1. 对称密码体制根据对明文加密方式的不同分为分组密码和序列密码
最热门的话题是INTERNET与异步传输模式ATM技术。信息技术与网络的应用已经成为衡量21世界国力与企业竞争力的重要标准。国家信息基础设施建设计划,NII被称为信息高速公路。Internet,Intranet与Extranet和电子商务已经成为企业网研究与应用的热点。计算机网络建立的主要目标是实现计算机资源的共享。计算机资源主要是计算机硬件,软件与数据。我们判断计算机是或互连成计算机网络,主要是看它们是不是独立的“自治计算机”。分布式操作系统是以全局方式管理系统资源,它能自动为用户任务调度网络资源。分布式系统与计算机网络的主要是区别不在他们的物理结构,而是在高层软件上。按传输技术分为:1。广播式网络。2。点--点式网络。采用分组存储转发与路由选择是点-点式网络与广播网络的重要区别之一。按规模分类:局域网,城域网与广域网。广域网(远程网)以下特点:1适应大容量与突发性通信的要求。2适应综合业务服务的要求。3开放的设备接口与规范化的协议。4完善的通信服务与网络管理。X.25网是一种典型的公用分组交换网,也是早期广域网中广泛使用的一种通信子网。变化主要是以下3个方面:1传输介质由原来的电缆走向光纤。2多个局域网之间告诉互连的要求越来越强烈。3用户设备大大提高。在数据传输率高,误码率低的光纤上,使用简单的协议,以减少网络的延迟,而必要的差错控制功能将由用户设备来完成。这就是帧中续FR,FrameRelay技术产生的背景。决定局域网特性的主要技术要素为网络拓扑,传输介质与介质访问控制方法。从局域网介质控制方法的角度,局域网分为共享式局域网与交换式局域网。城域网MAN介于广域网与局域网之间的一种高速网络。FDDI是一种以光纤作为传输介质的高速主干网,它可以用来互连局域网与计算机。各种城域网建设方案有几个相同点:传输介质采用光纤,交换接点采用基于IP交换的高速路由交换机或ATM交换机,在体系结构上采用核心交换层,业务汇聚层与接入层三层模式。计算机网络的拓扑主要是通信子网的拓扑构型。网络拓扑可以根据通信子网中通信信道类型分为:4点-点线路通信子网的拓扑。星型,环型,树型,网状型。5广播式通信子网的拓扑。总线型,树型,环型,无线通信与卫星通信型。传输介质是网络中连接收发双方的物理通路,也是通信中实际传送信息的载体。常用的传输介质为:双绞线,同轴电缆,光纤电缆和无线通信与卫星通信信道。双绞线由按规则螺旋结构排列的两根,四根或八根绝缘导线组成。屏蔽双绞线STP和非屏蔽双绞线UTP。屏蔽双绞线由外部保护层,屏蔽层与多对双绞线组成。非屏蔽双绞线由外部保护层,多对双绞线组成。三类线,四类线,五类线。双绞线用做远程中续线,最大距离可达15公里;用于100Mbps局域网时,与集线器最大距离为100米。同轴电缆由内导体,外屏蔽层,绝缘层,外部保护层。分为:基带同轴电缆和宽带同轴电缆。单信道宽带:宽带同轴电缆也可以只用于一条通信信道的高速数字通信。光纤电缆简称为光缆。由光纤芯,光层与外部保护层组成。在光纤发射端,主要是采用两种光源:发光二极管LED与注入型激光二极管ILD。光纤传输分为单模和多模。区别在与光钎轴成的角度是或分单与多光线传播。单模光纤优与多模光纤。电磁波的传播有两种方式:1。是在空间自由传播,既通过无线方式。2。在有限的空间,既有线方式传播。移动通信:移动与固定,移动与移动物体之间的通信。移动通信手段:1无线通信系统。2微波通信系统。频率在100MHz-10GHz的信号叫做微波信号,它们对应的信号波长为3m-3cm。3蜂窝移动通信系统。多址接入方法主要是有:频分多址接入FDMA,时分多址接入TDMA与码分多址接入CDMA。4卫星移动通信系统。商用通信卫星一般是被发射在赤道上方35900km的同步轨道上描述数据通信的基本技术参数有两个:数据传输率与误码率。数据传输率是描述数据传输系统的重要指标之一。S=1/T。对于二进制信号的最大数据传输率Rmax与通信信道带宽B(B=f,单位是Hz)的关系可以写为:Rmax=2*f(bps)在有随机热噪声的信道上传输数据信号时,数据传输率Rmax与信道带宽B,信噪比S/N关系为:Rmax=B*LOG⒉(1+S/N)误码率是二进制码元在数据传输系统中被传错的概率,它在数值上近似等于:Pe=Ne/N(传错的除以总的)对于实际数据传输系统,如果传输的不是二进制码元,要折合为二进制码元来计算。这些为网络数据传递交换而指定的规则,约定与标准被称为网络协议。协议分为三部分:语法。语义。时序。将计算机网络层次模型和各层协议的集合定义为计算机网络体系结构。计算机网络中采用层次结构,可以有以下好处:1各层之间相互独立。2灵活性好。3各层都可以采用最合适的技术来实现,各层实现技术的改变不影响其他各层。4易于实现和维护。5有利于促进标准化。该体系结构标准定义了网络互连的七层框架,既ISO开放系统互连参考模型。在这一框架中进一步详细规定了每一层的功能,以实现开放系统环境中的互连性,互操作性与应用的可移植性。OSI标准制定过程中采用的方法是将整个庞大而复杂的问题划分为若干个容易处理的小问题,这就是分层的体系结构法。在OSI中,采用了三级抽象,既体系结构,服务定义,协议规格说明。OSI七层:2物理层:主要是利用物理传输介质为数据链路层提供物理连接,以便透明的传递比特流。3数据链路层。在通信实体之间建立数据链路连接,传送以帧为单位的数据,采用差错控制,流量控制方法。4网络层:通过路由算法,为分组通过通信子网选择最适当的路径。