《加密技术及在网络通信中的应用.ppt》由会员分享,可在线阅读,更多相关《加密技术及在网络通信中的应用.ppt(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、加密技术及在网络通信中的加密技术及在网络通信中的应用应用密码学的基本概念密码学的基本概念密密码码编编码码学学是是密密码码体体制制的的设设计计学学,而而密密码码分分析析学学则则是是在在未未知知密密钥钥的的情情况况下下从从密密文文推推演演出出明明文文或或密密钥钥的的技技术术。密密密密码码码码编编编编码码码码学学学学与与与与密密密密码码码码分分分分析析析析学学学学合合合合起起起起来来来来即即即即为为为为密码学密码学。在在无无任任何何限限制制的的条条件件下下,目目前前几几乎乎所所有有实实用用的的密密码码体体制制均均是是可可破破的的。因因此此,人人们们关关心心的的是是要要研研制制出出在在计计算算上上(而
2、而不不是是在在理理论论上上)是是不不可可破破的的密密码码体体制制。如如果果一一个个密密码码体体制制中中的的密密码码不不能能被被可可以以使使用用的的计计算算资资源源破破译译,则则这这一一密密码码体体制制称称为为在在计计算算上上是安全的是安全的。密码算法密码算法简单地说就是一个变换E,这个变换将需要保密地明文消息m转换成密文c,如果用一个公式表示就是:cEk(m)这个过程称之为加密,参数k是加密过程中使用的密钥。从密文c恢复明文地过程称之为解密。解密算法D是加密算法E地逆运算。密码分析者常用方法密码分析者常用方法 穷举攻击穷举攻击:尝试密钥空间中所有可能的密钥,从统计学的尝试密钥空间中所有可能的密
3、钥,从统计学的角度讲,要尝试完密钥空间中大约一半的密钥才可能碰角度讲,要尝试完密钥空间中大约一半的密钥才可能碰到正确的密钥。今天标准的对称密钥的长度是到正确的密钥。今天标准的对称密钥的长度是128128bitbit,当密钥空间增大时,尝试的次数必然增大,从而增加穷当密钥空间增大时,尝试的次数必然增大,从而增加穷举攻击的难度。举攻击的难度。统计分析攻击:密码分析者通过分析明文和密文的统计统计分析攻击:密码分析者通过分析明文和密文的统计规律来破译密码。许多古典密码都可以通过分析密文字规律来破译密码。许多古典密码都可以通过分析密文字母和字母组的频率而破译。防止破解的方法:使明文的母和字母组的频率而破
4、译。防止破解的方法:使明文的统计特征不带入密文。统计特征不带入密文。数学分析攻击:密码分析者针对加密算法的数学依据通数学分析攻击:密码分析者针对加密算法的数学依据通过数学求解的方法来破译密码。过数学求解的方法来破译密码。密码学发展史密码学发展史密密码码学作学作为为保保护护信息的手段,信息的手段,经历经历了三个了三个发发展展时时期期 手工手工阶阶段段 机器机器时时代代:ENIGMAENIGMA是德国在是德国在19191919年年发发明的一种加密明的一种加密电电子器,它被子器,它被证证明是有史以来最可靠的加密系明是有史以来最可靠的加密系统统之一。之一。二二战战期期间间它开始被德它开始被德军军大量用
5、于大量用于铁铁路、企路、企业业当中,令当中,令德德军军保密通保密通讯讯技技术处术处于于领领先地位。先地位。电电子子时时代代计计算机的出算机的出现现使密使密码进码进行高度复行高度复杂杂的运算成的运算成为为可可能。近代密能。近代密码码学改学改变变了古典密了古典密码码学学单单一的加密手一的加密手法,融入了大量的数法,融入了大量的数论论、几何、代数等丰富知、几何、代数等丰富知识识,使密使密码码学得到更蓬勃的学得到更蓬勃的发发展。展。替代密码替代密码替代密码(substitution cipher)的原理可用一个例子来说明。如表所示。换位密码换位密码换位密码是采用移位法进行加密的。它把明文中的字母重新排
