《網(wǎng)絡(luò)安全技術(shù)資料》第6章密碼及加密技術(shù)

第6章密碼及加密技術(shù) 主編賈鐵軍副主編陳國(guó)秦蘇慶剛沈?qū)W東編著王堅(jiān)王小剛宋少婷 上海教育高地建設(shè)項(xiàng)目高等院校規(guī)劃教材 網(wǎng)絡(luò)安全技術(shù)及應(yīng)用 第2版 上海市精品課程網(wǎng)絡(luò)安全技術(shù) 目錄 目錄 教學(xué)目標(biāo) 掌握密碼技術(shù)相關(guān)概念 密碼體制及加密方式 理解密碼破譯與密鑰管理的常用方法 掌握實(shí)用加密技術(shù) 數(shù)據(jù)及網(wǎng)絡(luò)加密方式 了解銀行加密技術(shù)應(yīng)用實(shí)例和加密高新技術(shù) 掌握常用PGP郵件加密應(yīng)用實(shí)驗(yàn) 重點(diǎn) 重點(diǎn) 明文 信息的原始形式稱為明文 Plaintext 記為P 密文 明文經(jīng)過(guò)變換加密后的形式稱為密文 Ciphertext 記為C 加密 由明文變成密文的過(guò)程稱為加密 Enciphering 記為E 加密通常由加密算法來(lái)實(shí)現(xiàn)的 解密 由密文還原成明文的過(guò)程稱為解密 Deciphering 記為D 解密通常是由解密算法來(lái)實(shí)現(xiàn)的 加密算法 實(shí)現(xiàn)加密所遵循的規(guī)則 解密算法 實(shí)現(xiàn)解密所遵循的規(guī)則 密鑰 為了有效地控制加密和解密算法的實(shí)現(xiàn) 在其處理過(guò)程中要有通信雙方掌握的專門信息參與加密和解密操作 這種專門信息稱為密鑰 key 記為K 6 1密碼技術(shù)概述 6 1 1密碼技術(shù)相關(guān)概念 案例6 1 美國(guó)安全局加強(qiáng)密碼管理 據(jù)2013年6月國(guó)外媒體報(bào)道 美國(guó)國(guó)家安全局局長(zhǎng)亞歷山大 KeithAlexander 再度譴責(zé) 監(jiān)控門 事件爆料者愛(ài)德華 斯諾登 稱其行為對(duì)美國(guó)造成 重大而不可挽回的損失 同時(shí)表示 美國(guó)國(guó)安局未能監(jiān)察并阻攔斯諾登下載大批機(jī)密前往香港 國(guó)安局內(nèi)部已經(jīng)更改了密碼 還采取措施以防此類事件再度發(fā)生 6 1密碼技術(shù)概述 一個(gè)密碼系統(tǒng)由算法和密鑰兩個(gè)基本組件構(gòu)成 密鑰是一組二進(jìn)制數(shù) 由進(jìn)行密碼通信的專人掌握 而算法則是公開(kāi)的 任何人都可以獲取使用 密碼系統(tǒng)加密解密的基本原理模型如圖6 1所示 2 密碼系統(tǒng)基本原理 圖6 1密碼系統(tǒng)的基本原理模型 6 1 2密碼學(xué)與密碼體制密碼學(xué)包括密碼加密學(xué)和密碼分析學(xué)以及安全管理 安全協(xié)議設(shè)計(jì) 散列函數(shù)等內(nèi)容 密碼體制設(shè)計(jì)是密碼加密學(xué)的主要內(nèi)容 密碼體制的破譯是密碼分析學(xué)的主要內(nèi)容 密碼加密技術(shù)和密碼分析技術(shù)是相互依存 相互支持 密不可分的兩個(gè)方面 按照使用密鑰是否相同 可將密碼體制分為對(duì)稱密碼體制和對(duì)稱密碼體制 6 1密碼技術(shù)概述 1 對(duì)稱密碼體制對(duì)稱密碼體制也稱為單鑰體制 私鑰體制或?qū)ΨQ密碼密鑰體制 傳統(tǒng)密碼體制或常規(guī)密鑰密碼體制 主要特點(diǎn)是 加解密雙方在加解密過(guò)程中使用相同或可以推出本質(zhì)上等同的密鑰 即加密密鑰與解密密鑰相同 基本原理如圖6 2所示 6 1密碼技術(shù)概述 圖6 2對(duì)稱密鑰加密基本原理 1 對(duì)稱密碼體制加密方式1 序列密碼 2 分組密碼 2 對(duì)稱密碼體制的特點(diǎn) 2 非對(duì)稱密碼體制非對(duì)稱密碼體制也稱為非對(duì)稱密鑰密碼體制 公開(kāi)密鑰密碼體制 