5传输层:是向用户提供可靠的端到端服务,透明的传送报文。6会话层:组织两个会话进程之间的通信,并管理数据的交换。7表示层:处理在两个通信系统中交换信息的表示方式。8应用层:应用层是OSI参考模型中的最高层。确定进程之间通信的性质,以满足用户的需要。TCP/IP参考模型可以分为:应用层,传输层,互连层,主机-网络层。互连层主要是负责将源主机的报文分组发送到目的主机,源主机与目的主机可以在一个网上,也可以不在一个网上。传输层主要功能是负责应用进程之间的端到端的通信。TCP/IP参考模型的传输层定义了两种协议,既传输控制协议TCP和用户数据报协议UDP。TCP协议是面向连接的可靠的协议。UDP协议是无连接的不可靠协议。主机-网络层负责通过网络发送和接受IP数据报。按照层次结构思想,对计算机网络模块化的研究结果是形成了一组从上到下单向依赖关系的协议栈,也叫协议族。应用层协议分为:1。一类依赖于面向连接的TCP。2.一类是依赖于面向连接的UDP协议。10另一类既依赖于TCP协议,也可以依赖于UDP协议。NSFNET采用的是一种层次结构,可以分为主干网,地区网与校园网。作为信息高速公路主要技术基础的数据通信网具有以下特点:1适应大容量与突发性通信的要求。2适应综合业务服务的要求。3开放的设备接口与规范化的协议。4完善的通信服务与网络管理。人们将采用X。25建议所规定的DTE与DCE接口标准的公用分组交换网叫做X。25网。帧中继是一种减少接点处理时间的技术。综合业务数字网ISDN:B-ISDN与N-ISDN的区别主要在:2N是以目前正在使用的公用电话交换网为基础,而B是以光纤作为干线和用户环路传输介质。3N采用同步时分多路复用技术,B采用异步传输模式ATM技术。4N各通路速率是预定的,B使用通路概念,速率不预定。异步传输模式ATM是新一代的数据传输与分组交换技术,是当前网络技术研究与应用的热点问题。ATM技术的主要特点是:3ATM是一种面向连接的技术,采用小的,固定长度的数据传输单元。4各类信息均采用信元为单位进行传送,ATM能够支持多媒体通信。5ATM以统计时分多路复用方式动态的分配网络,网络传输延迟小,适应实时通信的要求。6ATM没有链路对链路的纠错与流量控制,协议简单,数据交换率高。7ATM的数据传输率在155Mbps-2。4Gbps。促进ATM发展的要素:2人们对网络带宽要求的不断增长。3用户对宽带智能使用灵活性的要求。4用户对实时应用的需求。5网络的设计与组建进一步走向标准化的需求。一个国家的信息高速路分为:国家宽带主干网,地区宽带主干网与连接最终用户的接入网。解决接入问题的技术叫做接入技术。可以作为用户接入网三类:邮电通信网,计算机网络(最有前途),广播电视网。网络管理包括五个功能:配置管理,故障管理,性能管理,计费管理和安全管理。代理位于被管理的设备内部,它把来自管理者的命令或信息请求转换为本设备特有的指令,完成管理者的指示,或返回它所在设备的信息。管理者和代理之间的信息交换可以分为两种:从管理者到代理的管理操作;从代理到管理者的事件通知。配置管理的目标是掌握和控制网络和系统的配置信息以及网络各设备的状态和连接管理。现代网络设备由硬件和设备驱动组成。配置管理最主要的作用是可以增强网络管理者对网络配置的控制,它是通过对设备的配置数据提供快速的访问来实现的。故障就是出现大量或严重错误需要修复的异常情况。故障管理是对计算机网络中的问题或故障进行定位的过程。故障管理最主要的作用是通过提供网络管理者快速的检查问题并启动恢复过程的工具,使网络的可靠性得到增强。故障标签就是一个监视网络问题的前端进程。性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维持在一个可以接受的水平上。性能管理包括监视和调整两大功能。记费管理的目标是跟踪个人和团体用户对网络资源的使用情况,对其收取合理的费用。记费管理的主要作用是网络管理者能测量和报告基于个人或团体用户的记费信息,分配资源并计算用户通过网络传输数据的费用,然后给用户开出帐单。安全管理的目标是按照一定的方法控制对网络的访问,以保证网络不被侵害,并保证重要的信息不被未授权用户访问。安全管理是对网络资源以及重要信息访问进行约束和控制。在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息,这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议,它建立在具体物理网络及其基础通信协议基础上,为网络管理平台服务。目前使用的标准网络管理协议包括:简单网络管理协议SNMP,公共管理信息服务/协议CMIS/CMIP,和局域网个人管理协议LMMP等。SNMP采用轮循监控方式。代理/管理站模式。管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力。代理节点可以是网络上任何类型的节点。SNMP是一个应用层协议,在TCP/IP网络中,它应用传输层和网络层的服务向其对等层传输信息。CMIP的优点是安全性高,功能强大,不仅可用于传输管理数据,还可以执行一定的任务。信息安全包括5个基本要素:机密性,完整性,可用性,可控性与可审查性。3D1级。D1级计算机系统标准规定对用户没有验证。例如DOS。WINDOS3。X及WINDOW95(不在工作组方式中)。Apple的System7。X。4C1级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。