第7章密码技术应用密码技术包括密码算法
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
、密码分析、安全
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
、身份认证、消息确认、数字签名、密钥管理等,可以说,密码技术是保障网络与信息安全的基础与核心手段。网络与信息安全所要求的机密性、完整性、可用性、可控性,都可以利用密码技术得到满意解决。本章将对密码技术的基本概念及其在网络安全中的应用做扼要介绍、讨论研究。*第7章密码技术应用7.1密码技术概要7.1.1密码学与密码体制7.1.2网络加密方式7.2典型密码算法简介7.2.1对称密钥密码技术7.2.2公开密钥密码技术7.2.3单向散列算法7.3认证技术7.3.1数字签名7.3.2Kerberos认证交换协议7.3.3X.509认证服务7.3.4数字证书7.3.5常用身份认证方式7.4公开密钥基础设施7.4.1PKI的组成及其服务功能7.4.2PKI证书7.4.3密钥管理7.4.4PKI应用7.5信息隐藏技术7.5.1信息隐藏技术简介7.5.2一种基于XML文档的信息隐藏算法*7.1密码技术概要7.1.1密码学与密码体制密码学(Cryptology)是一门具有悠久历史的学科,它包括密码编码学与密码分析学。密码编码学主要研究密码体制的设计,人们利用加密算法和一个秘密的值(称为密钥)来对信息进行隐藏;密码分析学则是试图破译加密算法和密钥的。两者相互对立,又相互促进地向前发展。*7.1密码技术概要7.1.1密码学与密码体制1.加密与解密的基本概念图7-1保密通信系统的一般模型*7.1密码技术概要7.1.1密码学与密码体制2.密码体制的概念密码体制是指一个加密系统所采用的基本工作方式,由加密/解密算法和密钥两个基本构成要素。若按照加密密钥是否可以公开,可以把密码体制划分为对称密码体制和非对称密码体制两大类;常称之为单钥体制和双钥体制。*7.1密码技术概要7.1.1密码学与密码体制3.加密算法的类型(1)秘密密钥算法秘密密钥算法也称为私有密钥算法。通信的双方共享一个密钥,私有密钥算法是对称的,也称为对称密码算法(2)公开密钥算法通信的一方拥有别人不知道的私有密钥,同时可以向所有人公布一个公开密钥。(3)散列算法散列算法是一种防止改动的
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
,其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息,而输出是一个固定长度的摘要。(4)量子密码技术量子密码就是利用量子状态作为数据加密、解密的密钥,为保密通信提供可靠的安全保证。*7.1密码技术概要7.1.2网络加密方式若从实现加密的通信层次来分,可以在通信的三个不同层次实现网络加密,即链路加密、节点对节点加密和端到端加密。一般常用链路加密和端到端加密两种方式。1.链路加密方式链路加密方式是指对网络传输的数据报文的每一位进行加密,不但对数据报文正文加密,而且把路由信息与校验和等控制信息也全部加密。*7.1密码技术概要7.1.2网络加密方式2.节点对节点加密方式为了解决在节点中数据是明文传输的缺点,在中间节点里装有用于加密、解密的保护装置,即由这个装置来完成一个密钥向另一个密钥的变化工作。这样,除了在保护装置中,即使在节点内也不会出现明文。*7.1密码技术概要7.1.2网络加密方式3.端到端加密方式端到端加密方式是指在一对用户的通信线路两端(即源端点和目的端点)进行加密,数据在发送端进行加密,然后作为不可识别的信息穿过互联网,当这些信息一旦到达目的端,将自动重组、解密,成为可读数据。目的端点用与源端点共享的密钥对数据解密,如图所示。*7.2典型密码算法简介目前已经公开的密码算法要超过100多个,在此简单介绍几种常用的典型密码算法。7.2.1对称密钥密码技术1.替代密码和转置密码2.数据加密
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
