计算机网络安全技术与实训第4章
网络安全技术 第4章
对称密钥密码体制(1)
对称密码体制是从传统的简单换位发展而来的。其主 要特点是:加解密双方在加解密过程中要使用完全相 同或本质上等同(即从其中一个容易推出另一个)的 密钥,即加密密钥与解密密钥是相同的。所以称为传 统密码体制或常规密钥密码体制,也可称之为私钥、 单钥或对称密码体制。其通信模型如图4.2所示。
本章主要内容
1 2 3 4 5
密码技术概述 加密方法 密钥与密码破译方法 常用信息加密技术介绍 数据压缩
4.1 密码技术概述
密码技术包括密码算法设计、密码分析、安全 协议、身份认证、消息确认、数字签名、密钥 管理、密钥托管等。可以说密码技术是保护大 型通信网络上传输信息的惟一实现手段,是保 障信息安全的核心技术。它不仅能够保证机密 性信息的加密,而且能完成数字签名、身份验 证、系统安全等功能。所以,使用密码技术不 仅可以保证信息的机密性,而且可以保证信息 的完整性和准确性,防止信息被篡改、伪造和 假冒。
三种加密方式
链路加密方式:把网络上传输的数据报文的每一位进行加密。不但对数 据报文正文加密,而且把路由信息、校验和等控制信息全部加密。所以, 当数据报文传输到某个中间节点时,必须被解密以获得路由信息和校验 和,进行路由选择、差错检测,然后再被加密,发送给下一个节点,直 到数据报文到达目的节点为止。目前一般网络通信安全主要采这种方式。 节点对节点加密方式:为了解决在节点中数据是明文的缺点,在中间节 点里装有用于加、解密的保护装置,即由这个装置来完成一个密钥向另 一个密钥的变换。因而,除了在保护装置里,即使在节点内也不会出现 明文。但是这种方式和链路加密方式一样,有一个共同的缺点:需要目 前的公共网络提供者配合,修改他们的交换节点,增加安全单元或保护 装置。 端对端加密方式:为了解决链路加密方式和节点对节点加密方式的不足, 人们提出了端对端加密方式,也称面向协议加密方式。在这种方式中, 由发送方加密的数据在没有到达最终目的地——接受节点之前不被解密。 加密解密只是在源节点和目的节点进行。因此,这种方式可以实现按各 通信对象的要求改变加密密钥以及按应用程序进行密钥管理等,而且采 用此方式可以解决文件加密问题。这一方法的优点是:网络上的每个用 户可有不同的加密关键词,并且网络本身不需增添任何专门的加密设备; 缺点是每个系统必须有一个加密设备和相应的软件(管理加密关键词) 或者每个系统必须自己完成加密工作,当数据传输率是按兆位/秒的单位 计算时,加密任务的计算量是很大的。
《计算机网络》课件第4章
苹果机 集线器
楼层三
集线器 IBM 兼容机 IBM 兼容机
工作站
苹果机
绘图仪
楼层二
工作站 IBM 兼容机
集线器
配线房 网络交换机
楼层一
服务器
打印机
图4-13 简单的多层楼网络模型
30
图4-14中,规划的多层楼网络模型采用结构化设计,整个 大楼有四层,安装一个主干智能交换机,将各楼层分成几个独 立的网段。这样设置的好处是某楼层节点的故障不影响其他楼 层网络的运行。整个网络设置多台服务器和网络打印机,由于 这些关键的网络设备被网络上所有的站点共享,故直接连接到 主干交换机上,并各自独占一个网段。四楼的站点数较多,因 此有中心交换机,其网段模型由图4-12所示的网络扩展而来; 三楼有两个集线器级联;二楼计算机的数量较少,只有一个集 线器;一楼安放主干智能交换机,将大楼服务器、打印机、二 楼和三楼的集线器、四楼的交换机连接起来。
18
打印机
软件实验室 服务器
工作站 工作站 工作站 工作站 工作站
中继器
教室
硬件实验室
打印机
工作站 工作站 工作站 工作站 工作站
工作站 工作站 工作站 工作站 工作站
单片机实验室
打印机
工作站 工作站 工作站 工作站 工作站
打印机
网络实验室
中继器
教室
图4-8 增加中继器以扩展网络的距离
19
打印机
31
集线器
集线器
网络交换机
楼层四 服务器 IBM 兼容机工作站 IBM 兼容机 打印机
集线器
集线器
楼层三 工作站 IBM 兼容机
IBM 兼容机 打印机
集线器
楼层二 工作站
计算机网络技术基础-4