C1级又称为选择安全保护系统,它描述了一种典型的用在Unix系统上的安全级别。C1级要求硬件有一定的安全级别,用户在使用前必须登陆到系统。C1级的防护的不足之处在与用户直接访问操作系统的根。9C2级提供比C1级系统更细微的自主式访问控制。为处理敏感信息所需要的最底安全级别。C2级别还包含有受控访问环境,该环境具有进一步限制用户执行一些命令或访问某些文件的权限,而且还加入了身份验证级别。例如UNIX系统。XENIX。Novell3。0或更高版本。WINDOWSNT。10B1级称为标记安全防护,B1级支持多级安全。标记是指网上的一个对象在安全保护计划中是可识别且受保护的。B1级是第一种需要大量访问控制支持的级别。安全级别存在保密,绝密级别。11B2又称为结构化保护,他要求计算机系统中的所有对象都要加上标签,而且给设备分配安全级别。B2级系统的关键安全硬件/软件部件必须建立在一个形式的安全方法模式上。12B3级又叫安全域,要求用户工作站或终端通过可信任途径连接到网络系统。而且这一级采用硬件来保护安全系统的存储区。B3级系统的关键安全部件必须理解所有客体到主体的访问,必须是防窜扰的,而且必须足够小以便分析与测试。30A1最高安全级别,表明系统提供了最全面的安全,又叫做验证设计。所有来自构成系统的部件来源必须有安全保证,以此保证系统的完善和安全,安全措施还必须担保在销售过程中,系统部件不受伤害。网络安全从本质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性,完整性,可用性,真实性和可控性的相关技术和理论都是网络安全的研究领域。安全策约是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策约模型包括了建立安全环境的三个重要组成部分:威严的法律,先进的技术和严格的管理。网络安全是网络系统的硬件,软件以及系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏,更改,泄露,系统能连续,可靠和正常的运行,网络服务不中断。保证安全性的所有机制包括以下两部分:1对被传送的信息进行与安全相关的转换。2两个主体共享不希望对手得知的保密信息。安全威胁是某个人,物,事或概念对某个资源的机密性,完整性,可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。截取是未授权的实体得到了资源的访问权。这是对保密性的攻击。修改是未授权的实体不仅得到了访问权,而且还篡改了资源。这是对完整性的攻击。捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有:泄露信息内容和通信量分析等。主动攻击涉及修改数据流或创建错误的数据流,它包括假冒,重放,修改信息和拒绝服务等。假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。重放涉及被动捕获数据单元以及后来的重新发送,以产生未经授权的效果。修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。拒绝服务的禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断,这可以通过使网络失效而实现,或通过消息过载使网络性能降低。防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。从网络高层协议角度看,攻击方法可以概括为:服务攻击与非服务攻击。服务攻击是针对某种特定网络服务的攻击。非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议进行的。非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,是一种更有效的攻击手段。网络安全的基本目标是实现信息的机密性,完整性,可用性和合法性。主要的可实现威胁:3渗入威胁:假冒,旁路控制,授权侵犯。4植入威胁:特洛伊木马,陷门。病毒是能够通过修改其他程序而感染它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能继续感染其他程序。网络反病毒技术包括预防病毒,检测病毒和消毒三种技术。1预防病毒技术。它通过自身长驻系统内存,优先获得系统的控制权,监视和判断系统中是或有病毒存在,进而阻止计算机病毒进入计算机系统对系统进行破坏。这类技术有:加密可执行程序,引导区保护,系统监控与读写控制。2.检测病毒技术。通过对计算机病毒的特征来进行判断的技术。如自身效验,关键字,文件长度的变化等。3.消毒技术。通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原元件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测,在工作站上用防病毒芯片和对网络目录以及文件设置访问权限等。网络信息系统安全管理三个原则:1多人负责原则。2任期有限原则。3职责分离原则。保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程叫组解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密钥叫做解密密钥。