计算机网络技术第二十讲.ppt

计算机网络技术,聊城大学环境与规划学院 2008年11月,第二十讲,第6章 计算机网络安全,网络风险主要来自： 外部的入侵； 内部的脆弱。,造成的结果是： 系统不能正常工作； 系统中的数据被非法获取、修改和破坏。,6.1 数据加密与数据隐藏技术,第6章 计算机网络安全,6.2 认证与鉴别技术,6.3 防火墙技术,6.4 计算机网络入侵检测与安全预警,6.5 恶意程序及其防治,6.1 数据加密与数据隐藏技术,本节教学目标：,掌握数据加密/解密算法和密钥；,掌握对称密钥体系、非对称密钥体系的原理；,了解密钥分配问题；,理解数据隐藏技术。,6.1 数据加密与数据隐藏技术,为了使系统中的数据不被非法获取，我们可以采取两个基本方法：,数据加密：将数据变形，使获取者无法辨识内容、无法利用；,数据隐藏：将数据隐藏在某个载体中，让外人难以找到。,6.1 数据加密与数据隐藏技术,6.1.1 加密/解密算法和密钥,6.1.2 对称密钥体系,6.1.3 非对称密钥体系,6.1.4 密钥分配,6.1.5 数据隐藏,6.1.1 加密/解密算法和密钥,数据加密：通过某种函数进行变换，把正常数 据报文（明文、明码）转换成密文（密码）。,6.1 数据加密 与数据隐藏技术,COMPUTER,FRQSXWHU,恺撒算法：将明文中的每个字母都移动一段距离。,加密算法公式： C=EK(M) 其中，M为明文，C为密文，E为加密算法，K为密钥 。,Vigenere密码系统,例如：欲把明文“computer network”用密钥“study”来加密，算法为：,制作维吉利亚方阵，第i行以字母I开始。,6.1 数据加密 与数据隐藏技术,Vigenere密码系统,按密钥的长度将明文分解成若干节。由于K=study，长度为5，故分解为：,密钥 s t u d y,明 文,c o m p u,t e r n e,t w o r k,6.1 数据加密 与数据隐藏技术,Vigenere密码系统,对每一节明文，利用密钥study进行变换。,6.1 数据加密 与数据隐藏技术,密钥 s t u d y,密 文,U H G S S,L X L Q C,L P I U I,由此可见：,加密/解密变换的两个关键要素： 算法E：数学公式、法则、程序。 密钥k：可变参数；,6.1 数据加密 与数据隐藏技术,提高加密强度的手段： 设计安全性好的加密算法 尽量提高密钥的长度,两种密码体系：对称与非对称密码体系,6.1.2 对称密钥体系,加密和解密采用同一把密钥。 密钥必须保证不能泄露。 也称为秘密密钥密码体制或私钥密码体制。,明文,加密器E,解密器D,明文,密文,密钥,6.1 数据加密 与数据隐藏技术,6.1.2 对称密钥体系,最著名的加密算法：DES分组算法。 另一个成功的分组加密算法：IDEA分组加密算法,6.1 数据加密 与数据隐藏技术,加密算法是标准的、公开的。 算法的安全性完全依赖于密钥。,密钥的分发和管理机构Key Distribution Center： 初始密钥 阶段性密钥,秘密密钥体制的特点及问题,特点： 运算效率高、使用方便、加密效率高。,6.1 数据加密 与数据隐藏技术,存在问题： 密钥的管理和分配问题。 由于加密密钥和解密密钥是一样的，通信双方在通信之前必须互通密钥，而密钥在传递的过程中极有可能被第三方截获。这就为密钥的保密工作增加了难度；另外，如果有n个用户彼此之间要进行保密通信，则一共需要n(n-1)/2个密钥，如此巨大数目的密钥为密钥的管理和分配带来了极大的困难。,秘密密钥体制的特点及问题,6.1 数据加密 与数据隐藏技术,存在问题： 认证问题。 对称密钥加密系统无法避免和杜绝如下一些不正常现象： （1）接收方可以篡改原始信息，（2）发送方可以否认曾发送过信息等等。,6.1.3 非对称密钥体系,非对称密钥体系概述 公开密钥系统（1976年提出）的特点是：,6.1 数据加密 与数据隐藏技术,加密和解密分别用不同的密钥进行:DPK(EPK(M)M， DSK(EPK(M) = M； 加密密钥和解密密钥可以对调，即DPK(ESK(M)= M； 应能在计算机上成对的生成，但不能用已知的PK导出未知的SK。