(DES)*7.2典型密码算法简介7.2.1对称密钥密码技术2.数据加密标准(DES)*7.2典型密码算法简介7.2.1对称密钥密码技术DES的一种非常著名的替代产品之是IDEA(InternationalDataEncryptAlgorithm),IDEA是瑞士联邦技术学院于1990年开发并于1992年正式推出的一种分组密钥加密算法,称为PES(ProposedEncryptionStandard)。它针对DES的64位短密钥而使用128位密钥,通过密钥长度的延长,提高了IDEA抵御强力穷举密钥的攻击。IDEA的操作步骤类似于DES,先将明文划分成64位长的数据分组,然后经过8次迭代和一次变化,得到64位密文。*7.2典型密码算法简介7.2.2公开密钥密码技术1.公开密钥算法的概念所谓公开密钥算法就是使用不同的加密密钥和解密密钥,用来加密的公钥与解密的密钥是数学相关的,并且公钥与私钥成对出现。公开密钥算法的特点如下:1)发送者用加密密钥e对明文M加密后,接收者用解密密钥d解密可以恢复出明文,即De(Ed(M))=M。此外,加密与解密的运算可以对调,即Ee(Dd(M))=M。2)加密密钥是公开的,但不能用来解密。3)在计算上可以容易得到成对的e和d。4)已知加密密钥e,求解私钥d在计算上是不可行的,不能通过公钥计算出私钥,即从e到d是“计算上不可行的”。5)加密和解密算法都是公开的。*7.2典型密码算法简介7.2.2公开密钥密码技术图7-5公钥密码体制结构*7.2典型密码算法简介7.2.2公开密钥密码技术2.RSA算法描述RSA算法是一种用数论构造的、也是迄今为止理论上最为成熟完善的公钥密码体制。该体制已得到广泛应用。特别是,RSA一般使用512位的密钥长度,使得它比DES更难于破译。(1)密钥的产生1)选择两个保密的大素数p和q。p和q的值越大,RSA越难以破译。RSA实验室推荐,p和q的乘积为1024位数量级。2)计算n=p×q,φ(n)=(p-1)(q-1),其中p和q要有256位长,φ(n)是n的欧拉函数值。3)随机选择加密密钥e,满足1
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
的有效性取决于发送方秘钥的安全性。如果发送方想对自己已发出的消息予以否认,A可声称自己的秘钥已丢失或被盗,自己的签名是他人伪造的。*7.3认证技术7.3.1数字签名3.仲裁数字签名直接方式的数字签名所具有的缺陷可以通过使用仲裁数字签名方式予以解决。发送方X对发往接收方Y的消息签名后,将消息及其签名先发给仲裁者A,A对消息及其签名认证之后,再连同一个表示已通过认证的指令一起发往接收方Y。此时由于A的存在,X无法对自己发出的消息予以否认。*7.3认证技术7.3.2Kerberos认证交换协议Kerberos是为TCP/IP网络设计的可信第三方认证交换协议。网络上的Kerberos服务器起着可信仲裁者的作用。Kerberos可提供安全的网络认证,允许个人访问网络中不同的主机。Kerberos基于对称密码学(采用DES算法,也可用其它算法替代),它与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该秘密密钥便是身份的证明。*7.3认证技术7.3.2Kerberos认证交换协议协议很简单,主要包括客户机、服务器、认证服务器(AuthenticationServer,AS)和票据授予服务器(TicketGrantingServer,TGS)几个部分,如图所示。*7.3认证技术7.3.3X.509认证服务为了在开放性网络系统上实现远程网络用户身份认证,ITU于1988年制订了认证体系标准:开放性系统互连——目录服务:认证体制X.509。这里所说的目录实际上是维护用户信息数据库的服务器或分布式服务器集合,用户信息包括用户名到网络地址的映射和用户的其它属性。X.509定义了X.500目录向用户提供认证业务的一个框架,目录的作用是存放用户的公钥证书。在X.509中,有“简单认证”及“强认证”两种不同安全度的认证等级,并且描述了公开密钥证书格式、证书管理、证书路径处理、目录数据树结构及密钥产生,如何将认证中心之间交叉认证的证书储存于目录中等问题。*7.3认证技术7.3.3X.509认证服务1.简单认证X.509定义了安全度较低的简单认证(SimpleAuthentication)方式,与一般常见的UNIX系统基于口令的认证方式类似。它根据每位用户所提供的用户名以及一个只有收、发双方知道的用户密码来实现安全程度较低的认证。图7-8口令及用户代号认证过程*7.3认证技术7.3.3X.509认证服务2.强认证X.509定义了一个高安全度的强认证(StrongAuthentication)机制。