kerberos安全协议解析与编程实现
kerberos 协议的特点及执行过程。
kerberos 协议的特点及执行过程01Kerberos 协议的概述Kerberos协议最初是在麻省理工学院开发的,现已成为一种广泛使用的网络认证协议。
它基于对称密钥加密算法,使用第三方认证服务器来管理和颁发安全票据。
Kerberos协议提供了一种强大的身份验证机制,可以防止各种网络攻击,并为用户提供了单点登录功能。
02Kerberos 协议的工作原理Kerberos协议的工作可以分为以下步骤:认证(Authentication):用户向认证服务器请求一个 TGT (Ticket Granting Ticket)。
用户通常需要提供用户名和密码来进行身份验证。
认证服务器验证用户的身份,并生成一个 TGT,其中包含一个会话密钥(Session Key)。
获取服务票据(Getting a Service Ticket):一旦用户获得 TGT,他们可以向票据授权服务器请求访问特定服务的服务票据。
用户向TGS(Ticket Granting Server)发送一个包含 TGT 和目标服务的标识的请求。
服务票据验证(Service Ticket Validation):票据授权服务器验证 TGT,并确定用户有权访问所请求的服务。
如果验证成功,票据授权服务器生成一个服务票据,其中包含一个用于与服务进行安全通信的会话密钥。
访问服务(Accessing the Service):用户使用服务票据向目标服务请求访问。
目标服务使用票据中的会话密钥验证用户的身份,并与用户建立安全通信通道。
这种方式使得用户能够使用唯一的身份验证实体(Kerberos)来访问多个服务,而不需要为每个服务提供明文密码。
03Kerberos 协议的优点Kerberos 协议具有以下优点,使其成为网络安全中的重要协议:单点登录(Single Sign-On):Kerberos 允许用户只需进行一次身份验证,即可访问多个资源,无需重复输入密码。
Kerberos协议的安全漏洞分析
Kerberos协议的安全漏洞分析Kerberos是一种网络认证协议,广泛应用于计算机网络中。
它能提供强大的安全保障,但仍存在一些安全漏洞。
本文将对Kerberos协议的安全漏洞进行详细分析,以便更好地理解和防范这些潜在的风险。
1. 弱密码攻击弱密码是Kerberos协议中最常见的安全漏洞之一。
如果用户设置了弱密码,例如简单的数字、字母或常见的单词,攻击者有可能通过暴力破解或字典攻击的方式猜测密码。
一旦攻击者猜中密码,就能够冒充合法用户进行身份认证,从而获得对系统的非法访问权限。
因此,用户在设置密码时应尽量选择复杂、随机的组合,并定期更改密码,以增加攻击者的破解难度。
2. 中间人攻击中间人攻击是指攻击者在Kerberos协议的通信链路上介入并窃取通信内容的攻击方式。
攻击者可以窃听、篡改或伪造Kerberos消息以欺骗合法用户并获得其认证票据。
为防止中间人攻击,可以采用以下方法之一:确保网络链路的安全性,使用端到端的加密通信;在通信过程中引入安全协议,如SSL或IPsec;使用双因素身份验证等安全机制。
3. 防火墙绕过防火墙是网络安全的重要组成部分,用于保护内部网络资源免受外部威胁。
然而,Kerberos协议存在防火墙绕过的安全漏洞。
攻击者可以通过伪装成Kerberos网络流量的其他服务流量来绕过防火墙的监测和阻断。
为防止这种问题,可以利用网络流量分析工具进行实时监控和检测异常流量,并及时更新防火墙规则以封堵威胁。
4. 安全策略配置错误安全策略配置错误是指管理员在配置Kerberos协议时疏忽或错误地设置了安全参数,从而导致安全漏洞的产生。
例如,错误地配置了密码复杂性要求、认证票据密钥的长度或键盘互换表等参数,都可能引发安全问题。
因此,管理员在配置Kerberos协议时应仔细审查每个安全参数,并根据实际需求进行合理的设置,以确保安全策略的正确性和有效性。
5. 协议版本漏洞随着Kerberos协议的演进和更新,新的协议版本往往会修复旧版本中的安全漏洞。
kerberos v5实现机理
Kerberos v5实现机理简介Kerberos(凯伯利)是一个网络身份验证协议,用于在计算机网络上进行安全的身份验证和授权。
Kerberos v5是Kerberos协议的第五个版本,它解决了以前版本的一些安全问题,并提供了更好的性能和扩展性。
Kerberos v5使用了对称加密、票证和令牌的概念,以实现身份验证机制。
