现代密码学PPT课件.ppt

1、 现代密码学现代密码学 高等院校信息安全专业系列教材高等院校信息安全专业系列教材杨波杨波 主编主编总总 目目 录录第第1章章 引言引言第第2章章 流密码流密码第第3章章 分组密码体制分组密码体制第第4章章 公钥密码公钥密码第第5章章 密钥分配与密钥管理密钥分配与密钥管理第第6章章 消息认证和杂凑算法消息认证和杂凑算法第第7章章 数字签字和密码协议数字签字和密码协议第第8章章 网络加密与认证网络加密与认证第第1章章 引言引言1.1 信息安全面临的威胁信息安全面临的威胁1.2 信息安全的模型信息安全的模型1.3 密码学基本概念密码学基本概念信息在社会中的地位和作用越来越重要，已成为社信息在社会中的

2、地位和作用越来越重要，已成为社会发展的重要战略资源，信息技术改变着人们的生会发展的重要战略资源，信息技术改变着人们的生活和工作方式，信息产业已成为新的经济增长点，活和工作方式，信息产业已成为新的经济增长点，社会的信息化已成为当今世界发展的潮流和核心。社会的信息化已成为当今世界发展的潮流和核心。与此同时信息的安全问题也已成为世人关注的社会与此同时信息的安全问题也已成为世人关注的社会问题。人们对信息安全的认识随着网络的发展经历问题。人们对信息安全的认识随着网络的发展经历了一个由简单到复杂的过程。了一个由简单到复杂的过程。1.1 信息的安全威胁信息的安全威胁 1.1.1 安全威胁安全威胁20世纪世纪

3、70年代，主机时代的信息安全是面向单机的，年代，主机时代的信息安全是面向单机的，由于早期的用户主要是军方，信息安全的主要内容由于早期的用户主要是军方，信息安全的主要内容是信息的保密性。是信息的保密性。20世纪世纪80年代，微机和局域网的兴起带来了信息在年代，微机和局域网的兴起带来了信息在微机间的传输和用户间的共享问题，丰富了信息安微机间的传输和用户间的共享问题，丰富了信息安全的内涵，使人们认识到数据完整性、可用性的重全的内涵，使人们认识到数据完整性、可用性的重要性。安全服务、安全机制等基本框架，成为信息要性。安全服务、安全机制等基本框架，成为信息安全的重要内容。安全的重要内容。20世纪世纪90

4、年代，因特网爆炸性的发展把人类带进了年代，因特网爆炸性的发展把人类带进了一个新的生存空间。因特网具有高度分布、边界模一个新的生存空间。因特网具有高度分布、边界模糊、层次欠清、动态演化，而用户又在其中扮演主糊、层次欠清、动态演化，而用户又在其中扮演主角的特点，如何处理好这一复杂而又巨大的系统的角的特点，如何处理好这一复杂而又巨大的系统的安全，成为信息安全的主要问题。由于因特网的全安全，成为信息安全的主要问题。由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展，球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入，其中有善者，也有使得任何人都可以自由地接入，其中有善者，

5、也有恶者。恶者会采用各种攻击手段进行破坏活动。信恶者。恶者会采用各种攻击手段进行破坏活动。信息安全面临的攻击可能会来自独立的犯罪者、有组息安全面临的攻击可能会来自独立的犯罪者、有组织的犯罪集团和国家情报机构。对信息的攻击具有织的犯罪集团和国家情报机构。对信息的攻击具有以下新特点：以下新特点： 无边界性、突发性、蔓延性和隐蔽性。无边界性、突发性、蔓延性和隐蔽性。因此要了解信息安全，首先应该知道信息安全面临因此要了解信息安全，首先应该知道信息安全面临哪些威胁。哪些威胁。信息安全所面临的威胁来自很多方面，并且随着时信息安全所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为

6、威间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。境、电磁辐射和电磁干扰、网络设备自然老化等。这些事件有时会直接威胁信息的安全，影响信息的这些事件有时会直接威胁信息的安全，影响信息的存储媒质。存储媒质。本节主要讨论人为威胁，也就是对信息的人为攻击。本节主要讨论人为威胁，也就是对信息的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治破坏、欺骗、窃取数

