计算机网络加密与认证技术

加密与认证技术第4章基本内容信息的加密变换是目前实现安全信息系统的主要手段，通过利用不同的加密技术可以对信息进行变换，从而实现信息的保密和隐藏。信息保密技术是信息安全的基础内容，本章从密码体制开始，介绍加密算法和加密算法在信息系统中的应用。4.1加密技术概述

信息安全主要包括系统安全和数据安全两个方面。系统安全一般采用防火墙、防病毒及其他安全防范技术等措施，是属于被动型的安全措施。数据安全则主要采用现代密码技术对数据进行主动的安全保护，如数据保密、数据完整性、身份认证等技术。4.1加密技术概述

密码学是研究数据的加密、解密及其变换的学科，涵盖数学、计算机科学、电子与通信学科。密码技术不仅服务于信息的加密和解密，还是身份认证、访问控制、数字签名等多种安全机制的基础。

密码技术包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理、密钥托管等技术，是保护大型网络传输信息安全的唯一实现手段，是保障信息安全的核心技术。它以很小的代价，对信息提供一种强有力的安全保护。4.1.1加密技术一般原理4.1加密技术概述

加密技术的基本思想就是伪装信息，使非法接入者无法理解信息的真正含义。伪装就是对信息进行一组可逆的数学变换。我们称伪装前的原始信息为明文,经伪装的信息为密文，伪装的过程为加密。用于对信息进行加密的一组数学变换称为加密算法。为了有效控制加密、解密算法的实现，在这些算法的实现过程中，需要有某些只被通信双方所掌握的专门的、关键的信息参与，这些信息就称为密钥。用作加密的称加密密钥，用作解密的称作解密密钥。4.1加密技术概述

借助加密手段，信息以密文的方式归档存储在计算机中，或通过数据通信网进行传输，因此即使发生非法截取数据或因系统故障和操作人员误操作而造成数据泄漏，未授权者也不能理解数据的真正含义，从而达到了信息保密的目的。图4-1保密通信系统模型4.1加密技术概述

防止消息被篡改、删除、重放和伪造的一种有效方法是使发送的消息具有被验证的能力，使接收者或第三者能够识别和确认消息的真伪，实现这类功能的密码系统称为认证系统(AuthenticationSystem)。消息的认证性和消息的保密性不同，保密性是使截获者在不知密钥条件下不能解读密文的内容，而认证性是使不知密钥的人不能构造出一个密报，使意定的接收者脱密成一个可理解的消息(合法的消息)。

认证系统的基本要求：

1）意定的接收者能够检验和证实消息的合法性和真实性。

2）消息的发送者对所发送的消息不能抵赖。

3）除了合法消息发送者外，其他人不能伪造合法的消息，而且在已知合法密文c和相应消息m下，要确定加密密钥或系统地伪装合法密文在计算上是不可行的。4）必要时可由第三者做出仲裁。

4.1加密技术概述

4.1.2密码学与密码体制

密码学包括密码设计与密码分析两个方面，密码设计主要研究加密方法，密码分析主要针对密码破译，即如何从密文推演出明文、密钥或解密算法的学问。这两种技术相互依存、相互支持、共同发展。

加密算法的三个发展阶段：古典密码对称密钥密码（单钥密码体制）公开密钥密码（双钥密码体制）。

这些算法按密钥管理的方式可以分为对称算法与非对称算法两大类，即我们通常所说的对称密钥密码体制和非对称密钥密码体制。4.1加密技术概述

1．对称密钥密码体制

传统密码体制所用的加密密钥和解密密钥相同，或实质上等同（即从一个可以推出另外一个），我们称其为对称密钥、私钥或单钥密码体制。对称密钥密码体制不仅可用于数据加密，也可用于消息的认证。对称算法又可分为序列密码和分组密码两大类。序列密码每次加密一位或一字节的明文，也称为流密码。序列密码是手工和机械密码时代的主流方式。分组密码将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。最典型的就是1977年美国国家标准局颁布DES算法。4.1加密技术概述