本文将介绍Kerberos v5的实现机理。
Kerberos v5的主要角色在Kerberos v5中,有三个主要的角色:客户端、认证服务器(AS)和票证授权服务器(TGS)。
1.客户端(C): 这是要访问网络资源的用户或客户端应用程序。
2.认证服务器(AS): 这是Kerberos v5的一部分,负责验证客户端的身份,并生成一个票证授权票据(Ticket Granting Ticket)。
3.票证授权服务器(TGS): 这也是Kerberos v5的一部分,负责生成访问特定服务资源的票证。
Kerberos v5的工作流程下面是Kerberos v5的工作流程:1.客户端向认证服务器请求身份验证:客户端向AS发送一个“身份验证请求”,包括客户端的身份信息和目标服务器的名称。
2.AS验证客户端的身份:AS收到客户端的请求后,使用客户端的密码进行身份验证。
如果验证成功,AS生成一个票证授权票据(TGT),并使用客户端和TGS的密钥加密后返回给客户端。
3.客户端获取票证授权票据:客户端收到TGT后,使用自己的密码解密TGT,获得TGS密钥。
4.客户端向TGS请求服务票据:客户端使用TGS密钥向TGS发送一个“服务票据请求”,包括TGT和目标服务的名称。
5.TGS验证客户端的TGT:TGS收到客户端的请求后,使用客户端的TGT验证其合法性。
6.TGS生成服务票据:如果验证成功,TGS生成一个服务票据(ServiceTicket),使用目标服务的密钥加密后返回给客户端。
7.客户端访问目标服务:客户端收到服务票据后,使用目标服务的密钥对服务票据进行解密。
Kerberos网络身份验证协议
Kerberos网络身份验证协议Kerberos是一种网络身份验证协议,旨在确保安全有效地验证用户身份并授予访问网络资源的权限。
本文将介绍Kerberos协议的工作原理、主要组件以及其在安全通信中的应用。
一、工作原理Kerberos协议基于客户端/服务器模型,它涉及三个主要实体:客户端、认证服务器(AS)和票据授予服务器(TGS)。
下面是Kerberos协议的工作流程:1. 客户端登录:当客户端想要访问网络资源时,它首先需要向AS进行身份验证。
客户端发送一个身份验证请求,包括其名字和口令。
2. AS验证:AS接收到客户端的请求后,会验证客户端的身份是否合法。
如果合法,AS生成一个称为"票据授予票据(Ticket Granting Ticket,TGT)"的加密令牌,并将其发送给客户端。
3. TGT请求:客户端获得TGT后,可以向TGS发送资源访问请求。
这个请求包含TGT、所需服务的名字以及一份称为"身份验证票据(Authenticator)"的加密令牌。
4. TGS验证:TGS收到请求后,首先验证客户端的身份。
验证通过后,TGS生成一个称为"服务票据(Service Ticket)"的加密令牌,并将其发送给客户端。
5. 服务访问:客户端收到服务票据后,可以使用它来访问所需的服务。
客户端将服务票据作为身份验证凭证发送给服务服务器。
6. 服务验证:服务服务器收到身份验证凭证后,使用TGS的密钥来解密它。
如果验证成功,服务服务器便确认客户端的身份,并允许其访问所需的服务。
二、主要组件Kerberos网络身份验证协议包含多个主要组件,以确保数据的安全性和完整性。
以下是几个关键组件:1. 客户端(Client):需要访问网络资源的用户或计算机。
2. AS(Authentication Server):负责验证客户端的身份并生成TGT。
3. TGS(Ticket Granting Server):负责生成服务票据,允许客户端访问特定服务。
Kerberos协议的安全机制
Kerberos协议的安全机制Kerberos是一种网络认证协议,用于在不安全的网络环境中验证用户身份,确保通信的安全性。
它提供了一种可靠的身份验证机制,以防止未经授权的访问和数据篡改。
本文将详细介绍Kerberos协议的安全机制。
一、Kerberos协议概述Kerberos由麻省理工学院(MIT)开发,旨在解决计算机网络中的身份认证和数据安全问题。
它基于密钥分发的原则,通过提供“票根”(Ticket-granting tickets,TGT)的方式进行用户的身份验证。
二、Kerberos协议的工作原理1. 认证流程a) 浏览器向Kerberos认证服务器发送用户的身份信息,请求TGT。
b) Kerberos认证服务器验证用户信息,生成并发送TGT给浏览器。