这是IPv6地址的首选格式,格式为n:n:n:n:n:n:n:n。 每个n由4位十六进制数组成,对应16位二进制数。例如: 3FFE:FFFF:7654:FEDA:1245:0098:3210:0002。
4.2.2 IPV6地址的表示
(2)压缩格式 在IPv6地址的冒号十六进制格式中,常会出现一个
4.2.1 IPV6的新特性
巨大的地址空间 数据处理效率提高 良好的扩展性 路由选择效率提高 支持自动配置和即插即用 更好的服务质量 内在的安全机制 全新的邻居发现协议 增强了对移动IP的支持 增强的组播支持
4.2.2 IPV6地址的表示
1. IPv6地址的文本格式 IPv6地址的长度是128位,可以使用以下3种格式将
或多个段内的各位全为0的情况,为了简化对这些地址的 写入,可以使用压缩格式。在压缩格式中,一个或多个各 位全为0的段可以用双冒号符号(::)表示。此符号只能 在地址中出现一次。例如,未指定地址 0:0:0:0:0:0:0:0 的压缩形式为::;环回地址0:0:0:0:0:0:0:1 的压缩形式 为::1;单播地址3FFE:FFFF:0:0:8:800:20C4:0的压缩形 式为3FFE:FFFF::8:800:20C4:0。
IPv4地址::= {<网络标识>,<子网标识>,<主机标识>}。
4.1.4 IPV4地址的分配方法
1. 静态分配IPv4地址 静态分配IPv4地址就是将IPv4地址及相关信息设置到
每台计算机和相关设备中,计算机及相关设备在每次启动 时从自己的存储设备获得的IPv4地址及相关信息始终不变。 2. 使用DHCP分配IPv4地址
4.1.3 子网掩码
网络安全技术习题第4章习题
第4章1判断题1-1 在网络身份认证中采用审计的目的是对所有用户的行为进行记录,以便于进行核查。
(√)1-2 计算机网络中的安全性评估其实就是网络审计。
(×)1-3 暴力破解与字典攻击属于同类网络攻击方式,其中暴力破解中所采用的字典要比字典攻击中使用的字典的范围要大。
(√)1-4 从理论上讲,通过暴力破解方式可以破解所有的密码。
(√)1-5 当通过软件方式实现时,窥探和按键记录是同一种行为的两种不同的描述。
(√)1-6 利用物理地址进行认证的安全性要比利用逻辑地址进行认证的安全性高。
(√)1-7 智能卡是一种基于What you have手段的双因素认证方式。
(√)1-8 医院可以采集刚出生的婴儿的指纹用于生物特征的认证。
(×)1-9 安全认证协议Kerberos适用于TCP/IP、IPX/SPX等网络环境。
(×)1-10 Kerberos中使用的加密方式为对象加密。
(√)1-11 基于IEEE 802.1x与Radius的认证方式属于接入认证。
(√)2 填空题2-1 验证一个用户身份的合法性,一般采用所知道的、所拥有的和本身的特征。
2-2 计算机网络安全领域的3A是指认证、授权和审计。
2-3 零知识身份认证分为交互式和非交互式两种类型。
2-4 SSL是一种综合利用对称密钥和非对称密钥技术进行安全通信的工业标准。
3 选择题3-1 “在因特网上没有人知道对方是一个还是一条狗”这个故事最能说明(A )A. 身份认证的重要性和迫切性B. 网络上所有的活动都是不可见的C. 网络应用中存在不严肃性D. 计算机网络是一个虚拟的世界3-2 以下认证方式中,最为安全的是( D )A. 用户名+密码B. 卡+密钥C. 用户名+密码+验证码D. 卡+指纹3-3 在采用以下协议的通信中,可通过搭线窃听方式获取网络中传输的信息的是(C )A. Telnet B. FTP C. https D. http3-4将通过在别人丢弃的废旧硬盘、U盘等介质中获取他人有用信息的行为称为(D )A. 社会工程学 B. 搭线窃听 C. 窥探 D. 垃圾搜索3-5 在生物特征认证中,不适宜于作为认证特征的是( D )A. 指纹B. 虹膜C. 脸像D. 体重3-6 防止重放攻击最有效的方法是( B )A. 对用户账户和密码进行加密B. 使用“一次一密”加密方式C. 经常修改用户账户名称和密码D. 使用复杂的账户名称和密码3-7 用户A给出一个随机数X,用户B用自己的私钥对X进行加密操作,然后把加密后的数据D(X)交给用户A,用户A用用户B的公钥对D(X)进行解密操作,将得到的结果与X对比。