密码系统通常从3个独立的方面进行分类:1按将明文转化为密文的操作类型分为:置换密码和易位密码。所有加密算法都是建立在两个通用原则之上:置换和易位。2按明文的处理方法可分为:分组密码(块密码)和序列密码(流密码)。3按密钥的使用个数分为:对称密码体制和非对称密码体制。如果发送方使用的加密密钥和接受方使用的解密密钥相同,或从其中一个密钥易于的出另一个密钥,这样的系统叫做对称的,但密钥或常规加密系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫做不对称的,双密钥或公钥加密系统。分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。分组密码设计的核心上构造既具有可逆性又有很强的线性的算法。序列密码的加密过程是将报文,话音,图象,数据等原始信息转化成明文数据序列,然后将它同密钥序列进行异或运算。生成密文序列发送给接受者。数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。对称加密使用单个密钥对数据进行加密或解密。不对称加密算法也称为公开加密算法,其特点是有两个密钥,只有两者搭配使用才能完成加密和解密的全过程。不对称加密的另一用法称为“数字签名”,既数据源使用其私有密钥对数据的效验和或其他与数据内容有关的变量进行加密,而数据接受方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。加密技术应用于网络安全通常有两种形式,既面向网络和面向应用程序服务。面向网络服务的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送,认证网络路由及其其他网络协议所需的信息,从而保证网络的连通性和可用性不受侵害。面向网络应用程序服务的加密技术使用则是目前较为流行的加密技术的使用方法。从通信网络的传输方面,数据加密技术可以分为3类:链路加密方式,节点到节点方式和端到端方式。链路加密方式是一般网络通信安全主要采用的方式。节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点里装有加,解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。在端到端机密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解密的。试图发现明文或密钥的过程叫做密码分析。算法实际进行的置换和转换由保密密钥决定。密文由保密密钥和明文决定。对称加密有两个安全要求:1需要强大的加密算法。2发送方和接受方必须用安全的方式来获得保密密钥的副本。常规机密的安全性取决于密钥的保密性,而不是算法的保密性。IDEA算法被认为是当今最好最安全的分组密码算法。公开密钥加密又叫做非对称加密。公钥密码体制有两个基本的模型,一种是加密模型,一种是认证模型。通常公钥加密时候使用一个密钥,在解密时使用不同但相关的密钥。常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。密钥的生存周期是指授权使用该密钥的周期。在实际中,存储密钥最安全的方法就是将其放在物理上安全的地方。密钥登记包括将产生的密钥与特定的应用绑定在一起。密钥管理的重要内容就是解决密钥的分发问题。密钥销毁包括清除一个密钥的所有踪迹。密钥分发技术是将密钥发送到数据交换的两方,而其他人无法看到的地方。数字证书是一条数字签名的消息,它通常用与证明某个实体的公钥的有效性。数字证书是一个数字结构,具有一种公共的格式,它将某一个成员的识别符和一个公钥值绑定在一起。人们采用数字证书来分发公钥。序列号:由证书颁发者分配的本证书的唯一标示符。认证是防止主动攻击的重要技术,它对于开放环境中的各种信息系统的安全有重要作用。认证是验证一个最终用户或设备的声明身份的过程。主要目的为:4验证信息的发送者是真正的,而不是冒充的,这称为信源识别。5验证信息的完整性,保证信息在传送过程中未被窜改,重放或延迟等。认证过程通常涉及加密和密钥交换。帐户名和口令认证方式是最常用的一种认证方式。授权是把访问权授予某一个用户,用户组或指定系统的过程。访问控制是限制系统中的信息只能流到网络中的授权个人或系统。有关认证使用的技术主要有:消息认证,身份认证和数字签名。消息认证的内容包括为:1证实消息的信源和信宿。2消息内容是或曾受到偶然或有意的篡改。3消息的序号和时间性。消息认证的一般方法为:产生一个附件。身份认证大致分为3类:1个人知道的某种事物。2个人持证3个人特征。口令或个人识别码机制是被广泛研究和使用的一种身份验证方法,也是最实用的认证系统所依赖的一种机制。为了使口令更加安全,可以通过加密口令或修改加密方法来提供更强健的方法,这就是一次性口令方案,常见的有S/KEY和令牌口令认证方案。持证为个人持有物。数字签名的两种格式:2经过密码变换的被签名信息整体。3附加在被签消息之后或某个特定位置上的一段签名图样。对与一个连接来说,维持认证的唯一法是同时使用连接完整性服务。防火墙总体上分为包过滤,应用级网关和代理服务等几大类型。数据包过滤技术是在网络层对数据包进行选择。应用级网关是在网络应用层上建立协议过滤和转发功能。代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。防火墙是设置在不同网络或网络安全域之间的一系列不见的组合。