7、据等目的，造成经济上和政治上不可估量的损失。人为攻击可分为被动攻击和主上不可估量的损失。人为攻击可分为被动攻击和主动攻击，如图动攻击，如图1.1所示。所示。图图1.1 攻击类型分类攻击类型分类1.被动攻击被动攻击被动攻击即窃听，是对系统的保密性进行攻击，如被动攻击即窃听，是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝等，以获取他搭线窃听、对文件或程序的非法拷贝等，以获取他人的信息。被动攻击又分为两类，一类是获取消息人的信息。被动攻击又分为两类，一类是获取消息的内容，很容易理解；第二类是进行业务流分析，的内容，很容易理解；第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得

8、敌手从截假如我们通过某种手段，比如加密，使得敌手从截获的消息无法得到消息的真实内容，然而敌手却有获的消息无法得到消息的真实内容，然而敌手却有可能获得消息的格式、确定通信双方的位置和身份可能获得消息的格式、确定通信双方的位置和身份以及通信的次数和消息的长度，这些信息可能对通以及通信的次数和消息的长度，这些信息可能对通信双方来说是敏感的。信双方来说是敏感的。被动攻击因不对消息做任何修改，因而是难以检测被动攻击因不对消息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。的，所以抗击这种攻击的重点在于预防而非检测。2.主动攻击主动攻击这种攻击包括对数据流的某些篡改或产生某些这种攻击

9、包括对数据流的某些篡改或产生某些假的数据流。主动攻击又可分为以下三个子类：假的数据流。主动攻击又可分为以下三个子类：中断：是对系统的可用性进行攻击，如破坏计算中断：是对系统的可用性进行攻击，如破坏计算机硬件、网络或文件管理系统。机硬件、网络或文件管理系统。篡改：是对系统的完整性进行攻击，如修改数据篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。修改网络中传送的消息内容等。伪造：是对系统的真实性进行攻击。如在网络中伪造：是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入

10、伪造的记录。插入伪造的消息或在文件中插入伪造的记录。绝对防止主动攻击是十分困难的，因为需要随时随绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。破坏进行恢复。 信息安全的人为威胁主要来自用户（恶意的或无恶信息安全的人为威胁主要来自用户（恶意的或无恶意的）和恶意软件的非法侵入。入侵信息系统的用意的）和恶意软件的非法侵入。入侵信息系统的用户也称为黑客，黑客可能是某个无恶意的人，其目户也称为黑客，黑客可能是某个无恶意

11、的人，其目的仅仅是破译和进入一个计算机系统；或者是某个的仅仅是破译和进入一个计算机系统；或者是某个心怀不满的雇员，其目的是对计算机系统实施破坏；心怀不满的雇员，其目的是对计算机系统实施破坏；也可能是一个犯罪分子，其目的是非法窃取系统资也可能是一个犯罪分子，其目的是非法窃取系统资源（如窃取信用卡号或非法资金传送），对数据进源（如窃取信用卡号或非法资金传送），对数据进行未授权的修改或破坏计算机系统。行未授权的修改或破坏计算机系统。1.1.2 入侵者和病毒入侵者和病毒恶意软件指病毒、蠕虫等恶意程序，可分为两类，恶意软件指病毒、蠕虫等恶意程序，可分为两类，如图如图1.2所示，一类需要主程序，另一类不需

12、要。前所示，一类需要主程序，另一类不需要。前者是某个程序中的一段，不能独立于实际的应用程者是某个程序中的一段，不能独立于实际的应用程序或系统程序；后者是能被操作系统调度和运行的序或系统程序；后者是能被操作系统调度和运行的独立程序。独立程序。图图1.2 恶意程序分类恶意程序分类对恶意软件也可根据其能否自我复制来进行分类。对恶意软件也可根据其能否自我复制来进行分类。不能自我复制的一般是程序段，这种程序段在主程不能自我复制的一般是程序段，这种程序段在主程序被调用执行时就可激活。能够自我复制的或者是序被调用执行时就可激活。能够自我复制的或者是程序段（病毒）或者是独立的程序（蠕虫、细菌程序段（病毒）或者