计算机网络课件:第04章 传输介质
4.1 传输介质
4.1.3 光纤
1. 光缆的组成 光纤是光缆的纤芯,光 纤由光纤芯、包层和涂覆层 三部分组成。
光纤芯是光的传导部分,而包层的作用是将光封闭在光纤芯 内。
光纤芯和包层的成分都是玻璃,光纤芯的折射率高,包层的 折射率低,这样可以把光封闭在光纤不断反射传输在芯内。
2. 光纤的分类 (1)按照折射率分布不同来分 均匀光纤 光纤纤芯的折射率n1和包层的折射率n2都为一常数,且n1>n2, 在纤芯和包层的交界面处折射率呈阶梯型变化,这种光纤称为均匀光 纤,又称为突变型光纤。 非均匀光纤 光纤纤芯的折射率n1随着半径的增加而按一定规律减小,到纤芯 与包层的交界处为包层的折射率n2,即纤芯中折射率的变化呈近似 抛物线型。这种光纤称为非均匀光纤,又称为渐变型光纤。
(3)功能特性 功能特性规定接口信号所具有的特定功能,即DTE-DCE之间 各信号的信号含义。通常信号线可分为四类:数据线、控制线、 同步线和地线。
(4)规程特性 规程特性就是规定使用交换电路进行数据交换时应遵循的控制 步骤,即完成连接的建立、维持、拆除时,DTE和DCE双方在各 线路上的动作序列或动作规则。
主要应用于高速率传输而且严重电磁干扰环境,如一些广播站、电 台等。另外,应用于那些出于安全目的,要求电磁辐射极低的环境。
3. 连接器件 双绞线电缆连接硬件包括电缆配线架、信息插座和接插软线等。
4. 双绞线的主要品牌 (1)AVAYA(亚美亚) (2)美国安普(AMP) (3)美国IBM公司 (4)西蒙(SIEMON)公司 (5)美国泛达Panduit综合布线系统 (7)法国阿尔卡特(ALCATEL)公司 (8)大唐电信科技股份有限公司 (9)TCL国际电工
2. EIA RS-232-C/V.24 接口标准 EIA RS-232C是由EIA在1969年颁布的一种串行物理接口, RS-232-C中的RS是Recommended Standard的缩写,意为推 荐标准;232是标识号码;而后缀“C”是版本号,表示该推荐标 准已被修改过的次数,即RS-232-C是RS-232的继RS-232-A, RS-232-B之后的一次修订。
网络安全技术(4—7章)第4章PKI公钥基础设施原理概要
3. 注册机构(RA) RA提供用户和CA之间的一个 接口。RA负责受理证书申请、注销与相关数据 审核,并将审核通过之数据传送至证书管理中 心,进行证书签发、注销等作业。
4. 证书发布系统 根据PKI环境的结构,证书的 发布可以有多种途径,比如,可以通过用户自 己,或是通过目录服务。目录服务器可以是一 个组织中现存的,也可以是PKI方案中提供的。
4.1 PKI/CA模型
PKI(Public Key Infrastructure)公钥 基础设施。
PKI中最基础的元素就是数字证书要包括:签发这些证书的证 书机构CA (Certificate Authority ),登 记这些证书的注册机构RA(Register, Authority),存储和发布这些证书的电子 目录,用户终端系统。
PKI是由CA(可能是一个单一层次结构)、策略和技术标 准、必要的法律组成;
PKI是用于产生、发布和管理密钥与证书等安全凭证的基础 设施。
PKI的功能:身份认证、机密性、完整性和不可否认服务。 1)身份认证: 随着网络的扩大和用户的增加,事前协商秘密
会变得非常复杂,特别是在电子政务中,经常会有新聘用和 退休的情况。另外,在大规模网络中,两两进行协商几乎是 不可能的,透过一个密钥管理中心来协调也会有很大的困难, 而且当网络规模巨大时,密钥管理中心甚至有可能成为网络 通信的瓶颈。PKI通过证书进行认证,认证时对方知道是你, 却无法确认。在这里,证书是一个可信的第三方证明,通过 它,通信双方可以安全地进行互相认证而不用担心对方会假 冒。 2)机密性: 通过加密证书,通信双方可以协商一个秘密,而 这个秘密可以作为通信加密的密钥。在需要通信时,可以在 认证的基础上协商一个密钥。在大规模网络中,特别是在电 子政务中,密钥恢复也是密钥管理的一个重要方面,政府决 不希望加密系统被贩毒分子窃取使用。当政府的个别职员背 叛或利用加密系统进行反政府活动时,政府可以通过法定的 手续解密其通信内容,保护政府的合法权益。PKI通过良好 的密钥恢复能力,提供可信的、可管理的密钥恢复机制。 PKI的普及应用能够保证在全社会范围内提供全面的密钥恢 复与管理能力,保证网上活动的健康发展。
