网络安全与电子商务.ppt

《网络安全与电子商务.ppt》由会员分享，可在线阅读，更多相关《网络安全与电子商务.ppt（335页珍藏版）》请在三一办公上搜索。

1、网络安全与电子商务,主讲：陆鑫,前导课程,电子商务概论计算机网络操作系统,课程目标,掌握密码学的基本概念了解信息加密和数字签名原理掌握信息加密和数字签名的操作了解计算机网络中的身份认证技术和应用熟悉互联网基本技术TCP/IP和WWW技术及其安全问题掌握保障网络安全基本工具的使用方法了解网络攻击方式和防御措施,课程体系,信息安全基础知识安全概念、安全特征、安全体系、安全策略、安全技术、安全现状和趋势信息安全技术密码学、对称密钥密码、非对称密钥密码、密钥管理、数字签名、PKI、身份认证、访问控制TCP/IP与WWW网站安全TCP/IP协议安全、Web网站安全系统的攻击与防御攻击方法和工具、系统安全

2、策略、防火墙技术、检测和扫描、病毒防止,网络安全与电子商务,第1章 电子商务安全基础知识第2章 信息加密技术与应用第3章 数字签名技术与应用第4章 数字证书与公钥基础设施第5章 身份认证与访问控制第6章 TCP/IP与WWW安全第7章 防火墙的构造与选择第8章 计算机病毒及其防治技术第9章 系统入侵的鉴别与防御,第1章 电子商务安全基础知识,第1节 电子商务安全概述第2节 电子商务的安全保障,第1节 电子商务安全概述,电子商务安全的概念电子商务安全的特征网络安全体系与黑客攻击,概念,电子商务是利用计算机网络所进行的商务活动。因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要

3、介绍由于计算机网络的应用所带来的安全问题。电子商务的关键是商务信息电子化。因此，电子商务的安全性问题的关键是计算机信息的安全性信息的价值（=使用信息所获得的收益 获取信息所用成本）决定了信息被窃取或篡改的可能性和频率，因此，信息具备了安全的保护特性。对电子商务安全的要求电子商务的安全环,对电子商务安全的要求,从用户角度他们关心的是涉及个人隐私或商业利益的信息存储在计算机中或在网络上传输是受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改和抵赖的手段对用户的利益和隐私造成损害和侵犯。从网络运行和管理者角度他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现病毒、非

4、法存取、拒绝服务和网络资源的非法占用及非法控制等威胁。同时希望不要出现因网络或系统本身的缺陷而影响到网络或系统的正常使用。,2004年10月7日，公安部公布的2004年全国信息网络安全状况调查结果显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中，发生网络安全事件的比例为58。其中，发生3次以上的占23。计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79，拒绝服务、端口扫描和篡改网页等网络攻击事件占43，大规模垃圾邮件传播造成的安全事件占36。54的被调查单位网络安全事件造成的损失比较轻微，损

5、失严重和非常严重的占10。,20世纪90年代以前通信保密（COMSEC）时代该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。20世纪90年代信息安全（INFOSEC）时代数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。90年代后期起信息安全保障（IA）时代该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信

6、息保障的WPDRR模型。,信息安全的要求及发展,预警W,保护P,监测D,响应R,恢复R,技术,操作,人,电子商务的安全环,应用安全,系统安全,网络安全,安全协议,安全的密码算法,网络安全,网络系统运行安全保护网络系统的安全运行，使网络系统能提供预期的有效服务；网络系统安全包括组成网络系统的七层协议（或TCP/IP四层协议）的每一层的安全以及网络系统中所采用的各种设备和软件在内的综合性系统安全。网络传输信息安全对在网络中传输的数据信息进行有效保护，使其在保密性、完整性、可控性和不可抵赖性方面达到预定的目标要求。,关于电子商务安全的思考,电子商务活动中存在或可能存在的安全问题有哪些？试列举具体的问

7、题。这些具体的问题能否归纳为有限的几类？,电子商务安全的特征,保密性确保信息不暴露给未授权的实体或进程完整性只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改不可否认性防止通信或交易双方对已进行业务的否认认证性信息发送者或系统登陆者身份的确认,电子商务安全的特征（续）,可用（访问）性得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作可控性可以控制授权范围内的信息流向及行为方式 可审查性对出现的网络安全问题提供调查的依据和手段 合法性各方的业务行为存在可适用的法律和法规,自身缺陷+网络开放性+管理问题,电子商务安全问题的根源,网络传输安全信息被泄密、篡改或假