PKI 公開(kāi)密鑰加密系統(tǒng) 公鑰體制或雙鑰體制 密鑰成對(duì)出現(xiàn) 一個(gè)為加密密鑰 即公開(kāi)密鑰PK 可以公開(kāi)通用 另一個(gè)只有解密人知道的解密密鑰 保密密鑰SK 兩個(gè)密鑰相關(guān)卻不相同 不可能從公共密鑰推算出對(duì)應(yīng)的私人密鑰 用公共密鑰加密的信息只能使用專用的解密密鑰進(jìn)行解密 公開(kāi)密鑰加密系統(tǒng)基本原理如圖所示 6 1密碼技術(shù)概述 公開(kāi)密鑰加密系統(tǒng)的優(yōu)勢(shì)是具有保密功能和鑒別功能 公鑰體制的主要特點(diǎn) 將加密和解密能力分開(kāi) 實(shí)現(xiàn)多用戶加密的信息只能由一個(gè)用戶解讀 或一個(gè)用戶加密的信息可由多用戶解讀 對(duì)稱與非對(duì)稱加密體制特性對(duì)比情況 如表6 1所示 6 1密碼技術(shù)概述 表6 1對(duì)稱與非對(duì)稱加密體制特性對(duì)比 3 混合加密體制混合加密體制是對(duì)稱密碼體制和非對(duì)稱密碼體制結(jié)合而成 混合加密系統(tǒng)的基本工作原理如圖6 4所示 6 1密碼技術(shù)概述 圖6 4混合加密系統(tǒng)工作原理 6 1 3數(shù)據(jù)及網(wǎng)絡(luò)加密方式1 數(shù)據(jù)塊及數(shù)據(jù)流加密數(shù)據(jù)塊加密是指把數(shù)據(jù)劃分為定長(zhǎng)的數(shù)據(jù)塊 再分別加密 數(shù)據(jù)塊之間加密是獨(dú)立的 密文將隨著數(shù)據(jù)塊的重復(fù)出現(xiàn)具有一定規(guī)律性 數(shù)據(jù)流加密是指加密后的密文前部分 用來(lái)參與報(bào)文后面部分的加密 此時(shí)數(shù)據(jù)塊之間加密不獨(dú)立 密文不會(huì)隨著數(shù)據(jù)塊的重復(fù)出現(xiàn)具有規(guī)律性 可以反饋的數(shù)據(jù)流加密可以用于提高破譯難度 6 1密碼技術(shù)概述 在第二次世界大戰(zhàn)期間 一個(gè)軍事機(jī)密可以扭轉(zhuǎn)戰(zhàn)局 1942年 美國(guó)情報(bào)機(jī)構(gòu)從破譯日本海軍電報(bào)密文中 獲悉日軍對(duì)中途島地區(qū)的作戰(zhàn)意圖和兵力部署 從而以劣勢(shì)兵力擊破日本海軍的主力 扭轉(zhuǎn)了太平洋地區(qū)的戰(zhàn)局 案例6 2 2 數(shù)據(jù)加密的實(shí)現(xiàn)方式數(shù)據(jù)加密的實(shí)現(xiàn)方式有兩種 軟件加密和硬件加密 1 軟件加密一般是用戶在發(fā)送信息前 先調(diào)用信息安全模塊對(duì)信息進(jìn)行加密 然后發(fā)送出去 到達(dá)接收方后 由用戶用相應(yīng)的解密軟件進(jìn)行解密 還原成明文 2 硬件加密可以采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議 SNMP CMIP等 進(jìn)行管理 也可以采用統(tǒng)一的自定義網(wǎng)絡(luò)管理協(xié)議進(jìn)行管理 可以對(duì)加密設(shè)備進(jìn)行物理加密 使攻擊者無(wú)法對(duì)其進(jìn)行直接攻擊 速度快于軟件加密 6 1密碼技術(shù)概述 3 網(wǎng)絡(luò)加密方式計(jì)算機(jī)網(wǎng)絡(luò)加密方式有3種 鏈路加密 結(jié)點(diǎn)對(duì)結(jié)點(diǎn)加密和端對(duì)端加密 1 鏈路加密方式鏈路加密方式是對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文的每一位進(jìn)行加密 鏈路兩端都用加密設(shè)備進(jìn)行加密 使整個(gè)通信鏈路傳輸安全 在鏈路加密方式下 只對(duì)傳輸鏈路中的數(shù)據(jù)加密 而不對(duì)網(wǎng)絡(luò)結(jié)點(diǎn)內(nèi)的數(shù)據(jù)加密 