《计算机密码学》期末论文学院：计算机科学与技术专业：计算机科学与技术班级：学号：姓名：教师：2016年月日密码学在网络通信加密中的应用摘要：介绍了网络加密方式，分析了DES、RSA等基本的安全技术。

关键词：Internet DES RSA 加密随着科技的发展，Internet的有关技术越来越成熟，现在，Internet在我们的生活中扮演了重要的角色。

Internet对我们的生活越来越重要，人们已经离不开Internet。

随着它的迅猛发展，全球经济和社会生活都产生了巨大变化。

Internet的应用领域极其广阔,如许多高等学校，公司等都已建立自己局域网并与Internet相连。

作为获得信息的重要途径,商业界也在积极地建立企业内部网络并通过Internet向公众提供种类繁多的信息服务,其中最引人注目的当属电子商务,电子商务正是在Internet快速发展的浪潮下应运而生的,它是信息时代社会生产与社会消费之间发生的一次革命。

Internet在为人们带来无限商机的同时,也引起了许多安全问题。

如何保证各种网络应用的安全性，成了我们必须考虑的问题。

例如：电子商务中网上购物是在线付款,用户的信用卡号等许多信息都是敏感信息,而这些网上传输的敏感数据和存放敏感信息的站点正是网络黑客的重点攻击对象。

因此,人们在开展各种网络业务时,首先考虑的是这种网络业务是否能够保证安全,如果不能保证安全,人们也就不会接受这种业务。

网络通信的数据加密包括以下几个方面：（1）数据传输的安全性。

数据传输的安全性即是要保证在公网上传输的数据不被第三方窃。

（2）数据的完整性。

对数据的完整性需求是指数据在传输过程中不被篡改。

通常情况下,网络通信中所采用的安全技术主要有防火墙技术、数据加密技术和身份认证技术等。

本文讨论的重点是数据加密技术在网络通信安全策略中的应用。

一. 开放系统互联参考模型和TCP/ IP分层模型1.1开放系统互连参考模型开放系统互连参考模型(Open System Interconnect 简称OSI）是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。

它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

图（1）OSI 参考模型的层次划分物理层：提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性；有关的物理链路上传输非结构的位流以及故障检测指示。

数据链路层：在网络层实体间提供数据发送和接收的功能和过程；提供数据链路的流控。

网络层：控制分组传送系统的操作、路由选择、拥护控制、网络互连等功能，它的作用是将具体的物理传送对高层透明。

传输层：提供建立、维护和拆除传送连接的功能；选择网络层提供最合适的服务；在系统之间提供可靠的透明的数据传送，提供端到端的错误恢复和流量控制。

会话层：提供两进程之间建立、维护和结束会话连接的功能；提供交互会话的管理功能，如三种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。

表示层：代表应用进程协商数据表示；完成数据转换、格式化和文本压缩。

应用层：提供OSI用户服务，例如事务处理程序、文件传送协议和网络管理等。

OSI模型系统间的通信方式如下：信息从一个计算机系统的应用层软件传输到另一个计算机系统的应用层软件，必须经过OSI参考模型的每一层。

例如, 系统A 的应用层软件要将信息传送到系统 B 的应用层软件, 那么系统 A 的应用程序先把该信息传送到 A 的应用层(第7 层) , 然后应用层又把信息传送到表示层(第 6 层) ,表示层再把信息传送到会话层(第 5 层) , 依次下去,直到信息传送到物理层(第 1 层)。

在物理层, 信息被放置到物理网络介质上, 并通过介质发送到系统B。

系统 B 的物理层从物理介质上获取信息, 然后把信息从物理层传送到数据链路层(第 2 层) , 数据链路层再把信息传送到网络层(第3 层) ,依次上去, 直到信息传送到系统B 的应用层(第7 层)。

最后B 的应用层再把信息传送到接收应用程序中, 这样便完成了整个通信过程。

1.2 TCP/ IP分层模型Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。

TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。

协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。

通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。

而IP是给因特网的每一台联网设备规定一个地址。

从协议分层模型方面来讲，TCP/IP由四个层次组成：网络接口层、网络层、传输层、应用层。

其中在传输层上的协议有两个：传输控制协议TCP 和用户数据报协议UDP( user datagram protocol)。

TCP 协议是一个面向连接的传输协议,是为在无连接的网络业务上运行面向连接的业务而设计的; UDP 协议是一个无连接传输协议, 它与OSI 的无连接传输协议相对应。

二.网络加密方式一般的数据加密可以在通信的三个层次来实现链路加密、节点加密和端到端加密。

2.1.基本方式（1）链路加密对于在两个网络节点间的某一次通信链路，链路加密能为网上传输的数据提供安全保证。

对于链路加密（又称在线加密），所有消息在被传输之前进行加密，在每一个节点对接收到的消息进行解密，然后先使用下一个链路的密钥对消息进行加密，再进行传输。

在到达目的地之前，一条消息可能要经过许多通信链路的传输。

由于在每一个中间传输节点消息均被解密后重新进行加密，因此，包括路由信息在内的链路上的所有数据均以密文形式出现。

这样，链路加密就掩盖了被传输消息的源点与终点。

由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密，这使得消息的频率和长度特性得以掩盖，从而可以防止对通信业务进行分析。

