通信网络-网络通信中的基本安全技术

( % 用 加 密 密 钥 ;< 对 明 文 # 加 密 后 得 到 密 文 Байду номын сангаас 再
用 解 密 密 钥 "< 对 密 文 解 密 " 即 可 恢 复 出 明 文 # &
1 "< = > ;< = # ? @ A % B%加密密钥不能用来解密"即’ 1 ;< = > ;< = % @ @ ! % 1 "< = > "< = % @ @ ! % C % 用 "< 加 密 的 信 息 只 能 用 ;< 解 密 ( 用 ;< 加 密
专家论谈
网络通信中的基本安全技术
北 京 化 工 大 学 自 动 化 系 ! 5CCCD6 " 潘立登 盛乃军
摘 要 ! 介 绍 了 网 络 安 全 的 基 本 内 容 " 详 细 分 析 了 8,B # E)F # 数 字 签 名 # 数 字 信 封 # 密 钥 管 理 和
=F 认 证 体 系 等 基 本 的 安 全 技 术 $ 关 键 词 " &"#G%"G# 8,) E)F 加 密
!" 数 据 传 输 的 安 全 性 数 据 传 输 的 安 全 性 即 是 要
保证在公网上传输的数据不被第三方窃取"
#" 数 据 的 完 整 性 对 数 据 的 完 整 性 需 求 是 指 数 据
在传输过程中不被篡改"
# ! 密 码 分 组 链 接 型 ’ )*) " 每 组 明 文 在 加 密 之 前
’,) 可 以 采 取 多 种 操 作 方 式 ! 下 面 介 绍 两 种 最 为
通 用 的 操 作 方 式 ! 即 ,=9 ’ =9= #
! ! 电 子 密 码 本 型 ’ ()* " 这 种 操 作 模 式 是 用 同 一
把 钥 匙 独 立 地 加 密 每 个 ;< > ?1# 的 明 文 组 ! 其 操 作 特 点 如下# )可 加 密 ;< ?1#@ " *加 密 与 代 码 组 的 顺 序 无 关 & *对 同 一 组 密 钥 ! 相 同 明 文 组 将 产 生 相 同 密 文 组 ! 因此易受+字典攻击,的破译& )错 误 只 影 响 当 前 的 密 文 组 ! 不 会 扩 散 传 播 &
虑 ! 总 是 掩 盖 算 法 的 实 现 细 节 ! 而 8(B 开 历 史 之 先 河 ! 首 次 公 开 了 全 部 算 法 & 同 时 ! 8(B 作 为 一 种 数 据 加 密标准!推动了保密通信在各种领域的广泛应用&
!
专家论谈
!"# 非 对 称 密 钥 加 密
非对称密钥加密又被称为公开密钥加密体制"是 由 )*+,-+./0 1+--+. 和 234,+5 6.//735 在 (89: 年 提 出 # 其加密机制是"每个人拥有一对密钥"一个称为公开 密钥"另一个称为秘密密钥"这两个密钥是数学相关 的#公开密钥是公开信息"秘密密钥由用户自己保存# 在这种体制中"加密和解密使用不同的密钥"因此"发 送者和接收者不再需要共享一个秘密$对称密钥加密 体制中"发送者和接收者必需共享一个密钥%"即在通 信的全部过程中不需要传送秘密密钥& 公开密钥算法 的主要特点如下’ 会对小数据块产生很大的影响&
(% 信息发送者 # 使用一单向散列函数对信息生
成信息摘要&
B% 信息发送者 # 使用自己的私钥签名信息摘要
,用私钥对摘要加密%&
!"$ 数 字 指 纹 技 术
在继续介绍其它的安全技术之前"我们还要先讨 论一下数字指纹技术& 数字指纹是一种形象的说法"在密码学上又被称 为 * 信 息 摘 要 + , 7.HH3I. 0+I.H, % & 它 是 通 过 安 全 的 单 向 散 列 函 数 , ".JK4. 63H* % 作 用 于 将 要 发 送 的 信 息 , 7.HL 明文
#12" )#+"3+%3 4 ( 数 据 加 密 标 准 % & 美 国 国 家 标 准 局 于 5677 年 宣 布 数 据 加 密 标 准 8,) 用 于 非 国 家 保 密 机 关 & 该 加 密 算 法 是 由 &9: 公 司
研 究 提 出 的 ! 使 用 ;< 比 特 的 密 钥 对 ;< 比 特 的 数 据 进 行加密和脱密&
