⑴ 網路加密的演算法是什麼
就是網路在傳輸數字信號得時候0101代碼之間的運算得出某個關鍵值就成為了網路的安全碼。
⑵ 網路安全中加密和解密的原理是什麼
簡單的說就是你的數據(明文)通過一種演算法+加密密鑰(密文),然後傳輸給另一方,另一方收到後用同樣的演算法+解密密鑰(等同你的加密密鑰)將你的密文解密。目前用的演算法:哈希,MD5,SHA等。
⑶ 什麼叫網路加密,網路加密有哪幾種方式
IP層是TCP/IP網路中最關鍵的一層,IP作為網路層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全,所以能實現非常細致的安全控制。對於用戶來說,便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務,使得數據在通過公共網路傳輸時,不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的,而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association,安全聯盟),當兩端的SA中的設置匹配時,兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。
⑷ 網路安全機制包括些什麼
網路安全機制包括接入管理、安全監視和安全恢復三個方面。
接入管理主要處理好身份管理和接入控制,以控制信息資源的使用;安全監視主要功能有安全報警設置以及檢查跟蹤;安全恢復主要是及時恢復因網路故障而丟失的信息。
接入或訪問控制是保證網路安全的重要手段,它通過一組機制控制不同級別的主體對目標資源的不同授權訪問,在對主體認證之後實施網路資源的安全管理使用。
網路安全的類型
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
⑸ 什麼是網路安全密碼
網路安全密鑰就是無線密碼,在設置無線的時候,系統會提示用戶設置無線密碼,也可以不設置無線密碼,網路安全密匙只需要輸入一串8到18位數的數字與字母即可。公用密鑰加密技術使用不對稱的密鑰來加密和解密,每對密鑰包含一個公鑰和一個私鑰。設置網路安全密鑰可以防止其他人隨便使用。設置的密碼只能找網路創建者獲取。
⑹ 網路安全的技術原理
網路安全性問題關繫到未來網路應用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技 術。
「防火牆」是一種形象的說法,其實它是一種計算機硬體和軟體的組合,使互聯網與內部網之間建立起 一個安全網關,從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器,這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信,起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類,一類被稱為標准「防火牆」;一類叫雙家網關。標准」防火牆」系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的介面是外部世界,即公用網;而另一個則聯接內部網。標准「防火牆」使用專門的軟體,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的連接,可以確保數據包不能直接從外部網路到達內部網路,反之亦然。
隨著「防火牆」技術的進步,在雙家網關的基礎上又演化出兩種「防火牆」配置,一種是隱蔽主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的「防火牆」配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的」防火牆」當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後,它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說,這種「防火牆」是最不容易被破壞的。
與「防火牆」配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展,網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著數據加密技術和物理防範技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上注冊的密碼一致。當口令與身份特徵共同使用時,智能卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網路所採取的各種措施,其中不僅是物理防範,而且還有人員素質等其他「軟」因素,進行綜合評估,從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
⑺ 一般網頁中的用戶名和登錄密碼在傳輸過程中是通過什麼加密的
對於打開了某個論壇,輸入了用戶名和密碼,其實如果網站設計者重視安全問題的話一般會對輸入的用戶名和密碼進行加密,加密後的用戶名和密碼用一連串的字元表示,所以即使別人竊取了你的用戶名和密碼和密碼,他們如果不知道怎麼解密,他們只能得到一連串的字元,所以這也是一道防線。