8、冒网络运行安全（服务器或客户机被攻击等）网络的缺陷管理的欠缺黑客的攻击系统安全系统软件的漏洞和后门系统故障、崩溃,电子商务安全特征与防御体系结构,关于网络安全的思考,你家有几个门？这些门是否已安装了合适的锁？这些锁是否在必要的时候锁好了？如何才能控制或不受限制的进入互联网上的一台服务器？攻击互联网上计算机与攻击所在局域网中的其它计算机在操作程序上可能会有哪些差别？获取他人账号和密码的方法有哪些？,通讯线路,网络端口,用户权限,数据库安全,通讯协议,网络系统运行安全体系结构,黑客攻击流程,踩点FootPrinting,木马Trojan Horse,第2节 电子商务的安全保障,电子商务安全的层次,

9、安全环境威严的法律先进的技术严格的管理安全策略物理安全策略网络安全控制策略信息加密策略网络安全管理策略安全实施安全攻击与服务安全技术与产品国家信息安全工作要点,物理安全策略的目的,保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；防止非法进入计算机控制室和各种偷窃、破坏活动的发生。确保计算机系统有一个良好的电磁兼容和防止电磁泄漏（即TEMPEST技术）的工作环境；采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的

10、伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。,网络安全控制策略,网络安全防范和保护的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种电子商务安全策略必须相互配合才能真正起到保护作用，但网络安全控制可以说是保证网络安全最重要的核心策略之一。网络安全控制策略包括：入网访问控制网络的权限控制网络服务器安全控制 网络监测和锁定控制网络端口和节点的安全控制防火墙控制,信息加密策略,网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密保护网络节点之间的链路信息安全；端到端加密对从源端用户到目的端用户的数据传输提供保护；节点加密在节点处采

11、用一个与节点机相连的密码装置，对明文进行加密，避免了链路加密节点处易受攻击的缺点。对称密码信息的接收者和发送者使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的对称密码算法有：美国的DES、Triple DES、GDES、New DES;欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以替代密码和置换密码为代表的古典密码等。在众多的对称密码算法中影响最大的是DES算法。非对称密码收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的不对称密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、

12、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的不对称密码算法是RSA。,网络安全管理策略,确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。,安全攻击,安全攻击是一种针对电子商务系统的故意的威胁行为，它致力于避开安全服务并且侵犯系统的安全策略。安全攻击分为被动攻击（Passive attack）和主动攻击（Active attack）。被动攻击被动攻击具有偷听或者监控传输的性质。攻击者的目的就是获得正在传输的信息。被动攻击有释放消息内容和流量分析两种类型。主动攻击主动攻

13、击与更改数据流或伪造假的数据流有关，主动攻击可以分为四类：伪装（Masquerade）、重放（Reply）、更改消息内容（Modification）和拒绝服务（Denial of service）。,被动攻击,释放消息内容释放消息内容（Releaseof massage contents）是攻击者通过一定的方式读取发送者发送给接受者的信息的行为，但这种读取并不影响信息的正常传输。攻击者窃取的消息往往是带有机密性或者是非常敏感的信息。流量分析流量分析（Traffic analysis）是攻击者分析信息传输的模式，包括分析发收双方、交换信息的频率和信息的长度等数据来获取有用的信息。使用流量分析的攻

14、击者往往是在无法释放消息内容的情况下不得已的做法。譬如：攻击者所得到的释放消息内容是经过加密的消息。,主动攻击(1),伪装伪装（Masquerade）是指一个实体假装成为另一个不同的实体向第三方发送消息。譬如：一个假冒工商银行的网站向网民发送网页内容，诱骗网民输入银行账户信息。重放重放（Reply）是指攻击者使用被动攻击捕获消息后，按照原来的顺序重新发送，从而产生未经授权进入系统的效果。它是一种针对身份鉴别服务的攻击，具体参见第5章。,主动攻击(2),更改消息内容更改消息内容（Modification）是指攻击者使用被动攻击捕获消息后，更改原始消息的一部分，或者延迟或重行排序消息后重新发送给接

