加密技术及在网络通信中的应用.ppt

加密技术及在网络通信中的应用 密码学的基本概念 密码编码学是密码体制的设计学 而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术 密码编码学与密码分析学合起来即为密码学 在无任何限制的条件下 目前几乎所有实用的密码体制均是可破的 因此 人们关心的是要研制出在计算上 而不是在理论上 是不可破的密码体制 如果一个密码体制中的密码不能被可以使用的计算资源破译 则这一密码体制称为在计算上是安全的 密码算法 简单地说就是一个变换E 这个变换将需要保密地明文消息m转换成密文c 如果用一个公式表示就是 c Ek m 这个过程称之为加密 参数k是加密过程中使用的密钥 从密文c恢复明文地过程称之为解密 解密算法D是加密算法E地逆运算 密码分析者常用方法 穷举攻击 尝试密钥空间中所有可能的密钥 从统计学的角度讲 要尝试完密钥空间中大约一半的密钥才可能碰到正确的密钥 今天标准的对称密钥的长度是128bit 当密钥空间增大时 尝试的次数必然增大 从而增加穷举攻击的难度 统计分析攻击 密码分析者通过分析明文和密文的统计规律来破译密码 许多古典密码都可以通过分析密文字母和字母组的频率而破译 防止破解的方法 使明文的统计特征不带入密文 数学分析攻击 密码分析者针对加密算法的数学依据通过数学求解的方法来破译密码 密码学发展史 密码学作为保护信息的手段 经历了三个发展时期手工阶段机器时代 ENIGMA是德国在1919年发明的一种加密电子器 它被证明是有史以来最可靠的加密系统之一 二战期间它开始被德军大量用于铁路 企业当中 令德军保密通讯技术处于领先地位 电子时代计算机的出现使密码进行高度复杂的运算成为可能 近代密码学改变了古典密码学单一的加密手法 融入了大量的数论 几何 代数等丰富知识 使密码学得到更蓬勃的发展 替代密码 替代密码 substitutioncipher 的原理可用一个例子来说明 如表所示 换位密码 换位密码是采用移位法进行加密的 它把明文中的字母重新排列 本身不变 但位置变了 如 把明文中的字母的顺序倒过来写 然后以固定长度的字母组发送或记录 明文 computersystems密文 smetsysretupmoc 简单异或 异或 XOR 在C语言中是 操作 或者用数学表达式 表示 它是对位的标准操作 有以下一些运算 0 0 00 1 11 0 11 1 0也要注意 a a 0a b b a 密码算法的分类 按照加密密钥和解密密钥是否相同 分为 对称密码算法和非对称密码算法 美国的数据加密标准DES DataEncryptionStandard 和公开密钥密码体制 publickeycrypto system 的出现 成为近代密码学发展史上的两个重要里程碑 数据加密标准DES 数据加密标准DES于1977年被美国定为联邦信息标准后 在国际上引起了极大的重视 ISO曾将DES作为数据加密标准 加密算法如图10 5所示 三重DES DES的保密性仅取决于对密钥的保密 而算法是公开的 一种叫做三重DES TripleDES 是Tuchman提出的 并在1985年成为美国的一个商用加密标准 RFC2420 三重DES使用两个密钥 执行三次DES算法 公开密钥密码体制 公开密钥密码体制就是使用不同的加密密钥与解密密钥 是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制 公开密钥密码体制的产生主要是因为两个方面的原因 一是由于常规密钥密码体制的密钥分配 distribution 问题 另一是由于对数字签名的需求 在公开密钥密码体制中 加密密钥 即公开密钥 PK是公开信息 而解密密钥 即秘密密钥 SK是需要保密的 加密算法E和解密算法D也都是公开的 虽然秘密密钥SK是由公开密钥PK决定的 但却不能根据PK计算出SK RSA RSA算法是第一个能同时用于加密和数字签名的算法 也易于理解和操作 RSA是被研究得最广泛的公钥算法 