计算机信息及网络安全实教程第4章 网络通信协议技术
2.网络协议的三要素
这些为进行网络数据交换而建立的规则、标准或约定 就称为网络协议。一个计算机网络协议由三个要素组 成:
(1)语义。涉及用于协调与差错处理的控制信息。 相当于人说话“讲什么”。
(2)语法。涉及数据及控制信息的格式、编码及信 号电平等。相当于人说话“如何讲”。
(3)定时。涉及速度匹配和排序等。相当于人说话 “讲话次序”。
Cable MSOs,它开发的有线电视系统标准包括DOCSIS 和 Packet Cable,即有线 电视的互联网服务、分组有线电视相关的标准。 (3)ETSI。欧洲通信标准局。 (4)IANA。互联网IP地址和传输层端口号分配的权威机构,包括传输层TCP的公 认端口号等。 (5)IEEE。美国电信工程师协会,制定了各种局域网数据链路层协议,包括: Ethernet, Token Ring, IEEE 802.11等。 (6) IETF。互联网工程任务组,它发布互联网的推荐协议标准 RFC 文件,以及 Internet Draft文件。 (7)ISO。国际标准化组织,它开发的著名的 OSI Model 以及 ISO Protocol Family。 (8)ITU。国际电信联盟,它的前身是 CCITT,它制定的协议包括IP电话协议 VOIP 以及 X.25, SS7, ASN.1等。
存在,信道噪声所造成的后果是使得接收到的数据和所发出的数据不一致,即造成传输差错, 或简称差错。 (2)差错的产生。通信信道的噪声分为热噪声和冲击噪声两种。由这两种噪声分别产生两种类 型的差错,随机差错和突发差错。热噪声是由传输介质导体的电子热运动产生的,它的特点是: 时刻存在,幅度较小且强度与频率无关,但频谱很宽,是一类随机噪声。由热噪声引起的差错 称随机差错。此类差错的特点是:差错是孤立的,在计算机网络应用中是极个别的。与热噪声 相比,冲击噪声幅度较大,是引起传输差错的主要原因。冲击噪声的持续时间要比数据传输中 的每比特发送时间要长,因而冲击噪声会引起相邻多个数据位出错。冲击噪声引起的传输差错 称为突发差错。常见的突发错是由冲击噪声(如电源开关的跳火、外界强电磁场的变换等)引 起,它的特点是:差错呈突发状,影响一批连续的比特位(突发长度)。计算机网络工程中的 差错主要是突发差错。通信过程中产生的传输差错,是由随机差错和突发差错共同构成的。 (3)差错控制。差错控制是指在数据通信过程中能发现或纠正差错,将差错限制在尽可能小的 允许范围内。检错码,码字只有检错的功能,接收方只能判断数据块有错,但不能确切知道错 误的位置,从而也不能纠正错误。纠错码,码字具有一定的纠错功能,接收方不仅能检出错, 还知道错在什么地方,这时只需将数据位取反即能获得正确的数据。差错检测是通过差错控制 编码来实现的;而差错纠正是通过差错控制方法来实现的。
网络安全技术与实训教学大纲教案
网络安全技术与实训教学大纲教案一、课程概述本课程旨在培养学生对网络安全技术的理论基础和实践操作能力,使学生能够理解和掌握网络安全技术的基本概念、原理、方法和应用,具备一定的网络安全防护和攻击检测能力。
二、课程目标1.掌握网络安全技术的基本概念及其主要内容;2.理解网络攻击的基本原理;3.掌握网络安全防护的主要技术和方法;4.掌握网络安全检测与监控的主要技术和方法;5.具备一定的网络安全应急与恢复能力。
三、教学内容和教时安排1.第一章网络安全技术概述(2课时)1)网络安全概念;2)网络安全威胁与风险;3)网络安全技术分类。
2.第二章网络攻击与防御(6课时)1)常见网络攻击类型;2)攻击原理与方法;3)网络防御技术与方法。