15、收方的行为。拒绝服务拒绝服务（Denial of service）是指攻击者阻止或禁止他人对系统的正常使用或管理，这种攻击通常具有明确的攻击目标。譬如：使用超载消息来降低网络的性能甚至造成网络瘫痪。另一种形式的拒绝服务攻击是删除系统文件或数据使得授权使用者无法得到相应的服务或获取数据。,安全服务与安全攻击之间的关系,信息安全技术与产品,安全操作系统防火墙（软件或硬件）安全扫描（扫描器、扫描软件）网络监控（入侵检测）安全审计（安全日志）信息加密（加密软件）身份认证（身份认证与数字签名软件/卡、认证令牌）通信加密（移动通讯网加密技术、SSL产品）灾难恢复（系统或文件备份和恢复软件）防病毒（防病毒软

16、件）以上安全产品共同组成了一个完整的网络安全系统，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。,国家信息安全保障工作要点,实行信息安全等级保护制度风险与成本、资源优化配置、安全风险评估基于密码技术网络信任体系建设密码管理体制、身份认证、授权管理、责任认定建设信息安全监控体系提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力重视信息安全应急处理工作指挥、响应、协调、通报、支援、抗毁、灾备推动信息安全技术研发与产业发展关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务信息安全法制与标准建设信息安全法、打击网络犯罪、标准体系、规范网络行为信息安全人材培养与增强安全意识

17、学科、培训、意识、技能、自律、守法信息安全组织建设信息安全协调小组、责任制、依法管理国家信息化领导小组第三次会议关于加强信息安全保障工作的意见中办发2003 27号文,第2章 信息加密技术与应用,第1节 基本知识第2节 对称密钥密码体制第3节 非对称密钥密码体制第4节 使用Hash函数进行信息鉴别第5节 混合型加密体制PGP复习和实验要求,第1节 基本知识,专业术语和基础知识密码学的起源古典加密体制密码学的发展现代加密体制密码分析学,密码学（cryptology）由设计用来保护通信的数学技术组成。密码学以非常简单却具有革命性的数学思想为基础；将所有信息作为数字进行处理，并且这些数字能够进行数学

18、计算。数学计算的目的是把信息弄乱，变成毫无意义，使截获该信息的人无法弄清楚原始含义。然而，信息的合法接收者知道如何撤销这些数学计算，从而恢复原始信息。,密码学作为数学的一个分支，包括密码编码学和密码分析学两部分。密码的基本目标：机密性、数据完整性、鉴别、抗否认基本的密码工具：加密算法、密钥、随机数生成器、单向函数（Hash函数）,标准ASCII码(高位0）,扩展ASCII码(高位1）,密码的基本概念,关于密码工具的思考,现代加密算法有哪两大类？他们的各自特点和用途有哪些？密钥在现代加密过程中的作用？密钥与加密的安全性的关系？随机函数在现代加密技术中的作用？什么是单向函数？单向函数的作用？,专业

19、术语,信息发送者和接收者假设发送者（sender）想发送信息给接收者（receiver），且想安全地发送信息：确认窃听者不能阅读其发送的信息。信息和加密未经加密的信息（message）称为明文（plaintext）。伪装信息以隐藏它的内容的过程称为加密（encryp-tion），被加密的信息称为密文（ciphertext），而把密文转变为明文的过程称为解密（decryption）。,专业术语,进行信息保密的科学和技术叫做密码编码学（cryptography），从事此行业的人员被称为密码编码者（cryptographer）。破译密文的科学和技术叫做密码分析学（cryptanalysis），从事密

20、码分析的人员被称为密码分析者（cryptanalyst）。,密码学的作用,除了提供保密功能外，密码学通常还具有其他作用：完整性（integrity）：信息的接收者应该能够验证在传送过程中信息没有被修改；入侵者不可能用假信息替代合法信息。鉴别（authentication）：信息的接收者应该能够确认信息的来源；入侵者不可能伪装成他人。抗抵赖（nonrepudiation）：发送者事后不能否认他发送的信息。,密码体制的五元组,P：明文的有限集（明文空间）C：密文的有限集（密文空间）K：密钥的有限集（密钥空间）E：加密算法的有限集D：解密算法的有限集任意kK，加密算法ekE和相应的解密算法 dkD，