它可以通过检测,限制,更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部的消息,结构和运行情况,以此来实现网络的安全保护。防火墙的设计目标是:1进出内部网的通信量必须通过防火墙。2只有那些在内部网安全策约中定义了的合法的通信量才能进出防火墙。3防火墙自身应该防止渗透。防火墙能有效的防止外来的入侵,它在网络系统中的作用是:1控制进出网络的信息流向和信息包。2提供使用和流量的日志和审记。3隐藏内部IP以及网络结构细节。4提供虚拟专用网功能。通常有两种设计策约:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。防火墙实现站点安全策约的技术:3服务控制。确定在围墙外面和里面可以访问的INTERNET服务类型。4方向控制。启动特定的服务请求并允许它通过防火墙,这些操作具有方向性。5用户控制。根据请求访问的用户来确定是或提供该服务。6行为控制。控制如何使用某种特定的服务。影响防火墙系统设计,安装和使用的网络策约可以分为两级:高级的网络策约定义允许和禁止的服务以及如何使用服务。低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。
2. 对称密钥体制与公钥密钥体制的特点各自是什么各有何优缺点
对称密钥体制是加密密钥与解密密钥密码相同,两个参与者共享同一个密钥。
公钥密码体制是使用不同的加密密钥和解密密钥,加密密钥是公开信息,而解密密钥需要保密。
公钥密码体制有很多良好的特性,它不仅可以用来加密,还可以很方便的用于鉴别和数字签名。但公钥密码算法比对称密钥密码算法要慢好几个数量级。
对称密钥体制的加解密速度快且安全强度高,但密钥难管理和传送,不适于在网络中单独使用。
密钥的产生
1、选择两个大素数,p和q。
2、计算:n = p * q (p,q分别为两个互异的大素数,p,q必须保密,一般要求p,q为安全素数,n的长度大于512bit,这主要是因为RSA算法的安全性依赖于因子分解大数问题)。有欧拉函数(n)=(p-1)(q-1)。
3、然后随机选择加密密钥e,要求e和( p - 1 ) * ( q - 1 )互质。
4、最后,利用Euclid算法计算解密密钥d,满足de≡1(modφ(n))。其中n和d也要互质。数e和n是公钥,d是私钥。两个素数p和q不再需要,应该丢弃,不要让任何人知道。
3. 计算机网络信息安全技术上密码技术的发展了那几个阶段分别发生了那些显着的变化
主要分三个阶段!
密码学是一个即古老又新兴的学科。密码学(Cryptology)一字源自希腊文"krypto's"及"logos"两字,直译即为"隐藏"及"讯息"之意。密码学有一个奇妙的发展历程,当然,密而不宣总是扮演主要角色。所以有人把密码学的发展划分为三个阶段:
第一阶段为从古代到1949年。这一时期可以看作是科学密码学的前夜时期,这阶段的密码技术可以说是一种艺术,而不是一种科学,密码学专家常常是凭知觉和信念来进行密码设计和分析,而不是推理和证明。
早在古埃及就已经开始使用密码技术,但是用于军事目的,不公开。
1844年,萨米尔·莫尔斯发明了莫尔斯电码:用一系列的电子点划来进行电报通讯。电报的出现第一次使远距离快速传递信息成为可能,事实上,它增强了西方各国的通讯能力。
20世纪初,意大利物理学家奎里亚摩·马可尼发明了无线电报,让无线电波成为新的通讯手段,它实现了远距离通讯的即时传输。马可尼的发明永远地改变了密码世界。由于通过无线电波送出的每条信息不仅传给了己方,也传送给了敌方,这就意味着必须给每条信息加密。
随着第一次世界大战的爆发,对密码和解码人员的需求急剧上升,一场秘密通讯的全球战役打响了。
在第一次世界大战之初,隐文术与密码术同时在发挥着作用。在索姆河前线德法交界处,尽管法军哨兵林立,对过往行人严加盘查,德军还是对协约国的驻防情况了如指掌,并不断发动攻势使其陷入被动,法国情报人员都感到莫名其妙。一天,有位提篮子的德国农妇在过边界时受到了盘查。哨兵打开农妇提着的篮子,见里头都是煮熟的鸡蛋,亳无可疑之处,便无意识地拿起一个抛向空中,农妇慌忙把它接住。哨兵们觉得这很可疑,他们将鸡蛋剥开,发现蛋白上布满了字迹,都是英军的详细布防图,还有各师旅的番号。原来,这种传递情报的方法是德国一位化学家提供的,其作法并不复杂:用醋酸在蛋壳上写字,等醋酸干了后,再将鸡蛋煮熟,字迹便透过蛋壳印在蛋白上,外面却没有任何痕迹。
1914年8月5日,英国“泰尔哥尼亚”号船上的潜水员割断了德国在北大西洋海下的电缆。他们的目的很简单,就是想让德国的日子更难过,没想到这却使德方大量的通讯从电缆转向了无线电。结果,英方截取了大量原本无法得到的情报。情报一旦截获,就被送往40号房间——英国海军部的密件分析部门。40号房间可以说是现代密件分析组织的原型,这里聚集了数学家、语言学家、棋类大师等任何善于解谜的人。
1914年9月,英国人收到了一份“珍贵”的礼物:同盟者俄国人在波罗的海截获了一艘德国巡洋舰“玛格德伯格”号,得到一本德国海军的密码本。他们立即将密码本送至40号房间,允许英国破译德国海军的密件,并在战争期间围困德军战船。能够如此直接、顺利且经常差不多是同时读取德国海军情报的情况,在以往的战事中几乎从未发生过。
