计算机网络技术第二十讲课件.ppt

1、聊城大学环境与规划学院聊城大学环境与规划学院2008年年11月月第二十讲第二十讲第6章 计算机网络安全网络风险主要来自：外部的入侵；外部的入侵；内部的脆弱。内部的脆弱。造成的结果是：系统不能正常工作；系统不能正常工作；系统中的数据被非法获取、修改和破坏。系统中的数据被非法获取、修改和破坏。6.1 数据加密与数据隐藏技术第6章 计算机网络安全6.2 认证与鉴别技术6.3 防火墙技术6.4 计算机网络入侵检测与安全预警6.5 恶意程序及其防治6.1 数据加密与数据隐藏技术本节教学目标：掌握数据加密掌握数据加密/解密算法和密钥；解密算法和密钥；掌握对称密钥体系、非对称密钥体系的原理；掌握对称密钥体系

2、、非对称密钥体系的原理；了解密钥分配问题；了解密钥分配问题；理解数据隐藏技术。理解数据隐藏技术。6.1 数据加密与数据隐藏技术为了使系统中的数据不被非法获取，我们可以采取两个基本方法：数据加密：将数据变形，使获取者无法辨识数据加密：将数据变形，使获取者无法辨识内容、无法利用；内容、无法利用；数据隐藏：将数据隐藏在某个载体中，让外数据隐藏：将数据隐藏在某个载体中，让外人难以找到。人难以找到。6.1 数据加密与数据隐藏技术6.1.1 加密/解密算法和密钥6.1.2 对称密钥体系6.1.3 非对称密钥体系6.1.4 密钥分配6.1.5 数据隐藏6.1.1 加密/解密算法和密钥 数据加密：通过某种函数

3、进行变换，把正常数通过某种函数进行变换，把正常数据报文（明文、明码）转换成密文（密码）。据报文（明文、明码）转换成密文（密码）。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术移动移动3 3个字符个字符COMPUTERFRQSXWHU 恺撒算法：将明文中的每个字母都移动一段距离。将明文中的每个字母都移动一段距离。加密算法公式：C=EC=EK K(M)(M)其中，其中，M M为明文，为明文，C C为密文，为密文，E E为加密算法，为加密算法，K K为密钥为密钥 。Vigenere密码系统例如：欲把明文“computer network”用密钥“study”来加密，算法为：制作维吉利亚

4、方阵，第制作维吉利亚方阵，第i i行以字母行以字母I I开始。开始。明文明文 a b c d e f g h i j k l m n o p q r s t u v w x y z a b c d e f g h i j k l m n o p q r s t u v w x y z a A B C D E F G H I J K L M N O P Q R S T U V W X Y Za A B C D E F G H I J K L M N O P Q R S T U V W X Y Z b B C D E F G H I J K L M N O P Q R S T U V W X Y

5、Z A b B C D E F G H I J K L M N O P Q R S T U V W X Y Z A s S T U V W X Y Z A B C D E F G H I J K L M N O P Q R s S T U V W X Y Z A B C D E F G H I J K L M N O P Q R u U V W X Y Z A B C D E F G H I J K L M N O P Q R S T u U V W X Y Z A B C D E F G H I J K L M N O P Q R S T z Z A B C D E F G H I J K

6、L M N O P Q R S T U V W X Y z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术Vigenere密码系统 按密钥的长度将明文分解成若干节。由于按密钥的长度将明文分解成若干节。由于K=studyK=study，长度为，长度为5 5，故分解为：，故分解为：密钥 s s t u d y 明 文 c o m p u t e r n e t w o r k6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术Vigenere密码系统 对每一节明文，利用密钥对

7、每一节明文，利用密钥studystudy进行变换。进行变换。明文明文 a b a b d e f g h i j k l m n o p q r s d e f g h i j k l m n o p q r s u v w x y z u v w x y z s S T s S T V W X Y Z A B C D E F G H I J K V W X Y Z A B C D E F G H I J K M N O P Q R M N O P Q R 6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术密钥 s s t u d y 密 文U H G S SU H G S SL X

8、 L Q CL X L Q CL P I U IL P I U I由此可见：加密/解密变换的两个关键要素：算法算法E E：数学公式、法则、程序。：数学公式、法则、程序。密钥密钥k k：可变参数；：可变参数；6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术提高加密强度的手段：设计安全性好的加密算法设计安全性好的加密算法 尽量提高密钥的长度尽量提高密钥的长度 两种密码体系：对称与非对称密码体系两种密码体系：对称与非对称密码体系6.1.2 对称密钥体系 加密和解密采用同一把密钥。加密和解密采用同一把密钥。密钥必须保证不能泄露。密钥必须保证不能泄露。也称为秘密密钥密码体制或私钥密码体制。也

