第四章

信息安全1學(xué)習(xí)要點了解信息安全和加密技術(shù)的基本概念和簡單的密碼技術(shù)；了解DES和RSA密碼體制；理解數(shù)字簽名的基本原理；了解加密技術(shù)在電子商務(wù)中的應(yīng)用。重點掌握加密算法的種類、密鑰分配與管理方法及數(shù)字簽名的實現(xiàn)過程。

2計算機網(wǎng)絡(luò)管理與安全網(wǎng)絡(luò)安全概論1加密技術(shù)

數(shù)字簽名和報文鑒別

信息安全技術(shù)在電子商務(wù)中的應(yīng)用

234主要內(nèi)容5實訓(xùn)：數(shù)字證書的申請與應(yīng)用

3計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性和可控性的理論都屬于網(wǎng)絡(luò)安全的研究領(lǐng)域。(1)保密性：信息不泄露給非授權(quán)用戶。(2)完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改，不被破壞和不被丟失的特性。(3)可用性：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時能否的信息。例如，網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊。

(4)可控性：對信息的傳播及內(nèi)容具有控制能力。4計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全內(nèi)涵

網(wǎng)絡(luò)安全包括物理安全、系統(tǒng)安全、信息安全、文化安全，網(wǎng)絡(luò)安全層次圖如圖4-1所示。物理安全是指保護計算機系統(tǒng)的物理設(shè)備、網(wǎng)絡(luò)聯(lián)接設(shè)備、存儲介質(zhì)及其他媒體。危險行為：通信干擾、危害信息的侵入、信號輻射、信號替換、惡劣的操作環(huán)境。防范措施：抗干擾系統(tǒng)、防輻射系統(tǒng)、隱身系統(tǒng)、加固系統(tǒng)、數(shù)據(jù)備份。系統(tǒng)安全存在的威脅主要表現(xiàn)為對計算機網(wǎng)絡(luò)與計算機系統(tǒng)可用性與可控性進行攻擊，導(dǎo)致網(wǎng)絡(luò)及計算機不能正常運行。危險行為：網(wǎng)絡(luò)被阻塞、非法使用資源、計算機病毒等使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。防范措施：安裝殺毒軟件、防止入侵、檢測入侵、攻擊反應(yīng)、系統(tǒng)恢復(fù)信息安全是指對計算機存儲介質(zhì)上存放的數(shù)據(jù)及在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的安全保護危險行為：竊取信息、篡改信息、冒充信息、信息抵賴。防范措施：加密、完整性技術(shù)、認(rèn)證、數(shù)字簽名。文化安全是指防止有害信息的傳播對我國的政治制度及傳統(tǒng)文化的威脅，主要表現(xiàn)在輿論宣傳方面，防止和控制非法、有害的信息進行傳播，避免公用通信網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍ＮｋU行為：淫穢暴力信息泛濫、敵對的意識形態(tài)信息涌入、英語文化的“泛洪現(xiàn)象”對民族文化的沖擊，互聯(lián)網(wǎng)被利用作為串聯(lián)工具，傳播迅速，影響范圍廣。防范措施：設(shè)置網(wǎng)關(guān)，監(jiān)測、控管；5計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域存在的威脅（1）操作系統(tǒng)太脆弱，容易受攻擊。（2）系統(tǒng)被攻擊時很難及時發(fā)現(xiàn)和制止。（3）有組織有計劃的入侵無論在數(shù)量上還是在質(zhì)量上都呈現(xiàn)快速增長趨勢。（4）在規(guī)模和復(fù)雜程度上不斷擴展網(wǎng)絡(luò)而很少考慮其安全狀況的變化情況。6計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（1）加密技術(shù)..........加密是提供信息保密的最核心、最有效的方法。通常按照密鑰的類型不同，加密算法可分為對稱密鑰算法和非對稱密鑰算法兩種。加密算法除了實現(xiàn)信息的保密性之外，還可以和其他技術(shù)結(jié)合，例如hash函數(shù)，實現(xiàn)信息的完整性的檢驗。加密技術(shù)不僅應(yīng)用于數(shù)據(jù)通信和存儲，也應(yīng)用于程序的運行，通過對程序的運行實行加密保護，可以防止軟件被非法復(fù)制，防止軟件的安全機制被破壞。例如，應(yīng)用程序利用一些加殼軟件加上一個外殼，讓軟件不能被輕易盜版或復(fù)制。7計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（2）訪問控制技術(shù)..........訪問控制機制是控制進入系統(tǒng)的用戶對系統(tǒng)資源的使用范圍和訪問形式，可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，這種訪問控制機制不僅可以提供給單個用戶，也可以提供給用戶組的所有用戶。