【正文】 信息安全技術(shù) 訪問控制技術(shù)與安全審計(jì)技術(shù) 應(yīng)用實(shí)例 第 4章 信息安全技術(shù) 信息安全技術(shù) 本節(jié)內(nèi)容 信息安全的目標(biāo) 信息加密與信息安全 經(jīng)典加密技術(shù) 現(xiàn)代加密技術(shù) DES算法 消息摘要 公開密鑰加密體制 當(dāng)今的世界 ， 是信息的時代 ， 通信技術(shù) 、 計(jì)算機(jī)技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展大大提高了信息的獲取 、 處理 、 傳輸 、存儲和應(yīng)用能力 ， 信息數(shù)字化已經(jīng)成為普遍現(xiàn)象 。 隨著互聯(lián)網(wǎng)的普及和應(yīng)用 ， 更方便了信息的共享和交流 ， 使信息技術(shù)的應(yīng)用擴(kuò)展到社會經(jīng)濟(jì) 、 政治 、 軍事 、 個人生活等各個領(lǐng)域 。 因此 ，信息安全的重要性可以上升到國家安全的高度 。 可以說 ， 當(dāng)今的社會 ， 已離不開計(jì)算機(jī)網(wǎng)絡(luò) ， 更離不開信息 。 因此 ， 學(xué)習(xí)和掌握好信息安全知識 ， 掌握好計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) ， 是我們的當(dāng)務(wù)之急 。 信息安全的目標(biāo) 信息安全的目標(biāo)是保護(hù)信息的機(jī)密性 、 完整性 、 真實(shí)性 、抗否認(rèn)性 、 可用性和訪問控制 。 通常將機(jī)密性 、 完整性和可用性稱為 CIA技術(shù) 。 保護(hù)信息的機(jī)密性有兩個含義：其一是阻止非授權(quán)用戶非法訪問和獲取信息 ， 即保證信息不被非授權(quán)訪問；其二是對信息進(jìn)行加密處理 ， 即使非授權(quán)用戶得到信息也無法知曉信息內(nèi)容 ， 因而不能使用 。 通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息 ， 通過加密變換阻止非授權(quán)用戶獲知信息內(nèi)容 。 信息加密與信息安全 信息安全是一門交叉學(xué)科 ， 涉及多方面的理論和應(yīng)用知識 。 除了數(shù)學(xué) 、 通信 、 計(jì)算機(jī)等自然科學(xué)外 ， 還涉及法律 、心理學(xué)等社會科學(xué) 。 信息安全研究可分為基礎(chǔ)理論研究 、 應(yīng)用技術(shù)研究 、 安全管理研究等幾個方面： l 基礎(chǔ)理論研究包括密碼研究 、 安全理論研究； l 應(yīng)用技術(shù)研究包括安全實(shí)現(xiàn)技術(shù) 、 安全平臺技術(shù)研究； l安全管理研究包括安全標(biāo)準(zhǔn) 、 安全策略 、 安全測評研究 。 在本節(jié)中 ， 介紹的是密碼理論及加密應(yīng)用技術(shù) 。 (1)數(shù)據(jù)加密 (Data Encryption) (2)消息摘要 (Message Digest) (3)數(shù)字簽名 (Digital Signature) (4)密鑰管理 (Key Management) (1)身份認(rèn)證 (Authentication) （ 2） 授權(quán)和訪問控制 (Authorization and Access Contro1) （ 3） 審計(jì)追蹤 (Auditing and Tracing) （ 4） 安全協(xié)議 (Security Protocol) 經(jīng)典加密技術(shù) l 經(jīng)典加密技術(shù)：經(jīng)典加密技術(shù)又叫傳統(tǒng)加密技術(shù) 。 l 密碼學(xué)：密碼學(xué)研究的是密碼編碼學(xué)和密碼分析學(xué)的科學(xué) 。 l 密碼編碼學(xué)：是對信息進(jìn)行編碼實(shí)現(xiàn)信息保密性的科學(xué) 。 l 密碼分析學(xué)：是研究 、 分析 、 破譯密碼的科學(xué) 。 