密码学历史上最伟大的密码破译事件开始于1917年1月17日。当时英军截获了一份以德国最高外交密码0075加密的电报,这个令人无法想象的系统由一万个词和词组组成,与一千个数字码群对应。密电来自德国外交部长阿瑟·齐麦曼,传送给他的驻华盛顿大使约翰·冯·贝伦朵尔夫,然后继续传给德国驻墨西哥大使亨尼希·冯·艾克哈尔特,电文将在那里解密,然后交给墨西哥总统瓦律斯提阿诺·加汉扎。
密件从柏林经美国海底电缆送到了华盛顿,英军在那里将其截获并意识到了它的重要性。但是,同样接到密件的约翰·冯·贝伦朵尔夫却在他的华盛顿办公室里犯了个致命的错误:他们将电报用新的0075密件本译出,然后又用老的密件本加密后用电报传送到墨西哥城。大使先生没有意识到,他已经犯下了一个密码使用者所能犯的最愚蠢的、最可悲的错误。
此时,已经破译了老密码的英方正对着这个未曾破译的新外交密码系统一筹莫展,不过没过多久,他们便从大使先生的糊涂操作中获得了新旧密码的比较版本。随着齐麦曼的密件逐渐清晰起来,其重要性令人吃惊。
尽管1915年美国的远洋客轮“露斯塔尼亚”号被德军击沉,但只要德国对其潜艇的行动加以限制,美国仍将一直保持中立。齐麦曼的电文概括了德国要在1917年2月1日重新开始无限制海战以抑制英国的企图。为了让美国原地不动,齐麦曼建议墨西哥入侵美国,重新宣布得克萨斯州、新墨西哥州和亚里桑纳州归其所有。德国还要墨西哥说服日本进攻美国,德国将提供军事和资金援助。
英国海军部急于将破译的情报通知美国而又不能让德国知道他们的密码已被破译。于是,英国的一个特工成功地渗入了墨西哥电报局,得到了送往墨西哥总统的解了密的文件拷贝。这样,秘密就可能是由墨西哥方泄露的,他们以此为掩护将情报透露给了美国。
美国愤怒了。每个人都被激怒了,原先只是东海岸的人在关心,现在,整个中西部都担心墨西哥的举动。电文破译后六个星期,美国对德国宣战。当总统伍德罗·威尔逊要求对德宣战时,站在他背后的,是一个团结起来的愤怒的国家,它时刻准备对德作战。
这可能是密码破译史上,当然也是情报史上最着名的事件。齐麦曼的电文使整个美国相信德国是国家的敌人。德国利用密码破译击败了俄军,反过来又因自己的密码被破译而加速走向了灭亡。
第一次世界大战前,重要的密码学进展很少出现在公开文献中。直到1918年,二十世纪最有影响的密码分析文章之一¾¾William F. Friedman的专题论文《重合指数及其在密码学中的应用》作为私立的“河岸(Riverbank)实验室”的一份研究报告问世了,其实,这篇着作涉及的工作是在战时完成的。一战后,完全处于秘密工作状态的美国陆军和海军的机要部门开始在密码学方面取得根本性的进展。但是公开的文献几乎没有。
然而技术却在飞速的发展,简单的明文字母替换法已经被频率分析法毫无难度地破解了,曾经认为是完美的维吉耐尔(Vigenere)密码和它的变种也被英国人Charles Babbage破解了。顺便说一句,这个Charles Babbage可不是凡人,他设计了差分机Difference Engine和分析机Analytical Engine,而这东西就是现在计算机的先驱。这个事实给了人们两个启示:第一,没有哪种“绝对安全”的密码是不会被攻破的,这只是个时间问题;第二,破译密码看来只要够聪明就成。在二次大战中,密码更是扮演一个举足轻重的角色,许多人认为同盟国之所以能打赢这场战争完全归功于二次大战时所发明的破译密文数位式计算机破解德日密码。
1918年,加州奥克兰的Edward H.Hebern申请了第一个转轮机专利,这种装置在差不多50年里被指定为美军的主要密码设备,它依靠转轮不断改变明文和密文的字母映射关系。由于有了转轮的存在,每转动一格就相当于给明文加密一次,并且每次的密钥不同,而密钥的数量就是全部字母的个数――26个。
同年,密码学界的一件大事“终于”发生了:在德国人Arthur Scherbius天才的努力下,第一台非手工编码的密码机――ENIGMA密码机横空出世了。密码机是德军在二战期间最重要的通讯利器,也是密码学发展史上的一则传奇。当时盟军借重英国首都伦敦北方布莱奇利公园的“政府电码与密码学院”,全力破译德军之“谜”。双方隔着英吉利海峡斗智,写下一页精彩无比的战史,后来成为无数电影与影集的主要情节,“猎杀U571”也是其中之一。
随着高速、大容量和自动化保密通信的要求,机械与电路相结合的转轮加密设备的出现,使古典密码体制也就退出了历史舞台。
第二阶段为从1949年到1975年。
1949年仙农(Claude Shannon)《保密系统的通信理论》,为近代密码学建立了理论基础。从1949年到1967年,密码学文献近乎空白。许多年,密码学是军队独家专有的领域。美国国家安全局以及前苏联、英国、法国、以色列及其它国家的安全机构已将大量的财力投入到加密自己的通信,同时又千方百计地去破译别人的通信的残酷游戏之中,面对这些政府,个人既无专门知识又无足够财力保护自己的秘密。
1967年,David Kahn《破译者》(The CodeBreaker)的出现,对以往的密码学历史作了相当完整的记述。《破译者》的意义不仅在于涉及到相当广泛的领域,它使成千上万的人了解了密码学。此后,密码学文章开始大量涌现。大约在同一时期,早期为空军研制敌我识别装置的Horst Feistel在位于纽约约克镇高地的IBM Watson实验室里花费了毕生精力致力于密码学的研究。在那里他开始着手美国数据加密标准(DES)的研究,到70年代初期,IBM发表了Feistel和他的同事在这个课题方面的几篇技术报告。
第三阶段为从1976年至今。1976年diffie 和 hellman 发表的文章“密码学的新动向”一文导致了密码学上的一场革命。他们首先证明了在发送端和接受端无密钥传输的保密通讯是可能的,从而开创了公钥密码学的新纪元。
