《信息安全技术概述》由会员分享,可在线阅读,更多相关《信息安全技术概述(14页珍藏版)》请在金锄头文库上搜索。
1、1 基本概念1.1 信息安全的要素l 保密性:指网络中的信息不被非授权实体获取与使用。保密的信息包括:1 存储在计算机系统中的信息:使用访问控制机制,也可以进行加密增加安全性。2 网络中传输的信息:应用加密机制。l 完整性:指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性,还要求数据的来源具有正确性和可信性,数据是真实可信的。解决手段:数据完整性机制。l 真实性:保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应。解决手段:身份认证机制。l 不可否认性:或不可抵赖性。发送信息方不能否认发送过信息,信
2、息的接收方不能否认接收过信息。解决手段:数字签名机制。1.2 信息保密技术l 明文(Message):指待加密的信息,用M或P表示。l 密文(Ciphertext):指明文经过加密处理后的形式,用C表示。l 密钥(Key):指用于加密或解密的参数,用K表示。l 加密(Encryption):指用某种方法伪装消息以隐藏它的内容的过程。l 加密算法(EncryptionAlgorithm):指将明文变换为密文的变换函数,用E表示。l 解密(Decryption):指把密文转换成明文的过程。l 解密算法(DecryptionAlgorithm):指将密文变换为明文的变换函数,用D表示。l 密码分析(
3、Cryptanalysis):指截获密文者试图通过分析截获的密文从而推断出原来的明文或密钥的过程。l 密码分析员(Crytanalyst):指从事密码分析的人。l 被动攻击(PassiveAttack):指对一个保密系统采取截获密文并对其进行分析和攻击,这种攻击对密文没有破坏作用。l 主动攻击(ActiveAttack):指攻击者非法入侵一个密码系统,采用伪造、修改、删除等手段向系统注入假消息进行欺骗,这种攻击对密文具有破坏作用。l 密码体制(密码方案):由明文空间、密文空间、密钥空间、加密算法、解密算法构成的五元组。分类:1 对称密码体制:单钥密码体制,加密密钥和解密密钥相同。2 非对称密码
4、体制:双钥密码体制、公开密码体制,加密密钥和解密密钥不同。l 密码系统(Cryptosystem):指用于加密和解密的系统,通常应当是一个包含软、硬件的系统。l 柯克霍夫原则:密码系统的安全性取决于密钥,而不是密码算法,即密码算法要公开。1.3 摘要算法1.3.1 概念摘要算法,又叫作Hash算法或散列算法,是一种将任意长度的输入浓缩成固定长度的字符串的算法,注意是“浓缩”而不是“压缩”,因为这个过程是不可逆的。常见的摘要算法:MD5,SHA-1。1.3.2 特点1. 过程不可逆。2. 不同内容的文件生成的散列值一定不同;相同内容的文件生成的散列值一定相同。由于这个特性,摘要算法又被形象地称为
5、文件的“数字指纹”。3. 不管文件多小(例如只有一个字节)或多大(例如几百GB),生成的散列值的长度都相同,而且一般都只有几十个字符。1.3.3 应用这个神奇的算法被广泛应用于比较两个文件的内容是否相同散列值相同,文件内容必然相同;散列值不同,文件内容必然不同。2 对称密码体制2.1 概念单钥密码体制,加密密钥和解密密钥相同。目前最为流行的对称加密算法是DES(DataEncryptionStandard,数据加密标准)和AES,此外,对称加密算法还有IDEA、FEAL、LOKI、Lucifer、RC2、RC4、RC5、Blow fish、GOST、CAST、SAFER、SEAL等。WinRA
6、R的文件加密功能就是使用的AES加密算法。2.2 举例加密过程:明文:good good study, day day up.密钥:google加密算法:将明文中的所有的字母“d”替换成密钥。密文:将“good good study, day day up.”中的所有字母“d”替换成“google”,就得到密文“googoogle googoogle stugoogley, googleay googleay up.”。解密过程:密文:googoogle googoogle stugoogley, googleay googleay up.密钥:google解密算法:将密文中所有与密钥相同的字
7、符串替换成“d”。明文:将“googoogle googoogle stugoogley, googleay googleay up.”中的所有“google”替换成“d”,就得到了明文“good good study, day day up.”。2.3 对称密码体制的不足如果是已经保存在自己硬盘上的文件,使用对称加密技术进行加密是没有问题的;如果是两个人通过网络传输文件,使用对称加密就很危险因为在传送密文的同时,还必须传送解密密钥。3 非对称密码体制3.1 概念双钥密码体制、公开密码体制、公钥密码体制。加密密钥和解密密钥不同,一个公开,称为公钥;一个保密,称为私钥。常见的算法:RSA密码算法
8、,Diffie-Hellman密钥交换算法,ElGamal加密算法。3.2 非对称加密算法的特点如果用密钥K1进行加密,则有且仅有密钥K2能进行解密;反之,如果使用密钥K2进行了加密,则有且仅有密钥K1能进行解密。注意:“有且仅有”的意思如果用密钥K1进行了加密,是不能用密钥K1进行解密的;同样,如果用密钥K2进行了加密,也无法用密钥K2进行解密。3.3 基本思路首先,生成一对满足非对称加密要求的密钥对(密钥K1和密钥K2)。然后,将密钥K1公布在网上,任何人都可以下载它,我们称这个已经公开的密钥K1为公钥;密钥K2自己留着,不让任何人知道,我们称这个只有自己知道的密钥K2为私钥。当我想给Cl
9、ark传送小电影时,我可以用Clark的公钥对小电影进行加密,之后这个密文就连我也无法解密了。这个世界上只有一个人能将密文解密,这个人就是拥有私钥的Clark。3.4 非对称密码体制的不足非对称加密算法有一个重大缺点加密速度慢,编码率比较低。例如在上一篇里我给Clark传的那个1GB的小电影,进行非对称加密足足用了66小时。那个借条小一些吧,也用了将近2分钟。所以在实际使用非对称加密的时候,往往不直接对文件进行加密,而是使用摘要算法与非对称算法相结合(适用于数字签名)或对称加密和非对称加密相结合(适用于加密传输文件)的办法来解决或者说绕过非对称加密算法速度慢的问题。3.5 应用一:加密3.5.