13、是独立的程序（蠕虫、细菌等），当这种程序段或独立的程序被执行时，可能等），当这种程序段或独立的程序被执行时，可能复制一个或多个自己的副本，以后这些副本可在这复制一个或多个自己的副本，以后这些副本可在这一系统或其他系统中被激活。以上仅是大致分类，一系统或其他系统中被激活。以上仅是大致分类，因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一部分。部分。安全业务指安全防护措施，有以下安全业务指安全防护措施，有以下5种。种。1. 保密业务保密业务保护数据以防被动攻击。保护方式可根据保护范围保护数据以防被动攻击。保护方式可根据保护范围的大小分为若干级，其中最高级保护

14、可在一定时间的大小分为若干级，其中最高级保护可在一定时间范围内保护两个用户之间传输的所有数据，低级保范围内保护两个用户之间传输的所有数据，低级保护包括对单个消息的保护或对一个消息中某个特定护包括对单个消息的保护或对一个消息中某个特定域的保护。保密业务还包括对业务流实施的保密，域的保护。保密业务还包括对业务流实施的保密，防止敌手进行业务流分析以获得通信的信源、信宿、防止敌手进行业务流分析以获得通信的信源、信宿、次数、消息长度和其他信息。次数、消息长度和其他信息。1.1.3 安全业务安全业务2. 认证业务认证业务用于保证通信的真实性。在单向通信的情况下，认用于保证通信的真实性。在单向通信的情况下，

15、认证业务的功能是使接收者相信消息确实是由它自己证业务的功能是使接收者相信消息确实是由它自己所声称的那个信源发出的。在双向通信的情况下，所声称的那个信源发出的。在双向通信的情况下，例如计算机终端和主机的连接，在连接开始时，认例如计算机终端和主机的连接，在连接开始时，认证服务则使通信双方都相信对方是真实的（即的确证服务则使通信双方都相信对方是真实的（即的确是它所声称的实体）；其次，认证业务还保证通信是它所声称的实体）；其次，认证业务还保证通信双方的通信连接不能被第三方介入，以假冒其中的双方的通信连接不能被第三方介入，以假冒其中的一方而进行非授权的传输或接收。一方而进行非授权的传输或接收。3. 完整

16、性业务完整性业务和保密业务一样，完整性业务也能应用于消息流、和保密业务一样，完整性业务也能应用于消息流、单个消息或一个消息的某一选定域。用于消息流的单个消息或一个消息的某一选定域。用于消息流的完整性业务目的在于保证所接收的消息未经复制、完整性业务目的在于保证所接收的消息未经复制、插入、篡改、重排或重放，即保证接收的消息和所插入、篡改、重排或重放，即保证接收的消息和所发出的消息完全一样；这种服务还能对已毁坏的数发出的消息完全一样；这种服务还能对已毁坏的数据进行恢复，所以这种业务主要是针对对消息流的据进行恢复，所以这种业务主要是针对对消息流的篡改和业务拒绝的。应用于单个消息或一个消息某篡改和业务拒

17、绝的。应用于单个消息或一个消息某一选定域的完整性业务仅用来防止对消息的篡改。一选定域的完整性业务仅用来防止对消息的篡改。4. 不可否认业务不可否认业务用于防止通信双方中的某一方对所传输消息的否认，用于防止通信双方中的某一方对所传输消息的否认，因此，一个消息发出后，接收者能够证明这一消息因此，一个消息发出后，接收者能够证明这一消息的确是由通信的另一方发出的。类似地，当一个消的确是由通信的另一方发出的。类似地，当一个消息被接收后，发出者能够证明这一消息的确已被通息被接收后，发出者能够证明这一消息的确已被通信的另一方接收了。信的另一方接收了。5. 访问控制访问控制访问控制的目标是防止对网络资源的非授

18、权访问，访问控制的目标是防止对网络资源的非授权访问，控制的实现方式是认证，即检查欲访问某一资源的控制的实现方式是认证，即检查欲访问某一资源的用户是否具有访问权。用户是否具有访问权。信息安全的基本模型可以用图信息安全的基本模型可以用图1.3来表示。来表示。1.2 信息安全的模型信息安全的模型图图1.3 信息安全的基本模型信息安全的基本模型通信双方欲传递某个消息，需通过以下方式建立一通信双方欲传递某个消息，需通过以下方式建立一个逻辑上的信息通道：个逻辑上的信息通道： 首先在网络中定义从发送方首先在网络中定义从发送方到接收方的一个路由，然后在该路由上共同执行通到接收方的一个路由，然后在该路由上共同执