c) 浏览器使用TGT,在Ticket Granting Server(TGS)请求特定服务的票据。
d) TGS验证TGT,并生成所需服务的票据。
e) 浏览器使用该票据向目标服务请求访问。
2. 安全机制a) 双向身份验证:Kerberos使用身份信息和密码对用户进行身份验证,同时服务器也会对用户的身份进行验证。
b) 密钥分发:Kerberos通过密钥分发中心(Key Distribution Center,KDC)分发并管理用户的密钥。
c) 时钟同步:Kerberos中的票据和票根都有时间限制,需要保证系统中所有计算机的时钟同步,以防止重放攻击。
d) 安全通信:Kerberos使用加密算法对通信数据进行加密,保证通信的安全性。
三、Kerberos协议安全性分析1. 密钥分发中心的安全性KDC是Kerberos协议中的核心,需要保证其安全性。
如果KDC被攻击者控制或者密钥泄露,将导致整个系统的崩溃。
解决方案:密钥分发中心可以使用多因素身份验证,如使用硬件加密芯片或使用物理隔离环境。
2. 票据传输的安全性在Kerberos中,票根和票据的传输需要保证安全性,避免被拦截和窃取,从而避免重放攻击。
Kerberos协议原理及其应用
Kerberos协议原理及其应用摘要:Kerberos协议是一个被广泛采用的,基于可信任第三方提供安全认证服务的网络认证协议。
利用共享的通话秘钥,Kerberos协议保证了通讯的机密性和完整性。
描述了Kerberos协议实现的版本和基本原理。
分析了Kerberos协议在Windows系统以及在Windows和Unix的混合系统中的应用。
关键词:Kerberos协议;网络安全; 认证1 Kerberos协议简介Kerberos协议是80年代由MIT(麻省理工学院)开发的公开源代码的网络认证协议,是一种第三方认证协议。
其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗Cerberus而来的。
该命名是贴切的,因为Kerberos协议由以下3个部分组成:①密钥分发中心(Key Distribution Center)。
KDC服务器有两个部件:一个KEBEROS 认证服务器(Authentication Server, 简称AS)和一个授票服务器(Ticket Granting Server,简称TGS);②客户端(Client);③客户端需要访问的服务器(Server)。
由此可见,KERBEROS是一种3路处理方法,根据KDC提供的第三方服务来验证客户端和服务器之间相互的身份,并建立密钥以保证计算机间安全连接。
由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。
RFC1244(目前被RFC2196所取代)对Kerberos进行了说明, ”Kerberos, 其名称来自于神话传说中守卫地狱大门的狗, 它是一种可在大型网络中使用的软件集, 用于验证用户所声称的身份,该系统由麻省理工大学(MIT)开发, 使用了加密技术和分布式数据库技术, 这样位于校园中的某个用户能够从校园网中的任何计算机上登录并启动会话, 在那些具有大量的潜在用户, 并且这些用户可能希望从许多工作站中的任意一个建立到服务器的连接环境下, 使用Kerberos具有明显的好处。
Kerberos协议原理及其应用
Kerberos协议原理及其应用1. 引言Kerberos协议是一种广泛应用于计算机网络中的身份验证协议。
它旨在确保网络中的实体可以证明自己的身份,并且能够安全地发送和接收机密信息。
本文将介绍Kerberos协议的基本原理,并讨论其在实际应用中的一些常见场景。
2. Kerberos协议原理Kerberos协议基于对称密钥加密技术,使用票证来实现网络实体的身份验证。
下面是Kerberos协议的基本原理:2.1 客户端身份验证在Kerberos协议中,客户端需要首先向Kerberos服务器进行身份验证。
客户端发送一个请求,请求包括其用户名和密码。
Kerberos服务器验证用户的身份,并生成一个加密票证,表示用户的身份和一些相关信息。
该票证将作为客户端后续请求的凭据。
2.2 服务端许可验证当客户端需要访问某个服务时,它将发送一个请求给服务端,并附上之前获得的加密票证。
服务端收到请求后,会去Kerberos服务器验证票证的有效性。
如果票证有效,则服务端将生成一个加密会话密钥,用于后续的加密通信。