图4-2对称密钥密码体制的通信模型

4.1加加密密技术概概述单钥密码码体制的的优点是：安全性高高且加、、解密速速度快其缺点是：进行保密密通信之之前，双双方必须须通过安安全信道道传送所所用的密密钥。这这对于相相距较远远的用户户可能要要付出较较大的代代价，甚甚至难以以实现。。例如，在在拥有众众多用户户的网络络环境中中使n个个用户之之间相互互进行保保密通信信，若使使用同一一个对称称密钥，，一旦密密钥被破破解，整整个系统统就会崩崩溃；使使用不同同的对称称密钥，，则密钥钥的个数数几乎与与通信人人数成正正比[需需要n*(n-1)个个密钥]。由此此可见，，若采用用对称密密钥，大大系统的的密钥管管理几乎乎不可能能实现。。4.1加加密密技术概概述2．非对对称密钥钥密码体体制若加密密密钥和解解密密钥钥不相同同，从其其中一个个难以推推出另一一个，则则称为非非对称密密钥或双双钥密码码体制。。采用双钥钥密码体体制的主主要特点点是将加加密和解解密功能能分开，，因而可可以实现现多个用用户加密密的消息息只能由由一个用用户解读读，或只只能由一一个用户户加密消消息而使使多个用用户可以以解读。。在使用双双钥体制制时，每每个用户户都有一一对预先先选定的的密钥：：一个是是可以公公开的，，以kl表示，，另一个个则是秘秘密的，，以k2表示，，公开的的密钥k1可以以像电话话号码一一样进行行注册公公布，因因此双钥钥体制又又称作公钥体制制(PublicKeySystem)。最有名的的双钥密密码体制制是1977年年由Rivest、Shamir和Adleman等等三人提提出的RSA密码算法法。4.1加加密密技术概概述图4-3双钥钥密码体体制的通通信模型型4.1加加密密技术概概述双钥密码码体制既既可用于于实现公公共通信信网的保保密通信信，也可可用于认认证系统统中对消消息进行行数字签签名。为为了同时时实现保保密性和和对消息息进行确确认，在在明文消消息空间间和密文文消息空空间等价价，且加加密、解解密运算算次序可可换，即即Ekl(Dk2(m))=Dk2(Ek1(m))=m。。图4-4双双钥保密密和认证证体制4.1加加密密技术概概述3．混合合加密体体制实际网络络多采用用双钥和和单钥密密码相结结合的混混合加密密体制，，即加解解密时采采用单钥钥密码，，密钥传传送则采采用双钥钥密码。。这样既既解决了了密钥管管理的困困难，又又解决了了加、解解密速度度的问题题。4.1加加密密技术概概述4.1.3密密码学学的作用用密码学主主要的应应用形式式有数字字签名、、身份认认证、消消息认证证（也称称数字指指纹）、、数字水水印等几几种，这这几种应应用的关关键是密密钥的传传送，网网络中一一般采用用混合加加密体制制来实现现。密码码学的应应用主要要体现了了以下几几个方面面的功能能。（1）维维持机密密性（2）用用于鉴别别（3）保保证完整整性（4）用用于抗抵抵赖4.2信信息息加密方方式网络数据据加密常常见的方方式有链链路加密密、节点点加密和和端到端端加密三三种。4.2.1链链路加加密链路加密密方式中中，所有有消息在在被传输输之前进进行加密密，不但但对数据据报文正正文加密密，而且且把路由由信息、、校验和和等控制制信息也也进行加加密。在在每一个个节点接接收到数数据报文文后，必必须进行行解密以以获得路路由信息息和校验验和，进进行路由由选择、、差错检检测，然然后使用用下一个个链路的的密钥对对报文进进行加密密，再进进行传输输。在每一个个网络节节点中，，消息以以明文形形式存在在4.2信信息息加密方方式4.2.2节节点加加密节点加密密是指在在信息传传输路过过的节点点处进行行解密和和加密。。尽管节节点加密密能给网网络数据据提供较较高的安安全性，，但它在操作方方式上与与链路加加密是类类似的：两者均均在通信信链路上上为传输输的消息息提供安安全性，，都在中中间节点点先对消消息进行行解密，，然后进进行加密密。因为为要对所所有传输输的数据据进行加加密，所所以加密密过程对对用户是是透明的的。然而而，与链路加加密不同同的是，，节点加加密不允允许消息息在网络络节点以以明文形形式存在在，它先先把收到到的消息息进行解解密，然然后采用用另一个个不同的的密钥进进行加密密，这一一过程是是在节点点上的一一个安全全模块中中进行。。