l單密鑰系統(tǒng)：單密鑰系統(tǒng)又稱為對稱密碼系統(tǒng)或秘密密鑰密碼系統(tǒng) ， 單密鑰系統(tǒng)的加密密鑰和解密密鑰或者相同 ， 或者實(shí)質(zhì)上等同 ， 即易于從一個密鑰推出另一個密鑰 。 l 雙密鑰系統(tǒng)：雙密鑰系統(tǒng)又稱為非對稱密碼系統(tǒng)或公開密鑰密碼系統(tǒng) 。 雙密鑰系統(tǒng)有兩個密鑰 ， 一個是公開密鑰 ， 是大家都可以使用的密鑰 ， 另一個是私有密鑰 ， 只能是該密鑰擁有者才能使用 ， 而且從公開密鑰是推不出私有密鑰的 。 l 經(jīng)典密碼體制：經(jīng)典密碼體制是傳統(tǒng)的加密解密體制 ， 采用手工或機(jī)械操作實(shí)現(xiàn)加 /解密 。 經(jīng)典密碼大體上可分為三類：單表代換密碼 、 多表代換密碼和多字母代換密碼 。 將字母 a， b， c， d， ? ， w， x， y， z用 d， e， f， g， ? ， z， a，b， c來代替 (即將字母表中的每個字母用其后的第 3個字母進(jìn)行替換 ，此時密鑰為 “ 3”) 。 例如：若明文為 “ student” ， 則對應(yīng)的密文為 “ vwxghqw” 。 這就是著名的凱撒 (Kaesar)密碼 ， 也稱為移位代換密碼 。 凱撒密碼僅有 26個可能的密鑰 ， 是不安全的 。 如果允許字母表中的字母用任意字母進(jìn)行替換 （ “ 隨機(jī)置換 ” 加密算法 ） ， 即上述密文能夠是 26個字母的任意排列 ， 則將有 26!或多于 4 1026種可能的密鑰 。 這樣的密鑰空間甚至用計(jì)算機(jī)進(jìn)行窮舉搜索密鑰也是不現(xiàn)實(shí)的 。 例 41： “ 隨機(jī) ” 置換加密與解密算法 。 明文： a b c d e f g h i j k l m n o p q r s t u v w x y z 密文： X N Y A H P O G Z Q W B T S F L R C V M U E K J D I 解密是如下的一個逆置換： 密文： A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 明文： d l r y v o h e z x w p t b g f j q n m u s k a c i 設(shè)接收方收到這樣一條密文： MGZV YZLGHC MHJM YXSSFM NH AHYCDLMHA 根據(jù)例 41的密鑰約定 ， 其解密后的明文如下： this cipher text cannot be decrypted 3. 多表代換密碼 多表代換密碼中最著名的一種密碼稱為維吉尼亞 (Vigenere)密碼 。 這是一種以移位代換為基礎(chǔ)的周期代換密碼 ， m個移位代換表由 m個字母組成的密鑰字確定(這里假設(shè)密鑰字中 m個字母不同 ， 如果有相同的 ， 則代換表的個數(shù)是密鑰字中不同字母的個數(shù) )。 如果密鑰字為 “ deceptive” ， 明文為 “ we are discovered save yourself” 的加密過程為： 字母： a b c d e f g h i j k l m n o p q r s t u v w x y z 數(shù)碼： 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 明文： w e a r e d i s c o v e r e d s a v e y o u r s e l f 密鑰： d e c e p t i v e d e c e p t i v e d e c e p t i v e 移位： 3 4 2 4 15 19 8 21 4 3 4 2 4 15 19 8 21 4 3 4 2 4 15 19 8 21 4 密文： Z I C V T W Q N G R Z G V T W A V Z H C Q Y G L M G J 其中 ， 密鑰字母 a， b， ? ， y， z對應(yīng)數(shù)碼 0， 1， ? ， 24， 25。這里的數(shù)碼就是在加密過程中對應(yīng)字母向右 （ 后 ） 移位的位數(shù) ， 由此位對應(yīng)的字母即為替換字母 。 加密過程是：密鑰字母 d對應(yīng)數(shù)字 3， 因而明文字母 w在密鑰字母 d的作用下向右 （ 后 ） 移 3位 ， 得到密文字母 Z；明文字母 e在密鑰字母 e的作用下向右 （ 后 ） 移位 4位 ， 得到密文字母 i， 以此類推 。