19、行通信协议。信协议。如果需要保护所传信息以防敌手对其保密性、认证如果需要保护所传信息以防敌手对其保密性、认证性等构成的威胁，则需要考虑通信的安全性。安全性等构成的威胁，则需要考虑通信的安全性。安全传输技术有以下两个基本成分：传输技术有以下两个基本成分： 消息的安全传输，消息的安全传输， 包括对消息的加密和认证。加包括对消息的加密和认证。加密的目的是将消息搞乱以使敌手无法读懂，认证的密的目的是将消息搞乱以使敌手无法读懂，认证的目的是检查发送者的身份。目的是检查发送者的身份。 通信双方共享的某些秘密信息，如加密密钥。通信双方共享的某些秘密信息，如加密密钥。为获得消息的安全传输，可能还需要一个可信的

20、第为获得消息的安全传输，可能还需要一个可信的第三方，其作用可能是负责向通信双方发布秘密信息三方，其作用可能是负责向通信双方发布秘密信息或者在通信双方有争议时进行仲裁。或者在通信双方有争议时进行仲裁。安全的网络通信必须考虑以下安全的网络通信必须考虑以下4个方面：个方面： 加密算法。加密算法。 用于加密算法的秘密信息。用于加密算法的秘密信息。 秘密信息的分布和共享。秘密信息的分布和共享。 使用加密算法和秘密信息以获得安全服务所需的使用加密算法和秘密信息以获得安全服务所需的协议。协议。以上考虑的是信息安全的一般模型，然而还有其他以上考虑的是信息安全的一般模型，然而还有其他一些情况。图一些情况。图1.

21、4表示保护信息系统以防未授权访问表示保护信息系统以防未授权访问的一个模型。的一个模型。图图1.4 信息系统的保护模型信息系统的保护模型对付未授权访问的安全机制可分为两道防线：对付未授权访问的安全机制可分为两道防线： 第一第一道称为守卫者，它包括基于通行字的登录程序和屏道称为守卫者，它包括基于通行字的登录程序和屏蔽逻辑程序，分别用于拒绝非授权用户的访问、检蔽逻辑程序，分别用于拒绝非授权用户的访问、检测和拒绝病毒；第二道防线由一些内部控制部件构测和拒绝病毒；第二道防线由一些内部控制部件构成，用于管理系统内部的各项操作和分析所存有的成，用于管理系统内部的各项操作和分析所存有的信息，以检查是否有未授权

22、的入侵者。信息，以检查是否有未授权的入侵者。上面介绍了信息安全面临的威胁以及信息安全的一上面介绍了信息安全面临的威胁以及信息安全的一般模型。信息安全可分为系统安全（包括操作系统般模型。信息安全可分为系统安全（包括操作系统安全、数据库系统安全等）、数据安全（包括数据安全、数据库系统安全等）、数据安全（包括数据的安全存储、安全传输）和内容安全（包括病毒的的安全存储、安全传输）和内容安全（包括病毒的防护、不良内容的过滤等）防护、不良内容的过滤等）3个层次，是一个综合、个层次，是一个综合、交叉的学科领域，要利用数学、电子、信息、通信、交叉的学科领域，要利用数学、电子、信息、通信、计算机等诸多学科的长期

23、知识积累和最新发展成果。计算机等诸多学科的长期知识积累和最新发展成果。信息安全研究的内容很多，它涉及安全体系结构、信息安全研究的内容很多，它涉及安全体系结构、安全协议、密码理论、信息分析、安全监控、应急安全协议、密码理论、信息分析、安全监控、应急处理等，其中密码技术是保障数据安全的关键技术。处理等，其中密码技术是保障数据安全的关键技术。通信双方采用保密通信系统可以隐蔽和保护需要发通信双方采用保密通信系统可以隐蔽和保护需要发送的消息，使未授权者不能提取信息。发送方将要送的消息，使未授权者不能提取信息。发送方将要发送的消息称为明文，明文被变换成看似无意义的发送的消息称为明文，明文被变换成看似无意义