9、称为秘密密钥密码体制或私钥密码体制。明文加密器加密器E E解密器解密器D D明文密文密钥6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术6.1.2 对称密钥体系 最著名的加密算法：最著名的加密算法：DESDES分组算法。分组算法。另一个成功的分组加密算法：另一个成功的分组加密算法：IDEAIDEA分组加密算法分组加密算法6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 加密算法是标准的、公开的。加密算法是标准的、公开的。算法的安全性完全依赖于密钥。算法的安全性完全依赖于密钥。密钥的分发和管理机构密钥的分发和管理机构Key Distribution Center：初始密钥

10、初始密钥阶段性密钥阶段性密钥秘密密钥体制的特点及问题 特点：运算效率高、使用方便、加密效率高。运算效率高、使用方便、加密效率高。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 存在问题：密钥的管理和分配问题。密钥的管理和分配问题。由于加密密钥和解密密钥是一样的，通信双方在通信由于加密密钥和解密密钥是一样的，通信双方在通信之前必须互通密钥，而密钥在传递的过程中极有可能之前必须互通密钥，而密钥在传递的过程中极有可能被第三方截获。这就为密钥的保密工作增加了难度；被第三方截获。这就为密钥的保密工作增加了难度；另外，如果有另外，如果有n n个用户彼此之间要进行保密通信，则一个用户彼此之间要

11、进行保密通信，则一共需要共需要n(n-1)/2n(n-1)/2个密钥，如此巨大数目的密钥为密钥个密钥，如此巨大数目的密钥为密钥的管理和分配带来了极大的困难。的管理和分配带来了极大的困难。秘密密钥体制的特点及问题6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 存在问题：认证问题。认证问题。对称密钥加密系统无法避免和杜绝对称密钥加密系统无法避免和杜绝如下一些不正常现象：如下一些不正常现象：（1 1）接收方可以篡改原始信息，）接收方可以篡改原始信息，（2 2）发送方可以否认曾发送过信息等）发送方可以否认曾发送过信息等等。等。6.1.3 非对称密钥体系 非对称密钥体系概述公开密钥系统（公

12、开密钥系统（19761976年提出）的特点是：年提出）的特点是：6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 加密和解密分别用不同的密钥进行加密和解密分别用不同的密钥进行:D:DPKPK(E(EPKPK(M)(M)M M，D DSKSK(E(EPKPK(M)(M)=M M；加密密钥和解密密钥可以对调，即加密密钥和解密密钥可以对调，即D DPKPK(E(ESKSK(M)=M(M)=M；应能在计算机上成对的生成，但不能用已知的应能在计算机上成对的生成，但不能用已知的PKPK导出导出未知的未知的SKSK。6.1.3 非对称密钥体系公开密钥系统的优点：发送者和接收者事先不必交换密钥，从

13、而使保发送者和接收者事先不必交换密钥，从而使保密性更强；密性更强；可用于身份认证和防止抵赖，应用前景广阔。可用于身份认证和防止抵赖，应用前景广阔。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术公开密钥系统的缺点：计算量大，故不适合信息量大、速度要求快的计算量大，故不适合信息量大、速度要求快的加密。加密。6.1.3 非对称密钥体系2.非对称密钥体系的工作原理6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 为通信双方为通信双方A A、B B各生成一对密钥各生成一对密钥PKPKA A、SKSKA A；PKPKB B、SKSKB B。PKPKA A、PKPKB B称为称为公

14、开密钥（公钥）公开密钥（公钥），SKSKA A、SKSKB B称为称为私有密钥（私钥）私有密钥（私钥）；每一方掌握自己的私钥和对方的公钥，即：每一方掌握自己的私钥和对方的公钥，即：A A：SKSKA A、PKPKB B，B B：SKSKB B、PKPKA A。6.1.3 非对称密钥体系 设设A A为发送方，为发送方，B B为接收方，加密为接收方，加密/解密过程为：解密过程为：MDEPKBDEMSKBPKAD DSKSKA A(M)(M)E EPKPKB B(D(DSKSKA A(M)(M)D DSKSKA A(M)(M)SKAA 方B 方6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏

15、技术6.1.3 非对称密钥体系3.RSA算法（Rivest、Shamir、Adleman）6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 欧拉定理欧拉定理：寻求两个大的素数容易，但将它们：寻求两个大的素数容易，但将它们的乘积分解开极其困难。的乘积分解开极其困难。RSARSA算法非常简单，概述如下：算法非常简单，概述如下：秘密的找两个十进制大秘密的找两个十进制大素数素数p p和和q q；计算出计算出N=pN=p*q q，将，将N N公开；公开；取取T=(p-1)T=(p-1)*(q-1)(q-1)（T T即为欧拉函数）；即为欧拉函数）；6.1.3 非对称密钥体系3.RSA算法（续）

16、6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术取任何一个数取任何一个数e,e,要求满足要求满足eTeT并且并且e e与与T T互素互素（就是最大公因数为（就是最大公因数为1 1）;确定整数确定整数d d，规则是规则是（d d*e e）mod T=1mod T=1;这样最终得到三个数：这样最终得到三个数：N N、d d、e e，则密钥为：则密钥为：PK=(ePK=(e，N)N)，SK=(dSK=(d，N)N)。设明文为数设明文为数M M（MNMN），），密文为密文为C C，则有：则有：加密：加密：C=(MC=(Me)mod Ne)mod N解密：解密：M=(CM=(Cd)mod N