21、使得ek:PC和dk:CP分别为加密和解密函数，满足d(ek(x)=x，这里xP。,算法和密钥,密码算法（algorithm）也叫密码（cipher），是适用于加密和解密的数学函数。密码的保密方法（算法分类）受限制的（restricted)算法密码的保密性基于保持算法的秘密受限制的算法不可能进行质量控制或标准化。每个用户和组织必须有他们自己唯一的算法。基于密钥的（key-based)算法密码的保密性基于对密钥的保密。,Kerckhoffs原则,1883年柯克霍夫斯（Kerchoffs）第一次明确提出了编码的原则：加密算法应建立在算法的公开不影响明文和密钥的安全的基础上。这一原则已得到普遍承认，

22、成为判定密码强度的衡量标准，实际上也成为古典密码和现代密码的分界线。,密码学发展的三个阶段,1949年之前密码学是一门艺术19491975年密码学成为科学1949年香农(Shannon)发表保密通信的信息理论：所需的保密程度决定了用于加密和解密过程的相应的工作量密钥的组或加密算法应该不受其复杂性的影响处理的实现应尽可能简单编码中的错误不应传播及影响后面的信息加密后密文的尺寸不应大于明文的尺寸计算机的出现使得基于复杂计算的密码成为可能。1976年以后密码学的新方向密钥密码学和公钥密码学共同发展,1949年之前的古典密码的特点,密码学不是科学，只是艺术。密码算法和加密设备密码算法的基本手段（sub

23、stitution&permutation)针对的是字符。简单的密码分析手段的出现。,20世纪早期密码机,转子机，由Arthur Scherbius于1919年发明，面板前有灯泡和插接板；4轮转子机在1944年装备德国海军，使得英国从1942年2月到12月都没能解读德国潜艇的信号。,英国的TYPEX打字密码机，是德国3轮ENIGMA的改进型密码机。它在英国通信中使用广泛，且在破译密钥后帮助破解德国信号。,在线密码电传机Lorenz SZ 42，大约在1943年由Lorenz A.G制造。英国人称其为“tunny”，用于德国战略级陆军司令部。SZ 40/SZ 42加密因为德国人的加密错误而被英国

24、人破解，此后英国人一直使用电子COLOSSUS机器解读德国信号。,M-209是哈格林对C-36改进后的产品，由Smith-Corna负责为美国陆军生产。它的密码周期达到了101,105,950。,哈格林（Hagelin）密码机C-36，由Aktiebolaget Cryptoeknid Stockholm于1936年制造密钥周期长度为3,900,255。,Kryha密码机大约在1926年由Alexander vo Kryha发明。这是一个多表加密设备，密钥长度为442，周期固定。一个由数量不等的齿的轮子引导密文轮不规则运动。,古典加密体制的两种基本运算,替代(Substitution)明文的字

25、母由其他字母或数字或符号所代替。置换/移位法(Permutation/transposition)通过执行对明文字母的某种置换/移位，取得一种类型完全不同的映射。,问题：双方能否不需要共享密钥而达到加密的目的？P=D(E(P)P=D2(E2(D1(E1(P)=D2(D1(E2(E1(P),替代技术之一：凯撒密码,算法描述：将字母表中的每个字母用其后的第三个字母代替。加密：CE（P）（P3）mod 26解密：P=D（C）=（P3）mod 26 也可以将3 换为125间的任一个数K，即总共只有25个密钥。攻击手段：1.算法简单，密钥K的数量仅为25个，强力攻击（穷举攻击）2.明文单词构造有规律，可

26、以根据字母频率分析攻击。改进：1.变换方法可以采用26字母的任意排列，使得可用密钥数量剧增。2.使用多字母组合。,?,替代技术之二：Hill 密码,算法描述：m个连续的明文字母用m个密文字母代替，该代替由m个线性方程决定。这里假设m=3:C1=(k11 P1+k12 P2+k13 P3)mod 26C2=(k21 P1+k22 P2+k23 P3)mod 26C3=(k31 P1+k32 P2+k33 P3)mod 26即：C1 k11 k12 k13 P1 C2=k21 k22 k23 P2 mod 26 或 CKP mod 26 C3 k31 k32 k33 P3优点：完全隐藏了单字母的频

