計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第二十講.ppt

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),聊城大學(xué)環(huán)境與規(guī)劃學(xué)院2008年11月,第二十講,第6章計(jì)算機(jī)網(wǎng)絡(luò)安全,網(wǎng)絡(luò)風(fēng)險(xiǎn)主要來自：外部的入侵；內(nèi)部的脆弱。,造成的結(jié)果是：系統(tǒng)不能正常工作；系統(tǒng)中的數(shù)據(jù)被非法獲取、修改和破壞。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),第6章計(jì)算機(jī)網(wǎng)絡(luò)安全,6.2認(rèn)證與鑒別技術(shù),6.3防火墻技術(shù),6.4計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)與安全預(yù)警,6.5惡意程序及其防治,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),本節(jié)教學(xué)目標(biāo)：,掌握數(shù)據(jù)加密/解密算法和密鑰；,掌握對(duì)稱密鑰體系、非對(duì)稱密鑰體系的原理；,了解密鑰分配問題；,理解數(shù)據(jù)隱藏技術(shù)。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),為了使系統(tǒng)中的數(shù)據(jù)不被非法獲取，我們可以采取兩個(gè)基本方法：,數(shù)據(jù)加密：將數(shù)據(jù)變形，使獲取者無法辨識(shí)內(nèi)容、無法利用；,數(shù)據(jù)隱藏：將數(shù)據(jù)隱藏在某個(gè)載體中，讓外人難以找到。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),6.1.1加密/解密算法和密鑰,6.1.2對(duì)稱密鑰體系,6.1.3非對(duì)稱密鑰體系,6.1.4密鑰分配,6.1.5數(shù)據(jù)隱藏,6.1.1加密/解密算法和密鑰,數(shù)據(jù)加密：通過某種函數(shù)進(jìn)行變換，把正常數(shù)據(jù)報(bào)文（明文、明碼）轉(zhuǎn)換成密文（密碼）。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),COMPUTER,FRQSXWHU,愷撒算法：將明文中的每個(gè)字母都移動(dòng)一段距離。,加密算法公式：C=EK(M)其中，M為明文，C為密文，E為加密算法，K為密鑰。,Vigenere密碼系統(tǒng),例如：欲把明文“computernetwork”用密鑰“study”來加密，算法為：,制作維吉利亞方陣，第i行以字母I開始。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),Vigenere密碼系統(tǒng),按密鑰的長(zhǎng)度將明文分解成若干節(jié)。由于K=study，長(zhǎng)度為5，故分解為：,密鑰study,明文,compu,terne,twork,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),Vigenere密碼系統(tǒng),對(duì)每一節(jié)明文，利用密鑰study進(jìn)行變換。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),密鑰study,密文,UHGSS,LXLQC,LPIUI,由此可見：,加密/解密變換的兩個(gè)關(guān)鍵要素：算法E：數(shù)學(xué)公式、法則、程序。密鑰k：可變參數(shù)；,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),提高加密強(qiáng)度的手段：設(shè)計(jì)安全性好的加密算法盡量提高密鑰的長(zhǎng)度,兩種密碼體系：對(duì)稱與非對(duì)稱密碼體系,6.1.2對(duì)稱密鑰體系,加密和解密采用同一把密鑰。密鑰必須保證不能泄露。也稱為秘密密鑰密碼體制或私鑰密碼體制。,明文,加密器E,解密器D,明文,密文,密鑰,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),6.1.2對(duì)稱密鑰體系,最著名的加密算法：DES分組算法。另一個(gè)成功的分組加密算法：IDEA分組加密算法,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),加密算法是標(biāo)準(zhǔn)的、公開的。算法的安全性完全依賴于密鑰。,密鑰的分發(fā)和管理機(jī)構(gòu)KeyDistributionCenter：初始密鑰階段性密鑰,秘密密鑰體制的特點(diǎn)及問題,特點(diǎn)：運(yùn)算效率高、使用方便、加密效率高。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),存在問題：密鑰的管理和分配問題。由于加密密鑰和解密密鑰是一樣的，通信雙方在通信之前必須互通密鑰，而密鑰在傳遞的過程中極有可能被第三方截獲。這就為密鑰的保密工作增加了難度；另外，如果有n個(gè)用戶彼此之間要進(jìn)行保密通信，則一共需要n(n-1)/2個(gè)密鑰，如此巨大數(shù)目的密鑰為密鑰的管理和分配帶來了極大的困難。,秘密密鑰體制的特點(diǎn)及問題,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),存在問題：認(rèn)證問題。對(duì)稱密鑰加密系統(tǒng)無法避免和杜絕如下一些不正?，F(xiàn)象：（1）接收方可以篡改原始信息，（2）發(fā)送方可以否認(rèn)曾發(fā)送過信息等等。,6.1.3非對(duì)稱密鑰體系,非對(duì)稱密鑰體系概述公開密鑰系統(tǒng)（1976年提出）的特點(diǎn)是：,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),加密和解密分別用不同的密鑰進(jìn)行:DPK(EPK(M)M，DSK(EPK(M)=M；加密密鑰和解密密鑰可以對(duì)調(diào)，即DPK(ESK(M)=M；應(yīng)能在計(jì)算機(jī)上成對(duì)的生成，但不能用已知的PK導(dǎo)出未知的SK。,6.1.3非對(duì)稱密鑰體系,公開密鑰系統(tǒng)的優(yōu)點(diǎn)：發(fā)送者和接收者事先不必交換密鑰，從而使保密性更強(qiáng)；可用于身份認(rèn)證和防止抵賴，應(yīng)用前景廣闊。