訪問控制是通過檢查訪問者的有關(guān)信息來限制或禁止訪問者使用資源的技術(shù)，分為低層訪問控制和高層訪問控制。低層訪問控制是指通過對通信協(xié)議中的某些特征信息的識別和判斷，來禁止或允許用戶訪問的措施。例如，在路由器上設(shè)置過濾規(guī)則對數(shù)據(jù)包過濾就屬于低層訪問控制。高層訪問控制包括身份認(rèn)證和權(quán)限確認(rèn)，是通過對用戶口令、用戶權(quán)限、資源屬性的檢查和對比來實現(xiàn)的。8計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（3）數(shù)據(jù)完整性鑒別技術(shù)..........數(shù)據(jù)完整性是指數(shù)據(jù)是可靠準(zhǔn)確的，用來泛指與損壞和丟失相對的數(shù)據(jù)狀態(tài)。鑒別是對信息進行處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證，達到信息正確、有效和一致的要求。一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別，系統(tǒng)通過對比驗證輸入的數(shù)據(jù)是否符合預(yù)先設(shè)定的參數(shù)，從而實現(xiàn)對數(shù)據(jù)的安全保護。這種鑒別技術(shù)主要應(yīng)用于數(shù)據(jù)庫管理系統(tǒng)中，因為企業(yè)經(jīng)營的重要數(shù)據(jù)都需要保存在一個可靠的系統(tǒng)中，所以保護好企業(yè)數(shù)據(jù)庫的安全是非常重要的工作。數(shù)據(jù)庫系統(tǒng)可以根據(jù)不同用戶設(shè)置不同的訪問權(quán)限，并對其身份及權(quán)限的完整性進行嚴(yán)格識別。9計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（4）身份驗證技術(shù)..........身份驗證是系統(tǒng)驗證用戶是否是合法身份的過程。身份驗證包括兩種：數(shù)字簽名機制和Kerberos系統(tǒng)。①數(shù)字簽名機制數(shù)字簽名機制一般采用不對稱加密技術(shù)（后面會詳細介紹）。②Kerberos系統(tǒng)Kerberos系統(tǒng)是美國麻省理工學(xué)院為分布式計算機環(huán)境提供的一種對用戶雙方進行身份驗證的方法。Kerberos系統(tǒng)的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認(rèn)其是否是合法的用戶，如果是合法的用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機進行訪問，其身份是建立在對稱加密的基礎(chǔ)上的。10計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（5）網(wǎng)絡(luò)防病毒技術(shù)..........在網(wǎng)絡(luò)開放的環(huán)境下，計算機病毒發(fā)展越來越快，并且病毒種類越來越多，也越來越高級復(fù)雜，對計算機和網(wǎng)絡(luò)構(gòu)成了巨大的威脅。例如，著名的CIH病毒一時間讓全世界近六千萬臺計算機崩潰，由它直接或間接造成的損失達數(shù)億美元，給社會造成災(zāi)難性的后果，因此要重視計算機病毒的防治。網(wǎng)絡(luò)防病毒技術(shù)主要包括預(yù)防病毒、檢測病毒和清除病毒，具體實現(xiàn)的方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測，在工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。11計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（6）防火墻技術(shù)..........防火墻是用一個或一組網(wǎng)絡(luò)設(shè)備，包括硬件和軟件，在兩個或多個網(wǎng)絡(luò)間保護一個網(wǎng)絡(luò)不被另一個網(wǎng)絡(luò)攻擊的安全技術(shù)。防火墻通常位于內(nèi)部網(wǎng)或Web站點與Internet之間的一個路由器或一臺計算機上。防火墻如同一個防盜門，保證門內(nèi)的系統(tǒng)安全。在Internet上，通過防火墻來隔離風(fēng)險區(qū)域與安全區(qū)域的連接，但不防礙人們對風(fēng)險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信數(shù)據(jù)，僅讓安全、核準(zhǔn)的信息進入，抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)進入。防火墻的主要技術(shù)包括數(shù)據(jù)包過濾和應(yīng)用代理服務(wù)。雖然防火墻技術(shù)能在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一道安全屏障，但也存在一定的局限性：不能完全防范外部刻意的人為攻擊，不能防范內(nèi)部用戶攻擊，不能防止病毒或受病毒感染的文件的傳輸。12計算機網(wǎng)絡(luò)管理與安全4.1網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全中的主要技術(shù)

