《[计算机软件及应用]第四讲 数据加密与身份鉴别》由会员分享,可在线阅读,更多相关《[计算机软件及应用]第四讲 数据加密与身份鉴别(96页珍藏版)》请在金锄头文库上搜索。
1、第四讲 数据加密与身份鉴别,2,本讲概要,本章就各种网络安全技术进行了阐述。所涉及的网络安全技术有: 数据加密技术(Encryption) 身份认证技术(Authentication) 包过滤技术(Packet Filtering) 资源授权使用(Authorization) 内容安全(防病毒)技术,(一) 数据加密技术,4,数据加密技术,数据加密的概念 数据加密技术原理 数据传输的加密 常用加密协议,本部分涉及以下内容:,5,数据加密的概念,数据加密模型,密文,加密密钥,信息窃取者,解密密钥,加密算法,解密算法,6,数据加密的概念,数据加密技术的概念,数据加密(Encryption)是指将明
2、文信息(Plaintext)采取数学方法进行函数转换成密文(Ciphertext),只有特定接受方才能将其解密(Decryption)还原成明文的过程。,明文(Plaintext) : 加密前的原始信息; 密文(Ciphertext) :明文被加密后的信息; 密钥(Key): 控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥; 加密(Encryption):将明文通过数学算法转换成密文的过程; 解密(Decryption):将密文还原成明文的过程。,7,数据加密的概念,数据加密技术的应用,数据保密; 身份验证; 保持数据完整性; 确认事件的发生。,8,数据加密技术原理,对称密钥
3、加密(保密密钥法) 非对称密钥加密(公开密钥法) 混合加密算法 哈希(Hash)算法 数字签名 数字证书 公共密钥体系,数据加密技术原理,9,数据加密技术原理,对称密钥加密(保密密钥法),加密算法,解密算法,密钥,网络信道,明文,明文,密文,两者相等,对称密钥密码体制(2),对称密钥密码体制的加密方式: 序列密码。序列密码一直是作为军事和外交场合使用的主要密码技术。它的主要原理是:通过有限状态机制产生性能优良的伪随机序列,使用该序列加密信息流,得到密文序列。所以,序列密码算法的安全强度完全决定于它所产生的伪随机序列的好坏。产生好的序列密码的主要途径之一是利用移位寄存器产生伪随机序列。目前要求寄
4、存器的阶数大于100阶,才能保证必要的安全。序列密码的优点是错误扩展小、速度快、利于同步、安全程度高。 分组密码。分组密码的工作方式是将明文分成固定长度的组,如64位一组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。,对称密钥密码体制的特点 对称密钥密码体制的缺点有:在公开的计算机网络上,安全地传送和密钥的管理成为一个难点,不太适合在网络中单独使用;对传输信息的完整性也不能作检查,无法解决消息确认问题;缺乏自动检测密钥泄露的能力。然而,由于对称密钥密码系统具有加解密速度快、安全强度高、使用的加密算法比较简便高效、密钥简短和破译极其困难的优点,目前被越来越多地应用在军事、外交以及商业等
5、领域。,非对称密钥密码体制(1),在该体制中,密钥成对出现,一个为加密密钥(即公开密钥PK),可以公之于众,谁都可以使用;另一个为解密密钥(秘密密钥SK),只有解密人自己知道;这两个密钥在数字上相关但不相同,且不可能从其中一个推导出另一个,也就是说:即便使用许多计算机协同运算,要想从公共密钥中逆算出对应的私人密钥也是不可能的,用公共密钥加密的信息只能用专用解密密钥解密。所以,非对称密钥密码技术是指在加密过程中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开,用于对信息的加密;而另一把则作为则私有密钥进行保存,用于对加密信息的解密。所以又可以称为公开密钥密码体制(