节点加密密要求报报头和路路由信息息以明文文形式传传输。不能有效效防止攻击者者分析通信信业务。节节点加密与与链路加密密有共同的的缺点：需需要网络提提供者修改改交换节点点，增加安安全模块或或保护装置置。4.2信信息加密密方式4.2.3端到到端加密端到端加密密允许数据据在从源点点到终点的的传输过程程中始终以以密文形式式存在。采采用端到端端加密，消消息在被传传输时到达达终点之前前不进行解解密，因为为消息在整整个传输过过程中均受受到保护，，所以即使使有节点被被损坏也不不会使消息息泄露。端到端加密密系统通常常不允许对对消息的目目的地址进进行加密，，这是因为为每一个消消息所经过过的节点都都要用此地地址来确定定如何传输输消息。由由于这种加加密方法不不能掩盖被被传输消息息的源点与与终点，因因此它对于于防止攻击击者分析通通信业务是是脆弱的。。4.3常常用加密密算法4.3.1古典典密码算法法1．代码加加密它使用通信信双方预先先设定的一一组有确切切含义的如如日常词汇汇、专有名名词、特殊殊用语等的的代码来发发送消息，，一般只能能用于传送送一组预先先约定的消消息。2．替换加加密将明文字母母表M中的的每个字母母替换成密密文字母表表C中的字字母。这一一类密码包包括移位密密码、替换换密码、仿仿射密码、、乘数密码码、多项式式代替密码码、密钥短短语密码等等。这种方方法可以用用来传送任任何信息，，但安全性性不及代码码加密。因因为每一种种语言都有有其特定的的统计规律律，如英文文字母中各各字母出现现的频度相相对基本固固定，根据据这些规律律可以很容容易地对替替换加密进进行破解。。典型的有有凯撒密码。4.3常常用加密密算法4.3.1古典典密码算法法(续)3．变位加加密变位加密不不隐藏明文文的字符，，即明文的的字母保持持相同，但但其顺序被被打乱重新新排列成另另一种不同同的格式。。1）简单变变位加密。。预先约定定好一组数数字表示密密钥，将文文字依次写写在密钥下下，再按数数字次序重重新组织文文字实现加加密，也有有人喜欢将将明文逆序序输出作为为密文。例例如密钥：524163(密文排排列次序)明文：信息息安全技术术密文：技息息全信术安安2）列变位位法。将明明文字符分分割成个数数固定的分分组（如5个一组，，5即为密密钥！），，按一组一一行的次序序整齐排列列，最后不不足一组用用任意字符符填充，完完成后按列列读取即成成密文。4.3常常用加密密算法4.3.1古典典密码算法法(续)3）矩阵变变位加密。。将明文中中的字母按按给定的顺顺序安排在在一个矩阵阵中，然后后用另一种种顺序选出出矩阵的字字母来产生生密文。一一般为按列列变换次序序，如原列列次序为1234，，现为2413。明文NetworkSecurity按行排排列在3××6矩阵中中，如下所所示：123456NetworkSecurity给定一个置置换：，根据给定定的次序，，按5、2、6、4、1、3的列序重重新排列，，得到：526413oerwNtcuekSiyrt所以，密文文为：oerwNtcuekSiyrt。解密过过程正好相相反，按序序排列密文文后，通过过列置换再再按行读取取数据即可可。4．一次性性密码簿加加密密码簿每一一页都是不不同的代码码表，可用用一页上的的代码来加加密一些词词，用后销销毁，再用用另一页加加密另一些些词，直到到全部的明明文完成加加密，破译译的唯一方方法就是获获取一份相相同的密码码簿。4.3常常用加密密算法4.3.2单钥钥加密算法法保密性完全全依赖于密密钥的保密密，且加密密密钥和解解密密钥完完全相同或或等价，又又称为对称称密钥加密密算法，其其加密模式式主要有序序列密码（（也称流密密码）和分分组密码两两种方式。。流密码是将明文划划分成字符符（如单个个字母），，或其编码码的基本单单元（如0、1数字字），字符符分别与密密钥流作用用进行加密密，解密时时以同步产产生的同样样的密钥流流解密。流流密码的强强度完全依依赖于密钥钥流序列的的随机性和和不可预测测性，其核核心问题是是密钥流生生成器的设设计，流密密码主要应应用于政府府和军事等等国家要害害部门。