.....（7）入侵檢測技術(shù)..........入侵檢測(IDS)通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是防火墻的補充。作為網(wǎng)絡(luò)安全核心技術(shù)之一，入侵檢測技術(shù)可以緩解訪問隱患，彌補防火墻的不足，將網(wǎng)絡(luò)安全的各個環(huán)節(jié)有機結(jié)合起來，實現(xiàn)對用戶網(wǎng)絡(luò)安全的保護。13計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)4.2.1數(shù)據(jù)加密基本概念

數(shù)據(jù)加密，就是把原本能夠讀懂、理解和識別的信息（這些信息可以是語音、文字、圖像和符號等）通過一定的方法處理，使之成為一些晦澀難懂的、不能很輕易明白其真正含意的或者是偏離信息原意的信息，從而達到保障信息安全目的的過程。圖4-2數(shù)據(jù)加密、解密過程示意圖14計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)4.2.1數(shù)據(jù)加密基本概念

（1）明文（Plaintext，記為P）：信息的原始形式，也就是加密前的原始信息。明文可以是文本、數(shù)字化語音流或數(shù)字化視頻信息等等。（2）密文（Ciphertext，記為C）：通過數(shù)據(jù)加密的手段，將明文變換成的晦澀難懂的信息稱為密文。（3）加密過程（Encryption，記為E）：將明文轉(zhuǎn)變成密文的過程。用于加密的這種數(shù)據(jù)變換稱為加密算法。（4）解密過程（Dryption，記為D）：加密的逆過程，即將密文轉(zhuǎn)變成明文的過程。（5）加密過程和解密過程需要遵循的一個重要原則是：明文與密文的相互變換是可逆變換．并且只存在惟一的、無誤差的可逆變換。加密和解密是兩個相反的數(shù)學(xué)變換過程，都是用一定的算法實現(xiàn)的。（6）密碼體制：加密和解密過程都是通過特定的算法來實現(xiàn)的，這一算法稱為密碼體制。（7）密鑰（Key）：由使用密碼體制的用戶隨機選取的、惟一能控制明文與密文之間變換的關(guān)鍵參數(shù)。密鑰通常是一隨機字符串。15計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)4.2.2對稱數(shù)據(jù)加密技術(shù)

根據(jù)數(shù)據(jù)加密的方式，可以將密碼技術(shù)分為對稱數(shù)據(jù)加密技術(shù)和非對稱數(shù)據(jù)加密技術(shù)。對稱加密，又稱為密鑰加密，是指加密和解密過程均采用同一把秘密鑰匙，通信時雙方都必須具備這把鑰匙，并保證這把鑰匙不被泄漏。一旦密鑰泄漏，只要獲得密鑰的人就可以利用這把鑰匙加密或解密，原來加密過的密文就不具有任何保密性了。所以對稱密鑰加密技術(shù)的關(guān)鍵就是要保存好密鑰。通信雙方采用對稱加密技術(shù)進行通信前，雙方必須先商定一個密鑰，這種商定密鑰的過程稱為分發(fā)密鑰。發(fā)送方使用這一密鑰，并采用合適的加密算法將所要發(fā)送的明文轉(zhuǎn)變?yōu)槊芪模缓笤诰W(wǎng)絡(luò)中傳送給接收方，密文到達接收方后，接收方用解密算法（通常是發(fā)送方所使用的加密算法的逆運算），利用雙方約定的密鑰將密文轉(zhuǎn)變?yōu)榕c發(fā)送方一致的明文。16計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)4.2.2對稱數(shù)據(jù)加密技術(shù)