中間結(jié)點(diǎn)的數(shù)據(jù)報(bào)文是以明文出現(xiàn)的 目前 一般網(wǎng)絡(luò)傳輸安全主要采這種方式 6 1密碼技術(shù)概述 圖6 5主機(jī)之間經(jīng)過(guò)結(jié)點(diǎn)機(jī)的鏈路加密 2 結(jié)點(diǎn)對(duì)結(jié)點(diǎn)加密為了解決在結(jié)點(diǎn)中數(shù)據(jù)是明文的缺陷 在中間結(jié)點(diǎn)內(nèi)裝有用于加 解密的保護(hù)裝置 即由這個(gè)裝置來(lái)完成一個(gè)密鑰向另一個(gè)密鑰的變換 報(bào)文先解密再用另一個(gè)不同的密鑰重新加密 缺點(diǎn) 需要公共網(wǎng)絡(luò)提供者配合 修改其交換結(jié)點(diǎn) 增加安全單元或保護(hù)裝置 同時(shí) 結(jié)點(diǎn)加密要求報(bào)頭和路由信息以明文形式傳輸 以便中間結(jié)點(diǎn)能得到如何處理消息的信息 也容易受到攻擊 6 1密碼技術(shù)概述 3 端對(duì)端加密端對(duì)端加密也稱面向協(xié)議加密方式 是指只在用戶雙方通信線路的兩端進(jìn)行加密 數(shù)據(jù)是以加密的形式由源結(jié)點(diǎn)通過(guò)網(wǎng)絡(luò)到達(dá)目的結(jié)點(diǎn) 目的結(jié)點(diǎn)用于源結(jié)點(diǎn)共享的密鑰對(duì)數(shù)據(jù)解密 這種方式提供了一定程度的認(rèn)證功能 同時(shí)也防止網(wǎng)絡(luò)上鏈路和交換機(jī)的攻擊 優(yōu)點(diǎn)是網(wǎng)絡(luò)上的每個(gè)用戶可以有不同的加密關(guān)鍵詞 而且網(wǎng)絡(luò)本身不需增添任何專門的加密設(shè)備 缺點(diǎn)是每個(gè)系統(tǒng)必須有一個(gè)加密設(shè)備和相應(yīng)的管理加密關(guān)鍵詞軟件 或者每個(gè)系統(tǒng)自行完成加密工作 當(dāng)數(shù)據(jù)傳輸率是按兆位 秒的單位計(jì)算時(shí) 加密任務(wù)的計(jì)算量是很大的 鏈路加密方式和端對(duì)端加密方式的區(qū)別是 鏈路加密方式是對(duì)整個(gè)鏈路的傳輸采取保護(hù)措施 而端對(duì)端方式則是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取保護(hù)措施 端對(duì)端加密方式是未來(lái)發(fā)展主要方向 對(duì)于重要的特殊機(jī)密信息 可以采用將二者結(jié)合的加密方式 6 1密碼技術(shù)概述 討論思考 1 什么是密碼技術(shù) 加密及解密 2 密碼體制及加密方式有哪幾種 6 2 1密碼破譯方法1 密鑰的窮盡搜索不同的加密系統(tǒng)使用不同長(zhǎng)度的密鑰 一般在其他條件相同的情況下 密鑰越長(zhǎng)破譯越困難 而且加密系統(tǒng)也就越可靠 常見(jiàn)加密系統(tǒng)的口令及其對(duì)應(yīng)的密鑰長(zhǎng)度如表所示 6 2密碼破譯與密鑰管理 表6 2常見(jiàn)系統(tǒng)的口令及其對(duì)應(yīng)的密鑰長(zhǎng)度 2 密碼分析密碼學(xué)不斷吸引探索者的原因 是由于大多數(shù)加密算法最終都未能達(dá)到設(shè)計(jì)者的期望 許多加密算法 可以用復(fù)雜的數(shù)學(xué)方法和高速計(jì)算機(jī)運(yùn)算實(shí)現(xiàn) 1 已知明文的破譯方法2 選定明文的破譯方法3 其他密碼破譯方法1 通過(guò)各種途徑或辦法欺騙用戶密碼 2 在用戶輸入密鑰時(shí) 應(yīng)用各種技術(shù)手段 窺視 或 偷竊 密鑰內(nèi)容 3 利用加密系統(tǒng)實(shí)現(xiàn)中的缺陷或漏洞 4 對(duì)用戶使用的加密系統(tǒng)偷梁換柱 5 從用戶工作生活環(huán)境其他來(lái)源獲得未加密的保密信息 如進(jìn)行 垃圾分析 6 讓口令的另一方透露密鑰或信息 7 