加密原理(轉)
加密原理(轉)[@more@]加密也可提高終端和網路通訊的物理安全,有三種方法加密傳輸資料:
. 連結加密:在網路節點間加密,在節點間傳輸加密,傳送到節點後解密, 不同節點對間用不同的密碼.
節點加密:與連結加密類似,不同的只是當資料在節點間傳送時,不用明 碼格式傳送,而是用特殊的加密硬體進行解密和重加密,這種 專用硬體通常旋轉在安全保險箱中.
首尾加密:對進入網路的資料加密,然後待資料從網路傳送出後再進行 解密.網路本身並不會知道正在傳送的資料是加密資料.這一 方法的優點是,網路上的每個使用者(通常是每個機器的一個用 戶)可有不同的加密關鍵詞,並且網路本身不需增添任何專門 的加密裝置.缺點是每個系統必須有一個加密裝置和相應的 軟體(管理加密關鍵詞)
或者每個系統必須自己完成加密工 作(當資料傳輸率是按兆位/秒的單位計算時,加密任務的計 算量是很大的)
終端資料加密是一特殊情況,此時連結加密法和首尾加密法是一樣的方 法,終端和計算機都是既為節點又為終止端點.
通訊資料加密常常不同於檔案加密,加密所用的方法不應降低資料的傳送 速度.丟失或被歪曲了的資料不應當引起丟失更多的資料位,即解密程式應當 能修復壞資料,而不能由於壞資料對整個檔案或登入進行不正確地解密.對於 登入會話,必須一次加密一個位元組,特別是在UNIX系統的情況下,系統要將字所 返回給使用者,更應一次加密一個位元組.在網路中,每一鏈可能需要不同的加密關 鍵字,這就提出了對加密關鍵詞的管理,分配和替換問題.
DES傳送資料的一般形式是以代入法密碼格式按塊傳送資料,不能達到上 述的許多要求.DES採用另一加密方法,一次加密一位或一個位元組,形成密碼流. 密碼流具有自同步的特點,被傳送的密碼文字中發生的錯誤和資料丟失,將只 影響最終的明碼文字的一小段(64位).這稱為密碼反饋.在這種方法中,DES被 用作虛擬隨機數發生器,產生出一系列用於對明碼文字的隨機數.明碼文字的 每n位與一個DESn位的加密輸出數進行異或,n的取值為1-64,DES加密處理的輸 入是根據前邊傳送的密碼文字形成的64位的數值.
發n為1時,加密方法是自同步方式:錯一位或丟失1位後,64位的密碼文字 將不能被正確地解密,因為不正確的加密值將移入DES輸入的末端.但是一旦接 收到正確的64位密碼,由於DES的加密和解密的輸入是同步的,故解密將繼續正 確地進行.
DES的初始輸入稱為種子,是一個同時由傳輸器和接收器認可的隨機數.通 常種子由一方選擇,在加密前給另一方.而加密關鍵詞不能以明碼格式透過網 絡傳送,當加密系統加電時在兩邊都寫入加密關鍵詞,並且在許多階段期間加 密關鍵詞都保持不變,使用者可以選擇由主關鍵詞加密的階段關鍵詞,傳送到數 據傳送的另一端,當該階段結束後,階段關鍵詞就不再使用了.主關鍵詞對使用者 是不可見的,由系統管理員定期改變,選擇哪一種關鍵詞管理方法,常由所用的 硬體來確定.如果加密硬體都有相應的裝置,則用種子還是用主關鍵詞階段關 鍵詞是無關緊要的.
(3)使用者身份鑑別
口令只是識別一個使用者的一種方法,實際上有許多方法可以用來識別使用者.
. CALL BACK MODEM:則維護系統有效使用者表及其相應電話號碼的裝置.當 使用者撥號呼叫系統時,CALL BACK MODEM獲得使用者的登入戶頭,掛 起,再回頭呼叫使用者的終端.這種方法的優點是,限制只有電話號 碼存於MODEM中的人才是系統的使用者,從而使非法侵入者不能從其 家裡呼叫系統並登入,這一方法的缺點是限制了使用者的靈活性,並 仍需要使用口令,因為MODEM不能僅從使用者發出呼叫的地方,唯一 地標識使用者. . 標記識別:標記是口令的物理實現,許多標記識別系統使用某種形式的 卡(如背面有磁條的信用卡),這種卡含有一個編碼後的隨機數.卡 由連線到終端的閱卡機讀入,不用再敲入口令.為了增加安全性, 有的系統要求讀入卡和敲入口令.有些卡的編碼方法使得編碼難 於複製.標記識別的優點是,標識可以是隨機的並且必須長於口令. 不足之處是每個使用者必須攜帶一個卡(卡也可與公司的徽記組合 使用).並且每個終端上必須連線一個閱讀機.
