《网络安全教程读书笔记》由会员分享,可在线阅读,更多相关《网络安全教程读书笔记(23页珍藏版)》请在金锄头文库上搜索。
1、网络安全教程读书笔记第4章 数据加密技术一、 数据加密概述在信息时代,信息自身是把双刃剑,一方面它服务于我们的生产、生活、使我们受益;一方面,信息的泄露也许对我们构成巨大的威胁。因此,客观上就需要一种有力的安全措施来保护机密数据不被窃取或篡改。数据加密与解密从宏观上讲是非常简朴的,很容易理解。加密与解密的某些措施也是非常直接的,并且非常容易掌握的,可以以便地对机密数据进行加密和解密。加密是指发送方将一种信息(或称为明文)通过加密钥匙及加密函数转换,变成无意义的密文,而接受方将此密文通过解密,解密密钥还原成明文。加密技术是网络安全技术的基石。任何一种加密系统至少涉及如下4个部分:(1) 明文(未
2、加密的报文)(2) 密文(加密后的报文)(3) 加密解密设备或算法(4) 加密解密的密钥计算机网络中的加密可以在不同层次上进行,最常用的是在应用层、链路层和网络层进行加密。数据加密可以分为两种途径:一种是通过硬件实现数据加密,另一种是通过软件实现数据加密。一般所说的数据加密是指通过软件对数据进行加密。通过硬件实现网络数据加密的措施有种:;链路层加密、节点加密和端对端加密。常用软件加密算法分为对称加密和非对称加密。二、 数据加密原则DES(Dt Ecrptn Stndad数据加密原则)由IB公司研制,并于17年被美国国标局拟定为联邦信息原则中的一项。S也已将ES定为数据加密原则。S是世界上最早被
3、公认的实用密码算法原则,目前它已经受了长达20余年的实践考验。DES使用相似的算法对数据进行加密和解密,所使用的加密密钥和解密密钥也是相似的。采用位长的密钥将64位长的数据加密成等长的密文。在DS加密过程中,先对64位长的明文进行初始置换,然后将其分割成左右各32位长的字块,通过1次迭代,进行循环移位与变换,最后再进行逆变换得出6位长的密文。DES的解密过程与解密过程很相似,只需将密钥的使用顺序进行颠倒。DES算法采用了散布、混乱等基本技巧,构成其算法的基本单元是简朴的置换、替代和模2加。ES的整个算法构造是公开的,其安全性由密钥保证。三、 国际数据加密原则国际数据加密算法()是由瑞士的学者提
4、出。在10年正式发布并在后来得到增强与完善。这种算法是在DS算法的基本上发展出来的,类似与三重S。IDEA也是针对DES具有密钥太短的缺陷而提出的。IDA的密钥为28位,这样长的密钥在此后若干年内应当是安全的。类似于DES,IDEA算法也是一种数据块加密算法,它设计了一系列加密轮次,每轮加密都使用从完整的加密密钥中生成的一种子密钥。与DE的不同之处在于,它采用软件实现,但与硬件实现的速度同样快。四、 单向函数单向函数的概念是公开密钥密码的中心。尽管它自身并不是一种合同,但在本书中所讨论的大多数合同来说却是一种基本构造模块。单向函数是一类计算起来相对容易,但求逆却非常困难的函数。也就是说,已知,
5、我们很容易计算出f(x)。但已知f(x),却难于计算出。在这里,“难”定义为:虽然世界上所有的计算机都用来计算,从(x)计算出也要耗费数百万年的时间。五、 单向Has函数单项Has函数有:压缩函数、缩短函数、消息摘要、指纹、密码校验和、信息完整性检查(IC)和操作检查码(DC)。单向Hsh函数是现代密码学的核心。单向Has函数是许多合同的另一构造模块。Has函数长期以来始终在计算机科学中使用,无论是从数学角度还是从别的角度看,Hash函数就是把可变输入长度串(叫做预映射,Pre-image)转换成固定长度(常常更短)输出串(叫做as值)的一种函数。简朴的ash函数就是对预映射的解决,并且返回由