利用各種手段威脅用戶交出密鑰 4 防止密碼破譯的措施1 強(qiáng)壯加密算法 2 密鑰足夠長(zhǎng) 3 動(dòng)態(tài)會(huì)話密鑰 4 定期更換密鑰 6 2密碼破譯與密鑰管理 6 2 2密鑰管理1 密鑰管理方法密鑰管理內(nèi)容包括密鑰的產(chǎn)生 存儲(chǔ) 裝入 分配 保護(hù) 丟失 銷毀等 1 對(duì)稱密鑰的管理 2 公開(kāi)密鑰的管理 3 密鑰管理的相關(guān)標(biāo)準(zhǔn)規(guī)范2 密鑰管理注意事項(xiàng)密鑰的保密性 主要涉及密鑰的管理 任何保密只是相對(duì)的 而且有時(shí)效性 管理密鑰需要注意以下兩個(gè)方面 1 密鑰使用的時(shí)效和次數(shù) 2 多密鑰的管理 6 2密碼破譯與密鑰管理 6 2密碼破譯與密鑰管理 假設(shè)用戶甲要和乙秘密通信 則甲先和KDC通信 用只有甲和KDC知道的密鑰進(jìn)行加密 甲告訴KDC他想和乙進(jìn)行通信 KDC會(huì)為甲和乙之間的會(huì)話隨機(jī)選擇一個(gè)對(duì)話密鑰 并生成一個(gè)標(biāo)簽由KDC和乙之間的密鑰加密 并在甲和乙對(duì)話時(shí) 由甲把這個(gè)標(biāo)簽交給乙 此標(biāo)簽的功能是讓甲確信和他交談的是乙 而不是冒充者 由于此標(biāo)簽是由只有乙和KDC掌握的密鑰加密的 即使冒充者得到甲發(fā)出的標(biāo)簽也不可能解密 只有乙收到后才能夠解密 從而確認(rèn)與甲對(duì)話的人就是乙 當(dāng)KDC生成標(biāo)簽和隨機(jī)會(huì)話密碼時(shí) 就會(huì)將其用只有甲和KDC知道的密鑰加密 然后把標(biāo)簽和會(huì)話密鑰傳給甲 加密的結(jié)果可以確保只有甲能得到這個(gè)信息 只有甲能利用這個(gè)會(huì)話密鑰和乙進(jìn)行通話 案例6 3 討論思考 1 密碼破譯具體有哪幾種方法 2 密鑰的管理方法有哪些 6 3 1對(duì)稱加密技術(shù)及方法1 對(duì)稱加密算法RSA算法是最常用的以算法產(chǎn)生一個(gè)對(duì)稱密鑰的商業(yè)算法 是1978年由R Rivest A Shamir和L Adleman提出的一種用數(shù)論構(gòu)造的 是第一個(gè)既能用于數(shù)據(jù)加密又能用于數(shù)字簽名的算法 也是迄今為止理論上最成熟且完善的公鑰密碼體制 2 對(duì)稱算法優(yōu)缺點(diǎn)比較對(duì)稱加密算法的目的要求有4點(diǎn) 1 提供高質(zhì)量的數(shù)據(jù)保護(hù) 防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺(jué)的修改 2 具有相當(dāng)高的復(fù)雜性 使得破譯開(kāi)銷超過(guò)可能獲得的利益 同時(shí)應(yīng)便于理解和掌握 3 密碼體制的安全性應(yīng)該不依賴于算法的保密 其安全性僅以加密密鑰的保密為基礎(chǔ) 4 實(shí)現(xiàn)經(jīng)濟(jì) 運(yùn)行有效 并且適用于多種完全不同的應(yīng)用 6 3實(shí)用加密技術(shù)概述 3 數(shù)據(jù)加密標(biāo)準(zhǔn)最著名的對(duì)稱加密技術(shù)是IBM于20世紀(jì)70年代為美國(guó)國(guó)家標(biāo)準(zhǔn)局研制的數(shù)據(jù)加密標(biāo)準(zhǔn)DES DES被授權(quán)用于所有的非保密數(shù)據(jù) 與國(guó)家安全無(wú)關(guān)的信息 中 DES是一種專為二進(jìn)制編碼數(shù)據(jù)設(shè)計(jì)的 典型的按分組方式工作的單鑰密碼算法 基本原理是將二進(jìn)制序列的明文分組 然后用密鑰對(duì)這些明文進(jìn)行替代和置換 最后形成密文 4 傳統(tǒng)加密方法 1 代碼加密代碼簡(jiǎn)單易用 但只能傳送一組預(yù)先約定的信息 發(fā)送保密信息的最簡(jiǎn)單做法是使用傳輸雙方預(yù)先設(shè)定的一組代碼 6 