17計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

（1）替換密碼技術(shù)替換密碼技術(shù)是將明文字母表中的每個字符替換為密文字母表中的字符，以達到隱藏明文的目的。發(fā)送者將明文中每一個字符按照一定規(guī)律替換成密文中的另外一個字符。接收者對接收到的密文進行逆替換得到明文。下面介紹兩種常用的替換密碼算法：單表替換密碼和多表替換密碼。①單表替換技術(shù)如果在替換的過程中明文的一個字符用固定的一個密文字符代替，就稱為單表替換技術(shù)。最古老的單表替換密碼大約出現(xiàn)在公元前50年，由羅馬皇帝朱利葉.凱撒發(fā)明的一種用于戰(zhàn)時秘密通信的方法，這種被稱為凱撒密碼的技術(shù)將字母按字母表的順序排列，并將最后一個字母和第一個字母相連起來構(gòu)成一個循環(huán)字母表序列，明文中的每個字母用該序列中在它后面的第三個字母來代替，由此形成密文。這種密碼也稱為循環(huán)移位密碼。18計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

①單表替換技術(shù)這種映射關(guān)系可以用如下函數(shù)來表示：其中：P表示明文字母；

n表示字符集中字母個數(shù)；

k表示密鑰0例如，明文P＝HOWAREYOU，k＝3，則有：F(H)=（8+3）mod26=11=K；F(O)=(15+3)mod26=18=R；……F(U)=(21+3)mod26=24=X；可以得到的密文為：KRZDUHBRX。對于凱撒密碼，解密的方法非常簡單，只要依據(jù)表中的密文字母和明文字母的對應(yīng)關(guān)系，從密文字母找出相應(yīng)的明文字母即可。因此這種凱撒密碼是很容易被破解的，最多進行25次嘗試就可以得到破解后的明文。由此可見，這種加密算法的安全性很差。19計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

②多表替換技術(shù)多表替換技術(shù)是由多個簡單代替表組成。周期替代密碼是一種常用的多表替代密碼，又稱為維吉尼亞(Vignere)密碼，這種替代密碼是循環(huán)地使用有限個字母來實現(xiàn)替代的一種方法。若明文信息為p1p2p3…pn，采用m個字母的序列k1k2k3…km，來實現(xiàn)替換，那么，p1將根據(jù)字母k1的特性來替換，p2將根據(jù)字母k2的特性來替換……pn+1又將根據(jù)字母k1的特性來替換，pn+2將根據(jù)字母k2的特性來替換，可用函數(shù)表示為：其中，字母序列k1k2k3…km就是加密的密鑰。這種加密技術(shù)的加密表是以字母表移位為基礎(chǔ)把26個英文字母進行循環(huán)移位，排列在一起，形成26×26的方陣，該方陣被稱為維吉尼亞表。20計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

列行ABCDEFGHIJKLMNOPQRSTUVWXYZ列行ABCDEFGHIJKLMNOPQRSTUVWXYZAABCDEFGHIJKLMNOPQRSTUVWXYZNNOPQRSTUVWXYZABCDEFGHIJKLMBBCDEFGHIJKLMNOPQRSTUVWXYZAOOPQRSTUVWXYZABCDEFGHIJKLMNCCDEFGHIJKLMNOPQRSTUVWXYZABPPQRSTUVWXYZABCDEFGHIJKLMNODDEFGHIJKLMNOPQRSTUVWXYZABCQQRSTUVWXYZABCDEFGHIJKLMNOPEEFGHIJKLMNOPQRSTUVWXYZABCDRRSTUVWXYZABCDEFGHIJKLMNOPQFFGHIJKLMNOPQRSTUVWXYZABCDESSTUVWXYZABCDEFGHIJKLMNOPQRGGHIJKLMNOPQRSTUVWXYZABCDEFTTUVWXYZABCDEFGHIJKLMNOPQRSHHIJKLMNOPQRSTUVWXYZABCDEFGUUVWXYZABCDEFGHIJKLMNOPQRSTIIJKLMNOPQRSTUVWXYZABCDEFGHVVWXYZABCDEFGHIJKLMNOPQRSTUJJKLMNOPQRSTUVWXYZABCDEFGHIWWXYZABCDEFGHIJKLMNOPQRSTUVKKLMNOPQRSTUVWXYZABCDEFGHIJSXYZABCDEFGHIJKLMNOPQRSTUVWLLMNOPQRSTUVWXYZABCDEFGHIJKYYZABCDEFGHIJKLMNOPQRSTUVWSMMNOPQRSTUVWXYZABCDEFGHIJKLZZABCDEFGHIJKLMNOPQRSTUVWSY維吉尼亞表21計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