10、1 基本原理使用接收者的“公开密钥”加密,接收方用自己的“私有密钥”解密。【举例】流程是这样的:首先,登录当地的数字证书认证中心网站,填表-出示个人有效证件原件和复印件-缴费-等待数字证书认证中心制作数字证书-领取数字证书。如果您的公司需要申请大量的数字证书,还可以与认证中心的销售人员商量,先领取免费的试用版的数字证书供技术人员试用。我先在数字证书认证中心下载了Clark的公钥证书(就是一个含有公钥信息的文件),使用非对称加密算法对不良漫画进行加密,再将密文通过QQ传送给Clark。然后,我兴冲冲地拨打Clark的手机:“喂?Clark么?好久不见,呵呵.我给你发了个好东东呦,在QQ上,收到没
11、?.已经用你的公钥加密了。用你的私钥解密就行了”Clark兴冲冲地插入他的私钥(忘了说了,私钥并不是一个文件,而是一个USB设备,外形就跟U盘一样),解密,然后开始看漫画。3.5.2 加密的优化:对称加密和非对称加密相结合我们可以用对称加密与非对称加密相结合的方式来解决这个问题。对称加密速度快,但是必须在传送密文的同时传送解密密钥;非对称加密速度慢,但是不需要传送解密密钥。把两个技术一起使用,各取优点,就OK了。方法是,先把小电影用对称加密算法加密,然后把解密密钥用非对称加密算法加密。再将小电影的密文与解密密钥的密文同时传送给Clark。Clark收到这两样东西后,先用自己的私钥将解密密钥的密
12、文解密,得到解密密钥,再用解密密钥将小电影的密文解密,就得到了小电影的明文。Clark收到的这两样东西小电影的密文和解密密钥的密文加在一起就叫作数字信封。如下图:3.6 应用二:数字签名3.6.1 基本原理使用发送方/签名人的“私有密钥”加密/签名,接收方/验证方收到签名时使用发送方的公开密钥验证。【举例】唉,这个月买了太多的书,到月底揭不开锅了。正巧在QQ上遇到了Clark:1-2-3:“Clark,我需要200两纹银,能否借给我?”Clark:“没问题。我这就给你转账。请给我一张借条。”1-2-3:“太谢谢了,我这就用Word写一个借条给你。”然后,我新建一个Word文档,写好借条,存盘。
13、然后,然后怎么办呢?我不能直接把借条发送给Clark,原因有:1. 我无法保证Clark不会在收到借条后将“纹银200两”改为“纹银2000两”。2. 如果我赖账,Clark无法证明这个借条就是我写的。3. 普通的Word文档不能作为打官司的证据。好在我早就申请了数字证书。我先用我的私钥对借条进行加密,然后将加密后的密文用QQ发送给Clark。Clark收到了借条的密文后,在数字证书认证中心的网站上下载我的公钥,然后使用我的公钥将密文解密,发现确实写的是“借纹银200两”,Clark就可以把银子放心的借给我了,我也不会担心Clark会篡改我的借条,原因是:1. 由于我发给Clark的是密文,C
14、lark无法进行修改。Clark倒是可以修改解密后的借条,但是Clark没有我的私钥,没法模仿我对借条进行加密。这就叫防篡改。2. 由于用我的私钥进行加密的借条,有且只有我的公钥可以解密。反过来讲,能用我的公钥解密的借条,一定是使用我的私钥加密的,而只有我才拥有我的私钥,这样Clark就可以证明这个借条就是我写的。这就叫防抵赖。3. 如果我一直赖着不还钱,Clark把我告上了法庭,这个用我的私钥加密过的Word文档就可以当作程堂证供。因为我国已经出台了中华人民共和国电子签名法,使数字签名具有了法律效力。您一定已经注意到了,这个使用我的私钥进行了加密的借条,具有了防篡改、防抵赖的特性,并且可以作
15、为程堂证供,就跟我对这个借条进行了“签名”的效果是一样的。对了,“使用我的私钥对借条进行加密”的过程就叫做数字签名。3.6.2 数字签名的优化:摘要算法与非对称算法相结合用Word写给Clark的借条进行签名,总是先生成这个借条的散列值,然后用我的私钥对这个散列值进行非对称加密,然后把加密后的散列值(我们就叫它“散列值密文”吧)和借条一同发送到Clark那里。Clark在收到借条和散列值密文后,用从网上下载的我的公钥将散列值解密,然后Clark自己再生成一次借条的散列值,比对这两个散列值是否相同,如果相同,就叫作验证签名成功。由于散列值只有几十个字节,所以签名的速度还可以忍受。如下图:3.6.3 电子签章3.6.3.1 电子签章签名过程下面就演示一下用电子签章程序对我的借条进行签名的过程。1. 安装了电子签章程序后,Word和Excel中就会多出一个签名用的工具条。如下图:2. 写好借条,存盘。然后用鼠标点击“添加电子签章”按钮。然后在需要显示印章图片的位置上再按一次鼠标左键。3. 电子签章程序会弹出一个对话框,注意在这步一定要勾选“签章后锁定文件”复选框,至于为什么要这样,稍后再讲。然后点击确定按钮。4. 在上一步按确定按钮后,电子签章程序还会提示要求我输入存放私钥的US
