第4章 數(shù)據(jù)加密與身份認(rèn)證

第4章數(shù)據(jù)加密與身份認(rèn)證2本章概要

本章就各種網(wǎng)絡(luò)安全技術(shù)進(jìn)行了闡述。所涉及的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密技術(shù)（Encryption）身份認(rèn)證技術(shù)（Authentication）包過(guò)濾技術(shù)（PacketFiltering）資源授權(quán)使用（Authorization）內(nèi)容安全（防病毒）技術(shù)3課程目標(biāo)通過(guò)本章學(xué)習(xí)，讀者應(yīng)能夠：了解常用的網(wǎng)絡(luò)安全技術(shù)及其適用范圍；了解內(nèi)容安全(防病毒)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的重要地位。4.1數(shù)據(jù)加密技術(shù)54.1數(shù)據(jù)加密技術(shù)

信息安全技術(shù)是一門(mén)綜合的學(xué)科，它涉及信息論、計(jì)算機(jī)科學(xué)和密碼學(xué)等多方面知識(shí)，它的主要任務(wù)是研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法以實(shí)現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實(shí)和完整。其中，信息安全的核心是密碼技術(shù)。隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷滲透到各個(gè)領(lǐng)域，密碼學(xué)的應(yīng)用也隨之?dāng)U大，數(shù)字簽名、身份鑒別等都是由密碼學(xué)派生出來(lái)的新技術(shù)和應(yīng)用。隨著計(jì)算機(jī)聯(lián)網(wǎng)的逐步實(shí)現(xiàn)，計(jì)算機(jī)信息的保密問(wèn)題顯得越來(lái)越重要。數(shù)據(jù)保密變換，或密碼技術(shù)，是對(duì)計(jì)算機(jī)信息進(jìn)行保護(hù)的最實(shí)用和最可靠的方法，下面對(duì)信息加密技術(shù)作一簡(jiǎn)要介紹。6數(shù)據(jù)加密的概念數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法7數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的概念

數(shù)據(jù)加密(Encryption)是指將明文信息(Plaintext)采取數(shù)學(xué)方法進(jìn)行函數(shù)轉(zhuǎn)換成密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過(guò)程。

明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實(shí)現(xiàn)的關(guān)鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過(guò)數(shù)學(xué)算法轉(zhuǎn)換成密文的過(guò)程；解密(Decryption)：將密文還原成明文的過(guò)程。8數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)的應(yīng)用數(shù)據(jù)保密；身份驗(yàn)證；保持?jǐn)?shù)據(jù)完整性；確認(rèn)事件的發(fā)生。9數(shù)據(jù)加密技術(shù)原理對(duì)稱(chēng)密鑰加密（保密密鑰法）非對(duì)稱(chēng)密鑰加密（公開(kāi)密鑰法）混合加密算法哈希（Hash）算法數(shù)字簽名數(shù)字證書(shū)公共密鑰體系數(shù)據(jù)加密技術(shù)原理10數(shù)據(jù)加密技術(shù)原理對(duì)稱(chēng)密鑰加密（保密密鑰法）加密算法解密算法密鑰網(wǎng)絡(luò)信道明文明文密文加密密鑰解密密鑰兩者相等11數(shù)據(jù)加密技術(shù)原理非對(duì)稱(chēng)密鑰加密（公開(kāi)密鑰加密）加密算法解密算法公開(kāi)密鑰網(wǎng)絡(luò)信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導(dǎo)不相等12數(shù)據(jù)加密技術(shù)原理混合加密系統(tǒng)對(duì)稱(chēng)密鑰加密算法對(duì)稱(chēng)密鑰解密算法對(duì)稱(chēng)密鑰網(wǎng)絡(luò)信道明文明文密文

混合加密系統(tǒng)既能夠安全地交換對(duì)稱(chēng)密鑰，又能夠克服非對(duì)稱(chēng)加密算法效率低的缺陷！非對(duì)稱(chēng)密鑰加密算法非對(duì)稱(chēng)密鑰解密算法對(duì)稱(chēng)密鑰公開(kāi)密鑰私有密鑰