②多表替換技術(shù)例如，使用維吉尼亞密碼加密明文HOWAREYOU，使用的密鑰為KEY，加密過程如下：給一個信息加密時，只要把密鑰反復(fù)寫在明文下面，每個明文字母下面對應(yīng)的密鑰字母就說明該明文字母應(yīng)該用維吉尼亞表的哪一行進行加密。明文：HOWAREYOU密鑰：KEYKEYKEY密文：RSUKVCISS解密時，以密鑰字母選擇哪一行，從這一行中找到密文字母，那么密文字母所在的列對應(yīng)的就是明文字母了。多表替換密碼技術(shù)解決了單表替換密碼技術(shù)中的不安全性。對于同一個明文字母，由于對應(yīng)的密鑰字母不同，將得到不同的密文字母，這樣就在密文中消除了明文字母出現(xiàn)頻率的規(guī)率了。但多表替換密碼也不是萬無一失的，只要密碼分析員擁有足夠數(shù)量的密文樣本，這個算法還是可以破譯的，通常可以增加密鑰的長度來增加破譯的難度。22計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

（2）置換密碼技術(shù)替換密碼技術(shù)是通過替換明文中的字母來達到隱藏真實信息的目的。換位密碼技術(shù)是通過改變明文字母的排列次序來達到加密的目的，它把明文中的字母重新排列，字母本身不變，但位置變了。例如：把明文中字母的順序倒過來寫，然后以固定長度的字母組發(fā)送或記錄。明文：HOWAREYOU密文：UOYERAWOH最常用的換位密碼是列換位密碼。下面來詳細說明列換位密碼的工作原理。列換位加密算法中，將明文按行排列到一個矩陣中(矩陣的列數(shù)等于密鑰字母的個數(shù)，行數(shù)以夠用為準(zhǔn)，如果最后一行不全可以用不常使用的字符如X等填滿)，然后再按照密鑰各個字母大小的順序排出列號，以列的順序?qū)⒕仃囍械淖帜缸x出，就構(gòu)成了密文。密鑰：4312567明文：CANYOUUNDERSTAND23計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

上述明文的列換位加密演示如表4-3所示。表4-3列換位加密算法演示從上面的矩陣中，按照密鑰4312567的列順序，按列寫出該矩陣中的字母。先從第1列中得到NEX，從第2列中得到Y(jié)RX，以此類推，得到的密文為：NEXYRXADDCNNOSXUTXUAX。密鑰4312567明文CANYOUUNDERSTANDXXXXX24計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

通過執(zhí)行多次置換，置換密碼的安全性能夠有較大改觀，其結(jié)果是使用更為復(fù)雜的排列，它不容易被重構(gòu)。因此，如果前述消息使用相同的算法重加密，則如表4-4所示。表4-4二次列換位加密算法演示密文：XCTYNXEDUNDXRNUXOAASX密鑰4312567明文CANYOUUNDERSTANDXXXXX25計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)1．傳統(tǒng)的加密技術(shù)

為了觀察這種雙重置換的結(jié)果，用原明文消息中的字母所在的位置來指定該字母。在該消息中有21個字母CANYOUUNDERSTANDXXXX，傳輸?shù)淖帜疙樞蚴牵?1