1978年,R.L.Rivest,A.Shamir和L.Adleman实现了RSA公钥密码体制。
1969年,哥伦比亚大学的Stephen Wiesner首次提出“共轭编码”(Conjugate coding)的概念。1984年,H. Bennett 和G. Brassard在次思想启发下,提出量子理论BB84协议,从此量子密码理论宣告诞生。其安全性在于:1、可以发现窃听行为;2、可以抗击无限能力计算行为。
1985年,Miller和Koblitz首次将有限域上的椭圆曲线用到了公钥密码系统中,其安全性是基于椭圆曲线上的离散对数问题。
1989年R.Mathews, D.Wheeler, L.M.Pecora和Carroll等人首次把混沌理论使用到序列密码及保密通信理论,为序列密码研究开辟了新途径。
2000年,欧盟启动了新欧洲数据加密、数字签名、数据完整性计划NESSIE,究适应于21世纪信息安全发展全面需求的序列密码、分组密码、公开密钥密码、hash函数以及随机噪声发生器等技术。
建议你可以参考下:密码学基础、密码学原理、OpenSSL等书籍
4. 什么是对称密码和非对密码,分析这两种密码体系的特点和应用领域
一、对称密码
1、定义:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
2、特点:算法公开、计算量小、加密速度快、加密效率高。
3、应用领域:由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。
二、非对密码
1、定义:非对称密码指的是非对称密码体制中使用的密码。
2、特点:
(1)是加密密钥和解密密钥不同 ,并且难以互推 。
(2)是有一个密钥是公开的 ,即公钥 ,而另一个密钥是保密的 ,即私钥。
3、应用领域:很好的解决了密钥的分发和管理的问题 ,并且它还能够实现数字签名。
(4)计算机网络中的密码体制扩展阅读
对称加密算法特征
1、加密方和解密方使用同一个密钥;
2、加密解密的速度比较快,适合数据比较长时的使用;
3、密钥传输的过程不安全,且容易被破解,密钥管理也比较麻烦
5. 计算机网络系统中广泛使用的DES算法属于什么加密
对称加密!DES算法为密码体制中的对称密码体制,又被成为美国数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法。其密钥长度为56位,明文按64位进行分组,将分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。
哈哈 我学过
6. 比较计算机网络加密技术的三种方式的优缺点 分析各自适应范围 大概说下
DES算法的入口参数有三个:Key、Data、Mode。其中Key为7个字节共56位,是DES算法的工作密钥;Data为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。
DES 作为贸易术语是意思是指卖方将货物运至指定的目的港,并在船上交易.按此术语成交,买卖双方责任、费用和风险的划分,以目的港船上办理交接手续为界。卖方承担在目的港船上将货交由买方处置以前的一切费用和风险,并按合同规定支付货款。
IDEA(International Data Encryption Algorithm)在密码学中属于数据块加密算法(Block Cipher)类。IDEA使用长度为128bit的密钥,数据块大小为64bit。从理论上讲,IDEA属于“强”加密算法,至今还没有出现对该算法的有效攻击算法。
SA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。
缺点
1)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密。
2)安全性,RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价,而且密码学界多数人士倾向于因子分解不是NP问题。
7. 比较通用密码体制和公开密码体制的特点
全称应该是通用密钥密码体制和公开密钥密码体制。下面是关于两种密码体制的特点介绍。我也是学密码学的如果有问题可以进一步交流。
传统的加密方法是加密、解密使用同样的密钥,由发送者和接收者分别保存,在加密和解密时使用,采用这种方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂,特别是随着用户的增加,密钥的需求量成倍增加。在网络通信中,大量密钥的分配是一个难以解决的问题。
例如,若系统中有n个用户,其中每两个用户之间需要建立密码通信,则系统中每个用户须掌握(n-1)/2个密钥,而系统中所需的密钥总数为n*(n-1)/2 个。对10个用户的情况,每个用户必须有9个密钥,系统中密钥的总数为45个。对100个用户来说,每个用户必须有99个密钥,系统中密钥的总数为4950个。这还仅考虑用户之间的通信只使用一种会话密钥的情况。如此庞大数量的密钥生成、管理、分发确实是一个难处理的问题。
本世纪70年代,美国斯坦福大学的两名学者迪菲和赫尔曼提出了一种新的加密方法--公开密钥加密队PKE方法。与传统的加密方法不同,该技术采用两个不同的密钥来对信息加密和解密,它也称为"非对称式加密方法。每个用户有一个对外公开的加密算法E和对外保密的解密算法D,