6、所有入字节转换成的单一字节。六、 公开密钥密码体制老式的加密措施是加密、解密使用相似的密钥,由发送者和接受者分别保存,在加密和解密时使用。采用这种措施的重要问题是密钥的生成、注入、存储、管理及分发等过程很复杂,特别是随着顾客的增长,密钥的需求量成倍增长。在网络通信中,大量密钥的分派是一种难以解决的问题。在公开密钥密码体制下,加密密钥不等于解密密钥。加密密钥可对外公开,使任何顾客都可将传送次顾客的信息公开密钥加密发送,而解密密钥是对外保密的。虽然解密密钥理论上可以由加密密钥公开不会危害密钥的安全。七、 RS算法数学上的单向陷门函数的特点是在一种方向上求值很容易,但其逆向计算却很困难。许多形式为Y
7、f(x)的函数,对于给定的自变量x值,很容易计算出函数Y的值;而由给定Y值,在诸多状况下根据函数关系f(x)计算x值则十分困难。RSA(ivest-hair-deman)与178年浮现,目前已被SO推荐为公钥数据加密原则。RS算法基于一种十分简朴的数论事实:将两个大素数相乘十分容易,但是分解它们的乘积却非常困难,因此可以将乘积公开做为加密密钥。DES并不能取代R,它们的优缺陷正好互补。RSA的密钥很长,加密速度慢,而采用DES,正好弥补了RA的缺陷。即ES用于明文加密,RS用于DES密钥加密。八、 密钥管理密钥管理是密码学领域中最困难的部分。设计安全的密钥算法和合同是困难的,但可以依托大量的进
8、一步研究来解决。但是,对密钥进行保密更为困难。密码分析者常常通过密码管理来破译对称密钥和公钥体制。1密钥生成(1)减少的密钥空间(2)弱密钥选择人们选择自己的密钥时,常常喜欢选择更容易记忆的密钥。这就是所谓的弱密钥。(3)随机密钥好密钥是指那些由自动解决设备生成的随机的位串。如果密钥为6位长,每一种也许的64位密钥必须具有相等的也许性。这些密钥要么从可靠的随机源中产生,要么从安全的伪随机发生器中产生()917密钥生成AIX.7原则规定了一种密钥生成措施。并不生成容易记忆的密钥,更适合在一种系统中产生会话密钥或伪机数。用来生成密钥的加密算法是三重DES,就像其她算法同样容易。2非对称密钥空间假设
9、有一批加密设备,并且使用了一种安全的算法,但又怕这些设备落入敌手,破坏了加密,为此她们可以将算法加入到一种防篡改模块中。防篡改模块就是可以从特殊保密形式的密钥进行解密的模块,而其她的密钥都会引起模块用非常弱的算法解密。这样做可以使那些不懂得这个特殊形式的袭击者几乎无法获取密钥。3.发送密钥.验证密钥在实际应用中,对于接受者如何判断受到的密钥的确来字发送者,仍存在着许多需要解决的问题。例如,歹意的积极袭击者可以传送一种加密和签名的消息而将它伪装成来自发送者,当接受者试图访问公钥数据库验证发送者的签名时,歹意的积极袭击者可以用她自己的公钥来替代。她可以发明自己的假KC,并把真正的K公钥换成她自己产
10、生的公钥,从而达到欺骗接受者的目的。(1) 密钥传播中的错误检测(2) 密钥在解密过程中的错误检测5使用密钥软件加密是不可靠的。无法预测什么时候操作系统将会中断加密的运营,将某些东西写在磁盘上,或解决另某些急需的工作。当操作系统再次返回被中断的加密任务时,操作系统已把加密程序写在磁盘上,并同步将密钥也写了下来。这些密钥未被加密,在计算机重新覆盖那个存储区之前,始终留在磁盘上。当袭击者采用 好的工具彻底搜索该硬盘驱动器时,密钥也许还放在那里。在一种可抢先的多任务环境中,可以给加密操作设立足够高的优先权可以避免被中断。尽管这样可以减轻危险度,但仍存在一定风险。6.更新密钥为了保证密钥的安全性每天都