分组密码是将明文消消息编码表表示后的数数字序列x1，x2，…，xi，…，，划分为长长为m的组组x=(xo，xl，…，xm-1)，各组(长为m的的矢量)，，分别在密密钥k=(ko，k1，…，，kL-1)控制下下变换成等等长的输出出数字序列列y=(yo，y1，…，yn-1)(长为n的矢量)，其加密密函数E：：Vn×K→Vn，，Vn是n维矢量空空间，K为为密钥空间间。实质上是字字长为m的的数字序列列的代替密密码。4.3常常用加密密算法4.3.2单钥钥加密算法法(续)图4-956位位DES加加密算法的的框图DES算法法是一种对对二元数据据进行加密密的分组密密码，数据据分组长度度为64bit(8byte)，密文文分组长度度也是64bit，，没有数据据扩展。密密钥长度为为64bit，其中中有效密钥钥长度56bit，，其余8bit为奇奇偶校验。。DES的的整个体制制是公开的的，系统的的安全性主主要依赖密密钥的保密密。4.3常常用加密密算法4.3.3双钥钥加密算法法双钥密码体体制的加密密密钥和解解密密钥不不相同，它它们的值不不等，属性性也不同，，一个是可可公开的公公钥，另一一个则是需需要保密的的私钥。双双钥密码体体制的特点点是加密能能力和解密密能力是分分开的，即即加密与解解密的密钥钥不同，或或从一个难难以推出另另一个。它可以实现现多个用户户用公钥加加密的消息息只能由一一个用户用用私钥解读读，或反过过来，由一一个用户用用私钥加密密的消息可可被多个用用户用公钥钥解读。其其中前一种方式式可用于在在公共网络络中实现保保密通信；后一种方式式可用于在在认证系统统中对消息息进行数字字签名。4.3常常用加密密算法双钥加密算算法的主要要特点如下下：1）用加密密密钥PK对明文m加密后得得到密文，，再用解密密密钥SK对密文解解密，即可可恢复出明明文m，即即DSK(EPK(m))＝＝m2）加密密密钥不能用用来解密，，即：DPK(EPK(m))≠≠m；DSK(ESK(m))≠≠m3）用SK加密的信信息只能用用PK解密密；用PK加密的信信息只能用用SK解密密。4）从已知知的PK不不可能推导导出SK。。5）加密和和解密的运运算可对调调，即EPK(DSK(m))＝＝m双钥密码体体制大大简简化了复杂杂的密钥分分配管理问问题，但公公钥算法要要比私钥算算法慢得多多(约1000倍)。4.3常常用加密密算法RSA算法法RSA体制制是由R.L.Rivest、A.Shamir和L.Adleman设计的的用数论构构造双钥的的方法，它它既可用于于加密，也也可用于数数字签名。。RSA得得到了世界界上的最广广泛应用，，ISO在在1992年颁布的的国际标准准X.509中，将将RSA算算法正式纳纳入国际标标准。1999年，，美国参议议院已经通通过了立法法，规定电电子数字签签名与手写写签名的文文件、邮件件在美国具具有同等的的法律效力力。在Internet中广广泛使用的的电子邮件件和文件加加密软件PGP(PrettyGoodPrivacy)也也将RSA作为传送送会话密钥钥和数字签签名的标准准算法。RSA算法法的安全性性建立在数数论中“大大数分解和和素数检测测”的理论论基础上。。4.3常常用加密密算法RSA算法法表述假定用户A欲送消息息m给用户户B，则RSA算法法的加／解解密过程为为：1）首先用用户B产生生两个大素素数p和q(p、q是保密的的)。2）用户B计算n=pq和φφ(n)=(p-1)(q-1)(φφ(n)是是保密的)。3）用户B选择一个个随机数e(0<e<φ(n))，使使得(e，，φ(n))=1，，即e和φφ互素。4）用户B通过计算算得出d，，使得d××emodφ(n)=1(即在与与n互素的的数中选取取与φ(n)互素的的数，可以以通过Euclidean算算法得出。。d是用户B自留且保保密的，用用作解密密密钥)。5）用户B将n及e作为公钥公公开。6）用户A通过公开开渠道查到到n和e。。7）对m施施行加密变变换，即EB(m)=memodn=c。8）用户B收到密文文c后，施施行解密变变换DB(c)=cdmodn=(memodn)dmodn=medmodn=mmodn数论运算法法则：4.3常常用加密密算法a=bmodn，则b=amodna=bmodn，b=cmodn，，则a=cmodnamodn=bmodn，，则(a-b)modn=0[(amodn)+(bmodn)]modn=(a+b)modn[(amodn)-(bmodn)]modn=(a-b)modn[(amodn)*(bmodn)]modn=(a*b)modn例：计算8744mod124.3常常用加密密算法例：明文m为““inclub”。