1、網絡數據加密1對信息進行加密可以防止攻擊者竊取網絡機密信息，可以使系統信息不被無關者識別，也可以檢測出非法用戶對數據的插入、刪除、修改及濫用有效數據的各種行為。基于數據加密的數字簽名和鑒別技術除具有保密功能外，還可以進行用戶的身份驗證和數據源及其內容的鑒別。數據加密概述2加密在網絡上的作用就是防止有價值的信息在網上被竊取并識別；基于加密技術的鑒別的作用是用來確定用戶身份的真實性和數據的真實性。3加密 ：把信息從一個可理解的明文形式變換成一個錯亂的、不可理解的密文形式的過程明文(Plain Text)：原來的信息(報文)、消息，就是網絡中所說的報文(Message)密文(Cipher Text)

2、：經過加密后得到的信息解密：將密文還原為明文的過程4密鑰(Key)：加密和解密時所使用的一種專門信息(工具)密碼算法(Algorithm)：加密和解密變換的規則(數學函數)，有加密算法和解密算法加密系統：加密和解密的信息處理系統加密過程是通過某種算法并使用密鑰來完成的信息變換5明文P解密密鑰Kd解密(D)加密密鑰Ke加密(E)明文P密文C攻擊者 簡單的密碼系統示意圖6傳統密碼技術數據的表示替代密碼移位密碼一次一密鑰密碼7數據的表示傳統加密方法加密的對象是文字信息。文字由字母表中的字母組成，在表中字母是按順序排列的，賦予它們相應的數字標號，即可用數學方法進行運算(變換)了。將字母表中的字母看作是

3、循環的，則字母的加減形成的代碼可用求模運算來表示了。如 A+4=E，X+6=D (mod 26)8替代密碼替代也叫置換。替代密碼就是明文中的每個或每組字符由另一個或另一組字符所替換，即形成密文。9簡單替代密碼簡單替代的就是明文的一個字母，用相應的密文字母代替。規律是根據密鑰形成一個新的字母表，與原明文字母表有相應的對應關系。10典型的一種替代密碼是凱撒密碼，又叫循環移位密碼。其加密方法就是將明文中的每個字母都用其右邊固定步長的字母代替，構成密文。例如：步長為4，則明文A、B、C、Y、Z可分別由E、F、G、C、D代替。如果明文是“about”，則變為密文“efsyx”，其密鑰k=+4。兩個循環的

4、字母表對應。11移位密碼移位密碼變換：只對明文字母重新排序，位置變化了，而不隱藏它們。是一種打亂原文順序的替代法。把明文按行寫出，讀出時按列進行，得到的即為密文。12如明文為“this is a bookmark”，將其分為三行五列，則為以下形式： t h i s i s a b o o k m a r k按列從左至右讀，可得到密文： tskhamibasoriok13一次一密鑰密碼 一次一密鑰密碼是一種理想的加密方案。就是一個隨機密碼字母集，包括多個隨機密碼，這些密碼就好象一個本，其中每頁上記錄一條密碼。類似日歷的使用過程，每使用一個密碼加密一條信息后，就將該頁撕掉作廢，下次加密時再使用下一

5、頁的密碼。14發送者使用密鑰本中每個密鑰字母串去加密一條明文字母串接收者有一個同樣的密鑰本，并依次使用密鑰本上的每個密鑰去解密密文的每個字母串。接收者在解密信息后也銷毀密鑰本中用過的一頁密鑰。 15一次一密密碼在今天仍有應用場合，主要用于高度機密的低帶寬信道。美國與前蘇聯之間的熱線電話據說就是用一次一密密鑰本加密的，許多前蘇聯間諜傳遞的信息也是用一次一密鑰密碼加密的。至今這些信息仍是保密的，并將一直保密下去。16公開密鑰密碼體制公鑰密鑰密碼體制的概念加密密鑰與解密密鑰不同，且由其中一 個不容易得到另一個，則這種密碼系統是非對稱密鑰系統。往往其中一個密鑰是公開的，另一個是保密的。因此，相應的密碼

