计算机网络安全管理----数据加密技术及应用.ppt

对称加密和非对称加密 数据加密的基本概念 网络加密的实现 数据加密技术的典型应用 数据加密的基本概念 所谓加密，就是把数据信息即明文转换为不可辨识的形式即密文的过程,目的是使不应了解该数据信息的人不能够知道和识别。将密文转变为明文的过程就是解密。加密和解密过程形成加密系统,明文与密文统称为报文。 任何加密系统,不论形式如何复杂,实现的算法如何不同,但其基本组成部分是相同的,通常都包括如下4个部分: (1)需要加密的报文,也称为明文; (2)加密以后形成的报文,也称为密文;  (3)加密、解密的装置或算法;  (4)用于加密和解密的钥匙,称为密钥。密钥可以是数字、词汇或者语句。 在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。 对称加密和非对称加密 对称加密算法 对称加密算法的特点： 算法公开、计算量小、加密速度快、加密效率高。 对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。 不对称加密算法的基本原理是：如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。 不对称加密算法 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。 由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。 在实践应用中，一般将对称加密和非对称加密两种方式混合在一起来使用。即在加密和解密时采用对称加密方式，密钥传送则采用非对称加密方式。 这样即解决了密钥管理困难的问题，又解决了加密和解密速度慢的问题。 对称加密中的序列密码和分组密码 序列密码的工作原理 序列密码也称流密码，最早的二进制序列密码是Vernam密码，他将明文消息转化为二进制数字序列，密钥序列也为二进制数字序列，加密是按明文序列和密钥序列逐位模2相加（即异或操作XOR）进行，解密也是按密文序列和密钥序列逐位模2相加进行。工作原理如图所示。 分组密码的工作原理 分组密码的加密方式是先将明文序列以固定长度进行分组，然后将每一组明文用相同的密码和加密函数进行运算，工作原理如图所示。 网络加密的实现 网络加密的实现有以下几种方法： 链路加密 节点对节点加密 端对端加密 链路加密 链路加密又称在线加密，它是对在两个网络节点间的某条通信链路实施加密，是目前网络安全系统中重要采用的方式。 链路加密能为网上传输的数据提供安全保证，所有消息在被传输之前进行逐位加密，在每个节点对接收到的消息进行解密，然后使用下一个链路的密钥对消息进行加密后再进行传输。在链路加密方式中，不仅对数据报文的正文加密，而且把路由信息，校验和等控制信息全部加密。 所以，当数据报文传输到某个中间节点时，必须先被解密以获得路由信息和校验和，进行路由选择，差错检测，然后再被加密，发送给下个节点，知道数据报文到达谜底为止。 节点对节点的加密 节点对节点的加密是为了解决在节点中的数据时明文的这点缺点，在中间节点里装有用于加密和解密的保护装置，由这个装置来完成一个密钥向另一个密钥的交换。因而，除了在保护装置里，即使在节点内也不会的出现明文。 端对端加密 端对端加密是人们为了解决链路加密和节点对节点加密的不足而设计的。 端对端加密又称脱线加密或包加密，它允许数据在从源节点被加密后，到终点的传输过程中始终以密文形式存在，消息在到达终点之前不进行解密，只有消息到达目的节点后才被解密。因为消息在整个传输过程中均受保护，所以即使节点被损坏也不会使消息泄露。 因此，端对端加密方式可以实现按各种通信对象的要求改变加密密钥以及按应用程序进行密钥管理等，而且采用这种方式可以解决文件加密问题。另外，链路加密方式是对整个链路通信采取保护措施，而端对端加密方式则是对整个网络系统采取保护措施。相对于端对端加密系统更容易设计，实现和维护，且成本相对较低。 数据加密技术的典型应用 1、数字签名 2、报文验证 网络攻击种类及应对方法 针对信息保密性的攻击：信息泄密和传输分析 方法：加密技术 针对信息完整性的攻击：信息伪造和篡改 方法：鉴别技术 针对抗否认性的攻击：行为抵赖 方法：数字签名 什么是数字签名 怎么实现数字签名 知识点： 数字签名的概念