则操作作过程如下下：1、设计密密钥公钥(e,n)和私钥(d,n)令p=3，，q=11。取e=3，计算算：n=p*q=33，，求出φ(n)=(p-1)(q-1)=20计算：e××dmodφ(n)=1,即在在与55互互素的数中中选取与40互素的的数得：d=7(保密数数)。因此此：公钥对对为(3,33)，，私钥对为为(7,33)。2、加密：：按1-26的次序排排列字母，，用公钥(3,55)加密：：令a-00，b-01，…，，y-24，z-25。用户A查到到n和e后后，将消息息m加密：：EB(i)=083mod33=17,EB(n)=133mod33=19,EB(c)=023mod33=8,EB(l)=113mod33=11,EB(u)=203mod33=14,EB(b)=013mod33=1,c=EB(m)=171908111401,它对应的的密文为c=rtilob。3、解密：：DB(r)=177mod33=8，即明文文i，依次次计算即可可还原成成功。4.4认认证技术术认证的目的的有三个：：一是消息息完整性认认证，即验验证信息在在传送或存存储过程中中是否被篡篡改；二是是身份认证证，即验证证消息的收收发者是否否持有正确确的身份认认证符，如如口令或密密钥等；三三是消息的的序号和操操作时间（（时间性））等的认证证，其目的的是防止消消息重放或或延迟等攻攻击。认证证技术是防防止不法分分子对信息息系统进行行主动攻击击的一种重重要技术。。4.4.1认证证技术的分分层模型认证技术一一般可以分分为三个层层次：安全全管理协议议、认证体体制和密码码体制。安安全管理协协议的主要要任务是在在安全体制制的支持下下，建立、、强化和实实施整个网网络系统的的安全策略略；认证体体制在安全全管理协议议的控制和和密码体制制的支持下下，完成各各种认证功功能；密码码体制是认认证技术的的基础，它它为认证体体制提供数数学方法支支持。4.4认认证技术术一个安全的的认证体制制至少应该该满足以下下要求：1）接收者者能够检验验和证实消消息的合法法性、真实实性和完整整性。2）消息的的发送者对对所发的消消息不能抵抵赖，有时时也要求消消息的接收收者不能否否认收到的的消息。3）除了合合法的消息息发送者外外，其他人人不能伪造造发送消息息。认证体制中中通常存在在一个可信信中心或可可信第三方方(如认证证机构CA，即证书书授权中心心)，用于于仲裁、颁颁发证书或或管理某些些机密信息息。通过数数字证书实实现公钥的的分配和身身份的认证证。数字证书是是标志通信信各方身份份的数据，，是一种安安全分发公公钥的方式式。CA负负责密钥的的发放、注注销及验证证，所以CA也称密密钥管理中中心。CA为每个申申请公开密密钥的用户户发放一个个证书，证证明该用户户拥有证书书中列出的的公钥。CA的数字字签名保证证不能伪造造和篡改该该证书，因因此，数字字证书既能能分配公钥钥，又实现现了身份认认证。4.4认认证技术术4.4.2数字字签名技术术数字签名就就是信息发发送者使用用公开密钥钥算法技术术，产生别别人无法伪伪造的一段段数字串。。发送者用用自己的私私有密钥加加密数据传传给接收者者，接收者者用发送者者的公钥解解开数据后后，就可以以确定消息息来自于谁谁，同时也也是对发送送者发送信信息的真实实性的一个个证明。发发送者对所所发信息不不能抵赖。。数字签名与与传统签名名的区别：：①需要将将签名与消消息绑定在在一起；②②通常任何何人都可以以验证；③③要考虑防防止签名的的复制、重重用。数字签名必必须保证：：1）可验证证。签字是是可以被确确认的。2）防抵赖赖。发送者者事后不承承认发送报报文并签名名。3）防假冒冒。攻击者者冒充发送送者向收方方发送文件件。4）防篡改改。收方对对收到的文文件进行篡篡改。5）防伪造造。收方伪伪造对报文文的签名。。签名对安全全、防伪、、速度要求求比加密更更高。