2.3 安全通信一旦客户端和服务端都拥有了会话密钥,它们之间的通信将会使用这个密钥进行加密和解密。
这样可以确保通信内容的机密性和完整性。
3. Kerberos协议的应用Kerberos协议在许多实际的网络应用中得到了广泛应用。
下面是一些常见的应用场景:3.1 Web应用在Web应用中,Kerberos协议可用于用户访问控制和身份验证。
用户在登录Web应用时,将其凭据发送给Kerberos服务器进行身份验证。
一旦身份验证成功,用户就可以访问受保护的Web资源,并且可以使用Kerberos生成的会话密钥进行安全通信。
3.2 远程登录Kerberos协议可以用于远程登录,如Telnet或SSH等。
用户在远程登录时,需要进行身份验证。
Kerberos服务器将验证用户的身份,并生成一个会话密钥,用于安全加密用户的远程会话。
Kerberos协议及安全性分析
Kerberos协议及其安全性分析一、概况:Kerberos协议是20世纪80年代由MIT开发的一种协议。
Kerberos主要是为TCP/IP网络设计的可信第三方鉴别协议,允许客户以一种安全的方式来访问网络资源。
Kerberos的基础是NS协议。
他与NS协议不同在于:kerberos认为所有的时钟已经同步好了。
Kerberos基于对称密钥体质,通常采用的DES,但也可用其他算法替代。
他与网络上的每个实体共享一个不用的密钥,是否知道共享密钥便是实体的身份证明。
Kerberos的基本原理:在一个分布式的Client/Server体制机构中采用一个或多个kerberos服务器提供一个鉴别服务。
客户端想请求应用服务器Server上的资源时,首先客户端向kerberos认证服务器请求一张身份证明,然后将身份证明交给Server进行验证,Server在验证通过后,即为客户端分配请求资源。
二、票据:票据是kerberos中一个重要概念。
票据是kerberos协议中用来记录信息、密钥等得数据结构,客户端用它向Server证明身份,包括了客户端身份标识、会话密钥、时间戮和其他信息。
所有内容都是用Server密钥加密,因此只有认证服务器和合法验证者知道密钥,而客户端是不知道这个密钥的,故无法篡改票据内容。
根据党情对认证服务器的请求和客户端获得票据的方式,kerberos服务器自动设置标志:(1)初始化表示(2)认证前标志(3)非法标志(4)更新标志(5)延期标志(6)代理和代理标志(7)前趋标志三、域:域指一个kerberos服务器直接提供认证服务的有效范围。
通常kerberos 系统使用领域来控制一个由认证服务器进行认证的区域,每个认证服务器建立和维护自己的区域,并且支持跨域认证,即一个域中的客户端能够被另一个域的服务器认证。
四、K erberos的工作过程:Kerberos协议分为两个部分:1 . Client向KDC发送自己的身份信息,KDC从Ticket Granting Service 得到TGT(ticket-granting ticket),并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Kerberos安全协议解析与编程实现1.引言看了好几期的黑防,发现谈论安全协议的文章很少,基本上都是一些HOOK各种API 或者底层驱动方面的技术文章。
下面我向大家介绍一种安全认证协议—kerberos安全协议的基本原理,并通过编程实现向大家展示如何借助编码设计,简单实现此协议。
本文的读者可以是信息安全科班出身的学生但又未涉及到kerberos或者对安全协议感兴趣的任何读者,只要具有一定的安全编程知识即可。
其实安全协议的研究很早就存在,只是以前国内的研究者比较少,国内也没有开设信息安全专业的相关课程,如密码学等课程。
直到网络信息高速发展的今天,大量的信息非法盗取、恶意篡改、木马、病毒像幽灵般穿梭在网络中时,大家才开始紧密的关注网络安全技术领域,各大高校也都开始纷纷设立信息安全专业。
伟大的信息通信专家Shannon发表《保密系统的信息理论》文章开始,基本上就掀起了信息通信保密学的研究热潮。
OK,不多说了,直接切入正题。
2. Kerberos安全认证协议基本框架Kerberos安全认证协议是由MIT的Athena计划的认证服务而开发的,并广泛的应用于开放式的网络环境中,为通信的双方提供很好的双向认证服务,在客户与服务器之间构筑了一个安全桥梁,要求用户对每个向服务器提交的服务请求及其权限,必须预先经过第三方认证中心服务器的认证后,才被允许执行。