对称密钥
接收方 " 的私钥 解开数字信封 图 #
&!发送方 ! 首先生成一个对称密钥#用该对称密
钥加密要发送的报文’
&!甲对发给乙的信息 & 生成信息摘要 &’ ’!甲对发给丙的信息 # 生成信息摘要 #’ (!甲把信息摘要 & 和信息摘要 ) 合在一起#对其 生成信息摘要 (#并使用自己的私钥签名信息摘要 (’ %!甲 把 信 息 &$信 息 摘 要 # 和 信 息 摘 要 ( 的 签 名
&"#$%"$# 在 为 人 们 带 来 无 限 商 机 的 同 时 ! 也 给 人 们
提出一个十分严峻的课题!即如何保证各种网络应用 的安全性" 例如在电子商务中网上购物是在线付款! 用户的信用卡号等许多信息都是敏感信息!而这些网 上传输的敏感数据和存放敏感信息的站点正是网络 黑客的重点攻击对象" 因此!人们在开展各种网络业 务时! 首先考虑的是这种网络业务是否能够保证安 全!如果不能保证安全!人们也就不会接受这种业务" 网络通信的数据安全包括以下几个方面#
C%它是完全不可逆的"没有办法通过生成的数据
块直接恢复源数据& 数字指纹技术并不是一种加密机制"但却能产生 信 息 的 数 字 *指 纹 +" 通 过 验 证 信 息 的 * 指 纹 + 来 确 保 数据没有被修改或变化" 保证信息的完整性不被破 坏& 常 用 的 信 息 摘 要 算 法 有 21 B ) 21 E 和 "6% M ( 等 &
&"#$%"$# 网 的 应 用 领 域 极 其 广 阔 ! 如 许 多 高 等
学 校 都 已 建 立 自 己 校 园 网 并 与 &"#$%"$# 相 连 " 作 为 远 程教学的工具和获得信息的重要途径!商业界也在积 极 地 建 立 企 业 内 部 网 络 并 通 过 &"#$%"$# 向 公 众 提 供 种 类繁多的信息服务! 其中最引人注目的当属电子商 务 ! 电 子 商 务 正 是 在 &"#$%"$# 快 速 发 展 的 浪 潮 下 应 运 而生的!它是信息时代社会生产与社会消费之间发生 的一次革命"
个 源 数 据 反 复 执 行 ".JK4. 63H* 函 数 将 总 是 得 到 同 样 的结果&
!"% 公 钥 加 密 % 的公钥
验证数字签名流程 图 (
B%它是不可预见的& 产生的数据块的大小与原始
信息的大小没有任何联系"同时源数据和产生的数据 块看起来也没有明显关系"源信息的一个微小变化都
!
$"身 份 验 证 由 于 网 上 的 通 信 双 方 互 不 见 面 ! 必
须在相互通信时$交换敏感信息时%确认对方的真实 身份&
%" 不 可 抵 赖 性 在 网 上 开 展 业 务 的 各 方 在 进 行 数
据传输时!必须带有自身特有的’无法被别人复制的 信息!以保证发生纠纷时有所对证" 通常情况下!网络通信中所采用的安全技术主要 有防火墙技术’数据加密技术和身份认证技术等" 本 文讨论的重点是数据加密技术和身份认证技术以及 它们在网络通信安全策略中的应用"
%! 任何接收者 " 通过使用与信息发送者 ! 使用
的同一个单向散列函数对接收的信息生成新的信息 摘要# 再使用信息发送者 ! 的公钥对数字签名解密# 并与新生成的信息摘要比较#以确认信息发送者的身 份和信息是否被修改过" 在数字签名的基础上# 还可以实现双重签名技 术" 双重签名技术是为了保证在事务处理过程中三方 安全地传输信息的一种技术#实现了三方通信时的身 份认证和信息完整性$防抵赖的保护" 例如在网上购 物的业务中#客户和商家之间要完成在线付款#那么 客户$商家和银行之间将面临以下问题%客户&甲!需 要给商家&乙!发送购买信息和客户的付款帐户信息 ’ 乙作为商家# 接受购买信息后# 还要同银行 &丙!交 互#以实现资金转帐" 但甲不愿让乙看到自己的付款 帐户信息#也不愿让处理甲付款信息的丙看到订购信 息" 此时甲使用双重签名技术对两种信息作数字签 名#来完成以上功能" 双重数字签名的实现步骤如下%
密钥管理
体制#对称密钥加密和非对称密钥加密"
!"#$%"$# 已 经 成 为 当 今 全 球 数 据 通 信 的 有 效 工 具 !
