<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          關(guān) 閉

          新聞中心

          EEPW首頁(yè) > 工控自動(dòng)化 > 設(shè)計(jì)應(yīng)用 > 網(wǎng)絡(luò)通信中的基本安全技術(shù)

          網(wǎng)絡(luò)通信中的基本安全技術(shù)

          作者: 時(shí)間:2016-12-22 來源:網(wǎng)絡(luò) 收藏

            摘 要:介紹了網(wǎng)絡(luò)安全的基本內(nèi)容,詳細(xì)分析了DES、RSA、數(shù)字簽名、數(shù)字信封、密鑰管理和CA認(rèn)證體系等基本的安全技術(shù)。

          本文引用地址:http://www.ex-cimer.com/article/201612/332857.htm

          關(guān)鍵詞:Internet DES RSA 加密 密鑰管理

          Internet已經(jīng)成為當(dāng)今全球數(shù)據(jù)通信的有效工具,它的迅猛發(fā)展對(duì)全球經(jīng)濟(jì)和社會(huì)生活都產(chǎn)生了巨大影響。Internet網(wǎng)的應(yīng)用領(lǐng)域極其廣闊,如許多高等學(xué)校都已建立自己校園網(wǎng)并與Internet相連。作為遠(yuǎn)程教學(xué)的工具和獲得信息的重要途徑,商業(yè)界也在積極地建立企業(yè)內(nèi)部網(wǎng)絡(luò)并通過Internet向公眾提供種類繁多的信息服務(wù),其中最引人注目的當(dāng)屬電子商務(wù),電子商務(wù)正是在Internet快速發(fā)展的浪潮下應(yīng)運(yùn)而生的,它是信息時(shí)代社會(huì)生產(chǎn)與社會(huì)消費(fèi)之間發(fā)生的一次革命。

          Internet在為人們帶來無限商機(jī)的同時(shí),也給人們提出一個(gè)十分嚴(yán)峻的課題,即如何保證各種網(wǎng)絡(luò)應(yīng)用的安全性。例如在電子商務(wù)中網(wǎng)上購(gòu)物是在線付款,用戶的信用卡號(hào)等許多信息都是敏感信息,而這些網(wǎng)上傳輸?shù)拿舾袛?shù)據(jù)和存放敏感信息的站點(diǎn)正是網(wǎng)絡(luò)黑客的重點(diǎn)攻擊對(duì)象。因此,人們?cè)陂_展各種網(wǎng)絡(luò)業(yè)務(wù)時(shí),首先考慮的是這種網(wǎng)絡(luò)業(yè)務(wù)是否能夠保證安全,如果不能保證安全,人們也就不會(huì)接受這種業(yè)務(wù)。

          的數(shù)據(jù)安全包括以下幾個(gè)方面:

          1數(shù)據(jù)傳輸?shù)陌踩詳?shù)據(jù)傳輸?shù)陌踩约词且WC在公網(wǎng)上傳輸?shù)臄?shù)據(jù)不被第三方竊

          2數(shù)據(jù)的完整性對(duì)數(shù)據(jù)的完整性需求是指數(shù)據(jù)在傳輸過程中不被篡改。

          3身份驗(yàn)證由于網(wǎng)上的通信雙方互不見面,必須在相互通信時(shí)(交換敏感信息時(shí))確認(rèn)對(duì)方的真實(shí)身份。

          4不可抵賴性在網(wǎng)上開展業(yè)務(wù)的各方在進(jìn)行數(shù)據(jù)傳輸時(shí),必須帶有自身特有的、無法被別人復(fù)制的信息,以保證發(fā)生糾紛時(shí)有所對(duì)證。

          通常情況下,信中所采用的安全技術(shù)主要有防火墻技術(shù)、數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)等。本文討論的重點(diǎn)是數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)以及它們?cè)?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/網(wǎng)絡(luò)通">網(wǎng)絡(luò)通信安全策略中的應(yīng)用。

          1 加密技術(shù)

          計(jì)算機(jī)網(wǎng)絡(luò)中保護(hù)數(shù)據(jù)安全性最有效的方法就是數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密算法有很多種,每種加密算法的加密強(qiáng)度各不相同。目前存在兩種基本的加密體制:對(duì)稱密鑰加密和非對(duì)稱密鑰加密。