17、d)mod N6.1.3 非对称密钥体系RSA算法举例：6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 产生一对密钥产生一对密钥p=7p=7，q=13q=13；这样，这样，N=pN=p*q=91q=91；T=(p-1)T=(p-1)*(q-1)=72;(q-1)=72;取取e=5e=5，满足满足eTeT并且并且e e和和T T互素。用穷举法可以互素。用穷举法可以获得满足（获得满足（d d*e e）mod T=1mod T=1的数的数d d2929；最终我们获得关键的最终我们获得关键的N=91N=91，d=29d=29，e=5e=5。故：故：公钥公钥PK=5PK=5，9191，私钥

18、私钥SK=29SK=29，9191。6.1.3 非对称密钥体系 用这对密钥进行加密用这对密钥进行加密/解密试验解密试验6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术设明文取设明文取 M=12 M=12 我们看看我们看看:解密：我们可以用解密：我们可以用d d来对加密后的来对加密后的C C进行解密，进行解密，根据根据M=M=(Cd)mod N=(Cd)mod N=(3829)mod 91(3829)mod 91，3829=6.51215E+453829=6.51215E+45，求余后得求余后得1212，即明文，即明文M M。加密：加密：根据公式根据公式C=(Me)mod NC=(M

19、e)mod N，C=(125)mod 91C=(125)mod 91，125=248832125=248832，求余后得求余后得3838，即用即用e e对对M M加密后获得加密信息加密后获得加密信息C C3838。6.1.3 非对称密钥体系 RSA RSA体制的安全性依赖于大数分解的难易程度。体制的安全性依赖于大数分解的难易程度。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术破解者可以得到破解者可以得到e e和和N N，如果想要得到如果想要得到d d，必须得出，必须得出(p-1)(p-1)*(q-1)(q-1)（即欧拉函数即欧拉函数T T），因而必须先，因而必须先对对N N进行进

20、行因数分解因数分解。如果如果N N很大那么因数分解就会非常困难，所以要提很大那么因数分解就会非常困难，所以要提高加密强度，高加密强度，p p和和q q的数值大小起着决定性的作用。的数值大小起着决定性的作用。一般来讲当一般来讲当p p和和q q都大于都大于2 2128128时，按照目前的计算机时，按照目前的计算机处理速度破解基本已经不大可能了。处理速度破解基本已经不大可能了。6.1.4 密钥分配 现代密码学要求，在设计密码系统时，应当不现代密码学要求，在设计密码系统时，应当不强调密码算法的保密。强调密码算法的保密。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 密码系统的安全性只取

21、决于密钥的安全。密码系统的安全性只取决于密钥的安全。而从密钥的管理途径进行攻击比单纯破译密码而从密钥的管理途径进行攻击比单纯破译密码算法要容易得多。算法要容易得多。故需要对密钥的产生、分发、存储、分配、验故需要对密钥的产生、分发、存储、分配、验证、销毁等进行集中的管理。证、销毁等进行集中的管理。6.1.4 密钥分配密钥分配是密钥管理中最大的问题。两种密钥分配方法：6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 网外分配：派可靠信使分配密钥。网外分配：派可靠信使分配密钥。网内分配：自动密钥分配。网内分配：自动密钥分配。用户之间直接分配；用户之间直接分配；通过密钥分配中心（通过密钥分

22、配中心（KDCKDC）分配：当前密钥分）分配：当前密钥分配的主流方式。配的主流方式。6.1.5 数据隐藏 数据隐藏技术是指隐藏数据的存在性。数据隐藏技术是指隐藏数据的存在性。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 通常将数据隐藏在一个容量更大的数据载体中，通常将数据隐藏在一个容量更大的数据载体中，形成隐秘载体。形成隐秘载体。载体可以采用文字、图像、声音、视频等，多载体可以采用文字、图像、声音、视频等，多用多媒体数据作为载体。用多媒体数据作为载体。将加密与数据隐藏两者结合起来以增加被攻击将加密与数据隐藏两者结合起来以增加被攻击的难度。的难度。6.1.5 数据隐藏数据的隐藏过

23、程和提取过程如下：数据的隐藏过程和提取过程如下：预处理预处理嵌入算法嵌入算法载体C密钥K1解预处理解预处理提取算法提取算法载体C密钥K2(a)(a)数据隐藏过程数据隐藏过程(b)(b)数据提取过程数据提取过程6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术本课小结数据加密和数据隐藏技术是提高计算机网络安数据加密和数据隐藏技术是提高计算机网络安全强度的两个基本技术。全强度的两个基本技术。6.1 6.1 数据加密数据加密与数据隐藏技术与数据隐藏技术 加密加密/解密的两个关键要素：算法和密钥；解密的两个关键要素：算法和密钥；对称与非对称密钥体系；对称与非对称密钥体系；密钥分配问题；密钥分配问题；数据隐藏技术。数据隐藏技术。THANK YOU VERY MUCH！