换句话说,kerberos的整体设计方案是完全基于协议的可信任第三方认证服务的,客户和服务器均信任Kerberos认证服务器的认证。
好了,现在我们来揭开它的基本原理:一个Kerberos环境包含一个Kerberos服务器、若个客户端以及一些应用服务器。
Kerberos 服务器将客户端用户的用户名及口令均存放在它的数据库中。
应用服务器和所有的客户都必须在初始化阶段到Kerberos服务器中注册。
基本框架如图1所示:图 1 kerberos安全认证协议基本结构3.Kerberos双向认证过程与逆向推理分析(1)Client → AS:客户端向认证服务器发送认证请求KRB_AS_REQ,其内容是:{ c,Tgs,TS1} 。
其中,c表示客户标识,告诉AS 客户端身份,便于AS到数据库中查询c的密钥;Tgs是TGS 服务器标识,告诉AS用户请求访问的TGS;TS1用于使AS能验证客户端时钟是否与AS时钟同步,其实也就是一个时间戳的概念,给AS作参考判断来自Client端的消息是否已经过期。
(2)AS → Client:向客户端发送认证回应KRB_AS_REP,其内容为{K(c,Tgs),TS2,lifetime,Tickets_Tgs}Kc。
K(c,Tgs)是由AS随机产生的一个密钥,用于Client与TGS共享的一个会话私钥。
TS2是票据发放的时间戳;Tickets_Tgs是AS 发给Client的用于访问TGS的票据授权票据;有了此票据后,用户就可以向TGS申请任一的应用服务器,而不需要每次重复的输入Client端的登录密钥。
它定义为:Tickets_Tgs = { K(c, tgs), c, c_mac, Tgs, TS2, lifetime2 } Ktgs。
其中Tickets_Tgs已经采用TGS的私钥加密。
这部分其实在Kerberos V5的版本已经作了修改,因为Tickets_Tgs已经采用TGS的私钥加密,故没有必要采用客户端的私钥再次加密。
(3)C→TGS:Client在第2步中获得AS认证,并取得票据授权票据后,Client即可向服务授权服务器(TGS)申请服务票据。
发送的消息定义为KRB_TGS_REQ = {AppServ, Tickets_Tgs, Authen_info},其中AppServ是用户期望访问的服务器;Authen_info 是发送的一条认证消息,用于确认发送票据Tickets_Tgs 的用户合法。
定义为:Authen_info = { c , c_mac , TS3 } K(c, tgs)。
这里我们可以假设,若不发送Authen_info 消息,则当cracker截获了Tickets_Tgs票据,同时向TGS发送此票据,那么TGS只针对此Tickets_Tgs票据是无法判断此票据是否真正来自合法客户端,而验证器消息Authen_info则正好解决了此问题,当TGS收到Client发来的Req请求服务授权票据时,TGS首先会采用自己的私钥Ktgs解密Tickets_Tgs,获取AS 为Client和TGS双方随机产生的共享密钥K(c, tgs),然后利用此密钥解密Authen_info消息,提取出客户端用户名及其MAC地址,然后将这些同Tickets_Tgs包含的C和c_mac进行比较,若一致,则断定此次Req来自合法客户端。
(4)TGS → C: 当TGS验证Req来自合法Client时,则构造下面这条消息KRB_TGS_REP = {K(c,s), AppServ, TS4, S_Tickets}K(c,tgs)发送到Client端。
其中K(c,s)是TGS随机生成的密钥,为Client端和AppServ共享的会话密钥。
S_Tickets为服务授权票据定义为S_Tickets = {K(c,s), c, c_mac, AppServ, TS4, lifetime}Ks;采用AppServ的私钥Ks加密此票据。
写到这里,仔细阅读的读者可能会想为什么kerberos协议会介入一个应用服务器,当客户端送来合法的票据后,直接由TGS转入到相应的AS处理不就可以了嘛。
大家应该都看过“无间道”这部影片吧,警方中有犯罪团伙的卧底,同样犯罪分子中有警署的卧底。
给一个场景:若你一直对公司领导忽视你的才能,长期不提拔你感到懊恼,想跳槽到其它公司去,现需要打印一份求职简历,请求打印服务器资源,向TGS发送Req,但TGS却直接将此Req转到了老总办公室的打印机上打印,这显然不是你想要的。
其实这就是安全协议中经常涉及到的双方认证协议。