接下來就是網路安全方面的問題:
數據加密(Data Encryption)技術
所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。
數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。
專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。
DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。
公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。
在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。
①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。
②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。
③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。
在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。
(1)數字簽名
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。
數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。
(2)Kerberos系統
Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。
它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。
Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:
①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;
②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;
③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。
Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。
Kerberos有其優點,同時也有其缺點,主要如下:
①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。
④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰
( 3 )、PGP演算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。
PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。
(4)、PEM演算法
保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:
對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。
PEM對報文的處理經過如下過程:
第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;
第二步,MIC(Message Integrity Code)計算;
第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。
身份驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。
Web網上採用的安全技術
在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。
SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。
(二)、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。
SSL提供三種基本的安全服務,它們都使用公開密鑰技術。
①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。
當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:
1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。
2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。
3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。
⑻ 網路安全與保密
1、《中華人民共和國信息系統安全保護條例》(1994年2月18日)
2、PGP是一個基於RSA公匙加密體系的郵件加密軟體。可以用它對你的郵件保密以防止非授權者閱讀,它還能對你的郵件加上數字簽名從而使收信人可以確信郵件是你發來的。它讓你可以安全地和你從未見過的人們通訊,事先並不需要任何保密的渠道用來傳遞密匙。它採用了:審慎的密匙管理,一種RSA和傳統加密的雜合演算法,用於數字簽名的郵件文摘演算法,加密前壓縮等,還有一個良好的人機工程設計。它的功能強大有很快的速度。
PGP是一種供大眾使用的加密軟體。加密是為了安全,私密權是一種基本人權。在現代社會里,電子郵件和網路上的文件傳輸已經成為生活的一部分。郵件的安全問題就日益突出了,大家都知道在Internet上傳輸的數據是不加密的。如果你自己不保護自己的信息,第三者就會輕易獲得你的隱秘。;還有一個問題就是信息認證,如何讓收信人確信郵件沒有被第三者篡改,就需要數字簽名技術。RSA公匙體系的特點使它非常適合用來滿足上述兩個要求:
保密性(Privacy)和認證性(Authentication)。
RSA(Rivest-Shamir-Adleman)演算法是一種基於大數不可能質因數分解假設的公匙體系。簡單地說就是找兩個很大的質數,一個公開給世界,一個不告訴任何人。一個稱為「公匙」,另一個叫「私匙」(Public;key;&;Secretkey;or;Private;key)。這兩個密匙是互補的,就是說用公匙加密的密文可以用私匙解密,反過來也一樣。假設甲要寄信給乙,他們互相知道對方的公匙。甲就用乙的公匙加密郵件寄出,乙收到後就可以用自己的私匙解密出甲的原文。由於沒別人知道乙的私匙所以即使是甲本人也無法解密那封信,這就解決了信件保密的問題。另一方面由於每個人都知道乙的公匙,他們都可以給乙發信,那麼乙就無法確信是不是甲的來信。認證的問題就出現了,這時候數字簽名就有用了。
在說明數字簽名前先要解釋一下什麼是「郵件文摘」(message;digest),單地講就是對一封郵件用某種演算法算出一個能體現這封郵件「精華」的數來,一旦郵件有任何改變這個數都會變化,那麼這個數加上作者的名字(實際上在作者的密匙里)還有日期等等,就可以作為一個簽名了。確切地說PGP是用一個128位的二進制數作為「郵件文摘」的,用來產生它的演算法叫MD5(message;digest;5),MD5的提出者是Ron;Rivest,PGP中使用的代碼是由Colin;Plumb編寫的,MD5本身是公用軟體。所以PGP的法律條款中沒有提到它。MD5是一種單向散列演算法,它不像CRC校驗碼,很難找到一份替代的郵件而與原件具有一樣的「精華」。
回到數字簽名上來,甲用自己的私匙將上述的128位的「精華」加密,附加在郵件上,再用乙的公匙將整個郵件加密。這樣這份密文被乙收到以後,乙用自己的私匙將郵件解密,得到甲的原文和簽名,乙的PGP也從原文計算出一個128位的 「精華」來再用甲的公匙解密簽名得到的數比較,如果符合就說明這份郵件確實是甲寄來的。這樣兩個要求都得到了滿足。
3、數字水印是一種有效的數字產品版權保護和數據安全維護技術。作為在信息時代下進行數字產品版權保護的新技術,它可以確定版權所有者,識別購買者或者提供關於數字內容的其他附加信息,並將這些信息以人眼不可見的形式嵌入在多媒體信息中。視頻水印可理解為針對數字視頻載體的主觀和客觀的時間冗餘和空間冗餘加入信息,即不影響視頻質量,又能達到用於版權保護和內容完整性檢驗目的的數字水印技術。近年來數字水印技術取得了很大的發展,但研究方向主要集中於靜止圖像水印技術,在視頻水印研究方面,由於包括空間掩蔽效應等特性在內的更為精確的人眼視覺模型尚未完全建立,使得視頻水印技術相對於圖像水印技術發展滯後,現有的標准視頻編碼格式又造成了水印技術引入上的局限性,一些針對視頻水印的特殊攻擊形式(如幀重組、幀平均、幀間組合、幀刪除等)的出現,以及視頻水印演算法的實時性和盲檢測等特點使得視頻水印研究面臨著新的挑戰。
⑼ 網路現代加密技術分幾種
1 數據加密原理
1.1數據加密
在計算機上實現的數據加密,其加密或解密變換是由密鑰控制實現的。密鑰(Keyword)是用戶按照一種密碼體制隨機選取,它通常是一隨機字元串,是控制明文和密文變換的唯一參數。
例:明文為字元串:
AS KINGFISHERS CATCH FIRE
(為簡便起見,假定所處理的數據字元僅為大寫字母和空格符)。
假定密鑰為字元串: ELIOT
加密演算法為:
(1)將明文劃分成多個密鑰字元串長度大小的塊(空格符以″+″表示)
AS+KI NGFIS HERS+ CATCH +FIRE
(2)用00~26范圍的整數取代明文的每個字元,空格符=00,A=01,...,Z=26:
0119001109 1407060919 0805181900 0301200308 0006091805
(3) 與步驟2一樣對密鑰的每個字元進行取代:
0512091520
(4) 對明文的每個塊,將其每個字元用對應的整數編碼與密鑰中相應位置的字元的整數編碼的和模27後的值取代:
(5) 將步驟4的結果中的整數編碼再用其等價字元替換:
FDIZB SSOXL MQ+GT HMBRA ERRFY