解密時 ， 密文字母在密鑰字母的作用下向左 （ 前 ） 移位 。 分析：在維吉尼亞密碼中 ， 如果密鑰字的長度是 m， 明文中的一個字母是能夠映成這 m個字母中的一個的 。 容易看出維吉尼亞密碼中長度為 m的可能密鑰字的個數(shù)是 26m， 甚至對于一個較小的 m值 ，如 m=5， 密鑰空間為 265， 超過了 107， 這個空間已經(jīng)足以阻止手工窮舉密鑰搜索 。 但這么大的密鑰空間 ， 若用計(jì)算機(jī)進(jìn)行窮舉搜索 ， 是毫不費(fèi)力的 ， 只要幾分鐘時間 ， 所以 ， 若要抗擊計(jì)算機(jī)窮舉分析 ， 則需 m≥ 8。 為方便記憶 ， 維吉尼亞密碼的密鑰字常常取自于英文中的一個單詞 、 一個句子或一段文章 。 因此 ， 其明文和密鑰字母頻率分布仍然能夠用統(tǒng)計(jì)分析技術(shù)進(jìn)行統(tǒng)計(jì)分析攻擊 。 要抗擊這樣的密碼分析 ，只有選擇沒有統(tǒng)計(jì)關(guān)系的密鑰內(nèi)容 。 1918年美國的 的密碼理論是：明文英文字母編成 5比特二元數(shù)字 ， 稱之為五單元波多代碼 (Baudot Code)， 選擇隨機(jī)二元數(shù)字流作為密鑰 ， 加密通過執(zhí)行明文和密鑰的逐位異或操作 ， 產(chǎn)生密文 ， 可以簡單地表示為：Ci=Pi⊕K i(i=1， 2， 3， 4， 5),這就是 Vernam加密技術(shù) 。 其中 ， Pi表示明文的第 i個二元數(shù)字 ， Ki表示密鑰的第 i個二元數(shù)字 ， Ci表示密文的第 i個二元數(shù)字 ， “ ⊕ ” 表示異或操作 。 解密僅需執(zhí)行相同的逐位異或操作： Pi=Ci⊕K i 。 Vernam密碼系統(tǒng)的密鑰若不重復(fù)使用，就能得到一次一個密碼。若密鑰有重復(fù)，盡管使用長密鑰增加了密碼分析的難度，但只要有了足夠的密文，使用已知的或可能的明文序列，或二者相結(jié)合就能夠破譯。 例 42： Vernam密碼系統(tǒng)的應(yīng)用 設(shè)明文為： “ it is a dog” 明文對應(yīng)的數(shù)碼為： “ 8 19 8 18 0 3 14 6” 設(shè)密鑰為： “ deceptive“ 密鑰對應(yīng)的數(shù)碼為： “ 3 4 2 4 15 19 8 21 4” 則密文為： “ lxkwpqgt” 其加密過程如下： 第 1步：按維吉尼亞方法將字母按順序列表如表 41所示 。 表 41 Baudot 代碼表 字母 數(shù)碼 波多代碼 字母 數(shù)碼 波多代碼 字母 數(shù)碼 波多代碼 a 0 00000 j 9 01001 s 18 10010 b 1 00001 k 10 01010 t 19 10011 c 2 00010 l 11 01011 u 20 10100 d 3 00011 m 12 01100 v 21 10101 e 4 00100 n 13 01101 w 22 10110 f 5 00101 o 14 01110 x 23 10111 g 6 00110 p 15 01111 y 24 11000 h 7 00111 q 16 10000 z 25 11001 i 8 01000 r 17 10001 第 2步：按 Vernam加密方法 ， 將明文 “ it is a dog” 進(jìn)行加密 ，其加密過程如表 42所示 。 在表 42中 ， 密文對應(yīng)的數(shù)碼 =明文對應(yīng)的數(shù)碼 ⊕ 密鑰對應(yīng)的數(shù)碼 。 表 42 Vernam加密過程 序號 明文 明文數(shù)碼 密鑰 密鑰數(shù)碼 密文數(shù)碼 密文 1 i 01000 d 00011 01011 l 2 t 10011 e 00100 10111 x 3 i 01000 c 00010 01010 k 4 s 10010 e 00100 10110 w 5 a 00000 p 01111 01111 p 6 d 00011 t 10011 10000 q 7 o 01110 i 01000 00110 g 8 g 00110 v 10101 10011 t 4. 多字母代換密碼 前面介紹的密碼都是以單個字母作為代換的對象 ， 對多于一個字母進(jìn)行代換 ， 就是多字母代