27、率。缺点：如果得到m个明密对，则可以计算出K，从而破密。,替代技术之三：异或(XOR)加密,异或是一种二进制运算：11=0、00=0、10=1、01=1。例如：10111001=0010。使用异或进行加、解密：加密：Ci Piki解密：Pi Ciki 举例对单词：DOG（十进制=68 79 71；二进制=0100 0100 0100 1111 0100 0111）进行加密：,DOG：0100 0100 0100 1111 0100 0111 明文,XOR 1010 1101 1100 0110 1000 0010 密钥,1110 1001 1100 1001 1100 0101 密文,DOG：

28、0100 0100 0100 1111 0100 0111 明文,XOR 1010 1101 1100 0110 1000 0010 密钥,加密,解密,英语文本中字母的频率统计,置换技术之一,置换密码把明文(IWILLARRIVENYATAPRILFIRSTDAY)按行写入后，按列读出。密钥表明列的读出顺序。,ciphertext:IVPSLERTWIARIRTILNIDAYLARAFY,置换技术之二,多次置换，减少结构性排列，不易于重构。key:plaintext:ciphertext:PILASANRVWILITTYLRIAEIDFRRAY,转子机Rotor machine,通过多个转子，

29、完成字母的多次转换。,对称密钥密码,特征用于加密和解密的密钥是一样的或相互容易推出的。安全性要求加密算法和解密算法是公开的，协议是安全的。加密算法足够强大，仅依靠密文不可能译出明文。安全性依赖于密钥的安全性，而不是算法安全性。密钥的安全性包括：密钥空间、随机性、保密性。算法符号描述：EK(P)=C,DK(C)=P,明文,对称密钥的问题,对称密钥能够解决以下那些问题？保密性完整性认证性不可抵赖性,对称密钥的主要缺陷有哪些？双方就加密和解密用的密钥达成共识困难密钥数量随参与者人数的增长呈指数级增长,非对称密钥密码,特征用于加密和解密的密钥是不同的。因此，双方不需要事先专门约定用于加密和解密的密钥，

30、并加以妥善保管。安全性要求加密算法和解密算法是公开的，协议是安全的。加密算法强大，仅依靠密文不可能译出明文。安全性依赖于私钥的安全性，而不是公钥或算法的安全性。密钥的安全性包括：密钥空间、保密性。算法符号描述：EK1(P)=C,DK2(C)=P,明文,密码分析,密码分析学是在不知道密钥的情况下，恢复出明文的科学。密码分析也可以发现密码体制的弱点。常见的密码分析攻击：唯（已知）密文攻击（ciphertext-only attack）已知明文攻击（know-plaintext attack）选择文本攻击选择明文攻击（chosen-plaintext attack）适应性选择明文攻击（adaptiv

31、e-chosen-plaintext attack）选择密文攻击（adaptive-chosen-ciphertext attack）,唯密文攻击,密码分析者有一些信息的密文，这些信息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密信息的密钥来，以便可采用相同的密钥解出其他被加密的信息。已知：C1、C2Cn、E、Ci=EK（Pi）推导出：P1、P2 Pn；甚至 K。举例：字典破解、暴力破解,已知明文攻击,密码分析者不仅可以得到一些信息的密文，而且也知道这些信息的明文。分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新

32、的信息进行解密。已知：P1，C1=Ek（P1），P2，C2=Ek（P2），Pi，Ci=Ek（Pi），推导出：密钥k。,选择明文攻击,密码分析者不但可以得到一些信息的明文，而且它们可以选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密信息的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的信息进行解密。已知：P1，C1=Ek（P1），P2，C2=Ek（P2）Pi，Ci=Ek（Pi）其中P1，P2 Pi是由密码分析者选择的。推导出：密钥k。适应性选择明文攻击密法分析者不但能够选择被加密的明文，而且也能

