一、概述
1.网络安全的主要威胁及技术隐患
自然灾害、意外事故
硬件故障、软件漏洞
人为失误
计算机犯罪、黑客攻击
内部泄漏、外部泄密
信息丢失、电子谍报、信息战
网络协议中的缺陷
2.黑客常采用的攻击方法
3.网络安全的基本要求
1)保密性:只有信息的发送方和接收方才能懂得所发送信息的内容,而信息的截获者则看不懂所截获的信息;
2)端点鉴别:能够鉴别信息的发送方和接收方的真实身份;
3)信息的完整性:信息的内容没有被篡改过;
信息的完整性与端点鉴别是不可分割的,也就是说,在谈到“鉴别”时,既要鉴别发送方的身份,又鉴别报文的完整性。
4)运行的安全性:计算机网络运行的安全性,必须对访问网络的权限加以控制,并规定每个用户的访问权限,即访问控制(Access Control)。
4.常用的网络安全措施
数据加密 身份认证 数字签名
防火墙 入侵检测 安全监控
网络扫描 网络防毒
5.内网安全管理系统
二、加密
用户需要信息是保密的、完整的和真实的。
加密是信息安全的主要措施之一。
通过使用加密,可以提供的安全服务:保密性、完整性和不可否认性。
两种基本加密思想
1)置换:按照规则改变内容的排列顺序,即用一个特定的值替换另一个特定值的过程。
需要通信双方事先知道置换的算法;置换比较简单,频繁使用会找到规律。
如:奇数位ASCII码值加1,偶数位ASCII码值加2。
2)移位:打乱字母的排列顺序。
如:以中间位置(M)为线,将两边字母互换。
上述两种方式都是可逆的操作,容易恢复信息;应用于现代密码算法中。
三、两种密码体制
密码设计的基本公理和前提是算法公开;系统的安全性仅依赖于密钥的保密性。
加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量,并不是简单地取决于加密的体制。
分为:
对称密钥密码体制(又称为传统或私有秘钥密码体制)
非对称密钥密码体制(又称为公有秘钥密码体制)
1.对称密钥密码体制
加密密钥和解密密钥相同;密钥多,需保存,很复杂;密钥的传送很重要。
对称加密的密钥长度从40bits到168bits
包括:
DES/3DES数据加密标准
IDEA国际数据加密算法
RC系列(RC2、RC4、RC5)
CAST
Blowfish / Twofish
AES高级数据加密标准等
(1)DES/3DES(数据加密标准,Data Encryption Standard)
DES是一种块或分组加密的算法。
加密前,先对整个的明文进行分组。每一组为64位长的二进制数据。然后对每一个64位二进制数据进行加密处理,产生一组64位密文数据。最后将各组密文串接起来,即得到整个的密文。使用的密钥占64位(实际密钥长度为56位,外加8位用于奇偶校验)。
秘钥是固定的56bit,不安全;以块模式对64bit的密文块进行操作。
应用DES算法三遍,称为3DES(Triple DES)。
3DES使用加密-解密-加密方法:
用56bit的第一密钥(K1)加密信息;
用56bit的第二密钥(K2)解密信息;
用56bit的第三密钥(K3)加密信息。(K3=K1)
(2)IDEA国际数据加密算法
分组长度为64位,密钥长度为128位
设计原则:来自不同代数群的混合运算
-异或
-模216加
-模216+1乘
软件实现的IDEA比DES快两倍
(3)RC系列
RC2:
Ronald Rivest设计
密钥长度可变
RC2的运算速度比DES快
软件实现的RC2比DES快三倍
RC2是否比DES安全取决于其所使用的密钥长度
RC4:
Rivest设计
密钥长度可变
流模式加密算法,面向bit操作
算法基于随机置换
RC4应用范围广
RC5:
Rivest设计
分组长、密钥长和迭代轮数都可变
面向字结构,便于软件和硬件快速实现
数据相倚旋转技术
(4)Blowfish
Bruce Schneier设计
密钥长度可变
易于软件快速实现,所需存储空间不到5KB
安全性可以通过改变密钥长度进行调整
适用于密钥不经常改变的加密
不适用于需要经常变换密钥的情况
2.公钥密码体制
比私钥加密技术出现晚。
使用不同的加密密钥和解密秘钥。已知公钥,推不出私钥;已知私钥,推不出公钥。
公钥是公开的;私钥是用户自己使用的,网络中监听不到,需要安全保存。
加密速度慢,不适合大量数据加密,可以与对称加密相结合,提高加密速度,利用对称密钥加密,将此密钥再利用非对称秘钥进行加密。
产生原因:
1)对称密钥密码体制的密钥分配问题;
2)对于数字签名的要求,表明信息确实是某个特定的人产生的。
原理如下:
典型的算法:
Diffie-Hellman秘钥交换
RSA
(1)Diffie-Hellman秘钥交换
1976年,Whitfield Diffie和Martin Hellman发明
解决对称加密系统中密钥的发布问题
无需使用代价高昂即可对私钥达成共识
安全性来源于很难计算出很大的离散对数
在现代密钥管理中提供其他算法的密钥管理
非常重要的一个应用之一就是在IPSec当中用于实现密钥的交换
(2)RSA
1977年由Ron Rivest、Adi Shamir和Len Adelman开发
基于数论中的大数分解问题
专利于2000年9月到期
密钥长度在512~2048bit之间
安全性基于数学运算的复杂性
RSA比用软件实现的DES慢100倍
RSA比用硬件实现的DES慢1000倍
RSA主要功能:加密和数字签名
3.两种加密体制的比较
对称密钥,通信双方使用同样的密钥,适用于一对一的双向保密通信,每一方既可加密又可解密。这种保密通信仅限于持有此密钥的双方(如再有第三方就不保密了)。
公钥密钥,可以实现多对一的单向保密通信。可以有很多人用于接收者的公钥,用此公钥加密后发给接收者。接收者用自己的私钥对多个密文一一进行解密。但这对密钥不能用于反方向的保密通信。
传统加密算法适用于加密大量数据;RSA适用于加密少量数据。
公钥密码体制由于算法开销很大,并没有淘汰传统加密算法。