. 一次性口令:即"詢問-應答系統".一次性口令系統允許使用者每次登入時 使用不同的口令.這種系統允許使用者每次登入時使用不同的口令. 這種系統使用一種稱做口令發生器的裝置,裝置是手攜式的(大約 為一個袖珍計算器的大小),並有一個加密程式和獨一的內部加密 關鍵詞.系統在使用者登入時給使用者提供一個隨機數,使用者將這個隨 機數送入口令發生器,口令發生器用使用者的關鍵詞對隨機數加密, 然後使用者再將口令發生器輸出的加密口令(回答)送入系統,系統 將使用者輸入的口令,與它用相同的加密程式,關鍵詞和隨機數產生 的口令比較,如果二者相同,允許使用者存取系統.這種方法的優點 是:使用者可每次敲入不同的口令,因此不需要口令保密,唯有口令 發生器需要安全保護.為了增加安全性,UNIX系統甚至不需聯機保 存關鍵詞,實際的關鍵詞可儲存在有線連線於系統的一個特殊加 密計算機中.在使用者登入期間,加密計算機將為使用者產生隨機數和 加密口令.這樣一種系統的優點是,口令實際不由使用者輸入,系統 中也不儲存關鍵詞,即使是加密格式的關鍵詞也可儲存於系統中. 其不足之處類似於標記識別方法,每個使用者必須攜帶口令發生器, 如果要離線儲存關鍵詞,還需要有一個特殊硬體.
. 個人特徵:有些識別系統檢測如指印,簽名,聲音,零售圖案這倦的物理 特徵.大多數這樣的系統極是實驗性的,昂貴的,並且不是百分之 百的可靠.任何一個送資料到遠端系統去核實的系統有被搭線竊 聽的危險,非法入侵者只須記錄下送去系統校核的資訊,以後再重 顯示這些資訊,就能竊密.注意:這同樣也是標記識別系統的一個問題.
. 連結加密:在網路節點間加密,在節點間傳輸加密,傳送到節點後解密, 不同節點對間用不同的密碼.
節點加密:與連結加密類似,不同的只是當資料在節點間傳送時,不用明 碼格式傳送,而是用特殊的加密硬體進行解密和重加密,這種 專用硬體通常旋轉在安全保險箱中.
首尾加密:對進入網路的資料加密,然後待資料從網路傳送出後再進行 解密.網路本身並不會知道正在傳送的資料是加密資料.這一 方法的優點是,網路上的每個使用者(通常是每個機器的一個用 戶)可有不同的加密關鍵詞,並且網路本身不需增添任何專門 的加密裝置.缺點是每個系統必須有一個加密裝置和相應的 軟體(管理加密關鍵詞)
或者每個系統必須自己完成加密工 作(當資料傳輸率是按兆位/秒的單位計算時,加密任務的計 算量是很大的)
終端資料加密是一特殊情況,此時連結加密法和首尾加密法是一樣的方 法,終端和計算機都是既為節點又為終止端點.
通訊資料加密常常不同於檔案加密,加密所用的方法不應降低資料的傳送 速度.丟失或被歪曲了的資料不應當引起丟失更多的資料位,即解密程式應當 能修復壞資料,而不能由於壞資料對整個檔案或登入進行不正確地解密.對於 登入會話,必須一次加密一個位元組,特別是在UNIX系統的情況下,系統要將字所 返回給使用者,更應一次加密一個位元組.在網路中,每一鏈可能需要不同的加密關 鍵字,這就提出了對加密關鍵詞的管理,分配和替換問題.
DES傳送資料的一般形式是以代入法密碼格式按塊傳送資料,不能達到上 述的許多要求.DES採用另一加密方法,一次加密一位或一個位元組,形成密碼流. 密碼流具有自同步的特點,被傳送的密碼文字中發生的錯誤和資料丟失,將只 影響最終的明碼文字的一小段(64位).這稱為密碼反饋.在這種方法中,DES被 用作虛擬隨機數發生器,產生出一系列用於對明碼文字的隨機數.明碼文字的 每n位與一個DESn位的加密輸出數進行異或,n的取值為1-64,DES加密處理的輸 入是根據前邊傳送的密碼文字形成的64位的數值.
發n為1時,加密方法是自同步方式:錯一位或丟失1位後,64位的密碼文字 將不能被正確地解密,因為不正確的加密值將移入DES輸入的末端.但是一旦接 收到正確的64位密碼,由於DES的加密和解密的輸入是同步的,故解密將繼續正 確地進行.
DES的初始輸入稱為種子,是一個同時由傳輸器和接收器認可的隨機數.通 常種子由一方選擇,在加密前給另一方.而加密關鍵詞不能以明碼格式透過網 絡傳送,當加密系統加電時在兩邊都寫入加密關鍵詞,並且在許多階段期間加 密關鍵詞都保持不變,使用者可以選擇由主關鍵詞加密的階段關鍵詞,傳送到數 據傳送的另一端,當該階段結束後,階段關鍵詞就不再使用了.主關鍵詞對使用者 是不可見的,由系統管理員定期改變,選擇哪一種關鍵詞管理方法,常由所用的 硬體來確定.如果加密硬體都有相應的裝置,則用種子還是用主關鍵詞階段關 鍵詞是無關緊要的.
(3)使用者身份鑑別
口令只是識別一個使用者的一種方法,實際上有許多方法可以用來識別使用者.