3.第三章网络安全防护技术(10课时)1)访问控制技术;2)防火墙技术;3)入侵检测与防御技术;4)反病毒技术;5)安全认证与加密技术。
4.第四章网络安全检测与监控(10课时)1)网络流量分析技术;2)入侵检测系统及技术;3)日志分析与安全事件管理。
5.第五章网络安全应急与恢复(6课时)1)网络安全事件应急响应;2)网络安全恢复;3)备份与恢复技术。
6.实践操作(24课时)1)网络安全技术工具操作;2)仿真实验;3)实际案例分析。
四、教学方法1.理论课程采用讲授与互动相结合的方式,通过案例分析和问题讨论提高学生的理解和思考能力。
2.实践操作课程注重培养学生的动手能力和实践操作经验,通过操控网络安全工具和模拟实验进行实践操作训练。
五、考核方式1.平时成绩(40%):包括课堂表现、实践操作、课后作业等。
2.期末考试(60%):主要考察学生对网络安全技术的理论知识和实践操作能力。
六、教材参考1.《网络安全技术与实践》(第二版),李明,高等教育出版社,2024年。
2.《网络安全技术全解析》,张强,电子工业出版社,2024年。
七、教学资源1.计算机实验室:提供实践操作所需的计算机设备和网络环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章数据加密技术[学习目标]1. 理解数据加密技术2. 会使用文档加密和磁盘加密实例3. 学会使用加密工具软件4. 掌握证书制作与CA系统的配置5. 了解VPN技术本章要点●传统工艺加密方法●DES加密算法和RSA加密算法●计算机网络的加密技术●几个简单加密软件的使用●数字签名的实现方法●CA认证和认证产品●鉴别技术与方法●个人数字凭证的申请、颁发和使用4.1 文档加密实例4.1.1 文件加密实例Windows 2000 支持两种数据保护方式:存储数据的保护和网络数据的保护。
1.存储数据的保护方法有:文件加密系统(EFS) ;数字签名。
2.网络数据的保护方法有:网际协议安全;路由和远程访问;代理服务器。
文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。
随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。
目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。
按作用不同, 文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
Windows2000 强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。
这样可以防止别人把你的硬盘挂到别的机器上读出里面的数据。
如果硬盘上有一个文件需要加密,则在我的电脑窗口中选中该文件的图标按鼠标右键在快捷菜单上选择属性命令,打开该文件的属性对话框。
如图4.1 所示。
图4.1 打开文件的属性对话框图4.2 打开高级属性对话框图4.3 打开详细信息可以看到用户信息在要加密的文件的属性对话框中选择高级按钮,打开高级属性对话框。
如图4.2 所示。
选中“加密内容以便保护数据”左边的选框,确定即可。
注意,文件系统应该是NTFS。
Windows 的NTFS压缩和加密是不能同时选中的。
打开详细信息可以看到用户信息如图4.3所示。
要给文件夹加密也使用EFS,而不仅仅是单个的文件。
将加密的文件或文件夹移动或还原到另一台计算机时,使用Windows 2000 中的“备份”或任何为Windows 2000 设计的备份程序将加密文件或文件夹移动或还原到与加密该文件或文件夹不同的计算机上。
如果用户已经通过漫游用户配置文件访问到第二台计算机,就不必导入和导出加密证书和私钥,因为它们在用户登录的每台计算机上都可用。
如果没有通过漫游用户配置文件访问第二台计算机,用户可以使用第一台计算机将加密证书和私钥以.pfx 文件格式导出到软盘上。
为此,在Microsoft 管理控制台(MMC) 中使用“证书”中的“导出”命令。