4.4认认证技术术4.4.3身份份认证技术术身份认证，，又称身份份鉴别，是是指被认证证方在没有有泄露自己己身份信息息的前提下下，能够以以电子的方方式来证明明自己的身身份，其本本质就是被被认证方拥拥有一些秘秘密信息，，除被认证证方自己外外，任何第第三方（某某些需认证证权威的方方案中认证证权威除外外）无法伪伪造，被认认证方能够够使认证方方相信他确确实拥有那那些秘密，，则他的身身份就得到到了认证。。身份认证的的目的是验验证信息收收发方是否否持有合法法的身份认认证符(口口令、密钥钥和实物证证件等)。。从认证机机制上讲，，身份认证证技术可分分为两类：：一类是专专门进行身身份认证的的直接身份份认证技术术；另一类类是在消息息签名和加加密认证过过程中，通通过检验收收发方是否否持有合法法的密钥进进行的认证证，称为间间接身份认认证技术。。常用的身份份认证技术术1．身份认认证方式：：主要有通行行字方式和和持证方式式两种2．身份认认证协议：：询问-应答答式协议，验证身份真伪4.4认认证技术术4.4.4消息息认证技术术消息认证是是指通过对对消息或消消息相关信信息进行加加密或签名名变换进行行的认证，，目的是为为防止传输输和存储的的消息被有有意或无意意地篡改，，包括消息息内容认证证(即消息息完整性认认证)、消消息的源和和宿认证(即身份认认证)及消消息的序号号和操作时时间认证等等。消息认证所所用的摘要要算法与一一般的对称称或非对称称加密算法法不同，它它并不用于于防止信息息被窃取，，而是用于于证明原文文的完整性性和准确性性。也就是是说，消息息认证主要要用于防止止信息被篡篡改。1．消息内内容认证消息内容认认证常用的的方法是：：消息发送送者在消息息中加入一一个鉴别码码(MAC、MDC等)并经经加密后发发送给接收收者(有时时只需加密密鉴别码即即可)。接接收者利用用约定的算算法对解密密后的消息息进行鉴别别运算，将将得到的鉴鉴别码与收收到的鉴别别码进行比比较，若二二者相等，，则接收，，否则拒绝绝接收。4.4认认证技术术4.4.4消息息认证技术术(续)2．源和宿宿的认证一种是通信信双方事先先约定发送送消息的数数据加密密密钥，接收收者只需证证实发送来来的消息是是否能用该该密钥还原原成明文就就能鉴别发发送者。另一种是通通信双方实实现约定各各自发送消消息所使用用的通行字字，发送消消息中含有有此通行字字并进行加加密，接收收者只需判判别消息中中解密的通通行字是否否等于约定定的通行字字就能鉴定定发送者。。3．消息序序号和操作作时间的认认证消息的序号号和时间性性的认证主主要是阻止止消息的重重放攻击。。常用的方方法有消息息的流水作作业、链接接认证符随随机数认证证法和时间间戳等。典型算法1）MD5。信息摘摘要算法，，由RSADataSecurity公司司的Rivest于于1992年提出，，能对任何何长度的输输入消息进进行处理，，产生128bit长的“消消息摘要””输出。2）SHA算法。它它能为任意意长度的输输入产生160bit的杂凑凑值。4.4认认证技术术4.4.5数字字水印技术术数字水印就就是将特定定的标记隐隐藏在数字字产品中，，用以证明明原创者对对产品的所所有权，并并作为起诉诉侵权者的的证据。1996年年，在英国国召开了首首届国际信信息隐藏会会议，提出出了数字水水印技术，，用来对付付数字产品品的非法复复制、传播播和篡改，，保护产权权。在多媒媒体信息中中隐蔽地嵌嵌入可辨别别的标记，，实现版权权声明与跟跟踪。数字字水印还可可以广泛应应用于其他他信息的隐隐藏，如在在一个正常常的文件中中嵌入文本本、图像、、音频等信信息。当然，数字水印技技术必须不不影响原系系统，还要要善于伪装装，使人不不易察觉。隐藏信息息的分布范范围要广，，能抵抗数数据压缩、、过滤等变变换及人为为攻击。总总之，数字字水印应““透明”、、“健壮””和“安全全”。4.5密密码破译译方法及预预防破译措措施4.5.1密码码破译方法法（1）密钥钥的穷尽搜搜索破译密文最最简单的方方法，就是是尝试所有有可能的密密钥组合。。（2）密码码分析在不知道密密钥的情况况下，利用用数学方法法破译密文文或找到秘秘密密钥。。（3）其他他密码破译译方法社会工程、、“窥视”或或“盗窃””、利用加密系系统实现中中的缺陷或或漏洞、“垃圾分析析”、威胁等。4.5密密码破译译方法及预预防破译措措施为了防止密密码被破译译，可以采采取以下措措施：1）采用更更强壮的加加密算法。。