计算机网络安全管理----数据加密技术及应用.ppt

对称加密和非对称加密 数据加密的基本概念 网络加密的实现 数据加密技术的典型应用 数据加密的基本概念 所谓加密 就是把数据信息即明文转换为不可辨识的形式即密文的过程 目的是使不应了解该数据信息的人不能够知道和识别 将密文转变为明文的过程就是解密 加密和解密过程形成加密系统 明文与密文统称为报文 任何加密系统 不论形式如何复杂 实现的算法如何不同 但其基本组成部分是相同的 通常都包括如下4个部分 1 需要加密的报文 也称为明文 2 加密以后形成的报文 也称为密文 3 加密 解密的装置或算法 4 用于加密和解密的钥匙 称为密钥 密钥可以是数字 词汇或者语句 在对称加密算法中 数据发信方将明文 原始数据 和加密密钥一起经过特殊加密算法处理后 使其变成复杂的加密密文发送出去 收信方收到密文后 若想解读原文 则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密 才能使其恢复成可读明文 对称加密和非对称加密 对称加密算法 对称加密算法的特点 算法公开 计算量小 加密速度快 加密效率高 对称加密算法在分布式网络系统上使用较为困难 主要是因为密钥管理困难 使用成本较高 在计算机专网系统中广泛使用的对称加密算法有DES IDEA和AES 不对称加密算法的基本原理是 如果发信方想发送只有收信方才能解读的加密信息 发信方必须首先知道收信方的公钥 然后利用收信方的公钥来加密原文 收信方收到加密密文后 使用自己的私钥才能解密密文 不对称加密算法 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙 公钥和私钥 由于不对称算法拥有两个密钥 因而特别适用于分布式系统中的数据加密 广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA 在实践应用中 一般将对称加密和非对称加密两种方式混合在一起来使用 即在加密和解密时采用对称加密方式 密钥传送则采用非对称加密方式 这样即解决了密钥管理困难的问题 又解决了加密和解密速度慢的问题 对称加密中的序列密码和分组密码 序列密码的工作原理 序列密码也称流密码 最早的二进制序列密码是Vernam密码 他将明文消息转化为二进制数字序列 密钥序列也为二进制数字序列 加密是按明文序列和密钥序列逐位模2相加 即异或操作XOR 进行 解密也是按密文序列和密钥序列逐位模2相加进行 工作原理如图所示 分组密码的工作原理 分组密码的加密方式是先将明文序列以固定长度进行分组 然后将每一组明文用相同的密码和加密函数进行运算 工作原理如图所示 网络加密的实现 网络加密的实现有以下几种方法 链路加密 节点对节点加密 端对端加密 链路加密 链路加密又称在线加密 它是对在两个网络节点间的某条通信链路实施加密 是目前网络安全系统中重要采用的方式 链路加密能为网上传输的数据提供安全保证 所有消息在被传输之前进行逐位加密 在每个节点对接收到的消息进行解密 然后使用下一个链路的密钥对消息进行加密后再进行传输 在链路加密方式中 不仅对数据报文的正文加密 而且把路由信息 校验和等控制信息全部加密 所以 当数据报文传输到某个中间节点时 必须先被解密以获得路由信息和校验和 进行路由选择 差错检测 然后再被加密 发送给下个节点 知道数据报文到达谜底为止 节点对节点的加密 节点对节点的加密是为了解决在节点中的数据时明文的这点缺点 在中间节点里装有用于加密和解密的保护装置 由这个装置来完成一个密钥向另一个密钥的交换 因而 除了在保护装置里 即使在节点内也不会的出现明文 端对端加密 端对端加密是人们为了解决链路加密和节点对节点加密的不足而设计的 端对端加密又称脱线加密或包加密 它允许数据在从源节点被加密后 到终点的传输过程中始终以密文形式存在 消息在到达终点之前不进行解密 只有消息到达目的节点后才被解密 因为消息在整个传输过程中均受保护 所以即使节点被损坏也不会使消息泄露 因此 端对端加密方式可以实现按各种通信对象的要求改变加密密钥以及按应用程序进行密钥管理等 而且采用这种方式可以解决文件加密问题 另外 链路加密方式是对整个链路通信采取保护措施 而端对端加密方式则是对整个网络系统采取保护措施 相对于端对端加密系统更容易设计 实现和维护 且成本相对较低 数据加密技术的典型应用 1 数字签名2 报文验证 网络攻击种类及应对方法 针对信息保密性的攻击 信息泄密和传输分析方法 加密技术针对信息完整性的攻击 信息伪造和篡改方法 鉴别技术针对抗否认性的攻击 行为抵赖方法 数字签名 什么是数字签名怎么实现数字签名 知识点 数字签名的概念 就是附加在数据单元上的一些数据 或是对数据单元所作的密码变换 这种数据或转换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据 防止他人 例如接收者 进行伪造 数字签名原理 数字签名的实现多采用非对称加密方式 实现过程 数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理 完成对数据的合法 签名 数据接收方则利用对方的公钥来解读收到的 数据签名 并将解读结果用于对数据完整性的检验 以确认签名的合法性 数据签名的实现安全认证的重要工具和手段 它能够提供身份认证 数据完整性 不可抵赖等安全服务 1 仿冒充 2 可鉴别身份 3 防篡改 4 防抵赖 报文鉴别的概念 报文鉴别是在信息领域防止各种主动攻击 如信息的篡改与伪造 的有效方法 也称 报文认证 或 消息认证 是一个证实收到的报文来自可信任的信息源且未被篡改的过程 报文鉴别要求报文的接收方能够验证所收到的报文的真实性 包裹发送者姓名 发送时间 发送内容等 报文鉴别的一般实现方法 Hash函数可以分为两种 带密钥的Hash函数和不带密钥的Hash函数 带密钥的Hash函数可以用来产生报文的鉴别码MAC即H m H m 作为MAC附于报文m之后 保证通信双方之间的完整性 使双方之间的消息没有被第三方篡改或改造 报文鉴别作用 1 伪造信息 攻击者伪造信息发送给目标端 且声称该信息源来自一个已授权的实体 如计算机或用户 或攻击者以接收者