24、的随机消息，称为密文，这种变换过程称为加密；其随机消息，称为密文，这种变换过程称为加密；其逆过程，即由密文恢复出原明文的过程称为解密。逆过程，即由密文恢复出原明文的过程称为解密。对明文进行加密操作的人员称为加密员或密码员。对明文进行加密操作的人员称为加密员或密码员。密码员对明文进行加密时所采用的一组规则称为加密码员对明文进行加密时所采用的一组规则称为加密算法。密算法。1.3 密码学基本概念密码学基本概念 1.3.1 保密通信系统保密通信系统传送消息的预定对象称为接收者，接收者对密文进传送消息的预定对象称为接收者，接收者对密文进行解密时所采用的一组规则称为解密算法。加密和行解密时所采用的一组规则

25、称为解密算法。加密和解密算法的操作通常都是在一组密钥控制下进行的，解密算法的操作通常都是在一组密钥控制下进行的，分别称为加密密钥和解密密钥。传统密码体制所用分别称为加密密钥和解密密钥。传统密码体制所用的加密密钥和解密密钥相同，或实质上等同，即从的加密密钥和解密密钥相同，或实质上等同，即从一个易于得出另一个，称其为单钥或对称密码体制。一个易于得出另一个，称其为单钥或对称密码体制。若加密密钥和解密密钥不相同，从一个难于推出另若加密密钥和解密密钥不相同，从一个难于推出另一个，则称为双钥或非对称密码体制。密钥是密码一个，则称为双钥或非对称密码体制。密钥是密码体制安全保密的关键，它的产生和管理是密码学中

26、体制安全保密的关键，它的产生和管理是密码学中的重要研究课题。的重要研究课题。在信息传输和处理系统中，除了预定的接收者外，在信息传输和处理系统中，除了预定的接收者外，还有非授权者，他们通过各种办法（如搭线窃听、还有非授权者，他们通过各种办法（如搭线窃听、电磁窃听、声音窃听等）来窃取机密信息，称其为电磁窃听、声音窃听等）来窃取机密信息，称其为截收者。截收者虽然不知道系统所用的密钥，但通截收者。截收者虽然不知道系统所用的密钥，但通过分析可能从截获的密文推断出原来的明文或密钥，过分析可能从截获的密文推断出原来的明文或密钥，这一过程称为密码分析，从事这一工作的人称为密这一过程称为密码分析，从事这一工作的

27、人称为密码分析员，研究如何从密文推演出明文、密钥或解码分析员，研究如何从密文推演出明文、密钥或解密算法的学问称为密码分析学。对一个保密通信系密算法的学问称为密码分析学。对一个保密通信系统采取截获密文进行分析的这类攻击称为被动攻击。统采取截获密文进行分析的这类攻击称为被动攻击。现代信息系统还可能遭受的另一类攻击是主动攻击，现代信息系统还可能遭受的另一类攻击是主动攻击，非法入侵者、攻击者或黑客主动向系统窜扰，采用非法入侵者、攻击者或黑客主动向系统窜扰，采用删除、增添、重放、伪造等窜改手段向系统注入假删除、增添、重放、伪造等窜改手段向系统注入假消息，达到利己害人的目的。这是现代信息系统中消息，达到利

28、己害人的目的。这是现代信息系统中更为棘手的问题。更为棘手的问题。保密通信系统可用图保密通信系统可用图1.5表示，它由以下几部分组成：表示，它由以下几部分组成： 明文消息空间明文消息空间M，密文消息空间密文消息空间C，密钥空间密钥空间K1和和K2，在单钥体制下在单钥体制下K1=K2=K，此时密钥此时密钥K需经安全的密钥需经安全的密钥信道由发送方传给接收方；加密变换信道由发送方传给接收方；加密变换Ek1：MC，其中其中k1K1，由加密器完成；解密变换由加密器完成；解密变换Dk2：CM，其中其中k2K2，由解密器实现。称总体由解密器实现。称总体(M,C,K1,K2,EK1,DK2)为保密通信系统。对

29、于给定明文为保密通信系统。对于给定明文消息消息mM，密钥密钥k1K1，加密变换将明文加密变换将明文m变换为变换为密文密文c，即即c=f(m,k1)=Ek1(m) mM,k1K1接收方利用通过安全信道送来的密钥接收方利用通过安全信道送来的密钥k（kK，单钥单钥体制下）或用本地密钥发生器产生的解密密钥体制下）或用本地密钥发生器产生的解密密钥k2（k2K2，双钥体制下）控制解密操作双钥体制下）控制解密操作D，对收到对收到的密文进行变换得到恢复的明文消息，即：的密文进行变换得到恢复的明文消息，即：m=Dk2(c)mM,k2K2而密码分析者，则用其选定的变换函数而密码分析者，则用其选定的变换函数h，对截