          1.1 對(duì)稱密鑰加密

          對(duì)稱密鑰加密體制又被稱為私鑰加密體制,它使用同一組鑰匙對(duì)消息進(jìn)行加密和解密。因此,消息的接收者和發(fā)送者必須擁有一組相同的密鑰。在私鑰加密體制中,比較有名的加密算法是DES(DataEncryption Standard)(數(shù)據(jù)加密標(biāo)準(zhǔn))。

          美國(guó)國(guó)家標(biāo)準(zhǔn)局于1977年宣布數(shù)據(jù)加密標(biāo)準(zhǔn)DES用于非國(guó)家保密機(jī)關(guān)。該加密算法是由IBM公司研究提出的,使用64比特的密鑰對(duì)64比特的數(shù)據(jù)進(jìn)行加密和脫密。

          DES可以采取多種操作方式,下面介紹兩種最為通用的操作方式,即ECB、CBC:

          1)電子密碼本型ECB這種操作模式是用同一把鑰匙獨(dú)立地加密每個(gè)64-bit的明文組,其操作特點(diǎn)如下:

          ·可加密64bits。

          ·加密與代碼組的順序無關(guān)。

          ·對(duì)同一組密鑰,相同明文組將產(chǎn)生相同密文組,因此易受‘字典攻擊’的破譯。

          ·錯(cuò)誤只影響當(dāng)前的密文組,不會(huì)擴(kuò)散傳播。

          2)密碼分組鏈接型CBC每組明文在加密之前先與前一個(gè)密文組進(jìn)行異或運(yùn)算,然后再進(jìn)行加密,其操作特點(diǎn)如下:

          ·可加密64 bits的整數(shù)倍。

          ·對(duì)相同的密鑰和初始向量相同的明文將生成相同的密文。

          ·鏈接操作使密文組依賴于當(dāng)前及其前面所有的明文組,因此密文組的順序不能被打亂。

          ·可用不同的初始向量來防止相同的明文產(chǎn)生相同的密文。

          ·錯(cuò)誤將影響從當(dāng)前開始的兩個(gè)密文組。

          DES在密碼學(xué)發(fā)展歷史上具有重要的地位。在DES加密標(biāo)準(zhǔn)公布以前,密碼設(shè)計(jì)者出于安全性考慮,總是掩蓋算法的實(shí)現(xiàn)細(xì)節(jié),而DES開歷史之先河,首次公開了全部算法。同時(shí),DES作為一種數(shù)據(jù)加密標(biāo)準(zhǔn),推動(dòng)了保密通信在各種領(lǐng)域的廣泛應(yīng)用。

          1.2 非對(duì)稱密鑰加密

          非對(duì)稱密鑰加密又被稱為公開密鑰加密體制,是由Wwhitfield Diffie和Martin Hellman 在1976年提出。其加密機(jī)制是,每個(gè)人擁有一對(duì)密鑰,一個(gè)稱為公開密鑰,另一個(gè)稱為秘密密鑰,這兩個(gè)密鑰是數(shù)學(xué)相關(guān)的。公開密鑰是公開信息,秘密密鑰由用戶自己保存。在這種體制中,加密和解密使用不同的密鑰,因此,發(fā)送者和接收者不再需要共享一個(gè)秘密(對(duì)稱密鑰加密體制中,發(fā)送者和接收者必需共享一個(gè)密鑰),即在通信的全部過程中不需要傳送秘密密鑰。公開密鑰算法的主要特點(diǎn)如下:

          1)用加密密鑰PK對(duì)明文A加密后得到密文,再用解密密鑰SK對(duì)密文解密,即可恢復(fù)出明文A。

          2)加密密鑰不能用來解密,即:

          3)用SK加密的信息只能用PK解密;用PK加密的信息只能用SK解密。

          4)從已知的PK不可能推導(dǎo)出SK?;蛘哒f,由PK推導(dǎo)出SK在計(jì)算上是不可能的。

          5)加密和解密的運(yùn)算可以對(duì)調(diào),即:

          公開密鑰算法在運(yùn)算速度較對(duì)稱密鑰加密算法慢一些,因此在實(shí)際應(yīng)用中,對(duì)稱密鑰算法主要用于產(chǎn)生數(shù)字簽名、數(shù)字信封而并不直接對(duì)大量的應(yīng)用數(shù)據(jù)進(jìn)行加密。