3實(shí)用加密技術(shù)概述 兩個(gè)走私者 利用代碼加密的 黑話 密文 黃魚(yú)白菜運(yùn)到地方 明文 黃金和白銀已經(jīng)安全送到 案例6 4 2 替換加密替換加密是指用一組密文字母來(lái)代替一組明文字母以隱藏明文 同時(shí)保持明文字母的順序不變的替換方式 一種最古老的替換密碼是愷撒密碼 又被稱為循環(huán)移位密碼 6 3實(shí)用加密技術(shù)概述 將字母a b c x y z的自然順序保持不變 但使之與F G H A B C D E分別對(duì)應(yīng) 此時(shí)密鑰為5且大寫(xiě) 若明文為student 則對(duì)應(yīng)的密文為XYZIJSY 案例6 5 3 變位加密變位加密是要對(duì)明文字母作重新排序 不需隱藏 常用的變位密碼有列變位密碼和矩陣變位密碼 1 列變位密碼 2 矩陣變位密碼 4 一次性加密一次性加密也稱一次性密碼簿加密 如果要既保持代碼加密的可靠性 又保持替換加密器的靈活性 可采用一次性密碼進(jìn)行加密 6 3實(shí)用加密技術(shù)概述 簡(jiǎn)單的變位加密示例密鑰 4168257390明文 來(lái)賓已出現(xiàn)住在人民路0123456789密文 路賓現(xiàn)人來(lái)住已在出民 案例6 6 6 3 2非對(duì)稱加密及單向加密1 非對(duì)稱加密非對(duì)稱密鑰加解密過(guò)程使用相互關(guān)聯(lián)的一對(duì)密鑰 一個(gè)歸發(fā)送者 一個(gè)歸接收者 密鑰對(duì)中的一個(gè)必須保持保密狀態(tài) 稱為私鑰 另一個(gè)則可以公開(kāi)發(fā)布 稱為公鑰 這組密鑰中的一個(gè)用于加密 另一個(gè)用于解密 2 單向加密單向加密也稱哈希HASH加密 Hashencryption 利用一個(gè)含有HASH函數(shù)的哈希表 確定用于加密的十六位進(jìn)制數(shù) 6 3實(shí)用加密技術(shù)概述 用戶張某要向用戶M發(fā)送一條消息 必須用M的公鑰對(duì)信息進(jìn)行加密 然后再發(fā)送 M接收到經(jīng)過(guò)加密的消息后 用自己的私鑰加以解密獲取原始信息 在傳輸?shù)倪^(guò)程中 盡管公鑰和私鑰相關(guān) 但卻無(wú)法從公鑰確定私鑰 案例6 7 ATM取款機(jī)無(wú)需解密用戶身份證號(hào)碼 可對(duì)其身份證號(hào)碼計(jì)算產(chǎn)生一個(gè)結(jié)果 銀行卡將用戶身份證號(hào)單向加密成一段HASH值 插卡后ATM機(jī)將計(jì)算用戶信息的HASH值并產(chǎn)生一個(gè)結(jié)果 然后再將其結(jié)果與用戶卡上的HASH值比對(duì)認(rèn)證 案例6 8 6 3 3無(wú)線網(wǎng)絡(luò)加密技術(shù)1 WEP加密技術(shù)WEP 有線等效協(xié)議 主要通過(guò)無(wú)線網(wǎng)絡(luò)通信雙方共享的密鑰保護(hù)傳輸?shù)募用軒瑪?shù)據(jù) 利用加密數(shù)據(jù)幀加密的過(guò)程如圖6 6所示 6 3實(shí)用加密技術(shù)概述 6 3實(shí)用加密技術(shù)概述 2 WPA安全加密技術(shù)WPA加密 Wi FiProtectedAccess 其加密特性決定了它比WEP更難以入侵 所以如果對(duì)數(shù)據(jù)安全性有很高要求 那就必須選用WPA加密方式 WPA作為IEEE802 11通用的加密機(jī)制WEP的升級(jí)版 在安全的防護(hù)上比WEP更為周密 主要體現(xiàn)在身份認(rèn)證 加密機(jī)制和數(shù)據(jù)包檢查等方面 而且它還提升了無(wú)線網(wǎng)絡(luò)的管理能力 圖6 7無(wú)線安全系統(tǒng)設(shè)置 其他加密模式其參數(shù)對(duì)比如表6 3所示 表6 3各種加密模式參數(shù)對(duì)比 6 3實(shí)用加密技術(shù)概述 3 隧道加密技術(shù)方式一 這種加密隧道用于客戶端到無(wú)線訪問(wèn)點(diǎn)之間 