6、列,本身不变,但位置变了。如:把明文中的字母的顺序倒过来写,然后以固定长度的字母组发送或记录。明文:computer systems密文:sm etsy sretupmoc简单异或简单异或 异或(XOR)在C语言中是“”操作,或者用数学表达式表示。它是对位的标准操作,有以下一些运算:00=001=110=111=0也要注意:aa=0 abb=a密码算法的分类密码算法的分类按照加密密钥和解密密钥是否相同,分为:对称密码算法和非对称密码算法。美国的数据加密标准DES(Data Encryption Standard)和公开密钥密码体制(public key crypto-system)的出现,成为
7、近代密码学发展史上的两个重要里程碑。数据加密标准数据加密标准DES数据加密标准DES于1977年被美国定为联邦信息标准后,在国际上引起了极大的重视。ISO曾将DES作为数据加密标准。加密算法如图10-5所示。三重三重DESDESDES的保密性仅取决于对密钥的保密的保密性仅取决于对密钥的保密,而算法是公开的而算法是公开的。一种叫做一种叫做三重三重DES DES(Triple DES)(Triple DES)是是TuchmanTuchman提出的,提出的,并在并在19851985年成为美国的一个商用加密标准年成为美国的一个商用加密标准 RFC 2420RFC 2420。三重三重DESDES使用两个
8、密钥,执行三次使用两个密钥,执行三次DESDES算法,算法,公开密钥密码体制公开密钥密码体制 公公开开密密钥钥密密码码体体制制就就是是使使用用不不同同的的加加密密密密钥钥与与解解密密密密钥钥,是是一一种种由由已已知知加加密密密密钥钥推推导导出出解解密密密密钥钥在在计计算算上上是是不不可可行的密码体制行的密码体制。公公开开密密钥钥密密码码体体制制的的产产生生主主要要是是因因为为两两个个方方面面的的原原因因,一一是是由由于于常常规规密密钥钥密密码码体体制制的的密密钥钥分分配配(distribution)distribution)问题,另一是由于问题,另一是由于对数字签名对数字签名的需求。的需求。在
9、在公公开开密密钥钥密密码码体体制制中中,加加密密密密钥钥(即即公公开开密密钥钥)PKPK是是公公开开信信息息,而而解解密密密密钥钥(即即秘秘密密密密钥钥)SKSK是是需需要要保保密密的的。加加密密算算法法E E和和解解密密算算法法D D也也都都是是公公开开的的。虽虽然然秘秘密密密密钥钥SKSK是由公开密钥是由公开密钥PKPK决定的,但却不能根据决定的,但却不能根据PKPK计算出计算出SKSK。RSARSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一
10、。公钥加密技术公钥加密技术公钥加解密技术的结构:公钥加解密技术的结构:公钥加解密技术的结构:公钥加解密技术的结构:每个网络用户有两个密钥,称为公钥和私钥。在每个网络用户有两个密钥,称为公钥和私钥。在每个网络用户有两个密钥,称为公钥和私钥。在每个网络用户有两个密钥,称为公钥和私钥。在信息的发送和接受过程中,使用一个密钥加密,信息的发送和接受过程中,使用一个密钥加密,信息的发送和接受过程中,使用一个密钥加密,信息的发送和接受过程中,使用一个密钥加密,使用另一个密钥解密,同一个用户的两个密钥可使用另一个密钥解密,同一个用户的两个密钥可使用另一个密钥解密,同一个用户的两个密钥可使用另一个密钥解密,同一
11、个用户的两个密钥可以互相加解密,但这两个密钥相互之间很难相互以互相加解密,但这两个密钥相互之间很难相互以互相加解密,但这两个密钥相互之间很难相互以互相加解密,但这两个密钥相互之间很难相互推导得出。推导得出。推导得出。推导得出。公钥:称为公开密钥,可以向其他用户公开公钥:称为公开密钥,可以向其他用户公开公钥:称为公开密钥,可以向其他用户公开公钥:称为公开密钥,可以向其他用户公开私钥:称为私有密钥,是用户自己拥有,不能公私钥:称为私有密钥,是用户自己拥有,不能公私钥:称为私有密钥,是用户自己拥有,不能公私钥:称为私有密钥,是用户自己拥有,不能公开。开。开。开。公钥结构的保密通信原理公钥结构的保密通