6、體制叫公開密鑰密碼體制。17W.Diffie和M.Hellman 1976年在IEEE Trans.on Information 刊物上發表了 “New Direction in Cryptography”文章，提出了“公開密鑰密碼體制”的概念，開創了密碼學研究的新方向。18在公開密鑰密碼體制中，加密密鑰是公開的，解密密鑰是保密的，加/解密算法都是公開的。19 公鑰體制加/解密模型加密(E)解密(D)發送M接收MKeKd密文C=E(M,Ke)20 用Ke對明文加密后，再用Kd解密，即可恢復出明文，即 M=D KdE Ke(M)21但加密密鑰不能用來解密，即 MD KeE Kd(M)在計算上很容

7、易產生密鑰對Ke和Kd 已知Ke是不能推導出Kd的，或者說從Ke得到Kd是“計算上不可能的”。22網絡保密通信通信安全要保證系統的通信安全，就要充分認識到網絡系統的脆弱性，特別是網絡通信系統和通信協議的弱點，估計到系統可能遭受的各種威脅，采取相應的安全策略，盡可能地減少系統面臨的各種風險，保證計算機網絡系統具有高度的可靠性、信息的完整性和保密性。 23網絡通信系統可能面臨各種各樣的威脅，如來自各種自然災害、惡劣的系統環境、人為破壞和誤操作等。所以，要保護網絡通信安全，不僅必須要克服各種自然和環境的影響，更重要的是要防止人為因素造成的威脅。 24線路安全：通信過程中，通過在通信線路上搭線可以竊取

8、（竊聽）傳輸信息，還可以使用相應設施接收線路上輻射的信息，這些就是通信中的線路安全問題。可以采取相應的措施保護通信線路安全。采用電纜加壓技術可保護通信電纜安全。 25TCP/IP服務的脆弱性：基于TCP/IP協議的服務很多，常用的有Web服務、FTP服務、電子郵件服務等;人們不太熟悉的有TFTP服務、NFS服務、Finger服務等。這些服務都在不同程度上存在安全缺陷。26通信加密 (1) 硬件加密和軟件加密 網絡中的數據加密可分為兩個途徑，一種是通過硬件實現數據加密，一種是通過軟件實現數據加密。通過硬件實現網絡數據加密有三種方式：鏈路加密、節點加密和端-端加密；軟件數據加密就是指使用前述的加密

9、算法進行的加密。 27硬件加密：所有加密產品都有特定的硬件形式。這些加、解密硬件被嵌入到通信線路中，然后對所有通過的數據進行加密。雖然軟件加密在今天正變得很流行，但硬件加密仍是商業和軍事等領域應用的主要選擇。選用硬件加密的原因有： 28快速。加密算法中含有許多復雜運算，采用硬件措施將提高速度，而用軟件實現這些復雜運算將影響速度；安全。使用硬件加密設備可將加密算法封裝保護，以防被修改。易于安裝。將專用加密硬件放在電話、傳真機中比設置在微處理器中更方便。安裝一個加密設備比修改配置計算機系統軟件更容易。 29軟件加密：任何加密算法都可用軟件實現。軟件實現的劣勢是速度、開銷和易于改動，而優勢是靈活性和

10、可移植性，易使用，易升級。軟件加密程序很大眾化，并可用于大多數操作系統。這些加密程序可用于保護個人文件，用戶通常用手工加/解密文件。軟件加密的密鑰管理很重要，密鑰不應該存儲在磁盤中，密鑰和未加密文件在加密后應刪除。 30(2) 通信加密方式 鏈路加密：是傳輸數據僅在數據鏈路層上進行加密。鏈路加密是為保護兩相鄰節點之間鏈路上傳輸的數據而設立的。只要把兩個密碼設備安裝在兩個節點間的線路上，并裝有密鑰即可。被加密的鏈路可以是微波、衛星和有線介質。31在鏈路上傳輸的信息是密文(包括信息正文、路由及檢驗碼等控制信息)，而鏈路間節點上必須是明文。因為在各節點上都要進行路徑選擇，而路由信息必須是明文，否則就