,6.1.3 非对称密钥体系,公开密钥系统的优点： 发送者和接收者事先不必交换密钥，从而使保密性更强； 可用于身份认证和防止抵赖，应用前景广阔。,6.1 数据加密 与数据隐藏技术,公开密钥系统的缺点： 计算量大，故不适合信息量大、速度要求快的加密。,6.1.3 非对称密钥体系,2. 非对称密钥体系的工作原理,6.1 数据加密 与数据隐藏技术,为通信双方A、B各生成一对密钥PKA、SKA； PKB、SKB。PKA、PKB称为公开密钥（公钥），SKA、SKB称为私有密钥（私钥）；,每一方掌握自己的私钥和对方的公钥，即：A：SKA、PKB ，B：SKB、PKA。,6.1.3 非对称密钥体系,设A为发送方，B为接收方，加密/解密过程为：,M,D,E,PKB,D,E,M,SKB,PKA,DSKA(M),EPKB(DSKA(M),DSKA(M),A 方,B 方,6.1 数据加密 与数据隐藏技术,6.1.3 非对称密钥体系,3. RSA算法（Rivest、Shamir、Adleman）,6.1 数据加密 与数据隐藏技术,欧拉定理：寻求两个大的素数容易，但将它们的乘积分解开极其困难。,RSA算法非常简单，概述如下： 秘密的找两个十进制大素数p和q； 计算出N=p*q，将N公开； 取T=(p-1)*(q-1)（T即为欧拉函数）；,6.1.3 非对称密钥体系,3. RSA算法（续）,6.1 数据加密 与数据隐藏技术,取任何一个数e,要求满足eT并且e与T互素（就是最大公因数为1）; 确定整数d，规则是（d*e）mod T=1; 这样最终得到三个数：N、d、e，则密钥为： PK=(e，N)，SK=(d，N)。,设明文为数M（MN），密文为C，则有： 加密：C=(Me) mod N 解密：M=(Cd) mod N,6.1.3 非对称密钥体系,RSA算法举例：,6.1 数据加密 与数据隐藏技术,产生一对密钥 p=7，q=13； 这样，N=p*q=91； T=(p-1)*(q-1)=72;,取e=5，满足eT并且e和T互素。用穷举法可以获得满足（d*e）mod T=1的数d29；,最终我们获得关键的N=91，d=29，e=5。 故：公钥PK=5，91，私钥SK=29，91。,6.1.3 非对称密钥体系,用这对密钥进行加密/解密试验,6.1 数据加密 与数据隐藏技术,设明文取 M=12 我们看看:,解密：我们可以用d来对加密后的C进行解密， 根据M=(Cd) mod N = (3829) mod 91， 3829=6.51215E+45，求余后得12，即明文M。,加密： 根据公式C=(Me) mod N， C=(125) mod 91，125=248832，求余后得38，即用e对M加密后获得加密信息C38。,6.1.3 非对称密钥体系,RSA体制的安全性依赖于大数分解的难易程度。,6.1 数据加密 与数据隐藏技术,破解者可以得到e和N，如果想要得到d，必须得出(p-1)*(q-1)（即欧拉函数T），因而必须先对N进行因数分解。,如果N很大那么因数分解就会非常困难，所以要提高加密强度，p和q的数值大小起着决定性的作用。,一般来讲当p和q都大于2128时，按照目前的计算机处理速度破解基本已经不大可能了。,6.1.4 密钥分配,现代密码学要求，在设计密码系统时，应当不强调密码算法的保密。,6.1 数据加密 与数据隐藏技术,密码系统的安全性只取决于密钥的安全。,而从密钥的管理途径进行攻击比单纯破译密码算法要容易得多。,故需要对密钥的产生、分发、存储、分配、验证、销毁等进行集中的管理。,6.1.4 密钥分配,密钥分配是密钥管理中最大的问题。两种密钥分配方法：,6.1 数据加密 与数据隐藏技术,网外分配：派可靠信使分配密钥。 网内分配：自动密钥分配。 用户之间直接分配； 通过密钥分配中心（KDC）分配：当前密钥分配的主流方式。,6.1.5 数据隐藏,数据隐藏技术是指隐藏数据的存在性。,6.1 数据加密 与数据隐藏技术,通常将数据隐藏在一个容量更大的数据载体中，形成隐秘载体。,载体可以采用文字、图像、声音、视频等，多用多媒体数据作为载体。,将加密与数据隐藏两者结合起来以增加被攻击的难度。,6.1.5 数据隐藏,数据的隐藏过程和提取过程如下：,预处理,嵌入算法,载体C,密钥K1,解