其认证程序使用公开密钥密码技术来识别通信双方。强认证分为单向、双向及三向三种认证方式,分别提供不同安全层次的安全认证。对于公开密钥证书的使用有详细的定义,以强化其认证能力。*7.3认证技术7.3.4数字证书1.数字证书的功能数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明。在电子商务的各个环节,交易双方都需验证对方数字证书的有效性,从而解决相互信任问题。数字证书是一段包含用户身份信息、公钥信息以及身份验证机构数字签名的数据文件,其主要功能是:1)身份认证。2)加密传输信息。3)数字签名抗否认。*7.3认证技术7.3.5常用身份认证方式1.用户名/口令认证2.令牌或IC卡认证3.生物特征认证4.USBKey认证5.动态口令/动态密码*7.4公开密钥基础设施公开密钥基础设施(PublicKeyInfrastructure,PKI)产生于20世纪80年代,是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体制。它采用证书管理公钥,通过第三方的可信任机构(又称为数字证书认证中心即证书机构(CA)),把用户的公钥和其它标识信息捆绑在一起,在互联网上验证用户身份。目前,通常采用建立在PKI基础之上的X.509数字证书,把要传输的数字信息进行加密和签名,保障数据传输的机密性、完整性和不可否认性,从而实现数据的安全传输。*7.4公开密钥基础设施7.4.1PKI的组成及其服务功能1.PKI的组成结构图7-9PKI组成结构示意图*7.4公开密钥基础设施7.4.1PKI的组成及其服务功能2.PKI的安全服务PKI作为安全基础设施,能为不同的用户按不同安全需求提供多种安全服务,主要包括身份认证、数据完整性、机密性、不可否认、公证服务等。*7.4公开密钥基础设施7.4.2PKI证书1.证书的申请1)用户申请。2)注册机构审核。3)CA发行证书。4)注册机构证书转发。5)用户证书获取。6)证书的使用。*7.4公开密钥基础设施7.4.3密钥管理密钥管理是PKI(主要指CA)中的一个重要问题,包括密钥产生、密钥备份、密钥恢复和密钥更新等。1.密钥产生根据证书类型和不同应用,密钥的产生也有不同的形式和方法。密钥一般由专用应用程序或CA中心直接产生,这样产生的密钥强度大,适合于重要的应用场合。另外,根据密钥的不同应用,也可能会有不同的产生方式。比如签名密钥可能在客户端或RA中心产生,而加密密钥则需要在CA中心直接产生。*7.4公开密钥基础设施7.4.3密钥管理*7.4公开密钥基础设施7.4.3密钥管理2.密钥备份和恢复3.密钥和证书的更新*7.4公开密钥基础设施7.4.3密钥管理*7.5信息隐藏技术信息隐藏是20世纪90年代兴起的一项信息安全新技术,已成为信息安全研究的热点。信息隐藏是一门新兴的交叉学科,在计算机、通信、保密学等领域有着广阔的应用前景。多媒体技术的广泛应用,为信息隐藏技术的发展提供了更加广阔的领域。信息隐藏不同于传统的密码学技术。密码学主要是研究如何将机密信息进行特殊的编码,以形成不可识别的密码形式(密文)进行传递。信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息。*7.5信息隐藏技术7.5.1信息隐藏技术简介1.信息隐藏的起源与发展信息隐藏可以追溯到远古时代,它来源于古老的隐写术。历史上出现过各式各样的隐写术:化学隐写、物理隐写、生物隐写、……;信息隐藏的例子层出不穷,从中国古代的藏头诗到中世纪欧洲的栅格系统;从古希腊的蜡板藏书到德国间谍的密写术等都是典型实例。2.信息隐藏的基本概念信息隐藏(InformationHiding)有时也称数据隐藏(DataHiding)。从广义上看,信息隐藏有多种含义:一是信息不可见,二是信息的存在性隐蔽,三是信息的接收方和发送方隐蔽,四是传输的信道隐蔽。一般地讲,信息隐藏是指将机密信息隐藏于另一非机密信息载体中,以不引起检查者的注意。这里的载体可以是图像、视频、音频,也可以是信道,甚至是某套编码体制或整个系统。*7.5信息隐藏技术7.5.1信息隐藏技术简介3.信息隐藏的一般模型图7-11信息隐藏系统的一般模型*7.5信息隐藏技术7.5.1信息隐藏技术简介4.信息隐藏的特点2)鲁棒性,又称健壮性1)透明性,又称为不可见、不可感知性3)隐藏容量4)安全性*
浙公网安备 33021202002483