計算機網(wǎng)絡(luò)技術(shù)第二十講.ppt

計算機網(wǎng)絡(luò)技術(shù),聊城大學(xué)環(huán)境與規(guī)劃學(xué)院 2008年11月,第二十講,第6章 計算機網(wǎng)絡(luò)安全,網(wǎng)絡(luò)風(fēng)險主要來自： 外部的入侵； 內(nèi)部的脆弱。,造成的結(jié)果是： 系統(tǒng)不能正常工作； 系統(tǒng)中的數(shù)據(jù)被非法獲取、修改和破壞。,6.1 數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),第6章 計算機網(wǎng)絡(luò)安全,6.2 認(rèn)證與鑒別技術(shù),6.3 防火墻技術(shù),6.4 計算機網(wǎng)絡(luò)入侵檢測與安全預(yù)警,6.5 惡意程序及其防治,6.1 數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),本節(jié)教學(xué)目標(biāo)：,掌握數(shù)據(jù)加密/解密算法和密鑰；,掌握對稱密鑰體系、非對稱密鑰體系的原理；,了解密鑰分配問題；,理解數(shù)據(jù)隱藏技術(shù)。,6.1 數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),為了使系統(tǒng)中的數(shù)據(jù)不被非法獲取，我們可以采取兩個基本方法：,數(shù)據(jù)加密：將數(shù)據(jù)變形，使獲取者無法辨識內(nèi)容、無法利用；,數(shù)據(jù)隱藏：將數(shù)據(jù)隱藏在某個載體中，讓外人難以找到。,6.1 數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),6.1.1 加密/解密算法和密鑰,6.1.2 對稱密鑰體系,6.1.3 非對稱密鑰體系,6.1.4 密鑰分配,6.1.5 數(shù)據(jù)隱藏,6.1.1 加密/解密算法和密鑰,數(shù)據(jù)加密：通過某種函數(shù)進行變換，把正常數(shù) 據(jù)報文（明文、明碼）轉(zhuǎn)換成密文（密碼）。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),COMPUTER,FRQSXWHU,愷撒算法：將明文中的每個字母都移動一段距離。,加密算法公式： C=EK(M) 其中，M為明文，C為密文，E為加密算法，K為密鑰 。,Vigenere密碼系統(tǒng),例如：欲把明文“computer network”用密鑰“study”來加密，算法為：,制作維吉利亞方陣，第i行以字母I開始。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),Vigenere密碼系統(tǒng),按密鑰的長度將明文分解成若干節(jié)。由于K=study，長度為5，故分解為：,密鑰 s t u d y,明 文,c o m p u,t e r n e,t w o r k,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),Vigenere密碼系統(tǒng),對每一節(jié)明文，利用密鑰study進行變換。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),密鑰 s t u d y,密 文,U H G S S,L X L Q C,L P I U I,由此可見：,加密/解密變換的兩個關(guān)鍵要素： 算法E：數(shù)學(xué)公式、法則、程序。 密鑰k：可變參數(shù)；,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),提高加密強度的手段： 設(shè)計安全性好的加密算法 盡量提高密鑰的長度,兩種密碼體系：對稱與非對稱密碼體系,6.1.2 對稱密鑰體系,加密和解密采用同一把密鑰。 密鑰必須保證不能泄露。 也稱為秘密密鑰密碼體制或私鑰密碼體制。,明文,加密器E,解密器D,明文,密文,密鑰,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),6.1.2 對稱密鑰體系,最著名的加密算法：DES分組算法。 另一個成功的分組加密算法：IDEA分組加密算法,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),加密算法是標(biāo)準(zhǔn)的、公開的。 算法的安全性完全依賴于密鑰。,密鑰的分發(fā)和管理機構(gòu)Key Distribution Center： 初始密鑰 階段性密鑰,秘密密鑰體制的特點及問題,特點： 運算效率高、使用方便、加密效率高。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),存在問題： 密鑰的管理和分配問題。 由于加密密鑰和解密密鑰是一樣的，通信雙方在通信之前必須互通密鑰，而密鑰在傳遞的過程中極有可能被第三方截獲。這就為密鑰的保密工作增加了難度；另外，如果有n個用戶彼此之間要進行保密通信，則一共需要n(n-1)/2個密鑰，如此巨大數(shù)目的密鑰為密鑰的管理和分配帶來了極大的困難。,秘密密鑰體制的特點及問題,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),存在問題： 認(rèn)證問題。 對稱密鑰加密系統(tǒng)無法避免和杜絕如下一些不正常現(xiàn)象： （1）接收方可以篡改原始信息，（2）發(fā)送方可以否認(rèn)曾發(fā)送過信息等等。,6.1.3 非對稱密鑰體系,非對稱密鑰體系概述 公開密鑰系統(tǒng)（1976年提出）的特點是：,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),加密和解密分別用不同的密鑰進行:DPK(EPK(M)M， DSK(EPK(M) = M； 加密密鑰和解密密鑰可以對調(diào)，即DPK(ESK(M)= M； 應(yīng)能在計算機上成對的生成，但不能用已知的PK導(dǎo)出未知的SK。