混合加密系統(tǒng)是對(duì)稱(chēng)密鑰加密技術(shù)和非對(duì)稱(chēng)密鑰加密技術(shù)的結(jié)合13數(shù)據(jù)加密技術(shù)原理

哈希（Hash）算法信息加密解密網(wǎng)絡(luò)信道信息密文

哈希算法（hashalgorithm），也叫信息標(biāo)記算法（message-digestalgorithm），可以提供數(shù)據(jù)完整性方面的判斷依據(jù)。哈希算法

結(jié)果相同，則數(shù)據(jù)未被篡改比較

結(jié)果不同，則數(shù)據(jù)已被篡改信息標(biāo)記（digest）常用的哈希算法：MD5SHA-1哈希算法14數(shù)據(jù)加密技術(shù)原理數(shù)字簽名

數(shù)字簽名（digitalsignature）技術(shù)通過(guò)某種加密算法，在一條地址消息的尾部添加一個(gè)字符串，而收信人可以根據(jù)這個(gè)字符串驗(yàn)明發(fā)信人的身份，并可進(jìn)行數(shù)據(jù)完整性檢查。15數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對(duì)稱(chēng)加密算法非對(duì)稱(chēng)解密算法Alice的私有密鑰網(wǎng)絡(luò)信道合同Alice的公開(kāi)密鑰哈希算法標(biāo)記標(biāo)記-2合同哈希算法比較標(biāo)記-1如果兩標(biāo)記相同，則符合上述確認(rèn)要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認(rèn)：合同的確是Alice發(fā)送的合同在傳輸途中未被修改16數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；對(duì)簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗(yàn)證；發(fā)信人無(wú)法對(duì)信件的內(nèi)容進(jìn)行抵賴(lài)。

當(dāng)我們對(duì)簽名人同公開(kāi)密鑰的對(duì)應(yīng)關(guān)系產(chǎn)生疑問(wèn)時(shí)，我們需要第三方頒證機(jī)構(gòu)（CA:CertificateAuthorities）的幫助。17數(shù)據(jù)加密技術(shù)原理數(shù)字證書(shū)

數(shù)字證書(shū)相當(dāng)于電子化的身份證明，應(yīng)有值得信賴(lài)的頒證機(jī)構(gòu)（CA機(jī)構(gòu)）的數(shù)字簽名，可以用來(lái)強(qiáng)力驗(yàn)證某個(gè)用戶(hù)或某個(gè)系統(tǒng)的身份及其公開(kāi)密鑰。

數(shù)字證書(shū)既可以向一家公共的辦證機(jī)構(gòu)申請(qǐng)，也可以向運(yùn)轉(zhuǎn)在企業(yè)內(nèi)部的證書(shū)服務(wù)器申請(qǐng)。這些機(jī)構(gòu)提供證書(shū)的簽發(fā)和失效證明服務(wù)。18數(shù)據(jù)加密技術(shù)原理數(shù)字證書(shū)中的常見(jiàn)內(nèi)容發(fā)信人的公開(kāi)密鑰；發(fā)信人的姓名；證書(shū)頒發(fā)者的名稱(chēng)；證書(shū)的序列號(hào)；證書(shū)頒發(fā)者的數(shù)字簽名；證書(shū)的有效期限。如:目前通用的X.509證書(shū)19數(shù)據(jù)加密技術(shù)原理申請(qǐng)數(shù)字證書(shū)，并利用它發(fā)送電子郵件用戶(hù)向CA機(jī)構(gòu)申請(qǐng)一份數(shù)字證書(shū)，申請(qǐng)過(guò)程會(huì)生成他的公開(kāi)/私有密鑰對(duì)。公開(kāi)密鑰被發(fā)送給CA機(jī)構(gòu)，CA機(jī)構(gòu)生成證書(shū)，并用自己的私有密鑰簽發(fā)之，然后向用戶(hù)發(fā)送一份拷貝。用戶(hù)的同事從CA機(jī)構(gòu)查到用戶(hù)的數(shù)字證書(shū)，用證書(shū)中的公開(kāi)密鑰對(duì)簽名進(jìn)行驗(yàn)證。用戶(hù)把文件加上簽名，然后把原始文件同簽名一起發(fā)送給自己的同事。證書(shū)申請(qǐng)簽發(fā)的數(shù)字證書(shū)文件和數(shù)字簽名數(shù)字證書(shū)的驗(yàn)證用戶(hù)同事CA20數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式SH：會(huì)話(huà)層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息21數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式