這種加密隧道保證了無(wú)線鏈路間的傳輸安全 但是無(wú)法保證數(shù)據(jù)報(bào)文和有線網(wǎng)絡(luò)服務(wù)器之間的安全 方式二 這種加密隧道穿過(guò)了無(wú)線訪問(wèn)點(diǎn) 但是僅到達(dá)網(wǎng)絡(luò)接入一種用來(lái)分離無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的控制器就結(jié)束 這種安全隧道同樣不能達(dá)到端到端的安全傳輸 6 3實(shí)用加密技術(shù)概述 方式三 這種加密隧道即端到端加密傳輸 它從客戶端到服務(wù)器 在無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)中都保持 是真正的端到端加密 2 加密層的選擇除了加密隧道的長(zhǎng)度外 決定加密安全的另外一個(gè)關(guān)鍵屬性是加密層的選擇 未加密 第三層加密 第二層加密圖6 9第二層和第三層加密隧道 6 3 4實(shí)用綜合加密方法發(fā)送和接收E mail中加密的實(shí)現(xiàn)全部過(guò)程如圖所示 6 3實(shí)用加密技術(shù)概述 圖6 10E mail加密過(guò)程圖6 11E mail解密過(guò)程 6 4 1銀行加密體系及服務(wù)1 加密體系及應(yīng)用技術(shù) 1 加密目標(biāo)及解決的關(guān)鍵問(wèn)題對(duì)各系統(tǒng)中數(shù)據(jù)的機(jī)密性 完整性進(jìn)行保護(hù) 并提高應(yīng)用系統(tǒng)服務(wù)和數(shù)據(jù)訪問(wèn)的抗抵賴性 主要包括 1 進(jìn)行存儲(chǔ)數(shù)據(jù)的機(jī)密性保護(hù)和傳輸數(shù)據(jù)的機(jī)密性保護(hù) 2 提高存儲(chǔ)數(shù)據(jù) 傳輸數(shù)據(jù)和處理數(shù)據(jù)的完整性 3 防止原發(fā)抗抵賴和接收抗抵賴 6 4銀行加密技術(shù)應(yīng)用實(shí)例 1 加密體系及應(yīng)用技術(shù) 2 加密體系框架加密的體系框架如圖6 13所示 圖6 13加密體系框架 3 采用的基本加密技術(shù)1 單向散列 HashCryptography 2 對(duì)稱密鑰加密 SymmetricKeyCryptography 3 公鑰加密 PublicKeyCryptography 6 4銀行加密技術(shù)應(yīng)用實(shí)例 2 加密服務(wù)加密服務(wù)一般包括加解密 消息認(rèn)證碼 數(shù)字簽名 密鑰安置和隨機(jī)數(shù)生成 1 加密和解密 2 消息認(rèn)證碼 3 數(shù)字簽名 4 密鑰安置 5 隨機(jī)數(shù)生成 圖6 14數(shù)字簽名生成與驗(yàn)證 圖6 15數(shù)字簽名過(guò)程 6 4銀行加密技術(shù)應(yīng)用實(shí)例 1 密鑰的安全管理 1 密鑰的種類 2 密鑰的管理過(guò)程2 數(shù)字證書(shū)的管理 1 公鑰 私鑰對(duì)的生成和存儲(chǔ) 2 證書(shū)的生成和發(fā)放 3 證書(shū)的合法性校驗(yàn) 4 交叉認(rèn)證 6 4 2銀行密鑰及證書(shū)管理 6 4銀行加密技術(shù)應(yīng)用實(shí)例 1 網(wǎng)絡(luò)應(yīng)用的加密方式1 鏈路層加密鏈路加密是在結(jié)點(diǎn)間或主機(jī)間進(jìn)行的 信息剛好是在進(jìn)入物理通信鏈路前被加密的 2 網(wǎng)絡(luò)層加密 在網(wǎng)關(guān)之間進(jìn)行 3 應(yīng)用層加密 也稱端到端加密 6 4 3網(wǎng)絡(luò)加密方式及管理策略 圖6 16端到端加密 6 4銀行加密技術(shù)應(yīng)用實(shí)例 2 加密服務(wù)管理策略 1 提供全面的 一致的加密保護(hù)服務(wù)加密服務(wù)的內(nèi)容包括數(shù)據(jù)機(jī)密性保護(hù) 數(shù)據(jù)完整性保護(hù) 