11、無法進行選擇了。32這樣，信息在中間節點上要先進行解密，以獲得路由信息和檢驗碼，進行路由選擇、差錯檢測，然后再被加密，送至下一鏈路。同一節點上的解密和加密密鑰是不同的。33PP節點1節點2節點3節點nL2Ln-1L1E1DnPPD1E2D2E3C1C2Cn-1鏈路加密34端端加密：是傳輸數據在應用層上完成加密的。端端加密是對兩個用戶之間傳輸的數據提供連續的安全保護。數據在初始節點上被加密，直到目的節點時才能被解密，在中間節點和鏈路上數據均以密文形式傳輸。35只有在發送端和接收端才有加密和解密設備，中間各節點不需要有密碼設備。因為信息的報頭為路徑選擇信息，各中間節點雖不進行解密，但必須檢查報頭信

12、息，所以路徑選則信息不能被加密，必須是明文。所以，端-端加密只能對信息的正文(報文)進行加密，而不能對報頭加密。36PPL1L2Ln-1節點2節點3節點n節點1EDCCC端端加密37比較：鏈路加密是對鏈路的通信采取保護措施，而端端加密則是對整個網絡系統采取保護措施。38鏈路加密：方式比較簡單，實現也較容易，只要把兩個密碼設備安裝在兩個節點間的線路上，并裝有同樣的密鑰即可；鏈路加密時由于報頭在鏈路上均被加密，因此可防止報文流量的分析攻擊。鏈路加密可屏蔽掉報文的頻率、長度等特征，從而使攻擊者得不到這些特征值；39一個鏈路被攻破，而不影響其它鏈路上的信息；一個中間節點被攻破時，通過該節點的所有信息將

13、被泄露；加密和維護費用大，用戶費用很難合理分配。40端端加密：可提供靈活的保密手段，如主機到主機、主機到終端、主機到進程的保護；并非所有用戶發送的所有信息都需要加密。只有需要保護的信息的發收方才需設置加密，個人用戶可選擇安裝所需設備，因此加密費用低，加密費用能準確分攤；41加密在網絡的應用層實現，可提高網絡加密功能的靈活性；不能對路由信息進行加密；整個通信過程中各分支相互關聯，任何局部受到破壞時將影響整個通信過程。42鑒別與認證技術網絡安全系統的一個重要方面是防止非法用戶對系統的主動攻擊。鑒別(Authentication 也叫驗證)是防止主動攻擊的重要技術。鑒別的目的就是驗證一個用戶身份的合

14、法性和用戶間傳輸信息的完整性與真實性。43鑒別包括報文鑒別和身份驗證。報文鑒別是為了確保數據的完整性和真實性，對報文的來源、時間性及目的地進行驗證。身份驗證是驗證進入網絡系統者是否是合法用戶，以防非法用戶訪問系統報文鑒別和身份驗證可采用數字簽名技術來實現。44數字簽名數字簽名(Digital Signature)可解決手寫簽名中的簽字人否認簽字或其他人偽造簽字等問題。因此，被廣泛用于銀行的信用卡系統、電子商務系統、電子郵件以及其他需要驗證、核對信息真偽的系統中。45手工簽名是模擬的，因人而異，而數字簽名數字式的(0、1數字串)，因信息而異。數字簽名的功能：收方能夠確認發方的簽名，但不能偽造；發方發出簽過名的信息后，不能再否認；收方對收到的簽名信息也不能否認；一旦收發方出現爭執，仲裁者可有充足的證據進行評判。46數字簽名的主要方式是：報文的發送方利用單向散列函數從報文文本中生成一個128位的散列值。發送方用自己的私人密鑰對這個散列值進行加密來形成發送方的數字