通过最为安全的方式进行分配。数字证书是一种安全分发公钥的方式。在这种方式中,必须设立一个密钥管理中心,它全权负责密钥的发放、注销及验证。RSA 公开密钥体制就是采用这种方式进行密钥管理的。在公开密钥体制中存在一个或多个密钥管理中心,又称为证书授权CA Certificate Authority 中心。证书授权中心为每个申请公开密钥的用户发放一个证书,该证书证明了该用户拥有证书中列出的公开密钥。数字证书中基本包括证书持有人的个人信息、公钥以及证书签发者的对这些信息的数字签名和证书签发者的数字证书(私钥由用户秘密保存)。ca 的数字签名使得攻击者不能伪造和篡改该证书,因此

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号