不可否認(rèn)性保護(hù)和密鑰管理服務(wù) 如圖6 17所示 2 統(tǒng)一管理 分布部署總行組織建立全行統(tǒng)一的信息安全服務(wù)平臺(tái) 提供統(tǒng)一的信息安全服務(wù) 其中包括統(tǒng)一的密碼支持服務(wù) 定義密鑰管理機(jī)制 加密算法和密鑰長(zhǎng)度的標(biāo)準(zhǔn)并統(tǒng)一執(zhí)行 部署如圖6 18所示 同時(shí) 各應(yīng)用利用信息安全基礎(chǔ)設(shè)施 基于總行制訂的統(tǒng)一標(biāo)準(zhǔn)和規(guī)格 各自實(shí)現(xiàn)應(yīng)用內(nèi)部的安全服務(wù) 其中包括加密服務(wù) 3 加密信息共享 圖6 17全面加密保護(hù)服務(wù) 圖6 18加密服務(wù)的部署 6 4銀行加密技術(shù)應(yīng)用實(shí)例 6 5 1數(shù)字信封和數(shù)字水印1 數(shù)字信封數(shù)字信封 DigitalEnvelop 的功能類似于普通信封 數(shù)字信封和數(shù)字簽名是公鑰密碼體制在實(shí)際應(yīng)用中兩種主要方式 數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制 實(shí)現(xiàn)原理 信息發(fā)送方采用對(duì)稱密鑰來(lái)加密信息內(nèi)容 將此對(duì)稱密鑰用接收方的公鑰來(lái)加密 這部分稱數(shù)字信封 之后 將它和加密后的信息一起發(fā)送給接收方 接收方先用相應(yīng)的私鑰打開(kāi)數(shù)字信封 得到對(duì)稱密鑰 然后使用對(duì)稱密鑰解開(kāi)加密信息 如圖6 19所示 6 5加密高新技術(shù)概述 圖6 19數(shù)字信封 2 數(shù)字水印技術(shù) 1 數(shù)字水印的特性數(shù)字水印 DigitalWatermark 是一種信息隱藏技術(shù) 是指在數(shù)據(jù)化的數(shù)據(jù)內(nèi)容中嵌入不明顯的記號(hào) 這種被嵌入的記號(hào)通常不可見(jiàn)或不可察覺(jué) 只有通過(guò)計(jì)算機(jī)操作才可以檢測(cè)或著被提取 根據(jù)信息隱藏的技術(shù)要求和目的 數(shù)字水印需要達(dá)到以下3個(gè)基本特性 1 隱藏性 透明性 2 強(qiáng)壯性 免疫性 魯棒性 3 安全性 2 數(shù)字水印種類1 所有權(quán)確認(rèn)2 來(lái)源確定3 完整性確認(rèn)4 隱式注釋5 使用控制 6 5加密高新技術(shù)概述 3 數(shù)字水印的嵌入與檢測(cè)嵌人數(shù)字水印的方法都包含一些基本的構(gòu)造模塊 即一個(gè)數(shù)字水印嵌入系統(tǒng)和一個(gè)數(shù)字水印提取系統(tǒng) 數(shù)字水印嵌入過(guò)程如圖6 20所示 當(dāng)數(shù)字水印與公鑰 私鑰結(jié)合時(shí) 嵌入水印的技術(shù)通常分別稱為私鑰數(shù)字水印和公鑰數(shù)字水印技術(shù) 數(shù)字水印檢測(cè)過(guò)程如圖6 21所示 6 5加密高新技術(shù)概述 圖6 20數(shù)字水印嵌入過(guò)程圖6 21數(shù)字水印的檢測(cè)過(guò)程 6 5 2軟硬件集成與量子加密技術(shù)1 密碼專用芯片集成密碼技術(shù)是信息安全的核心技術(shù) 無(wú)處不在 目前已經(jīng)滲透到大部分安全產(chǎn)品之中 正向芯片化方向發(fā)展 6 5加密高新技術(shù)概述 2 量子加密技術(shù)應(yīng)用分為兩類 一類是利用量子計(jì)算機(jī)對(duì)傳統(tǒng)密碼體制的分析 另一類是利用單光子的測(cè)不準(zhǔn)原理在光纖一級(jí)實(shí)現(xiàn)密鑰管理和信息加密 即量子密碼學(xué) 3 全息防偽標(biāo)識(shí)的隱型加密技術(shù)利用特殊的工藝在全息防偽標(biāo)識(shí)中植入密碼 可以很好地解決全息防偽標(biāo)識(shí)問(wèn)題 