2015网络安全技术期末重点

法大人APP收集整理来源：课件/网络特别感谢：林塬培12015网络安全技术期末重点知识点如下（红色字体与黄色背景为重点）一、密码及加密技术（13-16课）1.密码技术的相关概念密码学：编码学与破译学的总称。前者研究密码变化的客观规律，应用于编制密码以保守通信安全；后者用于破译密码以获取通信情报。密码技术：研究数据加密、解密及变换的科学，包括加密与解密2方面，加密和解密2个过程组成了加密系统，是一种非常有效的的主动安全防御措施。明文：在加密系统中被加密的内容。（Plaintexe,P）密文：加密过得明文。（Ciphertext,C）加密：明文变密文的过程。(Enciphering,E)解密：密文还原成明文的过程(Deciphering,D)加密与解密的过程依靠算法来完成。2.密码系统的原理一个密码系统由算法与密钥两个基本部分构成。3.密码体制与加密原理密码体制分为3种：a.对称密码体制、b.非对称密码体制、c.混合加密体制。a.对称密码体制：也称单钥体制或私钥体制或常规密钥密码体制或传统密码体制。其主要特点是在加密与解密过程中使用相同或可以推出本质上等同的密钥，即加密与解密密钥相同。具体加密方式为序列密码与分组密码。法大人APP收集整理来源：课件/网络特别感谢：林塬培2序列密码：主要原理是通过移位寄存器等有限状态机制产生性能优良的伪随机序列，使用该序列加密信息流，得到密文序列。产生伪随机序列的质量决定了序列密码算法的安全强度。分组密码：将明文分成固定长度的组。如64位一组，用同一密钥和算法对每一个分组加密，输出也是固定长度的密文。b.非对称密码体制：又被称为公开密钥体制（PKI）、公钥体制或双钥体制。特点是密钥成对出现，一个为加密密钥（即公开的密钥PK），可以公开使用，另一个是解密密钥（保密密钥SK）。两个密钥相关确不相同，不可能从公钥推算出对应的私钥，用公钥加密的信息只能用专用的私钥来解密。c.混合加密体制：如同名字一样就是a+b的组合.4.密码破译常用方法A.穷尽搜索：即猜各种可能的密钥组合，可以借助一些解密工具软件或机械装置来完成。B.密码分析：在不知密钥的情况下，利用数学方法破译密文或找到密钥。具体做法是已知明文的破译方法和选定明文的破译方法。已知明文破译法：通过一段明文和密文的对应关系找到密钥。选定明文破译法：设法让对手加密一段选定的明文，并获得加密后的结果，然后分析出密钥以下内容为对称密钥加密例子（1）代码加密：使用传输双方预先设定的一组代码，代码可以是任意内容。看下边的例子两个抢劫犯在警察面前的对话甲说：黄鱼和白菜已经放好了--密文（抢到的黄金和白银已经放好了）----明文乙说：知道了---密文（赶紧撤）---明文此例中黄鱼、白菜、知道了就是预设的代码（2）替换加密：用密文字母代替明文字母并保持明文字母顺序不变达到隐藏明文的目的下例（凯撒密码）循环移位密码明文：ABCDEFGHIJKLMNOPQRSTUVWXYZ密文：TUVWXYZABCDEFGHIJKLMNOPQRS如明文为STU则对应的密文为LMN（3）变位加密：与替换加密的区别是明文顺序被打乱，不需要隐藏明文。再按数字次序重新组织文字实现加密。下例密钥：4168257390明文：来宾已出现住在人民路密文：路宾现人来住已在出民（4）一次性加密：一次性密码簿加密具有代码加密的可靠性，又保持了替换加密的灵活性，密码簿每一页都是不同的代码表，可用一页上的代码来加密一些词，用后销毁，再用另一页加密另一些词，直到全部的明文完成加密。破译的唯一方法就是获取一份相同的密码簿。一次性密码簿加密要求密码簿至少不小于明文长度，即不得重复用来加密明文的法大人APP收集整理来源：课件/网络特别感谢：林塬培3不同部分，否则密文就会呈现出某种规律性，也就可能被破译。一般这种加密方法只用于高度保密的场合下，因为如何将至少同长度的密码簿护送到接收端是一个大代价的行动。