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

在進行第一次置換后，得到：NEXYRXADDCNNOSXUTXUAX03

10

17

04

11

18

02

09

16

01

08

15

05

12

19

06

13

20

07

14

21

它仍有某些規(guī)律的結(jié)構(gòu)。但在第二次變換后，得到：XCTYNXEDUNDXRNUXOAASX17

04

10

03

11

18

02

01

08

16

09

15

05

12

13

20

06

19

07

14

21

此時結(jié)構(gòu)性的排列少得多，密碼分析也難得多26計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)2．現(xiàn)代對稱加密算法DES.....（1）DES算法及其基本原理傳統(tǒng)的加密方法都要求加密算法和密鑰嚴(yán)格保密，這不利于用計算機來實現(xiàn)對信息的加密，因為對每個加密算法都需要編寫處理程序，并且該程序必須保密，為此提出了數(shù)據(jù)加密處理算法標(biāo)準(zhǔn)化的問題。數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard,DES）是美國國家標(biāo)準(zhǔn)局研究的除國防部以外的其他部門的計算機系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)。雖然從DES出現(xiàn)后又產(chǎn)生了許多加密算法，但DES仍然是對稱加密算法中最為廣泛使用和流行的一種加密算法。與傳統(tǒng)的密碼技術(shù)相比，它們的基本原理一樣，其密鑰是保密的，但加密算法是可以公開的。傳統(tǒng)的技術(shù)一般采用簡單的算法并依靠長密鑰，而現(xiàn)代的加密技術(shù)其密碼算法十分復(fù)雜，即使破譯者得到算法沒有密鑰也幾乎不能破譯。DES是一個分組加密算法，采用兩種基本加密組塊替代和換位這些技術(shù)，通過反復(fù)依次應(yīng)用來提高加密算法的安全性，經(jīng)過總共16輪的替代和換位后，使密碼分析者無法獲得該算法一般特性以外更多的信息。27計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)2．現(xiàn)代對稱加密算法DES.....DES加密算法如圖4-4所示，64位數(shù)據(jù)經(jīng)初始變換后被置換。64位密鑰去掉其第8、16、24、…、64位后壓縮至56位（去掉的那些位被視為奇偶校驗位，不含密鑰信息），然后就開始各輪運算。64位數(shù)據(jù)經(jīng)過初始置換后被分為左、右各32位兩部分。56位的密鑰經(jīng)過左移若干位和置換后取出48位密鑰子集供不同的加密迭代使用，用作加密的密鑰子集記為K(1)、K(2)、…、K(16)。在每一輪迭代過程中，先通過重復(fù)某些位將32位的右半部分?jǐn)?shù)據(jù)擴展為48位，然后與密鑰子集中的一個子密鑰K(i)與數(shù)據(jù)的右半部分進行異或運算，得到的48位的結(jié)果通過S盒壓縮為32位。然后再與數(shù)據(jù)的左半部分的32位相異或，其結(jié)果作為這一輪迭代的輸出數(shù)據(jù)的右半部分；結(jié)合前的右半部分作為這一輪迭代的輸出數(shù)據(jù)的左半部分。這一輪輸出的64位數(shù)據(jù)結(jié)果作為下一輪的待加密數(shù)據(jù)，這種迭代要重復(fù)16次。但最后一輪加密迭代之后，進行逆初始置換運算，它是初始置換的逆運算，最后得到64位密文。64位明文初始置換16輪迭代變換末置換64位密文圖4-4DES加密算法算法28計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)2．現(xiàn)代對稱加密算法DES.....（2）DES解密DES算法的解密算法與加密算法可使用相同的算法，二者的惟一不同之處是密鑰的次序相反。如果各輪加密密鑰分別是K1、K2、K3…、K16，那么解密密鑰就是K16、K15、K14…、K1。為各輪產(chǎn)生密鑰的算法也是循環(huán)的。（3）DES算法的安全性分析DES算法是公開的，其安全性完全取決于密鑰的安全性。在該算法中，由于經(jīng)過了16輪的代替、置換、異或和循環(huán)移動后，使得密碼的分析者無法通過密文獲得該算法的一般特性以外的更多信息。對于這種算法，破解的惟一辦法是嘗試所有可能的密鑰。對于56位長度的密鑰，可能的組合達到種，用窮舉法來確定某一個密鑰的機會是很小的。可見，對于DES算法的破解是比較困難的。為了更進一步提高DES算法的安全性，可以采用加長密鑰的方法。例如IDEA（InternationalDataEncryptionAlgorithm）算法將密鑰的長度加大到128位，每次對64位的數(shù)據(jù)組塊進行加密，提高了算法的安全性。29計算機網(wǎng)絡(luò)管理與安全4.2加密技術(shù)4.2.3非對稱加密技術(shù).....非對稱加密技術(shù)，也就是公開密鑰算法很好地解決了傳送和保管密鑰這個問題。它的加密密鑰和解密密鑰完全不同，不能通過加密密鑰推算出解密密鑰。之所以稱為公開密鑰算法，就是因為其公開密鑰（Public