          在公開密鑰體制中,最為通用的是RSA公鑰加密體制,它已被推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA是由Rivet、Shamir和Adleman提出的,它的安全性是基于大數(shù)因子分解,由于大數(shù)因子分解在數(shù)學(xué)上沒有行之有效的算法,因此該加密技術(shù)的破譯是相當(dāng)困難的。1.3數(shù)字指紋技術(shù)

          在繼續(xù)介紹其它的安全技術(shù)之前,我們還要先討論一下數(shù)字指紋技術(shù)。

          數(shù)字指紋是一種形象的說法,在密碼學(xué)上又被稱為“信息摘要”(message)。它是通過安全的單向散列函數(shù)(SecureHash)作用于將要發(fā)送的信息(message)上產(chǎn)生的:

          message digest=Secure Hash(message)

          單向散列函數(shù)有三個(gè)主要特點(diǎn):

          1)它能處理任意大小的信息,并將其按信息摘要(message digest)方法生成固定大小的數(shù)據(jù)塊,對(duì)同一個(gè)源數(shù)據(jù)反復(fù)執(zhí)行Secure Hash函數(shù)將總是得到同樣的結(jié)果。

          2)它是不可預(yù)見的。產(chǎn)生的數(shù)據(jù)塊的大小與原始信息的大小沒有任何聯(lián)系,同時(shí)源數(shù)據(jù)和產(chǎn)生的數(shù)據(jù)塊看起來也沒有明顯關(guān)系,源信息的一個(gè)微小變化都會(huì)對(duì)小數(shù)據(jù)塊產(chǎn)生很大的影響。

          3)它是完全不可逆的,沒有辦法通過生成的數(shù)據(jù)塊直接恢復(fù)源數(shù)據(jù)。

          數(shù)字指紋技術(shù)并不是一種加密機(jī)制,但卻能產(chǎn)生信息的數(shù)字“指紋”,通過驗(yàn)證信息的“指紋”來確保數(shù)據(jù)沒有被修改或變化,保證信息的完整性不被破壞。

          常用的信息摘要算法有MD2、MD5和SHA-1等。

          2 身份認(rèn)證技術(shù)

          2.1 數(shù)字簽名

          數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者的身份認(rèn)證和不可抵賴性的一種安全技術(shù)。首先,接收者能夠驗(yàn)證發(fā)送者對(duì)報(bào)文的簽名,以確保數(shù)據(jù)的完整性。同時(shí),由于第三方公證機(jī)構(gòu)可以通過數(shù)字簽名進(jìn)行公證,因此發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。另外,數(shù)據(jù)簽名還具有不可偽造性,同現(xiàn)實(shí)世界中手工簽名具有相同的效果。

          公開密鑰算法是實(shí)現(xiàn)數(shù)字簽名的主要技術(shù)。使用公開密鑰算法實(shí)現(xiàn)數(shù)字簽名技術(shù),類似于公開密鑰加密技術(shù)。它有兩個(gè)密鑰:一個(gè)是簽名密鑰,它是對(duì)外保密的,因此稱為私有密鑰或秘密密鑰,簡(jiǎn)稱私鑰;另一個(gè)是驗(yàn)證密鑰,它是對(duì)外公開的,因此稱為公開密鑰,簡(jiǎn)稱公鑰。

          由于公開密鑰算法的運(yùn)算速度比較慢,因此可使用安全的單向散列函數(shù)對(duì)要簽名的信息進(jìn)行摘要處理,減小使用公開密鑰算法的運(yùn)算量。實(shí)現(xiàn)數(shù)字簽名的過程如圖1所示。

          1)信息發(fā)送者A使用一單向散列函數(shù)對(duì)信息生成信息摘要。

          2)信息發(fā)送者A使用自己的私鑰簽名信息摘要(用私鑰對(duì)摘要加密)。

          3)信息發(fā)送者A把信息本身和已簽名的信息摘要一起發(fā)送出去。

          4)任何接收者B通過使用與信息發(fā)送者A使用的同一個(gè)單向散列函數(shù)對(duì)接收的信息生成新的信息摘要,再使用信息發(fā)送者A的公鑰對(duì)數(shù)字簽名解密,并與新生成的信息摘要比較,以確認(rèn)信息發(fā)送者的身份和信息是否被修改過。