33、基于以前加密的结果修正这个选择的，被称为适应性选择明文攻击。,选择密文攻击,密码分析者能选择不同的被加密的密文，并可得到对应的解密的明文，这种攻击主要用于公开密钥体制。已知：C1，P1=Dk（C1），C2，P2=Dk（C2）Ci，Pi=Dk（Ci）。推导出：k。,破译算法的级别,全部破译（total break）找出密钥全部推导（global deduction）找出替代算法实例推导（instance deduction）找出明文信息推导（information deduction）获得一些有关密钥或明文的信息。,安全性的衡量,无条件安全（Unconditionally secure）无论破译

34、者有多少密文,他也无法解出对应的明文,即使他解出了,他也无法验证结果的正确性。加密方案产生的密文不足以唯一决定对应的明文，如一次一密。计算安全（Computationally secure）破译密码成本超过信息价值破译时间超过信息生命周期。,攻击的复杂性分析,数据复杂性（data complexity）用作攻击输入所需要的数据处理复杂性（processing complexity）完成攻击所需要的时间存储需求（storage requirement）进行攻击所需要的数据量,密码分析基本方法,穷举法(Exhaustive Attack)，又称为强力法(Brute-force)这是对截获的密文依次

35、用各种可能的密钥破译。对所有可能的明文加密直到与截获的密文一致瓦为止。分析法系统分析法（统计分析法）：利用明文的统计规律确定性分析法,第2节 对称密钥密码体制,对称密钥密码算法类型分组密码工作模式对称加密算法对称加密应用保密通信对称密钥分配问题,对称密钥密码算法类型,序列（流）密码将明文信息按字符逐位加密，主要原理是：通过有限状态机产生性能优良的与明文等长的伪随机序列，使用该序列加密明文，得到密文序列。在这种加密算法中，每一字符数据的加密与其他字符数据无关。其缺点是密码破译人员比较容易得到明密对照双码，便于其进行密码分析。序列密码的典型算法有：RC4，SEAL，A5等，序列密码多用于流式数据的

36、加密，特别是对实时性要求比较高的语音和视频流的加密传输。比如流密码A5已成为GSM移动电话标准中指定的密码标准。分组（块）密码将明文分成固定长度的组（如64比特一组）用密钥和算法对每一块加密，输出也是固定长度的密文。在这种加密算法中，每一个字符数据的加密不仅与密钥有关，而且还可能与其他字符数据有关。此时，密码分析的量很大。分组密码的典型算法有：DES，3DES，IDEA，AES，SKIPJACK，Karn，RC2和RC5等，分组密码是目前在商业领域比较重要使用较多的密码，广泛用于信息的保密传输和加密存储，,分组密码的一般设计原理,分组密码把明文组块加密成密文块一般密钥长度是块长度的倍数例如：8

37、字节的明文块用64位密钥进行加密密文长度始终是块长度的倍数，明文长度不一定块长度的倍数当明文长度不是块长度的倍数时，需要对明文块中的最后一块进行填充,分组密码工作模式之一,电子密码本（ECB）模式直接使用基本的分组密码模式，对明文块分别进行加密。特点：速度快；在给定密钥的情况下，相同的明文总是产生相同的密文。因此，容易被分析破译；适合于较短的信息的传输。密码分组链接（CBC）模式在加密当前明文块（第一块除外）之前，先将上一明文块加密的结果与当前明文块进行异或运算，然后再加密，如此形成一个密文链。在对第一明文块进行加密时，需要一个初始向量（IV）。特点：相同明文生成不同密文；安全性好于ECB；适

38、合于传输长度大于64位的报文，还可以进行用户鉴别，是大多系统的标准如 SSL、IPSec。,分组密码工作模式之二,密码反馈（CFB）模式在加密当前明文块（第一块除外）之前，先对上一明文块加密的结果进行加密生成密钥流，然后将密钥流与当前明文块进行异或运算，如此形成一个密文链。在生成第一个密钥流时，需要一个初始向量。与CBC不同的是：CFB是先加密后异或。特点：不需要对明文结尾块进行填充；与CBC同样安全。输出反馈（OFB）模式用分组密码产生一个随机密钥流，将此密钥流和明文流进行异或，可得密文流。特点：安全性不如CBC和CFB。,电子密码本ECB,Pi,Ci,IWILLARRIVEATSUNDAY