,6.1.3 非對稱密鑰體系,公開密鑰系統(tǒng)的優(yōu)點： 發(fā)送者和接收者事先不必交換密鑰，從而使保密性更強； 可用于身份認(rèn)證和防止抵賴，應(yīng)用前景廣闊。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),公開密鑰系統(tǒng)的缺點： 計算量大，故不適合信息量大、速度要求快的加密。,6.1.3 非對稱密鑰體系,2. 非對稱密鑰體系的工作原理,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),為通信雙方A、B各生成一對密鑰PKA、SKA； PKB、SKB。PKA、PKB稱為公開密鑰（公鑰），SKA、SKB稱為私有密鑰（私鑰）；,每一方掌握自己的私鑰和對方的公鑰，即：A：SKA、PKB ，B：SKB、PKA。,6.1.3 非對稱密鑰體系,設(shè)A為發(fā)送方，B為接收方，加密/解密過程為：,M,D,E,PKB,D,E,M,SKB,PKA,DSKA(M),EPKB(DSKA(M),DSKA(M),A 方,B 方,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),6.1.3 非對稱密鑰體系,3. RSA算法（Rivest、Shamir、Adleman）,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),歐拉定理：尋求兩個大的素數(shù)容易，但將它們的乘積分解開極其困難。,RSA算法非常簡單，概述如下： 秘密的找兩個十進制大素數(shù)p和q； 計算出N=p*q，將N公開； 取T=(p-1)*(q-1)（T即為歐拉函數(shù)）；,6.1.3 非對稱密鑰體系,3. RSA算法（續(xù)）,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),取任何一個數(shù)e,要求滿足eT并且e與T互素（就是最大公因數(shù)為1）; 確定整數(shù)d，規(guī)則是（d*e）mod T=1; 這樣最終得到三個數(shù)：N、d、e，則密鑰為： PK=(e，N)，SK=(d，N)。,設(shè)明文為數(shù)M（MN），密文為C，則有： 加密：C=(Me) mod N 解密：M=(Cd) mod N,6.1.3 非對稱密鑰體系,RSA算法舉例：,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),產(chǎn)生一對密鑰 p=7，q=13； 這樣，N=p*q=91； T=(p-1)*(q-1)=72;,取e=5，滿足eT并且e和T互素。用窮舉法可以獲得滿足（d*e）mod T=1的數(shù)d29；,最終我們獲得關(guān)鍵的N=91，d=29，e=5。 故：公鑰PK=5，91，私鑰SK=29，91。,6.1.3 非對稱密鑰體系,用這對密鑰進行加密/解密試驗,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),設(shè)明文取 M=12 我們看看:,解密：我們可以用d來對加密后的C進行解密， 根據(jù)M=(Cd) mod N = (3829) mod 91， 3829=6.51215E+45，求余后得12，即明文M。,加密： 根據(jù)公式C=(Me) mod N， C=(125) mod 91，125=248832，求余后得38，即用e對M加密后獲得加密信息C38。,6.1.3 非對稱密鑰體系,RSA體制的安全性依賴于大數(shù)分解的難易程度。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),破解者可以得到e和N，如果想要得到d，必須得出(p-1)*(q-1)（即歐拉函數(shù)T），因而必須先對N進行因數(shù)分解。,如果N很大那么因數(shù)分解就會非常困難，所以要提高加密強度，p和q的數(shù)值大小起著決定性的作用。,一般來講當(dāng)p和q都大于2128時，按照目前的計算機處理速度破解基本已經(jīng)不大可能了。,6.1.4 密鑰分配,現(xiàn)代密碼學(xué)要求，在設(shè)計密碼系統(tǒng)時，應(yīng)當(dāng)不強調(diào)密碼算法的保密。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),密碼系統(tǒng)的安全性只取決于密鑰的安全。,而從密鑰的管理途徑進行攻擊比單純破譯密碼算法要容易得多。,故需要對密鑰的產(chǎn)生、分發(fā)、存儲、分配、驗證、銷毀等進行集中的管理。,6.1.4 密鑰分配,密鑰分配是密鑰管理中最大的問題。兩種密鑰分配方法：,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),網(wǎng)外分配：派可靠信使分配密鑰。 網(wǎng)內(nèi)分配：自動密鑰分配。 用戶之間直接分配； 通過密鑰分配中心（KDC）分配：當(dāng)前密鑰分配的主流方式。,6.1.5 數(shù)據(jù)隱藏,數(shù)據(jù)隱藏技術(shù)是指隱藏數(shù)據(jù)的存在性。,6.1 數(shù)據(jù)加密 與數(shù)據(jù)隱藏技術(shù),通常將數(shù)據(jù)隱藏在一個容量更大的數(shù)據(jù)載體中，形成隱秘載體。,載體可以采用文字、圖像、聲音、視頻等，多用多媒體數(shù)據(jù)作為載體。,將加密與數(shù)據(jù)隱藏兩者結(jié)合起來以增加被攻擊的難度。,6.1.5 數(shù)據(jù)隱藏,數(shù)據(jù)的隱藏過程和提取過程如下：,預(yù)處理,嵌入算法,載體C,密鑰K1,解