然后,在第二台计算机(在此还原加密的文件或文件夹)上,从MMC 的“证书”中使用"导入"命令从软盘将.pfx 文件导入到“个人”存储区。
4.2 加密应用实例---pgp对传输中的数据流加密, 常用的方针有线路加密和端对端加密两种。
前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。
后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码),然后进入TCP/IP数据包封装穿过互联网, 当这些信息一旦到达目的地, 将由收件人运用相应的密钥进行解密, 使密文恢复成为可读数据明文。
PGP是目前最流行的加密的软件。
PGP软件的英文全名是“Pretty Good Privacy”,是一个广泛用于电子邮件和其他场合的十分出色的加密软件。
PGP实现了大部分加密和认证的算法,如Blowfish,CAST,DES,TripleDES,IDEA,RC2,RC4,RC5,Safer,Safer-SK等传统的加密方法,以及MD2,MD4,MD5,RIPEMD-160,SHA等散列算法,当然也包括D-H,DSA,Elgamal,RSA等公开密钥加密算法。
PGP先进的加密技术使它成为最好的、攻击成本最高的安全性程序。
用PGP加密要有以下几步:PGP的下载及安装。
使用PGP产生和管理密钥。
使用PGP进行加密/脱密和签名/验证。
使用PGP销毁秘密文件。
1.PGP的下载及安装从网上下载PGP加密工具软件到本地机器上,然后运行安装程序。
如图4.4所示。
图4.4 PGP软件安装的欢迎界面然后显示软件许可协议如图4.5所示和Read Me信息如图4.6所示。
图4.5 许可协议图4.6 Read Me信息在显示的用户类型对话框中选择用户类型如图4.7所示。
选择安装路径如图4.8所示。
图4.7 询问用户类型图4.8 安装路径选择选择需要安装的组件,如图4.9所示。
最后核实所有选项的正确性,如图4.10所示。
图4.9 选择安装组件图4.10 检查现有选项安装结束的对话框显示出PGP软件安装完成,并重新启动计算机如图4.11所示。
图4.11 安装结束,重新启动计算机2.使用PGP产生和管理密钥图4.12 PGP注册信息图4.13 产生密钥向导图4.12 是PGP软件的填写注册信息的对话框。
启动PGP密钥生成向导如图4.13所示。
下一步输入输入用户名和电子邮件地址,如图4.13所示。
输入并确认输入一个符合要求的短语,如图4.13所示。
图4.14 输入用户名和电子邮件地址图4.15 输入并确认输入一个符合要求的短语自动产生密钥如图4.16所示。
密钥产生向导完成如图4.17所示。
4.16 自动产生密钥图4.17 密钥产生向导完成图4.18 密钥管理窗口在蜜钥管理窗口中看到了生成的新的密钥,如图4.18和图4.19所示。
图4.19 生成了新的密钥3.使用PGP进行加密/脱密和签名/验证在要加密的文件图标上按鼠标右键,在弹出的快捷菜单中选PGP,如图4.20所示。
图4.20 右击文件弹出菜单图4.21是加密文件的密钥选择对话框。
图4.22 是输入口令进行签名。
图4.21 加密文件的密钥选择对话框图4.22 输入口令进行签名4.3 数据加密基础4.3.1 基本概念信息加密技术是保障信息安全的核心技术。
信息安全的技术主要包括监控、扫描、检测、加密、认证、防攻击、防病毒以及审计等几个方面,其中加密技术已经渗透到大部分安全产品之中,并正向芯片化方向发展。
通过数据加密技术可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。
一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程。
一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。
数据加密过程就是通过加密系统把原始的数字数据(明文),按照加密算法变换成与明文完全不同的数字数据(密文)的过程。
下面先看一些名词概念。
加密系统:由算法以及所有可能的明文、密文和密钥组成。