. CALL BACK MODEM:則維護系統有效使用者表及其相應電話號碼的裝置.當 使用者撥號呼叫系統時,CALL BACK MODEM獲得使用者的登入戶頭,掛 起,再回頭呼叫使用者的終端.這種方法的優點是,限制只有電話號 碼存於MODEM中的人才是系統的使用者,從而使非法侵入者不能從其 家裡呼叫系統並登入,這一方法的缺點是限制了使用者的靈活性,並 仍需要使用口令,因為MODEM不能僅從使用者發出呼叫的地方,唯一 地標識使用者. . 標記識別:標記是口令的物理實現,許多標記識別系統使用某種形式的 卡(如背面有磁條的信用卡),這種卡含有一個編碼後的隨機數.卡 由連線到終端的閱卡機讀入,不用再敲入口令.為了增加安全性, 有的系統要求讀入卡和敲入口令.有些卡的編碼方法使得編碼難 於複製.標記識別的優點是,標識可以是隨機的並且必須長於口令. 不足之處是每個使用者必須攜帶一個卡(卡也可與公司的徽記組合 使用).並且每個終端上必須連線一個閱讀機.
. 一次性口令:即"詢問-應答系統".一次性口令系統允許使用者每次登入時 使用不同的口令.這種系統允許使用者每次登入時使用不同的口令. 這種系統使用一種稱做口令發生器的裝置,裝置是手攜式的(大約 為一個袖珍計算器的大小),並有一個加密程式和獨一的內部加密 關鍵詞.系統在使用者登入時給使用者提供一個隨機數,使用者將這個隨 機數送入口令發生器,口令發生器用使用者的關鍵詞對隨機數加密, 然後使用者再將口令發生器輸出的加密口令(回答)送入系統,系統 將使用者輸入的口令,與它用相同的加密程式,關鍵詞和隨機數產生 的口令比較,如果二者相同,允許使用者存取系統.這種方法的優點 是:使用者可每次敲入不同的口令,因此不需要口令保密,唯有口令 發生器需要安全保護.為了增加安全性,UNIX系統甚至不需聯機保 存關鍵詞,實際的關鍵詞可儲存在有線連線於系統的一個特殊加 密計算機中.在使用者登入期間,加密計算機將為使用者產生隨機數和 加密口令.這樣一種系統的優點是,口令實際不由使用者輸入,系統 中也不儲存關鍵詞,即使是加密格式的關鍵詞也可儲存於系統中. 其不足之處類似於標記識別方法,每個使用者必須攜帶口令發生器, 如果要離線儲存關鍵詞,還需要有一個特殊硬體.
. 個人特徵:有些識別系統檢測如指印,簽名,聲音,零售圖案這倦的物理 特徵.大多數這樣的系統極是實驗性的,昂貴的,並且不是百分之 百的可靠.任何一個送資料到遠端系統去核實的系統有被搭線竊 聽的危險,非法入侵者只須記錄下送去系統校核的資訊,以後再重 顯示這些資訊,就能竊密.注意:這同樣也是標記識別系統的一個問題.
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-947280/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Https 加密原理分析HTTP加密
- JuiceFS 資料加密原理UI加密
- SHA_1加密原理加密
- 加密原理詳解:對稱式加密VS非對稱式加密加密
- 常用的兩種加密原理加密
- RSA加密原理&密碼學&HASH加密密碼學
- 代理重加密原理與實踐加密
- 玩轉混合加密加密
- 加密的XML (轉)加密XML
- 一文弄懂HTTPS加密原理HTTP加密
- 非對稱加密--RSA原理淺析加密
- 淺談IAT加密原理及過程加密
- 淺談常用影片加密原理及加密的幾種應用形式加密
- ORACLE資料加密(轉)Oracle加密
- 硬碟簡單加密. (轉)硬碟加密
- 硬碟加密--解析二 (轉)硬碟加密
- 硬碟加密----解析三 (轉)硬碟加密
- Windows系統下EFS加密解密原理分析Windows加密解密
- Java實現SSH模式加密原理及程式碼Java模式加密
- HTTPS 加密演算法原理機制解析HTTP加密演算法
- 加密技術面面觀 (轉)加密
- Java程式的反加密(轉)Java加密
- MySQL的加密函式(轉)MySql加密函式
- 對稱塊加密演算法加密模式詳解 (轉)加密演算法模式
- 彼得反轉原理(轉載)
- Base64加密解密原理以及程式碼實現加密解密
- (轉)WebSocket的原理Web
- (轉)Oracle索引原理Oracle索引
- 彼得原理(轉載)
- [轉] SQL Server 原理SQLServer
- 調色原理(轉)
- FTP工作原理(轉)FTP
- 使用ASP.NET加密口令 (轉)ASP.NET加密
- 軟體加密方法的思考 (轉)加密
- 一個可逆加密的例子 (轉)加密
- 破解加密光碟五式(轉)加密
- 加密演算法原理分析(MD5、SHA-256)加密演算法
- 輾轉相除法原理