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),公開密鑰系統(tǒng)的缺點(diǎn)：計(jì)算量大，故不適合信息量大、速度要求快的加密。,6.1.3非對(duì)稱密鑰體系,2.非對(duì)稱密鑰體系的工作原理,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),為通信雙方A、B各生成一對(duì)密鑰PKA、SKA；PKB、SKB。PKA、PKB稱為公開密鑰（公鑰），SKA、SKB稱為私有密鑰（私鑰）；,每一方掌握自己的私鑰和對(duì)方的公鑰，即：A：SKA、PKB，B：SKB、PKA。,6.1.3非對(duì)稱密鑰體系,設(shè)A為發(fā)送方，B為接收方，加密/解密過程為：,M,D,E,PKB,D,E,M,SKB,PKA,DSKA(M),EPKB(DSKA(M),DSKA(M),A方,B方,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),6.1.3非對(duì)稱密鑰體系,3.RSA算法（Rivest、Shamir、Adleman）,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),歐拉定理：尋求兩個(gè)大的素?cái)?shù)容易，但將它們的乘積分解開極其困難。,RSA算法非常簡(jiǎn)單，概述如下：秘密的找兩個(gè)十進(jìn)制大素?cái)?shù)p和q；計(jì)算出N=p*q，將N公開；取T=(p-1)*(q-1)（T即為歐拉函數(shù)）；,6.1.3非對(duì)稱密鑰體系,3.RSA算法（續(xù)）,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),取任何一個(gè)數(shù)e,要求滿足e<T并且e與T互素（就是最大公因數(shù)為1）;確定整數(shù)d，規(guī)則是（d*e）modT=1;這樣最終得到三個(gè)數(shù)：N、d、e，則密鑰為：PK=(e，N)，SK=(d，N)。,設(shè)明文為數(shù)M（M<N），密文為C，則有：加密：C=(Me)modN解密：M=(Cd)modN,6.1.3非對(duì)稱密鑰體系,RSA算法舉例：,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),產(chǎn)生一對(duì)密鑰p=7，q=13；這樣，N=p*q=91；T=(p-1)*(q-1)=72;,取e=5，滿足e<T并且e和T互素。用窮舉法可以獲得滿足（d*e）modT=1的數(shù)d29；,最終我們獲得關(guān)鍵的N=91，d=29，e=5。故：公鑰PK=5，91，私鑰SK=29，91。,6.1.3非對(duì)稱密鑰體系,用這對(duì)密鑰進(jìn)行加密/解密試驗(yàn),6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),設(shè)明文取M=12我們看看:,解密：我們可以用d來對(duì)加密后的C進(jìn)行解密，根據(jù)M=(Cd)modN=(3829)mod91，3829=6.51215E+45，求余后得12，即明文M。,加密：根據(jù)公式C=(Me)modN，C=(125)mod91，125=248832，求余后得38，即用e對(duì)M加密后獲得加密信息C38。,6.1.3非對(duì)稱密鑰體系,RSA體制的安全性依賴于大數(shù)分解的難易程度。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),破解者可以得到e和N，如果想要得到d，必須得出(p-1)*(q-1)（即歐拉函數(shù)T），因而必須先對(duì)N進(jìn)行因數(shù)分解。,如果N很大那么因數(shù)分解就會(huì)非常困難，所以要提高加密強(qiáng)度，p和q的數(shù)值大小起著決定性的作用。,一般來講當(dāng)p和q都大于2128時(shí)，按照目前的計(jì)算機(jī)處理速度破解基本已經(jīng)不大可能了。,6.1.4密鑰分配,現(xiàn)代密碼學(xué)要求，在設(shè)計(jì)密碼系統(tǒng)時(shí)，應(yīng)當(dāng)不強(qiáng)調(diào)密碼算法的保密。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),密碼系統(tǒng)的安全性只取決于密鑰的安全。,而從密鑰的管理途徑進(jìn)行攻擊比單純破譯密碼算法要容易得多。,故需要對(duì)密鑰的產(chǎn)生、分發(fā)、存儲(chǔ)、分配、驗(yàn)證、銷毀等進(jìn)行集中的管理。,6.1.4密鑰分配,密鑰分配是密鑰管理中最大的問題。兩種密鑰分配方法：,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),網(wǎng)外分配：派可靠信使分配密鑰。網(wǎng)內(nèi)分配：自動(dòng)密鑰分配。用戶之間直接分配；通過密鑰分配中心（KDC）分配：當(dāng)前密鑰分配的主流方式。,6.1.5數(shù)據(jù)隱藏,數(shù)據(jù)隱藏技術(shù)是指隱藏?cái)?shù)據(jù)的存在性。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),通常將數(shù)據(jù)隱藏在一個(gè)容量更大的數(shù)據(jù)載體中，形成隱秘載體。,載體可以采用文字、圖像、聲音、視頻等，多用多媒體數(shù)據(jù)作為載體。,將加密與數(shù)據(jù)隱藏兩者結(jié)合起來以增加被攻擊的難度。,6.1.5數(shù)據(jù)隱藏,數(shù)據(jù)的隱藏過程和提取過程如下：,預(yù)處理,嵌入算法,載體C,密鑰K1,解預(yù)處理,提取算法,載體C,密鑰K2,(a)數(shù)據(jù)隱藏過程,(b)數(shù)據(jù)提取過程,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),本課小結(jié),數(shù)據(jù)加密和數(shù)據(jù)隱藏技術(shù)是提高計(jì)算機(jī)網(wǎng)絡(luò)安全強(qiáng)度的兩個(gè)基本技術(shù)。,6.1數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù),加密/解密的兩個(gè)關(guān)鍵要素：算法和密鑰；對(duì)稱與非對(duì)稱密鑰體系；密鑰分配問題；數(shù)據(jù)隱藏技術(shù)。,本課到此結(jié)束!,THANKYOUVERYMUCH！,