密码算法:密码算法也叫密码(cipher),适用于加密和解密的数学函数(通常情况下,有两个相关的函数,一个用于加密,一个用于解密)。
明文(plaintext):未被加密的消息。
密文(ciphertext):被加密的消息。
加密(encrypt)、解密(decrypt):用某种方法伪装数据以隐藏它原貌的过程称为加密;相反的过程叫解密。
密钥(key):密钥就是参与加密及解密算法的关键数据。
没有它明文不能变成密文,密文不能变成明文。
图4.23是加密和解密的基本过程。
加密密钥解密密钥| |明文→“加密”→密文→“解密”→明文图4.23 加密和解密的过程简图有时候,加密密钥=解密密钥(对称加密时)。
假设E为加密算法,D为解密算法,P为明文则数据的加密解密数学表达式为:P=D(KD,E(KE,P))。
数据加密技术主要分为数据传输加密和数据存储加密。
数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
(1) 链路加密是传输数据仅在物理层上的数据链路层进行加密,不考虑信源和信宿,它用于保护通信节点间的数据。
接收方是传送路径上的各台节点机,数据在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
(2) 与链路加密类似的节点加密方法是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺点。
(3) 端到端加密是为数据从一端到另一端提供的加密方式。
数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。
端到端加密是在应用层完成的。
在端到端加密中,数据传输单位中除报头外的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密。
因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。
另一方面,数据传输单位由报头和报文组成的,报文为要传送的数据集合,报头为路由选择信息等(因为端到端传输中要涉及到路由选择)。
在链路加密时,报文和报头两者均须加密。
而在端到端加密时,由于通路上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息。
因此,只能加密报文,而不能对报头加密。
这样就容易被某些通信分析发觉,而从中获取某些敏感信息。
链路加密对用户来说比较容易,使用的密钥较少,而端到端加密比较灵活,对用户可见。
在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。
4.3.2 对称加密与非对称加密根据密钥类型不同将现代密码技术分为两类:一类是对称加密(秘密钥匙加密)系统,另一类是公开密钥加密(非对称加密)系统。
对称式密码是指收发双方使用相同密钥的密码,而且通信双方都必须获得这把钥匙,并保持钥匙的秘密。
传统的密码都属于对称式密码。
目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。
随后DES成为全世界使用最广泛的加密标准。
非对称式密码是指收发双方使用不同密钥的密码,通信双方一方使用公钥另一方使用私钥。
现代密码中的公共密钥密码就属于非对称式密码。
典型的非对称式密码是由R.Rivest、A.Shamir和L.Adleman三位发明者于1977年提出的RSA公开密钥密码系统,RSA算法的取名就是来自于这三位发明者的姓的第一个字母。
在公开密钥密码体制中,RSA体制已被ISO/TC 97 的数据加密技术分委员会SC 20推荐为公开密钥数据加密标准。
对称加密算法的主要优点是加密和解密速度快,加密强度高,且算法公开,但其最大的缺点是实现密钥的秘密分发困难,在有大量用户的情况下密钥管理复杂,而且无法完成身份认证等功能,不便于应用在网络开放的环境中。
加密与解密的密钥和流程是完全相同的,区别仅仅是加密与解密使用的子密钥序列的施加顺序刚好相反。