（2）节点加密尽管节点加密能给网络数据提供较高的安全性，但它在操作方式上与链路加密是类似的两者均在通信链路上为传输的消息提供安全性；都在中间节点先对消息进行解密，然后进行加密。

因为要对所有传输的数据进行加密，所以加密过程对用户是透明的。

然而，与链路加密不同，节点加密不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密，然后采用另一个不同的密钥进行加密，这一过程是在节点上的一个安全模块中进行。

节点加密要求报头和路由信息以明文形式传输，以便中间节点能得到如何处理消息的信息。

因此这种方法对于防止攻击者分析通信业务是脆弱的。

（3）端到端加密端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。

采用端到端加密（又称脱线加密或包加密），消息在被传输时到达终点之前不进行解密，因为消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。

端到端加密系统通常不允许对消息的目的地址进行加密，这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。

由于这种加密方法不能掩盖被传输消息的源点与终点，因此它对于防止攻击者分析通信业务是脆弱的。

端端加密也有自己的缺点，由于只有目标结点能对加密结果解密,所以如果对整个数据报加密, 则分组交换结点收到加密结果后无法读取报头，从而无法为该数据报选择路由。

所以主机只能对数据报中的用户数据部分加密而报头则以明文形式传送, 这样虽然用户数据部分是安全的, 然而却容易受业务流量分析的攻击。

为提高安全性, 可将两种加密方式结合起来使用,如图（2）所示。

其中主机用端端加密密钥加密数据报中用户的数据部分, 然后用链路加密密钥对整个数据报再加密一次。

当被加密的数据报在网络中传送时, 每一交换机都使用链路加密密钥解密数据报以读取报头, 然后再用下一链路的链路加密密钥加密整个数据报并发往下一交换机。

所以当两种加密方式结合起来使用时, 除了在每个交换机内部数据报报头是明文形式外,其他整个过程数据报都是密文形式。

图（2）分组交换网中的加密2.2端端加密的逻辑位置端端加密的逻辑位置是指将加密功能放在OSI 参考模型的哪一层,可有几种选择,其中最低层的加密可在网络层进行,这时, 被保护的实体数目与网络中终端数目一样, 任意两个终端如果共享同一密钥,就可进行保密通信。

一终端系统若想和另一终端系统进行保密通信,则两个端系统用户的所有处理程序和应用程序都将使用同一加密方案和同一密钥。

在端端协议中利用加密功能, 可为通信业务提供端端的安全性。

然而这种方案不能为穿过互联网的通信业务(如电子邮件、电子数据交换EDI、文件传输)提供这种端端的安全性。

图（3）表示用电子邮件网关沟通两个互联网,其中一个是使用OSI 结构, 另一个是使用TCP/ IP 结构。

这时在两个互联网之间的应用层以下不存在端端协议, 从一个端系统发出的传输和连接到邮件网关后即终止, 邮件网关再建立一个新的传输并连接到另一端系统。

即使邮件网关连接的两个互联网使用同一结构, 传输过程也是如此。

因此,对诸如电子邮件这种具有存储转发功能的应用, 只有在应用层才有端端加密功能。

图（3）存储转发通信的加密范围应用层加密的缺点是需考虑的实体数目将显著地增加, 比如网络中有数百个主机,则需考虑的实体(用户和进程)可能有数千个, 不同的一对实体需产生一个不同的密钥, 因此, 需要产生和分布更多的密钥。

改进的方法是在分层结构上,越往上层则加密的内容越少。

图（4）以TCP / IP 结构为例说明这种改进方法, 其中应用层网关指在应用层上操作的存储转发设备, 阴影部分表示加密。

图（4）(a)表示在应用层加密, 这时仅对TCP 数据段中的用户数据部分加密, 而TCP 报头、IP 报头、网络层报头、数据链路层报头以及数据链路层报尾则是明文形式。

图（4）(b)表示在TCP 层加密,这时在链路上和路由器中, 用户数据和TCP 报头被加密, 而IP 报头则是明文形式, 这是因为路由器需要为IP 数据报选择从源结点到目标结点的路由。

然而如果数据报通过网关, 则终止TCP 连接, 并为下一跳建立一个新的传输连接, 这时IP 也将网关当作目标结点。

因此,在网关, 数据单元又被解密。

如果下一跳又连接到TCP/ IP 网络上, 用户数据和TCP 报头在传输以前又将被加密。

图（4）(c)表示在数据链路层加密, 在每个链路上除了数据链路层报头外,所有数据单元都被加密, 但在路由器和网关之中所有数据单元都是明文形式。