从提出到现在已近二十年 经历了各种攻击的考验 逐渐为人们接受 普遍认为是目前最优秀的公钥方案之一 公钥加密技术 公钥加解密技术的结构 每个网络用户有两个密钥 称为公钥和私钥 在信息的发送和接受过程中 使用一个密钥加密 使用另一个密钥解密 同一个用户的两个密钥可以互相加解密 但这两个密钥相互之间很难相互推导得出 公钥 称为公开密钥 可以向其他用户公开私钥 称为私有密钥 是用户自己拥有 不能公开 公钥结构的保密通信原理 加密算法 解密算法 Internet Intranet 密文传送 明文 明文 发送方 接收方 发送方的私钥 接收方的私钥 发送方的公钥 发送方的公钥 接收方的公钥 接收方的公钥 要进行保密通信 发送方使用接收方的公钥对明文进行加密 接受方使用自己的私钥对密文进行解密 由于只有接收方才能对由自己的公钥加密的信息解密 因此可以实现保密通信 公钥结构的鉴别通信的原理 加密算法 解密算法 Internet Intranet 密文传送 明文 明文 发送方 接收方 发送方的私钥 接收方的私钥 发送方的公钥 发送方的公钥 接收方的公钥 接收方的公钥 要进行鉴别通信 发送方使用自己的私钥对明文进行加密 接收方使用发送方的公钥对密文进行解密 接收方使用发送方的公钥进行解密 可以确信信息是由发送方加密的 也就可以鉴别了发送方的身份 公钥结构的鉴别 保密通信的原理 加密算法 解密算法 Internet Intranet 密文传送 明文 明文 发送方 接收方 发送方的私钥 接收方的私钥 发送方的公钥 发送方的公钥 接收方的公钥 接收方的公钥 发送方先使用自己的私钥对明文进行加密 然后使用接收方的公钥进行加密 接收方先使用发送方的公钥进行解密 然后使用自己的私钥进行解密 这样就实现了鉴别和保密通信 密钥分配 由于密码算法是公开的 网络的安全性就完全基于密钥的安全保护上 因此在密码学中出现了一个重要的分支 密钥管理 密钥管理包括 密钥的产生 分配 注入 验证和使用 PKI PublicKeyInfrastructure 公钥基础设施 是利用公钥加解密技术来实现信息安全的技术 它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系PKI方案的核心就是数字证书 数字证书 在Internet上从事一些需要保密的业务时必备的 个人身份证 由权威机构发行 在网络通信中标志通信各方身份的一系列数据 网络上通信各方向PKI的数字证书颁发机构申请数字证书 通过PKI系统建立的一套严密的身份认证系统来保证 1 信息除发送方和接受方外不被其他人看到2 发送方能够通过数字证书来确认接受方的身份3 发送方对于自己的信息不能抵赖 数字证书的格式 版本 序列号 签名算法 颁发者 使用者 标识 有效期 数字证书的原理 公钥 公钥 私钥 私钥 数字证书采用公钥机制 证书颁发机构提供的程序为用户产生一对密钥 一把是公开的公钥 它将在用户的数字证书中公布并寄存于数字证书认证中心 另一把是私人的私钥 它将存放在用户的计算机上 数字证书认证中心CA CertificateAgency 数字证书认证中心CA 证书申请与颁发 证书申请与颁发 网站加密 SSL站点 只要浏览器和Web服务器都配置成使用SSL SecureSocketLayer安全套接层 就可以在传输层实现网络信息安全 SSL会话 通信双方就通信规则达成一致就是一个SSL会话 会话由SSL握手协议完成 定义加密安全参数的集合 SSL连接 利用会话参数进行的一次实际的数据传输过程 基于SSL的一个完整的Web访问过程 1 客户机浏览器的数字证书和公钥 2 服务器的数字证书和公钥 3 用服务器的公钥加密信息 4 用服务器的私钥解密信息 5 用客户机浏览器的公钥加密会话密钥 6 用客户机浏览器的私钥解密信息 7 用会话密钥加密传输的数据 客户端 服务器 公钥 私钥和会话密钥的关系 只要Web服务器和客户机浏览器使用的数字证书不变 它们的公钥和私钥就不变 而每次会话的会话密钥会改变 会话密钥