6、PKI)、双钥或非对称密码体制。 使用公开密钥加密系统时,收信人首先生成在数学上相关联、但又不相同的两把密钥,这一过程称为密钥配制。其中公开密钥用于今后通信的加密,把它通过各种方式公布出去,让想与收信人通信的人都能够得到;另一把秘密密钥用于解密,自己掌握和保存起来;这个过程称为公开密钥的分发。其通信模型如图所示。,12,数据加密技术原理,非对称密钥加密(公开密钥加密),加密算法,解密算法,公开密钥,网络信道,明文,明文,密文,私有密钥,公钥,私钥,公钥,私钥,不可相互推导,不相等,非对称密钥密码体制(3),与传统的加密系统相比,公开密钥加密系统有明显的优势,不但具有保密功能,还克服了密钥发布的
7、问题,并具有鉴别功能。 首先,用户可以把用于加密的密钥公开地分发给任何人。谁都可以用这把公开的加密密钥与用户进行秘密通信。除了持有解密密钥的收件人外,无人能够解开密文。这样,传统加密方法中令人头痛的密钥分发问题就转变为一个性质完全不同的“公开密钥分发”问题。 其次,由于公开密钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大地简化了密钥管理。获得对方公共密钥有三种方法:一是直接跟对方联系以获得对方的公共密钥;另一种方法是向第三方验证机构(如CA,即认证中心Certification Authority的缩写)可靠地获取对方的公共密钥;还有一种方法是用户事先把公开密钥发表或刊登出来,比如,用
8、户可以把它和电话一起刊登在电话簿上,让任何人都可以查找到,或者把它印刷在自己的名片上,与电话号码、电子邮件地址等列写在一起。这样,素不相识的人都可以给用户发出保密的通信。不像传统加密系统,双方必须事先约定统一密钥。 最后,公开密钥加密不仅改进了传统加密方法,还提供了传统加密方法不具备的应用,这就是数字签名系统。,混合加密体制,公开密钥密码体制较秘密密钥密码体制处理速度慢,算法一般比较复杂,系统开销很大。因此网络上的加密解密普遍采用公钥和私钥密码相结合的混合加密体制,以实现最佳性能。即用公开密钥密码技术在通信双方之间建立连接,包括双方的认证过程以及密钥的交换(传送秘密密钥),在连接建立以后,双有
9、可以使用对称加密技术对实际传输的数据进行加密解密。这样既解决了密钥分发的困难,又解决了加、解密的速度和效率问题,无疑是目前解决网络上传输信息安全的一种较好的可行方法。如图4.4所示。,15,数据加密技术原理,混合加密系统,对称密钥加密算法,对称密钥解密算法,对称密钥,网络信道,明文,明文,密文,混合加密系统既能够安全地交换对称密钥,又能够克服非对称加密算法效率低的缺陷!,非对称密钥加密算法,非对称密钥解密算法,对称密钥,公开密钥,私有密钥,混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合,加密方式和加密的实现方法,数据块和数据流加密的概念 数据块加密是指把数据划分为定长的数据块,再分别
10、加密。由于每个数据块之间的加密是独立的,如果数据块重复出现,密文也将呈现出某种规律性。 数据流加密是指加密后的密文前部分,用来参与报文后面部分的加密。这样数据块之间的加密不再独立,即使数据重复出现,密文也就不会呈现出明显的规律性。带反馈的流加密,还可以用来提高破译的难度。,三种加密方式,链路加密方式:把网络上传输的数据报文的每一位进行加密。不但对数据报文正文加密,而且把路由信息、校验和等控制信息全部加密。所以,当数据报文传输到某个中间节点时,必须被解密以获得路由信息和校验和,进行路由选择、差错检测,然后再被加密,发送给下一个节点,直到数据报文到达目的节点为止。目前一般网络通信安全主要采这种方式
11、。 节点对节点加密方式:为了解决在节点中数据是明文的缺点,在中间节点里装有用于加、解密的保护装置,即由这个装置来完成一个密钥向另一个密钥的变换。因而,除了在保护装置里,即使在节点内也不会出现明文。但是这种方式和链路加密方式一样,有一个共同的缺点:需要目前的公共网络提供者配合,修改他们的交换节点,增加安全单元或保护装置。 端对端加密方式:为了解决链路加密方式和节点对节点加密方式的不足,人们提出了端对端加密方式,也称面向协议加密方式。在这种方式中,由发送方加密的数据在没有到达最终目的地接受节点之前不被解密。加密解密只是在源节点和目的节点进行。因此,这种方式可以实现按各通信对象的要求改变加密密钥以及