39、,Df4#xF33w-6!re4weY3,加密：Ci=EK(Pi),解密：Pi=DK(Ci),密码分组链接CBC,IV未必需要保密，但一般以加密形式被交换，并经常更换。,密文“E8a#”,密文“JK9s”,密文“*4(j”,密文“w0P”,密文“8!qP”,明文“IWIL”,明文“LARR”,明文“IVEA”,明文“TSUN”,明文“DAY”,Pi,Ci,加密,加密,加密,加密,加密,E,IWILLARRIVEATSUNDAY,E8a#JK9s*4(jw0P8!qP,初始向量“Xw#9”,加密：Ci=EK(PiCi-1),解密：Pi=DK(Ci)Ci-1,密码反馈CFB,密文“E8a#”,密文

40、“JK9s”,密文“*4(j”,密文“w0P”,密文“8!qP”,明文“IWIL”,明文“LARR”,明文“IVEA”,明文“TSUN”,明文“DAY”,加密,加密,加密,加密,加密,IWILLARRIVEATSUNDAY,E8a#JK9s*4(jw0P8!qP,初始向量“Xw#9”,输出反馈OFB,密文“E8a#”,密文“JK9s”,密文“*4(j”,密文“w0P”,密文“8!qP”,明文“IWIL”,明文“LARR”,明文“IVEA”,明文“TSUN”,明文“DAY”,加密,加密,加密,加密,加密,IWILLARRIVEATSUNDAY,E8a#JK9s*4(jw0P8!qP,初始向量“X

41、w#9”,加密：Ci=PiEK(Si-1),解密：Pi=DK(Si-1)Ci,DES对称算法的产生之一,1973年5月15日,美国国家标准局(NBS)开始公开征集标准加密算法,并公布了它的设计要求:算法必须提供高度的安全性算法必须有详细的说明,并易于理解算法的安全性取决于密钥,不依赖于算法算法适用于所有用户算法适用于不同应用场合算法必须高效、经济算法必须能被证实有效算法必须是可出口的,DES对称算法的产生之二,1974年8月27日,美国国家标准局（NBS，现在为NIST美国国家技术与标准所）开始第二次征集，IBM提交了算法LUCIFER，该算法由IBM的工程师W.Tuchman 和 C.Mey

42、er在1971-1972年研制。1975年3月17日,NBS公开了全部细节。1976年，NBS指派了两个小组进行评价。1976年11月23日，采纳为联邦标准，批准用于非军事场合的各种政府机构。1977年1月15日，美国“数据加密标准”发布，该标准以DES算法为代表，其密钥有效长度为56位。同年7月15日开始生效。该标准规定每五年审查一次，计划十年后采用新标准。,DES 对称算法的特点,分组加密算法：明文和密文为64位分组长度。对称算法：使用同一算法。密钥长度：56位，64位中每个第8位为校验位。DES加密操作：通过56位密钥计算出16个48位子密钥使用48位子密钥进行16轮加密。每轮都使用了置

43、换和替代操作。置换操作是打乱块中各位的次序，使其变成新的位置。替代操作是使用性的一组来替换初始排列输出的每组位。,DES 对称算法,DES 对称算法加密过程包括：明文分块、生成16个子密钥和使用子密钥对每个明文块进行16轮加密运算和多次替代、置换综合运算三部分。明文分块将明文划分为固定长度为64位的多个明文块，最后一个明文块不足64位的进行填充。生成16个子密钥用户输入的64位总密钥中第8，16，24，32，40，48，56，64位是校验位。所以总密钥的实际长度是56位。按以下步骤根据总密钥生成16个48位子密钥。对输入的密钥进行置换操作，按表 1确定的置换位置将56位总密钥的数据位置重新排列

44、，生成新的56位数据。,DES 对称算法,将将置换后的数据分成前后两部分，C028,D028；对Ci-128、Di-128（i=1-16）按表 2进行16次循环左移操作，得到Ci28 Di28（i=1-16）；串联计算出来的Ci28 Di28（i=1-16）得到16个56位的子密钥；然后将这16个子密钥分别按表 3再次进行置换，并各丢弃8位得16个48位子密钥Ki48（i=1-16）。子钥生产过程见图 1。,DES 对称算法,对明文块进行加密对64位的明文块按表 4进行换位变换（置换变换）。将变换后的64位数据块前后平分成两块L032,R032（每块32位数据）。按以下步骤A、B、C、D对 R