          在數(shù)字簽名的基礎(chǔ)上,還可以實(shí)現(xiàn)雙重簽名技術(shù)。雙重簽名技術(shù)是為了保證在事務(wù)處理過程中三方安全地傳輸信息的一種技術(shù),實(shí)現(xiàn)了三方通信時(shí)的身份認(rèn)證和信息完整性、防抵賴的保護(hù)。例如在網(wǎng)上購(gòu)物的業(yè)務(wù)中,客戶和商家之間要完成在線付款,那么客戶、商家和銀行之間將面臨以下問題:客戶(甲)需要給商家(乙)發(fā)送購(gòu)買信息和客戶的付款帳戶信息;乙作為商家,接受購(gòu)買信息后,還要同銀行(丙)交互,以實(shí)現(xiàn)資金轉(zhuǎn)帳。但甲不愿讓乙看到自己的付款帳戶信息,也不愿讓處理甲付款信息的丙看到訂購(gòu)信息。此時(shí)甲使用雙重簽名技術(shù)對(duì)兩種信息作數(shù)字簽名,來完成以上功能。

          雙重?cái)?shù)字簽名的實(shí)現(xiàn)步驟如下:

          1)甲對(duì)發(fā)給乙的信息1生成信息摘要1;

          2)甲對(duì)發(fā)給丙的信息2生成信息摘要22;

          3)甲把信息摘要11和信息摘要2合在一起,對(duì)其生成信息摘要3,并使用自己的私鑰簽名信息摘要3;

          4)甲把信息1、信息摘要22和信息摘要3的簽名發(fā)給乙;

          5)甲把信息2、信息摘要1和信息摘要3的簽名發(fā)給丙;

          6)乙接收信息后,對(duì)信息1生成信息摘要,把這信息摘要和收到的信息摘要2合在一起,并對(duì)其生成新的信息摘要,同時(shí)使用甲的公鑰對(duì)信息摘要3的簽名進(jìn)行驗(yàn)證,以確認(rèn)信息發(fā)送者的身份和信息是否被修改過;

          7)丙接收信息后,對(duì)信息2生成信息摘要,把這信息摘要和收到的信息摘要1合在一起,并對(duì)其生成新的信息摘要,同時(shí)使用甲的公鑰對(duì)信息摘要3的簽名進(jìn)行驗(yàn)證,以確認(rèn)信息發(fā)送者的身份和信息是否被修改過。

          2.2 數(shù)字信封

          數(shù)字信封技術(shù)結(jié)合了秘密密鑰加密技術(shù)和公開密鑰加密技術(shù)的優(yōu)點(diǎn)??朔嗣孛苊荑€加密中秘密密鑰分發(fā)困難和公開密鑰加密中加密時(shí)間長(zhǎng)的問題,使用兩個(gè)層次的加密來獲得公開密鑰技術(shù)的靈活性和秘密密鑰技術(shù)的高效性,保證信息的安全性。由于數(shù)字信封技術(shù)是把要發(fā)送的報(bào)文用收信方的公鑰進(jìn)行加密,只有收信方的私鑰才能解開被加密的報(bào)文,而其他人不能解開被加密的報(bào)文,這樣就確保了只有收信方才能準(zhǔn)確地接收到報(bào)文,該技術(shù)也因此被形象地稱為“數(shù)字信封”。

          數(shù)字信封的具體實(shí)現(xiàn)步驟如圖2所示。

          1)發(fā)送方A首先生成一個(gè)對(duì)稱密鑰,用該對(duì)稱密鑰加密要發(fā)送的報(bào)文;

          2)發(fā)送方A用接收方B的公鑰加密上述對(duì)稱密鑰;

          3)發(fā)送方A將第一步和第二步的結(jié)果(即數(shù)字信封)傳給接收方B;

          4)接收方B使用自己的私鑰解密被加密的對(duì)稱密鑰;

          5)接收方B用得到的對(duì)稱密鑰解密被發(fā)信方加密的報(bào)文,得到真正的報(bào)文。

          數(shù)字信封技術(shù)在外層使用公開密鑰加密技術(shù),因此可以獲得公開密鑰技術(shù)的靈活性。由于內(nèi)層的對(duì)稱密鑰長(zhǎng)度通常較短,從而使得公開密鑰加密的相對(duì)低效率被限制在最低限度,而且由于可以在每次傳送中使用不同的對(duì)稱密鑰,系統(tǒng)有了額外的安全保證。