理想的情況是採用的加密模式使得攻擊者為了破解所付出的代價應遠遠超過其所獲得的利益。實際上,該目的適用於所有的安全性措施。這種加密模式的可接受的最終目標是:即使是該模式的發明者也無法通過相匹配的明文和密文獲得密鑰,從而也無法破解密文。
1.2數字簽名
密碼技術除了提供信息的加密解密外,還提供對信息來源的鑒別、保證信息的完整和不可否認等功能,而這三種功能都是通過數字簽名實現。
數字簽名是涉及簽名信息和簽名人私匙的計算結果。首先,簽名人的軟體對發送信息進行散列函數運算後,生成信息摘要(message digest)--這段信息所特有的長度固定的信息表示,然後,軟體使用簽名人的私匙對摘要進行解密,將結果連同信息和簽名人的數字證書一同傳送給預定的接收者。而接收者的軟體會對收到的信息生成信息摘要(使用同樣的散列函數),並使用簽名人的公匙對簽名人生成的摘要進行解密。接收者的軟體也可以加以配置,驗證簽名人證書的真偽,確保證書是由可信賴的CA頒發,而且沒有被CA吊銷。如兩個摘要一樣,就表明接收者成功核實了數字簽名。
2 加密體制及比較
根據密鑰類型不同將現代密碼技術分為兩類:一類是對稱加密(秘密鑰匙加密)系統,另一類是公開密鑰加密(非對稱加密)系統。
2.1對稱密碼加密系統
對稱鑰匙加密系統是加密和解密均採用同一把秘密鑰匙,而且通信雙方都必須獲得這把鑰匙,保持鑰匙的秘密。
對稱密碼系統的安全性依賴於以下兩個因素。第一,加密演算法必須是足夠強的,僅僅基於密文本身去解密信息在實踐上是不可能的;第二,加密方法的安全性依賴於密鑰的秘密性,而不是演算法的秘密性。因為演算法不需要保密,所以製造商可以開發出低成本的晶元以實現數據加密。這些晶元有著廣泛的應用,適合於大規模生產。
對稱加密系統最大的問題是密鑰的分發和管理非常復雜、代價高昂。比如對於具有n個用戶的網路,需要n(n-1)/2個密鑰,在用戶群不是很大的情況下,對稱加密系統是有效的。但是對於大型網路,當用戶群很大,分布很廣時,密鑰的分配和保存就成了大問題。對稱加密演算法另一個缺點是不能實現數字簽名。
對稱加密系統最著名的是美國數據加密標准DES、AES(高級加密標准)和歐洲數據加密標准IDEA。1977年美國國家標准局正式公布實施了美國的數據加密標准DES,公開它的加密演算法,並批准用於非機密單位和商業上的保密通信。DES成為全世界使用最廣泛的加密標准。
但是,經過20多年的使用,已經發現DES很多不足之處,對DES的破解方法也日趨有效。AES將會替代DES成為新一代加密標准。DES具有這樣的特性,其解密演算法與加密演算法相同,除了密鑰Key的施加順序相反以外。
2.2 公鑰密碼加密系統
公開密鑰加密系統採用的加密鑰匙(公鑰)和解密鑰匙(私鑰)是不同的。由於加密鑰匙是公開的,密鑰的分配和管理就很簡單,比如對於具有n個用戶的網路,僅需要2n個密鑰。公開密鑰加密系統還能夠很容易地實現數字簽名。因此,最適合於電子商務應用需要。在實際應用中,公開密鑰加密系統並沒有完全取代對稱密鑰加密系統,這是因為公開密鑰加密系統是基於尖端的數學難題,計算非常復雜,它的安全性更高,但它實現速度卻遠趕不上對稱密鑰加密系統。在實際應用中可利用二者的各自優點,採用對稱加密系統加密文件,採用公開密鑰加密系統加密″加密文件″的密鑰(會話密鑰),這就是混合加密系統,它較好地解決了運算速度問題和密鑰分配管理問題。
根據所基於的數學難題來分類,有以下三類系統目前被認為是安全和有效的:大整數因子分解系統(代表性的有RSA)、橢圓曲線離散對數系統(ECC)和離散對數系統(代表性的有DSA)。
當前最著名、應用最廣泛的公鑰系統RSA是由Rivet、Shamir、Adelman提出的(簡稱為RSA系統),它加密演算法使用了兩個非常大的素數來產生公鑰和私鑰。現實中加密演算法都基於RSA加密演算法。pgp演算法(以及大多數基於RSA演算法的加密方法)使用公鑰來加密一個對稱加密演算法的密鑰,然後再利用一個快速的對稱加密演算法來加密數據。這個對稱演算法的密鑰是隨機產生的,是保密的,因此,得到這個密鑰的唯一方法就是使用私鑰來解密。
RSA方法的優點主要在於原理簡單,易於使用。隨著分解大整數方法的進步及完善、計算機速度的提高以及計算機網路的發展(可以使用成千上萬台機器同時進行大整數分解),作為RSA加解密安全保障的大整數要求越來越大。為了保證RSA使用的安全性,其密鑰的位數一直在增加,比如,目前一般認為RSA需要1024位以上的字長才有安全保障。但是,密鑰長度的增加導致了其加解密的速度大為降低,硬體實現也變得越來越難以忍受,這對使用RSA的應用帶來了很重的負擔,對進行大量安全交易的電子商務更是如此,從而使得其應用范圍越來越受到制約。
DSA(DataSignatureAlgorithm)是基於離散對數問題的數字簽名標准,它僅提供數字簽名,不提供數據加密功能。它也是一個″非確定性的″數字簽名演算法,對於一個報文M,它的簽名依賴於隨機數r ?熏 這樣,相同的報文就可能會具有不同的簽名。另外,在使用相同的模數時,DSA比RSA更慢(兩者產生簽名的速度相同,但驗證簽名時DSA比RSA慢10到40倍)。
2.3 橢圓曲線加密演算法ECC技術優勢
安全性更高、演算法實現性能更好的公鑰系統橢圓曲線加密演算法ECC(EllipticCurveCryptography)基於離散對數的計算困難性。