12、按应用程序进行密钥管理等,而且采用此方式可以解决文件加密问题。这一方法的优点是:网络上的每个用户可有不同的加密关键词,并且网络本身不需增添任何专门的加密设备;缺点是每个系统必须有一个加密设备和相应的软件(管理加密关键词)或者每个系统必须自己完成加密工作,当数据传输率是按兆位/秒的单位计算时,加密任务的计算量是很大的。,18,数据传输的加密,链路加密方式,19,数据传输的加密,链路加密方式,用于保护通信节点间传输的数据,通常用硬件 在物理层或数据链路层实现。,优点 由于每条通信链路上的加密是独立进行的,因此当某条链路受到破坏不会导致其它链路上传输的信息的安全性。 报文中的协议控制信息和地址都被加
13、密,能够有效防止各种流量分析。 不会减少网络有效带宽。 只有相邻节点使用同一密钥,因此,密钥容易管理。 加密对于用户是透明的,用户不需要了解加密、解密过程。,20,数据传输的加密,链路加密方式,缺点 在传输的中间节点,报文是以明文的方式出现,容易受到非法访问的威胁。 每条链路都需要加密/解密设备和密钥,加密成本较高。,21,数据传输的加密,端对端加密方式,22,数据传输的加密,端对端加密方式,在源节点和目标节点对传输的报文进行加密和解密,一般在应用层或表示层完成。,优点 在高层实现加密,具有一定的灵活性。用户可以根据需要选择不同的加密算法。,缺点 报文的控制信息和地址不加密,容易受到流量分析的
14、攻击。 需要在全网范围内对密钥进行管理和分配。,数据加密的实现方式,目前,具体的数据加密实现方式主要有两种: 软件加密 硬件加密,加密方法,加密系统的组成 待加密的报文,也称明文。 加密后的报文,也称密文。 加密、解密装置或称算法。 用于加密和解密的密钥,它可以是数字,词汇或者语句。,四种传统加密方法,代码加密 替换加密 变位加密 一次性密码簿加密,代码加密,发送秘密消息的最简单做法,就是使用通信双方预先设定的一组代码。代码可以是日常词汇、专有名词或特殊用语,但都有一个预先指定的确切含义。它简单有效,得到广泛的应用。例如: 密文:黄姨白姐安全到家了。 明文:黄金和白银已经走私出境了。 代码简单
15、好用,但只能传送一组预先约定的信息。当然,可以将所有的语意单元(如每个单词)编排成代码簿,加密任何语句只要查代码簿即可。不重复使用的代码是很安全的。代码经过多次反复使用,窃密者会逐渐明白它们的意义,代码就逐渐失去了原有的安全性。,替换加密,例如,将字母a,b,c,x,y,z的自然顺序保持不变,但使之与D,E,F,A,B,C分别对应(即相差3个字符): Abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC 若明文为student,则对应的密文为VWXGHQW(此时密钥为3)。,变位加密,代码加密和替换加密保持着明文的字符顺序,只是将原字符替换
16、并隐藏起来。变位加密不隐藏原明文的字符,但却将字符重新排序,即把明文中的字母重新排列,字母本身不变,但位置变了。常见的变位加密方法有列变位法和矩阵变位法。,简单的变位加密示例,例如,加密方首先选择一个用数字表示的密钥,写成一行,然后把明文逐行写在数字下。按密钥中数字指示的顺序,逐列将原文抄写下来,就是加密后的密文: 密钥: 4 1 6 8 2 5 7 3 9 0 明文:来人已出现住在平安里 0 1 2 3 4 5 6 7 8 9 密文:里人现平来住已在出安,变位密码的另一个简单例子是:把明文中的字母的顺序倒过来写,然后以固定长度的字母组发送或记录,如: 明文:COMPUTER SYSTEMS 密文:SMETSY SRETUPMOC,列变位法,将明文字符分割成为五个一列的分组并按一组后面跟着另一组的形式排好,最后不全的组可以用不常使用的字符填满。形式如下: C1 C2 C3 C4 C5 C6 C6 C8 C9 C10 C11 C12 C13 C14 C15 密文