它的迅猛发展对全球经济和社会生活都产生了巨大 影响"
!&! 对 称 密 钥 加 密
对称密钥加密体制又被称为私钥加密体制!它使 用同一组钥匙对消息进行加密和解密" 因此!消息的 接收者和发送者必须拥有一组相同的密钥" 在私钥加 密 体 制 中 ! 比 较 有 名 的 加 密 算 法 是 ’() * ’+#+ ,"-%./0
% 的私钥
信息摘要
!"# 私 钥 加 密
数字签名 明文
生成数字签名流程 用户 $ 明文 数字签名 信息摘要 相等!
H3I. % 上 产 生 的 ’ 7.HH3I. 0+I.H, A ".JK4. 63H* = 7.HH3I. @
单向散列函数有三个主要特点’
& ’
签名有效 签名无效
(%它能处理任意大小的信息 "并将其按信息摘要 , 7.HH3I. 0+I.H, % 方 法 生 成 固 定 大 小 的 数 据 块 " 对 同 一
的 信 息 只 能 用 "< 解 密 &
D % 从 已 知 的 ;< 不 可 能 推 导 出 "< & 或 者 说 " 由 ;< 推 导 出 "< 在 计 算 上 是 不 可 能 的 & E%加密和解密的运算可以对调"即’ > ;< = 1 "< = % @ @ A %
公开密钥算法在运算速度较对称密钥加密算法 慢一些"因此在实际应用中"对称密钥算法主要用于 产生数字签名)数字信封F 而并不直接对大量的应用 数据进行加密& 在 公 开 密 钥 体 制 中 " 最 为 通 用 的 是 !"% 公 钥 加 密 体 制 " 它 已 被 推 荐 为 公 开 密 钥 数 据 加 密 标 准 & !"% 是 由 !+G., ) "*37+4 和 %0/.735 提 出 的 " 它 的 安 全 性 是 基 于 大数因子分解"由于大数因子分解在数学上没有行之 有效的算法" 因此该加密技术的破译是相当困难的&
# 身份认证技术
#"! 数 字 签 名
数字签名是用来保证信息传输过程中信息的完 整和提供信息发送者的身份认证和不可抵赖性的一 种安全技术& 首先"接收者能够验证发送者对报文的 签名"以确保数据的完整性&同时"由于第三方公证机 构可以通过数字签名进行公证"因此发送者事后不能 抵赖对报文的签名& 另外"数据签名还具有不可伪造 性"同现实世界中手工签名具有相同的效果& 公开密钥算法是实现数字签名的主要技术& 使用 公开密钥算法实现数字签名技术"类似于公开密钥加 密技术&它有两个密钥’一个是签名密钥"它是对外保 密的"因此称为私有密钥或秘密密钥"简称私钥(另一 个是验证密钥"它是对外公开的"因此称为公开密钥" 简称公钥& 由于公开密钥算法的运算速度比较慢"因此可使 用安全的单向散列函数对要签名的信息进行摘要处 理"减小使用公开密钥算法的运算量& 实现数字签名 的过程如图 ( 所示&
专家论谈
$! 信息发送者 ! 把信息本身和已签名的信息摘
要一起发送出去" 称为(数字信封)" 数字信封的具体实现步骤如图 ) 所示" 发送方 ! 消息 对称密钥加密 消息密文 密钥密文 公钥加密 接收方 " 的公用 生成数字信封 接收方 " 消息密文 密钥密文 私钥解密 对称密钥解密 对称密钥 消息 数字信封
先与前一个密文组进行异或运算! 然后再进行加密! 其操作特点如下# )可 加 密 ;< ?1#@ 的 整 数 倍 & )对 相 同 的 密 钥 和 初 始 向 量 A 相 同 的 明 文 将 生 成 相 同的密文& )链 接 操 作 使 密 文 组 依 赖 于 当 前 及 其 前 面 所 有 的 明文组!因此密文组的顺序不能被打乱& )可 用 不 同 的 初 始 向 量 来 防 止 相 同 的 明 文 产 生 相 同的密文& )错 误 将 影 响 从 当 前 开 始 的 两 个 密 文 组 &
! 加密技术
计算机网络中保护数据安全性最有效的方法就 是数据加密技术" 数据加密算法有很多种!每种加密 算法的加密强度各不相同" 目前存在两种基本的加密
8,B 在 密 码 学 发 展 历 史 上 具 有 重 要 的 地 位 & 在 8(B 加 密 标 准 公 布 以 前 ! 密 码 设 计 者 出 于 安 全 性 考