4 活體指紋身份鑒別保管箱應(yīng)用系統(tǒng)活體指紋身份鑒別保管箱應(yīng)用系統(tǒng)應(yīng)用非常廣泛 主要由指紋采集器 計(jì)算機(jī) 保險(xiǎn)箱體及加密電路構(gòu)成 5 電腦密碼鎖和軟件加密卡6 系列商用密碼系統(tǒng)及信息加 解密方法 6 5 3其他加解密新技術(shù)1 第五代加密軟件狗加密軟件 2 寬帶多協(xié)議VPN數(shù)據(jù)加密機(jī)3 網(wǎng)上適用的密碼數(shù)據(jù)不可見(jiàn)的隱形密碼系統(tǒng) 4 支付密碼器系統(tǒng) 5 信號(hào)廣義譜的研究及其在通信編碼中的應(yīng)用6 硬盤加密系統(tǒng)7 排列碼加密解密方法及技術(shù) 8 基于DSP的加密算法的研究與實(shí)現(xiàn)9 計(jì)算機(jī)文件加解密 多級(jí)簽字及安全性管理軟件 6 5加密高新技術(shù)概述 6 4 1實(shí)驗(yàn)?zāi)康呐c要求通過(guò)PGP軟件的使用 進(jìn)一步加深對(duì)非對(duì)稱算法RSA的認(rèn)識(shí)和掌握 熟悉軟件的操作及主要功能 使用它加密郵件 普通文件 1 實(shí)驗(yàn)環(huán)境與設(shè)備在網(wǎng)絡(luò)實(shí)驗(yàn)室 每組必備兩臺(tái)裝有Windows操作系統(tǒng)的PC機(jī) 2 注意事項(xiàng)注重技術(shù) 方法 由于具體版本和界面等方面不盡一致 在具體實(shí)驗(yàn)中應(yīng)當(dāng)多注重方法 注意實(shí)驗(yàn)過(guò)程 步驟和要點(diǎn) 3 實(shí)驗(yàn)方法建議2人一組 每組兩臺(tái)PC機(jī) 每人操作一臺(tái) 相互操作 6 4PGP軟件應(yīng)用實(shí)驗(yàn) 6 4 3實(shí)驗(yàn)內(nèi)容及步驟1 實(shí)驗(yàn)內(nèi)容A機(jī)上用戶 pgp user 傳送一封保密信給B機(jī)上用戶 pgp user1 首先pgp user對(duì)這封信用自己的私鑰簽名 再利用pgp user1公鑰加密后發(fā)給pgp user1 當(dāng)pgp user1收到pgp user加密的信件后 使用其相對(duì)的私鑰 SecretKey 來(lái)解密 再用pgp user的公鑰進(jìn)行身份驗(yàn)證 6 4PGP軟件應(yīng)用實(shí)驗(yàn) 6 4 3實(shí)驗(yàn)內(nèi)容及步驟2 實(shí)驗(yàn)步驟 1 兩臺(tái)PC機(jī)上分別安裝PGP軟件 實(shí)驗(yàn)步驟 第1步 運(yùn)行安裝文件pgp8 exe 出現(xiàn)初始安裝提示對(duì)話框 6 4PGP軟件應(yīng)用實(shí)驗(yàn) 6 4 3實(shí)驗(yàn)內(nèi)容及步驟2 實(shí)驗(yàn)步驟第2步 單擊按鈕 出現(xiàn)選擇用戶類型對(duì)話框 首次安裝用戶 選擇No I maNewUser 第3步 單擊按鈕 之后不需改動(dòng)默認(rèn)設(shè)置 直至出現(xiàn)安裝結(jié)束提示 第4步 單擊按鈕 結(jié)束安裝并啟動(dòng)計(jì)算機(jī) 安裝過(guò)程結(jié)束 6 4PGP軟件應(yīng)用實(shí)驗(yàn) 6 4 3實(shí)驗(yàn)內(nèi)容及步驟2 實(shí)驗(yàn)步驟 2 以pgp user用戶為例 生成密鑰對(duì) 獲得對(duì)方公鑰和簽名 實(shí)驗(yàn)步驟 第1步 重啟軟件1 單擊按鈕 2 選擇 所有程序 PGP pgpkeys 6 4PGP軟件應(yīng)用實(shí)驗(yàn) 第2步 設(shè)置姓名和郵箱1 在出現(xiàn)的PGP軟件產(chǎn)生密鑰對(duì)的對(duì)話框中 單擊按鈕 彈出設(shè)置姓名和郵箱的對(duì)話框 如圖所示進(jìn)行設(shè)置 2 單擊按鈕 6 4 3實(shí)驗(yàn)內(nèi)容及步驟2