11、需要变化加密的数据链路的密钥,但这样做十分费时。更好的解决措施是直接从旧的密钥中产生新密钥,这又称为密钥更新。7.存储密钥最简朴的密钥存储是单顾客的密钥存储,某些系统采用简朴措施:密钥寄存于发送者的脑子中,而决不能放在系统中,发送者记住密钥,并只在对文献加密或解密时才输入密钥。8.公开密钥的密钥管理公开密钥密码使密钥容易管理,但也存在着问题。无论网络上有多少人,每个人只有一种公开密钥。如果发送者给接受者传送一段信息,就必须懂得接受者的公开密钥。(1) 公钥证书(2) 分布式密钥管理九、 通信加密在计算机网络中,通信加密(在传播过程中的数据加密)分为链路加密、节点加密和端到端加密。()链路加密(
12、2)节点加密(3)端到端加密十、 加密数据存储.非关联化密钥对硬盘进行加密有两种措施:用一种单独的密钥对所有数据进行加密。但这给分析者提供了大量用于分析的密文,并使多种顾客只查看硬盘的一部分的操作成为不也许;用不同的密钥对各个文献单独进行加密,这迫使顾客记住每个文献的密钥。驱动级与文献级加密有两种级别的硬盘加密:文献级和驱动器级,3.加密驱动器的随机存取十一、硬件加密与加密芯片1.硬件加密目前,所有加密产品都是以特定的硬件形式浮现的。这些加解密盒子被嵌入到通信线路中,然后对所有通过的数据进行加密。虽然软件加密在今天日趋流行,但是在商业和军事方面的应用中,硬件加密仍是主流。它速度快,安全性高,易
13、于安装。市场上有3种基本的加密硬件:自带加密模块,用于通信链路的专用加密盒以及可插入个人计算机的插卡。加密芯片密码虽然可为私人提供信息保密服务,但是它一方面是维护国家利益的工具。正是基于这个出发点,考虑到DS算法公开后带来的种种问题,美国国家保密局从108年开起开始着手考虑制定新的商用数据加密原则,以取代E。9年开始试用,93年正式使用,重要用于通信系统中电话,传真和计算机通信的安全保护。十二、加密技术的应用数字签名数字签名是指只有发送者才干产生的别人无法伪造的一段数字串,这段数字串同步也是对发送者发送的信息真实性的一种证明。2.数字时间戳在电子交易中,需要对交易文献的日期和时间信息采用安全措
14、施,而数字时间戳(T),可对电子文献刊登时间提供安全保护和证明。数字证书和认证系统(1)数字证书数字证书可以用于电子邮件、电子商务等各方面。数字证书的内部格式是由CCTTX.50国际原则所制定的。(2)认证系统在电子交易中,无论是数字时间戳服务还是数字凭证的发放,都不是靠交易双方自己来完毕(无法保证公正性),而需要有一种具有权威性和公正性的第三方来完毕。认证中心C就是承当网上安全电子交易认证服务,能签发数字证书并能确认顾客身份的服务机构。认证中心的重要任务是受理数字凭证的申请,签发数字证书及对数字证书进行管理。4电子商务(1)支付网关支付网关与支付型电子商务业务有关,位于公网和老式的银行网络之
15、间,其重要功能为:将公网传来的数据包解密,并按照银行系统内部通信合同将数据重打包;接受银行系统内部传来的相应消息,将数据转换为公网传送的数据格式,并对其进行加密。(2)信用卡服务系统POS系统并不仅仅指消费者在商场中常用的OS收款机或电子算盘,真正的PS系统是指通过优化的一种销售解决反案,它具有强大的财力和技术后盾的信息管理系统。(3) 电子柜员机支付型电子商务是通过电子柜员机软件系统接入公网,其重要任务是负责解决顾客的申请,并和银行(通过支付网关)进行通信,发送和接受加密信息,存储签名钥匙和互换钥匙,申请和接受认证等。并随时与数据库进行通信以便存储和填写订单及保存和解决记录。()电子数据互换(EI)DI是电子商务环节(如POS系统)的作业可以顺利实现的基本。EI涉及硬件和软件两大部分,硬件重要是计算机网络,软件涉及计算机软件和EI原则。从硬件方面,出于安全考虑,此前的E一般在专用网络(即VAN)上实现的,但目前互联网作为一种费用更低,服务更好的系统,正在逐渐成为EI的另一种更为合适的硬件载体。第五章网络袭击、检测与防备技术一、 网络袭击技术1网络袭击的定义任何以