30、获的对截获的密文密文c进行变换，得到的明文是明文空间中的某个元进行变换，得到的明文是明文空间中的某个元素素,即即m=h(c)一般一般mm。如果如果m=m，则分析成功。则分析成功。图图1.5 保密通信系统模型保密通信系统模型为了保护信息的保密性，抗击密码分析，保密系统为了保护信息的保密性，抗击密码分析，保密系统应当满足下述要求：应当满足下述要求： 系统即使达不到理论上是不可破的，即系统即使达不到理论上是不可破的，即prm=m=0，也应当为实际上不可破的。就是说，也应当为实际上不可破的。就是说，从截获的密文或某些已知的明文密文对，要决定密从截获的密文或某些已知的明文密文对，要决定密钥或任意明文在计

31、算上是不可行的。钥或任意明文在计算上是不可行的。 系统的保密性不依赖于对加密体制或算法的保密，系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥。这是著名的而依赖于密钥。这是著名的Kerckhoff原则。原则。 加密和解密算法适用于所有密钥空间中的元素。加密和解密算法适用于所有密钥空间中的元素。 系统便于实现和使用。系统便于实现和使用。密码体制从原理上可分为两大类，即单钥体制和双密码体制从原理上可分为两大类，即单钥体制和双钥体制。钥体制。1.3.2 密码体制分类密码体制分类单钥体制的加密密钥和解密密钥相同。采用单钥体单钥体制的加密密钥和解密密钥相同。采用单钥体制的系统的保密性主要取决于密

32、钥的保密性，与算制的系统的保密性主要取决于密钥的保密性，与算法的保密性无关，即由密文和加解密算法不可能得法的保密性无关，即由密文和加解密算法不可能得到明文。换句话说，算法无需保密，需保密的仅是到明文。换句话说，算法无需保密，需保密的仅是密钥。根据单钥密码体制的这种特性，单钥加解密密钥。根据单钥密码体制的这种特性，单钥加解密算法可通过低费用的芯片来实现。密钥可由发送方算法可通过低费用的芯片来实现。密钥可由发送方产生然后再经一个安全可靠的途径（如信使递送）产生然后再经一个安全可靠的途径（如信使递送）送至接收方，或由第三方产生后安全可靠地分配给送至接收方，或由第三方产生后安全可靠地分配给通信双方。如

33、何产生满足保密要求的密钥以及如何通信双方。如何产生满足保密要求的密钥以及如何将密钥安全可靠地分配给通信双方是这类体制设计将密钥安全可靠地分配给通信双方是这类体制设计和实现的主要课题。密钥产生、分配、存储、销毁和实现的主要课题。密钥产生、分配、存储、销毁等问题，统称为密钥管理。这是影响系统安全的关等问题，统称为密钥管理。这是影响系统安全的关键因素，即使密码算法再好，若密钥管理问题处理键因素，即使密码算法再好，若密钥管理问题处理不好，就很难保证系统的安全保密。不好，就很难保证系统的安全保密。单钥体制对明文消息的加密有两种方式：单钥体制对明文消息的加密有两种方式： 一是明文一是明文消息按字符（如二元

34、数字）逐位地加密，称之为流消息按字符（如二元数字）逐位地加密，称之为流密码；另一种是将明文消息分组（含有多个字符），密码；另一种是将明文消息分组（含有多个字符），逐组地进行加密，称之为分组密码。单钥体制不仅逐组地进行加密，称之为分组密码。单钥体制不仅可用于数据加密，也可用于消息的认证。可用于数据加密，也可用于消息的认证。双钥体制是由双钥体制是由Diffie和和Hellman于于1976年首先引入的。年首先引入的。采用双钥体制的每个用户都有一对选定的密钥：一采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样进行注册公个是可以公开的，可以像电话号码一样进行注册公布；另一