一个好的的加密算法法往往只能能通过穷举举法才能得得到密钥，，所以只要要密钥足够够长就会很很安全。2）动态会会话密钥。。尽量做到到每次会话话的密钥都都不相同。。3）保护关关键密钥。。4）定期变变换加密会会话的密钥钥。因为这这些密钥是是用来加密密会话密钥钥的，一旦旦泄漏就会会引起灾难难性的后果果。5）建设良良好的密码码使用管理理制度。4.5.2预防防破译的措措施本章小结信息加密是是保障信息息安全最核核心的技术术措施和理理论基础，它采用密密码学的原原理与方法法对信息进进行可逆的的数学变换换，从而使使非法接入入者无法理理解信息的的真正含义义，达到保保证信息机机密性的目目的。信息息加密算法法共经历了了古典密码、、单钥密码码体制(对对称密钥密密码)和双双钥密码体体制(公开开密钥密码码)三个阶阶段。网络数据加加密常见的的方式有链链路加密、、节点加密密和端到端端加密三种种。链路加密密是对网络络中两个相相邻节点之之间传输的的数据进行行加密保护护；节点加加密是指在在信息传输输路过的节节点处进行行解密和加加密；端到到端加密是是指对一对对用户之间间的数据连连续地提供供保护。古典密码常常见的算法法有：简单单代替密码码或单字母母密码、多多名或同音音代替、多多表代替，，以及多字字母或多码码代替等。。现代密码按按照使用密密钥方式的的不同，可可分为单钥钥密码体制制和双钥密密码体制两两类。按照加密密模式的差差异，单钥钥密码体制制有序列密密码(也称称流密码)和分组密密码两种方方式，它不不仅可用于于数据加密密，也可用用于消息认认证，其中中，最有影响的的单钥密码码是DES算法和IDEA算算法。双钥密码码体制的加加密密钥和和解密密钥钥不同，在在网络通信信中，主要要用于认证证(如数字字签名、身身份识别等等)和密钥钥管理等，，其优秀的算法法有基于素素数因子分分解问题的的RSA算算法和基于于离散对数数问题的ElGamal算法法。双钥密钥钥体制是一一种非常有有前途的加加密体制。。在认证技术术领域，通通过使用密密码手段，，一般可以以实现三个个目标，即即消息完整整性认证、、身份认证证，以及消消息的序号号和操作时时间(时间间性)等的的认证。认证技术术模型在结结构上由安安全管理协协议、认证证体制和密密码体制三三层组成。。PKI是一一个采用公公钥密码算算法原理和和技术来提提供安全服服务的通用用性基础平平台，用户可以以利用PKI平台提提供的安全全服务进行行安全通信信，PKI采用标准准的密钥管管理规则，，能够为所所有应用透透明地提供供采用加密密和数字签签名等密码码服务所需需要的密钥钥和证书管管理。PKI在组成成上主要包包括认证机机构CA、、证书库、、密钥备份份(即恢复复系统)、、证书作废废处理系统统、PKI应用接口口系统等。。9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Wednesday,December28,202210、雨中黄黄叶树，，灯下白白头人。。。21:53:3321:53:3321:5312/28/20229:53:33PM11、以我独沈沈久，愧君君相见频。。。12月-2221:53:3321:53Dec-2228-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。21:53:3321:53:3321:53Wednesday,December28,202213、乍见翻疑梦梦，相悲各问问年。。12月-2212月-2221:53:3321:53:33December28,202214、他乡乡生白白发，，旧国国见青青山。。。28十十二二月20229:53:33下下午21:53:3312月月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月229:53下下午12月-2221:53December28,202216、行动出出成果，，工作出出财富。。。2022/12/2821:53:3321:53:3328December202217、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。9:53:34下午午9:53下午午21:5