如何设计一种安全协议,使得双方都能在远端彼此信任。
Client端在给TGS发送Req时,并不急于将需要服务的内容传送给TGS,而是等待TGS 正常解密此消息,并生产KRB_TGS_REP应答消息返回给Client端,让Client端确认TGS 为合法服务器。
(5)C→AppServ:当客户端收到TGS传送来的服务授权票据后,Client端直接将此票据和验证器发送给应用服务器AppServ即可。
KRB_APPSERV_REQ = {S_Tickets, Authent_infor}Kc,这里的Authent_info消息需要采用会话密钥K(c,s)加密。
(6)AppServ → C:应用服务器再次发送确认消息给Client端,告知对方它期待的服务器已收到它的服务请求。
此时Client端与应用服务器即实现了可信的双方认证。
讲了这么多,若仍然存在对此协议不太清楚的读者可以参考我的csdn博客/shanndyw,里面转载了MIT为了帮助更多的读者很好的理解kerberos协议设计的一篇精彩对话,看完以后相信你会对这个协议的设计有进一步的认识。
OK,现在我们来编码设计实现此协议吧。
4. Kerberos协议简单编程实现前面设计的加密算法大家应该可以推测出来,采用的肯定是私钥加密算法即对称加密算法,因为协议中涉及到Client和TGS、AppServ共享会话密钥的情形,故采用的是对称加密算法。
这里我们采用CBC模式的DES加密算法,为了算法的安全强度性,大家也可以采用triple-des或者AES加密算法。
现简要的给出CBC模式下的DES加密算法:void DES::Des(int mode, unsigned char input[], unsigned char output[])//加密函数入口{int i;IPConvert1(input,Xmatrix);//初始转换打乱顺序Left=&Xmatrix[0];//将比特块分为两部分Right=&Xmatrix[32];for(i=1;i<=16;i++) {//16轮循环BackupRight(RightT,Right);//将明文矩阵后半部分备份if(mode==0)//加密与解密只是用的密钥密钥顺序不一样ProductTransform(Right,SubKey[i-1],R_F);else if(mode==1) ProductTransform(Right,SubKey[16-i],R_F);//第i-1轮明文的前半部分与F函数的结果做异或运算,其结果为第i轮明文矩阵的//后半部分Xor32(Right,Left,R_F);CopyRtoL(Left,RightT);//将明文矩阵第i-1轮的后半部分复制至第i轮的前半部分}ConnectLeftRight(M_connect,Right,Left);//将两部分比特块合在一起IPConvert2(M_connect,output);//末尾转换还原顺序}void CKerberos_servDlg::DES_CBC_Encrypt(char *theKey,char *theInputFile,char *theOutputFile, int fsize) //对文件进行加密{unsigned char in[64],out[64],key[64]; //输入64比特明文输出64比特密文unsigned char tOut,ch[8],ck; //tOut用于向输出文件写数据ch数组用于读取每64比特int i,j; //i,j作循环之用to8用于判断数据块有没有8字节,即64比特unsigned long int block=0,last=0; //last文件余数block文件整块数unsigned int theInFilePos=0,theOutFilePos=0; //输入输出文件在内存中的读写指针位置DES a_des;for(i=0;i<8;i++) {//从8字节的密钥转化为64比特keyck=theKey[i];for(j=7;j>-1;j--){key[8*i+j]=ck,ck>>=1;}}a_des.GetSubKeys(key); //获取16轮迭代的每轮子密钥block = fsize;last = block % 8;block /= 8;//这里我做了一个处理,将文件大小存放到了密文的前5字节处。
//以方便文件的解密操作,将每8字节的块暂存到前4字节中,对8字节取模的余数存//放到第5字节处。