12、信原理加密算法加密算法解密算法解密算法Internet/Intranet密文密文传送传送明文明文明文明文发送方发送方接收方接收方发送方的私钥发送方的私钥接收方的私钥接收方的私钥发送方的公钥发送方的公钥发送方的公钥发送方的公钥接收方的公钥接收方的公钥接收方的公钥接收方的公钥要进行保密通信,发送方使用接收方的公钥对明文进行加密,接受方使用自己的要进行保密通信,发送方使用接收方的公钥对明文进行加密,接受方使用自己的私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密,因私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密,因此可以实现保密通信。此可以实现保密通信。公钥结构
13、的公钥结构的鉴别通信的原理通信的原理加密算法加密算法解密算法解密算法Internet/Intranet密文密文传送传送明文明文明文明文发送方发送方接收方接收方发送方的私钥发送方的私钥接收方的私钥接收方的私钥发送方的公钥发送方的公钥发送方的公钥发送方的公钥接收方的公钥接收方的公钥接收方的公钥接收方的公钥要进行鉴别通信,发送方使用自己的私钥对明文进行加密,接收方使用发送方的要进行鉴别通信,发送方使用自己的私钥对明文进行加密,接收方使用发送方的公钥对密文进行解密。接收方使用发送方的公钥进行解密,可以确信信息是由发公钥对密文进行解密。接收方使用发送方的公钥进行解密,可以确信信息是由发送方加密的,也就可
14、以鉴别了发送方的身份。送方加密的,也就可以鉴别了发送方的身份。公钥结构的公钥结构的鉴别+保密通信的原理的原理加密算法加密算法解密算法解密算法Internet/Intranet密文密文传送传送明文明文明文明文发送方发送方接收方接收方发送方的私钥发送方的私钥接收方的私钥接收方的私钥发送方的公钥发送方的公钥发送方的公钥发送方的公钥接收方的公钥接收方的公钥接收方的公钥接收方的公钥发送方先使用自己的私钥对明文进行加密,然后使用接收方的公钥进行加密。接发送方先使用自己的私钥对明文进行加密,然后使用接收方的公钥进行加密。接收方先使用发送方的公钥进行解密,然后使用自己的私钥进行解密,这样就实现收方先使用发送方
15、的公钥进行解密,然后使用自己的私钥进行解密,这样就实现了鉴别和保密通信。了鉴别和保密通信。密钥分配密钥分配由于密码算法是公开的,网络的安全性就完全基于密钥的安全保护上。因此在密码学中出现了一个重要的分支密钥管理。密钥管理包括:密钥的产生、分配、注入、验证和使用。PKI(Public Key Infrastructure)“公钥基础设施”是利用公钥加解密技术来是利用公钥加解密技术来实现信息安全的技术,实现信息安全的技术,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系 PKIPKI方案的核心就是数字证书方案的核心就是数字证书数字证书数字证书在在在在InternetIn
16、ternetInternetInternet上从事一些需要保密的业务时必备的上从事一些需要保密的业务时必备的上从事一些需要保密的业务时必备的上从事一些需要保密的业务时必备的“个个个个人身份证人身份证人身份证人身份证”,由权威机构发行,在网络通信中标志通,由权威机构发行,在网络通信中标志通,由权威机构发行,在网络通信中标志通,由权威机构发行,在网络通信中标志通信各方身份的一系列数据。信各方身份的一系列数据。信各方身份的一系列数据。信各方身份的一系列数据。网络上通信各方向网络上通信各方向网络上通信各方向网络上通信各方向PKIPKIPKIPKI的数字证书颁发机构申请数字的数字证书颁发机构申请数字的数
17、字证书颁发机构申请数字的数字证书颁发机构申请数字证书,通过证书,通过证书,通过证书,通过PKIPKIPKIPKI系统建立的一套严密的身份认证系统系统建立的一套严密的身份认证系统系统建立的一套严密的身份认证系统系统建立的一套严密的身份认证系统来保证:来保证:来保证:来保证:1 1 1 1信息除发送方和接受方外不被其他人看到信息除发送方和接受方外不被其他人看到信息除发送方和接受方外不被其他人看到信息除发送方和接受方外不被其他人看到2 2 2 2发送方能够通过数字证书来确认接受方的身份发送方能够通过数字证书来确认接受方的身份发送方能够通过数字证书来确认接受方的身份发送方能够通过数字证书来确认接受方的
