网络安全管理及实用技术 教学课件 作者 贾铁军5-8章 第6章 密码与加密管理.pptVIP

第 6 章 密码与加密管理;目 录;目 录;6.1.1 密码技术相关概念 1. 基本概念 ;2.密码 ;6.1.2 密码学与密码体制 1. 密码学概述 （1）密码学发展历程 密码学的发展阶段：第一阶段，从古代到1949年，可以看作是密码学科学的前夜时期。第二阶段，从1949年到1975年。1949年，Shannon发表的“保密系统的信息理论”为私钥密码系统建立了理论基础，从此密码学成为一门科学。第三阶段，从1976年至今。计算机密码学是研究计算机信息加密、解密及其变换的科学 。 （2）密码学概念 密码学是研究设计密码和破译密码的技术科学，它包含两个互相对立的分支，研究编制密码的技术称为密码编码学（Cryptography），主要研究内容对数据进行变幻的原理、手段和方法，用于密码体制设计。研究破译密码的科学称为密码分析学（Cryptanalytics），主要研究内容如何破译密文，在未??密钥的情况下，从密文推出明文或密钥的技术。 ;6.1.2 密码学与密码体制 2. 密码体制 密码体制就是进行明密变换的法则或算法，变换的参数称密钥。 （1）密码体制的分类 按照加、解密密钥是否相同，加密体制分为： 1）对称加密体制。对称加密体制加密基本原理框图，如图6-2所示 2）非对称密码体制。非对称密码体制加密基本原理框图 如图6-3所示。 3）混合加密体制 混合加密体制是对称密码体制和非对称密码体制结合而成，混合加密体制加密基本原理参见教材图6-4所示。;6.1 密码技术概述;6.1.2 密码学与密码体制 2. 密码体制 （2）安全的密码体制应具有的性质 从防止攻击角度看密码体制应该具有如下几条性质： 1）从密文恢复明文应该是难的，即使分析者知道明文 空间，如明文是英语。 2）从密文计算出明文部分信息应该是难的。 3）从密文探测出简单却有用的事实应该是难的，如相 同的信息被发送了两次。 （3） 密码体制安全性评价 评价密码体制安全性包括无条件安全性、计算安全性、可证明安全性。;6.1.3 数据及网络加密方式 数据加密是保护信息安全的有效手段，主要用来保护计算机及其网络内的数据、文件、以及用户自身的敏感信息。 1. 数据块与数据流加密 数据块加密是指把数据划分为定长的数据块，再分别加密。数据块之间加密是独立的，密文将随着数据块的重复出现具有一定规律性。数据流加密是指加密后的密文前部分用来参与报文后面部分的加密。此时数据块之间加密不独立，密文不会随着数据块的重复出现具有规律性，反馈的数据流加密可以提高破译难度。;6.1.3 数据及网络加密方式 2. 网络数据加密方式 网络数据加密技术主要分为数据传输加密和数据存储加密。 数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式： (1) 链路加密 链路加密是把网络上传输的数据报文的每一位进行加密，链路两端都用加密设备进行加密，使整个通信链路传输安全。 特点及应用：在链路加密方式下，只对传输链路中的数据加密，而不对网络节点内的数据加密，中间节点上的数据报文是以明文出现的。链路加密对用户来说比较容易，使用的密钥较少。 ;6.1.3 数据及网络加密方式 (2) 节点对节点加密 节点对节点加密是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。 缺点：需要公共网络提供者配合，修改其交换节点，增加安全单元或保护装置；同时，节点加密要求报头和路由信息以明文形式传输，以便中间节点能得到如何处理消息的信息，也容易受到攻击。 ;6.1.3 数据及网络加密方式 (3) 端对端加密 端对端加密也称面向协议加密方式，是为数据从一端到另一端提供的加密方式。数据在发送端被加密，在接收端解密，中间节点处不以明文的形式出现。端到端加密是在应用层完成的。在端到端加密中，除报头外的报文均以密文的形式贯穿于全部传输过程，只是在发送端和接收端才有加、解密设备。 特点：在始发节点上实施加密，在中间节点以密文形式传输，最后到达目的节点时才进行解密，这对防止拷贝网络软件和软件泄漏很有效。端对端加密提供了一定程度的认证功能，同时也能防止网络上对链路和交换机的攻击。 ;6.1.3 数据及网络加密方式 三种加密方式比较：链路加密的目的是保护链路两端网络设备间的通信安