它们须满足条件:
(1)D是E的逆,即D[E(X)]=X;
(2)E和D都容易计算。
(3)由E出发去求解D十分困难。
从上述条件可看出,公开密钥密码体制下,加密密钥不等于解密密钥。加密密钥可对外公开,使任何用户都可将传送给此用户的信息用公开密钥加密发送,而该用户唯一保存的私人密钥是保密的,也只有它能将密文复原、解密。虽然解密密钥理论上可由加密密钥推算出来,但这种算法设计在实际上是不可能的,或者虽然能够推算出,但要花费很长的时间而成为不可行的。所以将加密密钥公开也不会危害密钥的安全。
数学上的单向陷门函数的特点是一个方向求值很容易,但其逆向计算却很困难。基于这种理论,1978年出现了着名的RSA算法。这种算法为公用网络上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一对RSA 密钥,其中之一是保密密钥,由用户保存;另一个为公开密钥,可对外公开,甚至可在网络服务器中注册。为提高保密强度,RSA密钥至少为500位长,一般推荐使用1024位。这就使加密的计算量很大。为减少计算量,在传送信息时,常采用传统加密方法与公开密钥加密方法相结合的方式,即信息采用改进的DES或IDEA对话密钥加密,然后使用RSA密钥加密对话密钥和信息摘要。对方收到信息后,用不同的密钥解密并可核对信息摘要。
RSA算法的加密密钥和加密算法分开,使得密钥分配更为方便。它特别符合计算机网络环境。对于网上的大量用户,可以将加密密钥用电话簿的方式印出。如果某用户想与另一用户进行保密通信,只需从公钥簿上查出对方的加密密钥,用它对所传送的信息加密发出即可。对方收到信息后,用仅为自己所知的解密密钥将信息脱密,了解报文的内容。由此可看出,RSA算法解决了大量网络用户密钥管理的难题。
RSA并不能替代DES,它们的优缺点正好互补。 RSA的密钥很长,加密速度慢,而采用DES,正好弥补了RSA的缺点。即DES用于明文加密,RSA用于DES密钥的加密。由于DES加密速度快,适合加密较长的报文;而RSA可解决DES密钥分配的问题。美国的保密增强邮件(PEM)就是采用了RSA 和DES结合的方法,目前已成为E-MAIL保密通信标准。
通用密钥密码体制
通用密钥密码体制的加密密钥Ke和解密密钥Kd是通用的,即发送方和接收方使用同样密钥的密码体制,也称之为“传统密码体制”。
在通用密码体制中,目前得到广泛应用的典型算法是DES算法。DES是由“转置”方式和“换字”方式合成的通用密钥算法,先将明文(或密文)按64位分组,再逐组将64位的明文(或密文),用56位(另有8位奇偶校验位,共64位)的密钥,经过各种复杂的计算和变换,生成64位的密文(或明文),该算法属于分组密码算法。
DES算法可以由一块集成电路实现加密和解密功能。该算法是对二进制数字化信息加密及解密的算法,是通常数据通信中,用计算机对通信数据加密保护时使用的算法。DES算法在1977年作为数字化信息的加密标准,由美国商业部国家标准局制定,称为“数据加密标准”,并以“联邦信息处理标准公告”的名称,于1977年1月15日正式公布。使用该标准,可以简单地生成DES密码。
8. 请问:单钥体制和双钥体制的各自特点是什么
单钥体制信息的发送方和接收方使用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
公钥需要使用不同的密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。
信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密,公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
以在实际的应用中,人们通常将两者结合在一起使用,例如对称密钥加密系统用于存储大量数据信息,而公开密钥加密系统则用于加密密钥。
对于普通的对称密码学,加密运算与解密运算使用同样的密钥。通常,使用的对称加密算法比较简便高效,密钥简短,破译极其困难,由于系统的保密性主要取决于密钥的安全性,所以,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。
正是由于对称密码学中双方都使用相同的密钥,因此无法实现数据签名和不可否认性等功能。
9. 数据加密中的密码体制主要包括哪些内容
透明解密不影响工作效率
经过加密的数据文件,在授权计算机上打开时,不需要输入密码,不需要经过任何多余的操作便能打开密文。在用户打开密文时,根据其权限自动对密文进行解密。因此,安装加密软件后,不会影响正常的工作效率。
自动备份保证企业数据不会遭受损失
提供自动备份功能,在数据加密的同时,可将不加密的数据自动备份到网络服务器,免除企业使用加密软件的担忧和风险。
实现与现有管理系统无碍集成
只需要通过简单的设置便能实现与现有管理系统进行集成。包括OA、PDM、ERP、CRM等不同的管理系统。 EDS成功与Lotus Notes、极限OA、KMPDM、英泰PDM、思普PDM、IntePDM、TeamCenter、Windchill、神玛ERP、利玛ERP、和佳ERP、Oracle、SAP等等进行过集成。
对于数据加密软件在智融金甲加密官网针对这一点有详细说明,可以搜索查看解决您的问题。
10. 什么是单钥密码体制
分为: 单密钥密码体制和双密钥密码体制,区别在于: 单密钥密码体制、加密和解密密钥相同、双密钥密码体制、加密和解密密钥不相同