18、身份3 3 3 3发送方对于自己的信息不能抵赖发送方对于自己的信息不能抵赖发送方对于自己的信息不能抵赖发送方对于自己的信息不能抵赖数字证书的格式数字证书的格式版本、序列号、签名算法、颁发者、使用版本、序列号、签名算法、颁发者、使用者、标识、有效期。者、标识、有效期。数字证书的原理数字证书的原理公钥公钥公钥公钥私钥私钥私钥私钥数字证书采用公钥机制,证书颁发机构提供的程序为用户产生一对密钥,数字证书采用公钥机制,证书颁发机构提供的程序为用户产生一对密钥,一把是公开的公钥,它将在用户的数字证书中公布并寄存于数字证书认证一把是公开的公钥,它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人
19、的私钥,它将存放在用户的计算机上。中心。另一把是私人的私钥,它将存放在用户的计算机上。数字证书认证中心数字证书认证中心CA(Certificate Agency)数字证书认证中心数字证书认证中心CA证书申请与颁发证书申请与颁发证书申请与颁发证书申请与颁发网站加密网站加密SSL站点站点只要浏览器和只要浏览器和只要浏览器和只要浏览器和WebWeb服务器都配置成使用服务器都配置成使用服务器都配置成使用服务器都配置成使用SSL(SSL(SecureSecure Socket Layer Socket Layer 安全套接层安全套接层安全套接层安全套接层),就可以在传输层实现网,就可以在传输层实现网,就
20、可以在传输层实现网,就可以在传输层实现网络信息安全。络信息安全。络信息安全。络信息安全。SSLSSL会话会话会话会话-通信双方就通信规则达成一致就是一个通信双方就通信规则达成一致就是一个通信双方就通信规则达成一致就是一个通信双方就通信规则达成一致就是一个SSLSSL会话,会话由会话,会话由会话,会话由会话,会话由SSLSSL握手协议完成,定义加密安全握手协议完成,定义加密安全握手协议完成,定义加密安全握手协议完成,定义加密安全参数的集合。参数的集合。参数的集合。参数的集合。SSLSSL连接连接连接连接-利用会话参数进行的一次实际的数据传输利用会话参数进行的一次实际的数据传输利用会话参数进行的一
21、次实际的数据传输利用会话参数进行的一次实际的数据传输过程。过程。过程。过程。基于基于SSL的一个完整的的一个完整的Web访问过程访问过程1.客户机浏览器的数字证书和公钥客户机浏览器的数字证书和公钥2.服务器的数字证书和公钥服务器的数字证书和公钥3.用服务器的公钥加密信息用服务器的公钥加密信息4.用服务用服务器的私钥器的私钥解密信息解密信息5.用客户机浏览器的公钥加密会话密钥用客户机浏览器的公钥加密会话密钥6.用客户用客户机浏览器机浏览器的私钥解的私钥解密信息密信息7.用会话密钥加密传输的数据用会话密钥加密传输的数据客户端客户端服务器服务器公钥、私钥和会话密钥的关系公钥、私钥和会话密钥的关系只要
22、只要Web服务器和客户机浏览器使用的数字证服务器和客户机浏览器使用的数字证书不变,它们的公钥和私钥就不变,而每次会书不变,它们的公钥和私钥就不变,而每次会话的会话密钥会改变。会话密钥的不断变化,话的会话密钥会改变。会话密钥的不断变化,使信息的破译难度加大,确保信息的安全。使信息的破译难度加大,确保信息的安全。使用使用SSL协议通信,获得的数字证书中的公钥协议通信,获得的数字证书中的公钥用于安全传递会话密钥,每次产生的不同的会用于安全传递会话密钥,每次产生的不同的会话密钥才是对传输数据进行真正的加密和解密,话密钥才是对传输数据进行真正的加密和解密,因此因此SSL的通信是常规加解密技术和公钥加解的通信是常规加解密技术和公钥加解密技术的融合。密技术的融合。实验:1、证书服务器的安装及申请2、实现SSL网站3、使用IPSEC实现通信安全4、使用PGP实现文件及邮件的加密通信