下例转换成2进制后的明文：101101011011密钥：011010101001密文：110111110010注意：密文是通过密钥与明文做异或运算后得到。关于异或运算：此逻辑运算的特点是2个参与运算的2进制数相同的情况下运算结果为0，否则为1.5.对称加密体制算法详情：算法类型：流加密法和块加密法流加密法：一次加密明文中一个位（bit）实例文本格式二进制格式Pay100010111001明文100101011XOR(异或运算)ZTU91^%D11001001密文流加密技术一次加密明文中一个位（bit）,解密也是一位一位进行.XOR的特性让解密操作和加密操作一样。关于异或运算看这个例子明文=110密码=101密文=明文XOR密码=110XOR101=011明文=密文XOR密码=011XOR101=110思考：如果异或运算换成同或运算是否可行？块加密法:一次加密明文中一个块(多个bit)加密时把明文分成几个部分，每个部分即为一个块，然后分别对每个块加密，解密的过程正好相反。实例：面粉是由小麦加工而成明文加密加密加密加密45%#￥a@ee加密算法模式块加密技术有重复文本问题，因为相同的块会产生相同的密文块，因此给密码分析员提供一些模式信息。上边这句话这样理解：加密的明文可能本身有一些重复的部分，这些重复部分加密后都是一样的密文，解密时会得到相同的明文，由于不知道前后文关系就没法恢复成原文，所以要提供模式信息。这个模式信息就是标题所说的加密算法模式实际应用中有以下几种模式A.电子编码薄ECB1)原理：是最简单的操作，将明文消息分成64位块，单独加密每一块。接收法大人APP收集整理来源：课件/网络特别感谢：林塬培4方收到64位密文块，利用和加密同样的密钥解密每一块。解密同样按块进行，密文和明文块长度都是64位2)举例：明文：110010101010110011001100110010101001100110100011密钥：101101101000111010100011101000001011100010001101密文：文本格式trojan二进制格式011101000111001001101111011010100110000101101110算法：密文=明文XOR密钥（八位一组）明文=密文XOR密钥（八位一组）B.加密块链接CBC1)原理：在CBC模式中，文本块是连续加密的，在加密当前明文块之前，用前一次块加密的结果修改当前明文块。CBC方式使用一个称作初始化向量的附加文本来开始链接过程，初始化向量用于修改被加密的第一个明文块。加密原理：明文跟向量异或，再用KEY进行加密，结果作为下个BLOCK的初始化向量。解密原理：使用密钥先对密文解密，解密后再同初始向量异或得到明文。2)举例：明文：0110100110000011密钥：从右向左读取初始化向量：1100密文：0100100110000011算法：明文XOY初始化向量，后密文顺序为得到的文字的反向C.数据加密算法DES1)原理：DES是个快加密法，按64位块长加密数据。加密与解密使用相同的密钥，只是稍作改变，密钥长度为56位明文：00111010校验位：最后一位算法：异或运算，密钥最后一位不做运算密钥：10100010密文：10011000D.多重DESE.国际数据加密算法IDEA(可以理解为增强版DES)7.非对称密钥加密算法原理（RSA）要点：公钥加密，加密前先产生一对密钥，其中一个密钥是公开的即公钥，另一个密钥必须保密即私钥。每个参与加密系统的人都有一对密钥，公钥告诉所有人，私钥自己保密。加密及解密流程：如两人通信，甲和乙各自保护好自己的私钥，公开自己的公钥。首先，甲用乙的公钥加密信息，并将信息发给乙；接着乙用自己的私钥解密这个信息。（乙的公密钥明文块1加密密文块1密钥加密密文块1明文块1法大人APP收集整理来源：课件/网络特别感谢：林塬培5钥不能反向推导解密已经加密过的信息，所以被称为非对称。