45、i-132（i=1-16）进行变换得到32位数（分别见图 2右侧F运算的步骤A、B、C、D）。,DES对称算法的应用,美国国家安全局（NSA,National Security Agency)参与了美国国家标准局制定数据加密标准的过程。NBS接受了NSA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位1979年，美国银行协会批准使用DES1980年，DES成为美国标准化协会(ANSI)标准1980年，美国国家标准化协会（ANSI）赞同DES作为私人使用的标准,称之为DEA（ANSI X.392）。1983年，国际化标准组织ISO赞同DES作为国际标准，称之为

46、DEA-1。1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作。,其他对称算法,其他对称算法,不同对称算法的应用特点,DES是应用最广泛的对称密码算法(由于计算能力的快速进展，DES已不再被认为是安全的)；IDEA在欧洲应用较多；RC系列密码算法的使用也较广(已随着SSL传遍全球);AES将是未来最主要，最常用的对称密码算法。,对称密钥密码算法进一步发展,1994年1月评估后，已决定1998年12月以后，DES将不再作为联邦加密标准。NIST在97年承认56位的DES算法已不再有效。EFF(电子领域基金会）在97、98、99年分别用96天、3天、

47、不到24小时破解了DES算法。99年NIST把Triple-DES作为国家标准2000年10月2日NIST宣布高级标准加密算法（AES）成为替代DES的新的加密标准，其算法Rijndael成为DES的替代者。,对称加密应用保密通信,链路加密易受攻击的通信链路两端都装备一个加密设备。共享一条链路的每对节点应共享同一密钥，每段链路应使用不同的密钥。报文在分组交换节点设备都需要被解密和加密一次，使得报文可以路由。但是报文在每个分组交换节点设备处容易受到攻击。节点加密节点加密是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点

48、。端到端加密端系统完成数据的加密和解密，加密形式的数据被原封不动的从源端系统发送，穿过网络，到达目的端系统。源端系统和目的端系统共享一个密钥。,网络加密机制的配置,链路/物理层（1 2）,网络层加密,传输/网络层（3 4）,应用层加密,应用层（5 7）,链路层加密,链路加密,节点加密,端对端加密,端对端加密,链路加密端到端加密特征比较,链路加密 端到端加密在发送主机上报文是暴露的在发送主机上报文是加密的在中间节点上报文是暴露的在中间节点上报文是加密的由发送主机应用 由发送进程应用对用户是透明的用户应用加密主机维护加密设备用户决定算法所有用户用一个设施用户选择加密方案可以由硬件完成软件实现所有或

49、没有报文被加密每个报文由用户决定选择是否加密节点之间都需要一个密钥每个用户对需要一个密钥提供主机鉴别提供用户鉴别,A与B之间的密钥约定方法,密钥由A选定，通过物理的方式传递给B。第三方选定密钥，然后物理的传递给A和B。如果AB曾经使用过一个密钥，一方可以使用旧密钥加密新密钥并传递给另一方。如果AB都有一个到第三方C的加密连接，C就可以用加密形式把密钥传递给AB。最后一种方法得到普遍应用。即设立密钥分配中心（KDC）。,Diffie-Hellman密钥交换算法,目的Alice和Bob通过该算法约定对称密钥“K”过程（要点：=(gb)c mod p=(gc)b mod p）Alice选择一个很大的

50、质数p（模数）和一个p的质因数g（生成器），并把他们发送给Bob。Alice选择一个随机数b，并计算B=gb mod p，同时Bob也选择一个随机数c，并计算C=gc mod p。Alice和Bob交换B和C。Alice计算Ka=Cb mod p，同时Bob计算Kb=Bc mod p。Kb=Bc mod p=(gb mod p)c mod p=(gb)c mod p=(gc)b mod p=(gc mod p)b mod p=(C)b mod p=Ka=K（对称密钥）举例Alice选择p=7和生成器g=3，并把他们发送给Bob。Alice随机选择b=3，并计算B=gb mod p=33 mod