一、概述
1.網絡安全的主要威脅及技術隱患
自然災害、意外事故
硬件故障、軟件漏洞
人爲失誤
計算機犯罪、黑客攻擊
內部泄漏、外部泄密
信息丟失、電子諜報、信息戰
網絡協議中的缺陷
2.黑客常採用的攻擊方法
3.網絡安全的基本要求
1)保密性:只有信息的發送方和接收方纔能懂得所發送信息的內容,而信息的截獲者則看不懂所截獲的信息;
2)端點鑑別:能夠鑑別信息的發送方和接收方的真實身份;
3)信息的完整性:信息的內容沒有被篡改過;
信息的完整性與端點鑑別是不可分割的,也就是說,在談到“鑑別”時,既要鑑別發送方的身份,又鑑別報文的完整性。
4)運行的安全性:計算機網絡運行的安全性,必須對訪問網絡的權限加以控制,並規定每個用戶的訪問權限,即訪問控制(Access Control)。
4.常用的網絡安全措施
數據加密 身份認證 數字簽名
防火牆 入侵檢測 安全監控
網絡掃描 網絡防毒
5.內網安全管理系統
二、加密
用戶需要信息是保密的、完整的和真實的。
加密是信息安全的主要措施之一。
通過使用加密,可以提供的安全服務:保密性、完整性和不可否認性。
兩種基本加密思想
1)置換:按照規則改變內容的排列順序,即用一個特定的值替換另一個特定值的過程。
需要通信雙方事先知道置換的算法;置換比較簡單,頻繁使用會找到規律。
如:奇數位ASCII碼值加1,偶數位ASCII碼值加2。
2)移位:打亂字母的排列順序。
如:以中間位置(M)爲線,將兩邊字母互換。
上述兩種方式都是可逆的操作,容易恢復信息;應用於現代密碼算法中。
三、兩種密碼體制
密碼設計的基本公理和前提是算法公開;系統的安全性僅依賴於密鑰的保密性。
加密方法的安全性取決於密鑰的長度,以及攻破密文所需的計算量,並不是簡單地取決於加密的體制。
分爲:
對稱密鑰密碼體制(又稱爲傳統或私有祕鑰密碼體制)
非對稱密鑰密碼體制(又稱爲公有祕鑰密碼體制)
1.對稱密鑰密碼體制
加密密鑰和解密密鑰相同;密鑰多,需保存,很複雜;密鑰的傳送很重要。
對稱加密的密鑰長度從40bits到168bits
包括:
DES/3DES數據加密標準
IDEA國際數據加密算法
RC系列(RC2、RC4、RC5)
CAST
Blowfish / Twofish
AES高級數據加密標準等
(1)DES/3DES(數據加密標準,Data Encryption Standard)
DES是一種塊或分組加密的算法。
加密前,先對整個的明文進行分組。每一組爲64位長的二進制數據。然後對每一個64位二進制數據進行加密處理,產生一組64位密文數據。最後將各組密文串接起來,即得到整個的密文。使用的密鑰佔64位(實際密鑰長度爲56位,外加8位用於奇偶校驗)。
祕鑰是固定的56bit,不安全;以塊模式對64bit的密文塊進行操作。
應用DES算法三遍,稱爲3DES(Triple DES)。
3DES使用加密-解密-加密方法:
用56bit的第一密鑰(K1)加密信息;
用56bit的第二密鑰(K2)解密信息;
用56bit的第三密鑰(K3)加密信息。(K3=K1)
(2)IDEA國際數據加密算法
分組長度爲64位,密鑰長度爲128位
設計原則:來自不同代數羣的混合運算
-異或
-模216加
-模216+1乘
軟件實現的IDEA比DES快兩倍
(3)RC系列
RC2:
Ronald Rivest設計
密鑰長度可變
RC2的運算速度比DES快
軟件實現的RC2比DES快三倍
RC2是否比DES安全取決於其所使用的密鑰長度
RC4:
Rivest設計
密鑰長度可變
流模式加密算法,面向bit操作
算法基於隨機置換
RC4應用範圍廣
RC5:
Rivest設計
分組長、密鑰長和迭代輪數都可變
面向字結構,便於軟件和硬件快速實現
數據相倚旋轉技術
(4)Blowfish
Bruce Schneier設計
密鑰長度可變
易於軟件快速實現,所需存儲空間不到5KB
安全性可以通過改變密鑰長度進行調整
適用於密鑰不經常改變的加密
不適用於需要經常變換密鑰的情況
2.公鑰密碼體制
比私鑰加密技術出現晚。
使用不同的加密密鑰和解密祕鑰。已知公鑰,推不出私鑰;已知私鑰,推不出公鑰。
公鑰是公開的;私鑰是用戶自己使用的,網絡中監聽不到,需要安全保存。
加密速度慢,不適合大量數據加密,可以與對稱加密相結合,提高加密速度,利用對稱密鑰加密,將此密鑰再利用非對稱祕鑰進行加密。
產生原因:
1)對稱密鑰密碼體制的密鑰分配問題;
2)對於數字簽名的要求,表明信息確實是某個特定的人產生的。
原理如下:
典型的算法:
Diffie-Hellman祕鑰交換
RSA
(1)Diffie-Hellman祕鑰交換
1976年,Whitfield Diffie和Martin Hellman發明
解決對稱加密系統中密鑰的發佈問題
無需使用代價高昂即可對私鑰達成共識
安全性來源於很難計算出很大的離散對數
在現代密鑰管理中提供其他算法的密鑰管理
非常重要的一個應用之一就是在IPSec當中用於實現密鑰的交換
(2)RSA
1977年由Ron Rivest、Adi Shamir和Len Adelman開發
基於數論中的大數分解問題
專利於2000年9月到期
密鑰長度在512~2048bit之間
安全性基於數學運算的複雜性
RSA比用軟件實現的DES慢100倍
RSA比用硬件實現的DES慢1000倍
RSA主要功能:加密和數字簽名
3.兩種加密體制的比較
對稱密鑰,通信雙方使用同樣的密鑰,適用於一對一的雙向保密通信,每一方既可加密又可解密。這種保密通信僅限於持有此密鑰的雙方(如再有第三方就不保密了)。
公鑰密鑰,可以實現多對一的單向保密通信。可以有很多人用於接收者的公鑰,用此公鑰加密後發給接收者。接收者用自己的私鑰對多個密文一一進行解密。但這對密鑰不能用於反方向的保密通信。
傳統加密算法適用於加密大量數據;RSA適用於加密少量數據。
公鑰密碼體制由於算法開銷很大,並沒有淘汰傳統加密算法。