第五章 密码技术.pptVIP

第五章　密码技术 5.1　密码技术概述 5.2　加密方法 5.3　密钥与密码破译 5.4　常用信息加密技术介绍 本章学习目标 （1）了解对称密钥密码体制和非对称密钥密码体制的加密方式和各自的特点，链路加密、节点加密和端对端加密等三种加密方式的优缺点。 （2）掌握代码加密，替换加密，变位加密，以及一次性密码簿加密等４种传统加密方法的加密原理；理解常见的密码破译方法，防止密码破译的措施。 （3）熟悉使用PGP的方法。 5.1　密码技术概述 加密的基本概念 “加密”，是一种限制对网络上传输数据的访问权的技术。原始数据（也称为明文)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文。 “解密”，将密文还原为原始明文的过程称为解密，它是加密的反向处理，但解密者必须利用相同类型的加密设备和密钥对密文进行解密。 加密的基本功能包括: 1. 防止不速之客查看机密的数据文件； 2. 防止机密数据被泄露或篡改； 3. 防止特权用户(如系统管理员)查看私人数据文件； 4. 使入侵者不能轻易地查找一个系统的文件。 5.1.1　密码通信系统的模型 5.1.2　密码学与密码体制 1．对称密钥密码体制 （1）对称密钥密码体制的加密方式 ：加密和解密使用相同的密钥。 （2）对称密钥密码体制的特点：对称密钥密码系统具有加解密速度快、安全强度高、使用的加密算法比较简便高效，适用于对数据本身的加密。 2．非对称密钥密码体制 （1）用户可以把用于加密的密钥公开地分发给任何人。 （2）极大地简化了密钥管理。 （3）公开密钥加密不仅改进了传统加密方法，还提供了传统加密方法不具备的应用，这就是数字签名系统。 3．混合加密体制 用公开密钥密码技术在通信双方之间传送秘密密钥，而用秘密密钥来对实际传输的数据加密解密。 5.1.3 加密方式和加密的实现方法 1．数据块和数据流加密的概念 数据块加密是指把数据划分为定长的数据块，再分别加密。 数据流加密是指加密后的密文前部分，用来参与报文后面部分的加密。 2．三种加密方式 （1）链路加密方式。链路加密(又称在线加密)是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。 （2）节点对节点加密方式。在网络拓扑中，网络任何支路的终端或网络中两个或更多支路的互连公共点。是信号的交叉连接点，是业务分插交汇点，是网络管理系统的切入点，是信号功率的放大点和传输中的数字信号的再生点。 （3）端对端加密方式。网络层以上的加密称为端对端加密。是面向网络层主体。 。是为数据从一端传送到另一端提供的加密方式。数据在发送端被加密，在最终目的地（接收端）解密，中间节点处不以明文的形式出现。 3．三种加密方式比较 （1）链路加密方式。采用链路加密方式，从起点到终点，要经过许多中间节点，在每个节点地均要暴露明文（节点加密方法除外），如果链路上的某一节点安全防护比较薄弱，那么按照木桶原理（木桶水量是由最低一块木板决定），虽然采取了加密措施，但整个链路的安全只相当于最薄弱的节点处的安全状况。 （2）节点对节点加密方式。节点加密是对链路加密的改进。在协议传输层上进行加密，主要是对源节点和目标节点之间传输数据进行加密保护，与链路加密类似，只是加密算法要结合在依附于节点的加密模件中，克服了链路加密在节点处易遭非法存取的缺点。 （3）端对端加密方式。采用端--端加密方式，只是发送方加密报文，接收方解密报文，中间节点不必加、解密，也就不需要密码装置。此外，加密可采用软件实现，使用起来很方便。且成本低，但密钥管理问题困难，主要适合大型网络系统中。为安全起见，每隔一段时间还要更换密钥，有时甚至只能使用一次密钥，密钥的用量很大。 3．数据加密的实现方式 （1）软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送出去，到达接收方后，由用户用相应的解密软件进行解密，还原成明文。 （2）硬件加密可以采用标准的网络管理协议（比如SNMP、CMIP等）来进行管理，也可以采用统一的自定义网络管理协议进行管理。 5.2　加密方法 5.2.1　加密系统的组成 5.2.2　四种传统加密方法 5.2.1　加密系统的组成 待加密的报文，也称明文。 加密后的报文，也称密文。 加密、解密装置或称算法。 于加密和解密的密钥，它可以是数字，词汇或者语句。 5.2.2　传统加密方法 见附页 5.3　密钥与密码破译方法 1．密钥的穷尽搜索 破译密文就是尝试所有可能的密钥组合。虽然大多数的密钥尝试都是失败的，但最终有一个密钥让破译者得到原文，这个过程称