35、个则是秘密的。因此双钥体制又称为公钥布；另一个则是秘密的。因此双钥体制又称为公钥体制。体制。双钥密码体制的主要特点是将加密和解密能力分开，双钥密码体制的主要特点是将加密和解密能力分开，因而可以实现多个用户加密的消息只能由一个用户因而可以实现多个用户加密的消息只能由一个用户解读，或由一个用户加密的消息而使多个用户可以解读，或由一个用户加密的消息而使多个用户可以解读。前者可用于公共网络中实现保密通信，而后解读。前者可用于公共网络中实现保密通信，而后者可用于实现对用户的认证。详细介绍在第者可用于实现对用户的认证。详细介绍在第3章。章。表表1.1是攻击者对密码系统的是攻击者对密码系统的4种攻击类型，类

36、型的划种攻击类型，类型的划分由攻击者可获取的信息量决定。其中，最困难的分由攻击者可获取的信息量决定。其中，最困难的攻击类型是惟密文攻击，这种攻击的手段一般是穷攻击类型是惟密文攻击，这种攻击的手段一般是穷搜索法，即对截获的密文依次用所有可能的密钥试搜索法，即对截获的密文依次用所有可能的密钥试译，直到得到有意义的明文。只要有足够多的计算译，直到得到有意义的明文。只要有足够多的计算时间和存储容量，原则上穷搜索法总是可以成功的。时间和存储容量，原则上穷搜索法总是可以成功的。但实际中，任何一种能保障安全要求的实用密码都但实际中，任何一种能保障安全要求的实用密码都会设计得使这一方法在实际上是不可行的。敌手

37、因会设计得使这一方法在实际上是不可行的。敌手因此还需对密文进行统计测试分析，为此需要知道被此还需对密文进行统计测试分析，为此需要知道被加密的明文的类型，比如英文文本、法文文本、加密的明文的类型，比如英文文本、法文文本、MD-DOS执行文件、执行文件、Java源列表等。（见源列表等。（见9页表页表1.1）1.3.3 密码攻击概述密码攻击概述惟密文攻击时，敌手知道的信息量最少，因此最易惟密文攻击时，敌手知道的信息量最少，因此最易抵抗。然而，很多情况下，敌手可能有更多的信息，抵抗。然而，很多情况下，敌手可能有更多的信息，也许能截获一个或多个明文及其对应的密文，也许也许能截获一个或多个明文及其对应的密

38、文，也许知道消息中将出现的某种明文格式。例如知道消息中将出现的某种明文格式。例如ps格式文格式文件开始位置的格式总是相同的，电子资金传送消息件开始位置的格式总是相同的，电子资金传送消息总有一个标准的报头或标题。这时的攻击称为已知总有一个标准的报头或标题。这时的攻击称为已知明文攻击，敌手也许能够从已知的明文被变换成密明文攻击，敌手也许能够从已知的明文被变换成密文的方式得到密钥。文的方式得到密钥。与已知明文攻击密切相关的一种攻击法称为可能字与已知明文攻击密切相关的一种攻击法称为可能字攻击。例如对一篇散文加密，敌手可能对消息含义攻击。例如对一篇散文加密，敌手可能对消息含义知之甚少。然而，如果对非常特

39、别的信息加密，敌知之甚少。然而，如果对非常特别的信息加密，敌手也许能知道消息中的某一部分。例如，发送一个手也许能知道消息中的某一部分。例如，发送一个加密的账目文件，敌手可能知道某些关键字在文件加密的账目文件，敌手可能知道某些关键字在文件报头的位置。又如，一个公司开发的程序的源代码报头的位置。又如，一个公司开发的程序的源代码中，可能在某个标准位置上有该公司的版权声明。中，可能在某个标准位置上有该公司的版权声明。如果攻击者能在加密系统中插入自己选择的明文消如果攻击者能在加密系统中插入自己选择的明文消息，则通过该明文消息对应的密文，有可能确定出息，则通过该明文消息对应的密文，有可能确定出密钥的结构，

40、这种攻击称为选择明文攻击。密钥的结构，这种攻击称为选择明文攻击。选择密文攻击是指攻击者利用解密算法，对自己所选择密文攻击是指攻击者利用解密算法，对自己所选的密文解密出相应的明文。选的密文解密出相应的明文。p 经常不断地学习,你就什么都知道。你知道得越多,你就越有力量p Study Constantly, And You Will Know Everything. The More You Know, The More Powerful You Will Be写在最后Thank You在别人的演说中思考，在自己的故事里成长Thinking In Other PeopleS Speeches，Growing Up In Your Own Story讲师：XXXXXX XX年XX月XX日