用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)，通常用硬件在物理層或數(shù)據(jù)鏈路層實(shí)現(xiàn)。優(yōu)點(diǎn)由于每條通信鏈路上的加密是獨(dú)立進(jìn)行的，因此當(dāng)某條鏈路受到破壞不會(huì)導(dǎo)致其它鏈路上傳輸?shù)男畔⒌陌踩?。?bào)文中的協(xié)議控制信息和地址都被加密，能夠有效防止各種流量分析。不會(huì)減少網(wǎng)絡(luò)有效帶寬。只有相鄰節(jié)點(diǎn)使用同一密鑰，因此，密鑰容易管理。加密對(duì)于用戶(hù)是透明的，用戶(hù)不需要了解加密、解密過(guò)程。22數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式缺點(diǎn)在傳輸?shù)闹虚g節(jié)點(diǎn)，報(bào)文是以明文的方式出現(xiàn)，容易受到非法訪問(wèn)的威脅。每條鏈路都需要加密/解密設(shè)備和密鑰，加密成本較高。23數(shù)據(jù)傳輸?shù)募用?/p>

端對(duì)端加密方式應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：會(huì)話(huà)層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；：明文信息：密文信息24數(shù)據(jù)傳輸?shù)募用?/p>

端對(duì)端加密方式

在源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)對(duì)傳輸?shù)膱?bào)文進(jìn)行加密和解密，一般在應(yīng)用層或表示層完成。優(yōu)點(diǎn)在高層實(shí)現(xiàn)加密，具有一定的靈活性。用戶(hù)可以根據(jù)需要選擇不同的加密算法。缺點(diǎn)報(bào)文的控制信息和地址不加密，容易受到流量分析的攻擊。需要在全網(wǎng)范圍內(nèi)對(duì)密鑰進(jìn)行管理和分配。25常用加密協(xié)議

SSL協(xié)議:安全套接層協(xié)議（SecureSocketLayer）。SSL是建立安全通道的協(xié)議，位于傳輸層和應(yīng)用層之間，理論上可以為任何數(shù)量的應(yīng)用層網(wǎng)絡(luò)通信協(xié)議提供通信安全。SSL協(xié)議提供的功能有安全（加密）通信、服務(wù)器（或客戶(hù)）身份鑒別、信息完整性檢查等。SSL協(xié)議最初由Netscape公司開(kāi)發(fā)成功，是在Web客戶(hù)和Web服務(wù)器之間建立安全通道的事實(shí)標(biāo)準(zhǔn)。SSL協(xié)議的版本。26常用加密協(xié)議

數(shù)據(jù)鏈路層和物理層網(wǎng)絡(luò)層（IP）傳輸層（TCP）安全套接層（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP

SSL協(xié)議:安全套接層協(xié)議所在層次27常用加密協(xié)議

TLS協(xié)議:傳輸層安全協(xié)議（TransportLayerSecurity）。

TLS協(xié)議由IETF（InternetEngineeringTaskForce）組織開(kāi)發(fā)。TLS協(xié)議是對(duì)SSL3.0協(xié)議的進(jìn)一步發(fā)展。同SSL協(xié)議相比，TLS協(xié)議是一