计算机网络-第七章网络安全.pptx

第7章 计算机网络的安全Network Security;本章主要内容;7.1 网络安全问题概述;;主动攻击又可进一步划分为三种，即： （1）更改报文流 （2）拒绝报文服务 （3）伪造连接初始化;计算机网络通信安全的五个目标： 防止析出报文内容； 防止信息量分析； 检测更改报文流； 检测拒绝报文服务； 检测伪造初始化连接。;恶意程序种类繁多，对网络安全威胁较大的主要有以下几种： 计算机病毒(computer virus) 计算机蠕虫(computer worm) 特洛伊木马(Trojan horse) 逻辑炸弹(logic bomb);; 一般的数据加密模型 一般的数据加密模型如下图所示。明文X用加密算法E和加密密钥K得到密文Y, EK (X)。在传送过程中可能出现密文截取者。到了收端，利用解密算法D和解密密钥K，解出明文为DK(Y)=? DK(EK(X))= X。截取者又称为攻击者或入侵者。 ;;密码编码学是密码体制的设计学，而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。 如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。在无任何限制的条件下，目前几乎所有实用的密码体制均是可破的。因此，人们关心的是要研制出在计算上(而不是在理论上)是不可破的密码体制。如果一个密码体制中的密码不能被可以使用的计算资源破译，则这一密码体制称为在计算上是安全的。 ;美国的数据加密标准DES(Data Encryption Standard)和公开密钥密码体制(public key crypto-system)的出现，成为近代密码学发展史上的两个重要里程碑。 ;7.2 两类密码体制 1、常规密码体制;移位代换密码： 最简单的一类代换密码，以凯撒大帝命名的凯撒密码(Caesar Cipher)最著名： 明文字母用密文中对应字母代替，例： 明文字母表 P＝{p0, p1, …, pn-1} 密文字母表 C＝{c0, c1, …, cn-1} 密钥为正整数k，加密：i+k ≡ j (mod n) 解密：j-k ≡ i (mod n) Caesar Cipher:加密：C = E(p)=(p+k) mod 26 解密：p = D(C)=(C-k) mod 26, 0－A；1－B；…；25－Z 字母转换对应关系：Plain: abcdefghijklmnopqrstuvwxyz Cipher: DEFGHIJKLMNOPQRSTUVWXYZABC Example： 明文m=Caesar cipher is a shift substitution 密文c＝E(m)=FDHVDU FLSKHU LV D VKLIW VXEVWLWXWLRQ;置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符的顺序。 下图给出了序列密码的框图。;置换技术(Transposition or permutation) 改变明文内容元素的相对位置，明文和密文中所含的元素是相同的，即将明文中的元素重新排列 一维变换－矩阵转置 二维变换－图形转置 置换密码的核心是一个仅有发方和收方知道的秘密置换和逆置换;从得到的密文序列的结构来划分，有序列密码与分组密码两种不同的密码体制。 序列密码又称为密钥流密码。 目前常使用伪随机序列作为密钥序列。 另一种密码体制与序列密码不同。它将明文划分成固定的n比特的数据组，然后以组为单位，在密钥的控制下进行一系列的线性或非线性的变化而得到密文。这就是分组密码(block cipher)。 分组密码一次变换一组数据。分组密码算法的一个重要特点就是：当给定一个密钥后，若明文分组相同，那么所变换出密文分组也相同。;;2、对称密码体制; 明 文;DES 算法一轮迭代的过程;采用加密分组链接的方法。 ;DES的保密性仅取决于对密钥的保密，而算法是公开的。 一种叫做三重DES (Triple DES)是Tuchman提出的，并在1985年成为美国的一个商用加密标准[RFC 2420]。三重DES使用两个密钥或三个密钥，执行三次DES算法。 两个密钥的三重DES 使用加密-解密-加密的序列C=EK1[DK2[EK1[P]]]，穷举攻击的代价为2112。 三个密钥的三重DES 使