这就是与对称加密的区别）算法模型如下：1、选择两个大素数P、Q2、计算P、Q的乘积记为N3、选择一个公钥E，并且E不是P-1和Q-1的因子4、选择私钥D5、加密：明文PT密文CT6、解密：密文CT明文PTNCTPTDmod模型填入具体数据的实例如下：P=7，Q=17QPN=7X17=11911QP6X16=96选择E不能包括2，2，2，2，2，3因子，所以选择E为77计算私钥D因为(DX77）mod96=1所以D=5加密：已知明文为数字2得到密文32解密：密文32解密后是2，与初始设定一致8.混合制加密体制因为：对称密钥的快速，非对称密钥的密钥交换优点所以，为了两全其美产生了混合制加密系统流程要点：甲向乙发送信息，乙将自己的公钥告诉甲。甲对要发送的数据用DES法大人APP收集整理来源：课件/网络特别感谢：林塬培6算法加密，同时将DES加密密钥K用乙的公钥加密。甲将对称加密的数据信息和采用非对称加密的DES密钥一起发送给乙。乙首先用自己的私钥解密出K，然后用K将DES加密的数据解密出来。9.数字签名这是非对称加密的具体应用之一。公钥E和私钥D可反过来用，既用私钥D加密，用公钥E解密。因为公钥是公开的，所以用私钥D加密不是为了保密。那么是为了什么呢？因为私钥D加密的数据只能用公钥解密。那么反过来可以这样认为，只要公钥E能解密出来的东西一定是私钥D加密的。而私钥只有一个人保存，不可能泄漏给第三方。那这种机制就可以做为数字签名来用。数字签名的不可更改性：数字签名就是私钥加密的个人信息，任何人都能将这个信息解密出来。那么可否有人将信息解密出来进行修改呢？这是可能的。但解密出来他没有私钥如何加密成数字签名呢？现在数字签名具有法律效应，经常用在网上银行支付上。10.信息摘要：上边说到数字签名的特点，不过还是有些风险，万一密钥被人窃取了，那么一定可以伪造一样的数字签名，解决办法是增加信息摘要这个措施。原理是：假设数字4000用4除得1000。那么4可以作为4000的数字摘要。改变4000或4都无法得到1000。如只给出数字4而不给出更多信息，则无法追溯原来的公式4*1000=4000设计一个信息摘要的话应满足下面要求1、给定一个消息，应很容易求出信息摘要2、给定消息摘要，应该很难求出原先的消息3、给定两个消息，求出的信息摘要不同如果相同就是发生了冲突出现冲突的概率很小，因为摘要长度至少128位以上11.PGP加密软件应用试验先设定2个用户A和B。首先，A对一段明文（任意内容）用自己的私钥签名，再利用B的公钥加密已被签名的明文，然后发给B。B收到密文后使用自己的私钥加密，再用A的公钥进行身份验证。注意：导出的公钥扩展名为.asc二、网络安全概念1.概念、特征及内容1)概念：利用计算机网络管理控制和技术措施，保证网络系统以及数据的保密性、完整性网络服务可用性和可审查性受到保护。ISO（国际标准化组织）提出信息安全的定义是：为数据处理系统建立和采取的技术及管理保护，保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。我国定义信息安全为：计算机信息系统的安全保护，应当保障计算机及其相关的配套设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统安全运行。计算机网络安全是指利用计算机网络管理控制和技术措施，保证网络系统及数据的保密性、完整性、网络服务可用性和可审查性受到保护。狭义上，网络安全是指计算机及其网络系统资源和信息资源不受有害因素的威胁和法大人APP收集整理来源：课件/网络特别感谢：林塬培7危害。广义上，凡是涉及到计算机网络信息安全属性特征（保密性、完整性、可用性、可控性、可审查性）的相关技术和理论，都是网络安全的研究领域。网络安全问题包括两方面内容，一是网络的系统安全，二是网络的信息安全，而网络安全的最终目标和关键是保护网络的信息（数据）安全。2)特征：网络安全定义中的保密性、完整性、可用性、可控性、可审查性，反映了网络信息安全的基本特征和要求。反映了网络安全的基本属性、