          2.3 密鑰管理和身份認(rèn)證技術(shù)

          在許多網(wǎng)絡(luò)攻擊事件中,密鑰的安全管理是黑客攻擊的一個(gè)主要環(huán)節(jié),因此網(wǎng)絡(luò)的安全性另一個(gè)方面就是密鑰的安全保護(hù)上,密鑰管理包括密鑰的設(shè)置、產(chǎn)生、分配、存儲(chǔ)、注銷、驗(yàn)證和使用等一系列過程。

          密鑰分配是密鑰管理中最大的問題,也是網(wǎng)絡(luò)的安全的重中之重。密鑰必須通過最為安全的方式進(jìn)行分配。數(shù)字證書是一種安全分發(fā)公鑰的方式。在這種方式中,必須設(shè)立一個(gè)密鑰管理中心,它全權(quán)負(fù)責(zé)密鑰的發(fā)放、注銷及驗(yàn)證。RSA公開密鑰體制就是采用這種方式進(jìn)行密鑰管理的。在RSA公開密鑰體制中存在一個(gè)或多個(gè)密鑰管理中心,又稱為證書授權(quán)CA--Certificate Authority中心。證書授權(quán)中心為每個(gè)申請(qǐng)公開密鑰的用戶發(fā)放一個(gè)證書,該證書證明了該用戶擁有證書中列出的公開密鑰。數(shù)字證書中基本包括證書持有人的個(gè)人信息、公鑰以及證書簽發(fā)者的對(duì)這些信息的數(shù)字簽名和證書簽發(fā)者的數(shù)字證書(私鑰由用戶秘密保存)。ca的數(shù)字簽名使得攻擊者不能偽造和篡改該證書,因此,數(shù)字證書既起到分配公鑰的作用,同時(shí)又實(shí)現(xiàn)了身份認(rèn)證的功能。

          CA體系有單級(jí)和多級(jí)之分。在單級(jí)CA中,用戶可以根據(jù)證書簽發(fā)者(即根CA,頂級(jí)CA)證書中的公鑰來驗(yàn)證用戶證書的數(shù)字簽名。在多級(jí)CA中,各級(jí)CA形成一個(gè)至上而下的鏈級(jí)體系,每一級(jí)CA證書的合法性都要由其上級(jí)CA證書來驗(yàn)證,直至根CA。如果用戶要驗(yàn)證某一證書的合法性,就要由該證書的簽發(fā)者一直驗(yàn)證根CA證書為止,才能完全信任該證書。那么,如果根CA中心被攻破,則整個(gè)CA體系徹底崩潰。

          本文主要分析了網(wǎng)絡(luò)安全中的基本加密算法和安全技術(shù),在具體的網(wǎng)絡(luò)業(yè)務(wù)中,還要根據(jù)本業(yè)務(wù)的特點(diǎn),來定相應(yīng)的安全協(xié)議和安全策略。例如在電子商務(wù)中,越來越多的商業(yè)活動(dòng)是在互未謀面的實(shí)體之間進(jìn)行的,因此客戶和商家之間就存在著相互的身份認(rèn)證問題。此外,在這類業(yè)務(wù)中,最為敏感的信息是網(wǎng)上傳送的用戶口令和信用卡號(hào)碼等,一旦被竊聽,將產(chǎn)生災(zāi)難性的后果。為了解決電子商務(wù)中這類安全問題,國(guó)際信用卡集團(tuán)VISA和MasterCard聯(lián)合制定了“安全電子交易”(SET)協(xié)議,用來保證因特網(wǎng)中在線持卡交易的安全性。從網(wǎng)絡(luò)七層協(xié)議的角度來看,SET協(xié)議處在應(yīng)用層上,制定了以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范,定義了使用信用卡購(gòu)物的全部支付流程。SET協(xié)議中所使用的安全技術(shù)也是上面介紹的基本加密算法和身份認(rèn)證技術(shù)。

          網(wǎng)絡(luò)安全問題涉及到許多方面,確保網(wǎng)絡(luò)安全將是各種技術(shù)的大融和。隨著網(wǎng)絡(luò)的飛速發(fā)展,人們對(duì)安全問題的探索將不斷深入,各種安全技術(shù)也必將在這種探索中得到進(jìn)一步的完善與發(fā)展。

           






          關(guān)鍵詞: 網(wǎng)絡(luò)通

          評(píng)論


          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();