网络安全技术及应用(第二章)1课件.ppt

1、2022-6-61第二章第二章 密码学应用基础密码学应用基础本章学习重点掌握内容：本章学习重点掌握内容：n密码学基本术语密码学基本术语n密码体制分类密码体制分类n私钥密码体制的主要特点私钥密码体制的主要特点n公钥密码体制的主要特点公钥密码体制的主要特点n杂凑函数的基本概念杂凑函数的基本概念n典型密码算法典型密码算法.2022-6-62第二章第二章 密码学应用基础密码学应用基础n2.1 概述概述n2.2 私钥密码体制私钥密码体制n2.3 公钥密码体制公钥密码体制n2.4 杂凑函数杂凑函数n2.5 密码算法应用实例密码算法应用实例PGP.2022-6-632.1 概述概述 n密码学（密码学（Cry

2、ptology）是研究）是研究密码编制密码编制、密密码破译码破译和和密钥管理密钥管理的一门综合性应用科学。其的一门综合性应用科学。其主要研究内容包括两个分支：密码编码学主要研究内容包括两个分支：密码编码学（Cryptography）和密码分析学）和密码分析学（Cryptanalytics），两者既相互对立，又相），两者既相互对立，又相互促进发展。互促进发展。n密码编码学是研究如何对密码编码学是研究如何对信息进行编码实现信息的信息进行编码实现信息的隐蔽；隐蔽；n密码分析学是密码分析学是研究如何分析破译密码研究如何分析破译密码。.2022-6-642.1 概述概述n2.1.1 密码学发展历史n分为

3、三个阶段分为三个阶段 n第一阶段是从古代到第一阶段是从古代到1949年。这一时期被称作年。这一时期被称作“科学密码学的前夜科学密码学的前夜”，所研究的内容被称为古典，所研究的内容被称为古典密码学。密码学很早就以一种密码学。密码学很早就以一种“艺术艺术”的形式存在，的形式存在，真正的发展是在最近的六十多年。真正的发展是在最近的六十多年。 .2022-6-65古典密码学古典密码学n通过把信息隐藏起来的这种秘密通信称为通过把信息隐藏起来的这种秘密通信称为Staganography(隐文隐文术术)，由希腊词，由希腊词Steganos(意为意为“覆盖覆盖”)和和Graphein(意为意为“写写”)派生而

4、来。从希罗多德以后派生而来。从希罗多德以后2000多年，各种形式的隐文多年，各种形式的隐文术被使用。术被使用。n例如，中国古代将信息写在小块丝绸上，塞进一个小球里，再用例如，中国古代将信息写在小块丝绸上，塞进一个小球里，再用蜡给封上，然后让信使吞下这个蜡球。蜡给封上，然后让信使吞下这个蜡球。n16世纪，意大利科学家乔瓦尼世纪，意大利科学家乔瓦尼波塔描述了如何将信息埋藏在一波塔描述了如何将信息埋藏在一个煮熟的鸡蛋里：他把少许明矾和一点醋混在一起制作成一种墨个煮熟的鸡蛋里：他把少许明矾和一点醋混在一起制作成一种墨水，再用这种墨水将信息写在鸡蛋壳表面。墨水溶液就会经蛋壳水，再用这种墨水将信息写在鸡蛋

5、壳表面。墨水溶液就会经蛋壳上的微孔渗透进去，在已凝固的鸡蛋白表面留下印记，这样只能上的微孔渗透进去，在已凝固的鸡蛋白表面留下印记，这样只能剥去蛋壳后才能读取。剥去蛋壳后才能读取。n隐文术也包括用隐形墨水来写信息，用这种液体写的字干后即变隐文术也包括用隐形墨水来写信息，用这种液体写的字干后即变得透明，但轻轻地加热就能把液体烤焦，从而字体就以棕色显现得透明，但轻轻地加热就能把液体烤焦，从而字体就以棕色显现出来。出来。 .2022-6-66古典密码学古典密码学n隐文术的长久使用表明它确实起到了一定保密作用，但它也有一隐文术的长久使用表明它确实起到了一定保密作用，但它也有一个根本的弱点。如果信使被搜查

6、，信息被发现，那么秘密通信的个根本的弱点。如果信使被搜查，信息被发现，那么秘密通信的内容也立即暴露无遗。一旦信息被截获，所有的安全性也就随之内容也立即暴露无遗。一旦信息被截获，所有的安全性也就随之荡然无存。一个严格的士兵会例行地搜查每一个过境人，包括刮荡然无存。一个严格的士兵会例行地搜查每一个过境人，包括刮一刮所有上蜡的刻写板，给所有空白纸张加加热，剥开煮熟的鸡一刮所有上蜡的刻写板，给所有空白纸张加加热，剥开煮熟的鸡蛋，剃光人们的头发等等，难免会有发现隐藏信息的时刻。蛋，剃光人们的头发等等，难免会有发现隐藏信息的时刻。n因此，在隐文术发展的同时，还有另一种方法也在演化，那就是因此，在隐文术发展

7、的同时，还有另一种方法也在演化，那就是Cryprography(密码术密码术)，从希腊词，从希腊词Kryptos(意为隐藏意为隐藏)派生而派生而来。密码术的目的不是隐藏密码本身，而是要隐藏它的意思，也来。密码术的目的不是隐藏密码本身，而是要隐藏它的意思，也就是一种和加密的过程。为了使信息无法被外人理解，将信息按就是一种和加密的过程。为了使信息无法被外人理解，将信息按照事先在发送者和接收者之间规定好的某种特别规则打乱。那么照事先在发送者和接收者之间规定好的某种特别规则打乱。那么接受者可以将打乱的信息恢复原样，信息就可以被理解。密码术接受者可以将打乱的信息恢复原样，信息就可以被理解。密码术的优势在

8、于即使敌人截住了一条加密的信息，也无法读懂它。不的优势在于即使敌人截住了一条加密的信息，也无法读懂它。不知道扰乱的规则，敌方将很难知道扰乱的规则，敌方将很难(也并非不可能也并非不可能)重现密文的原始含重现密文的原始含义。义。.2022-6-67古典密码学古典密码学n虽然隐文术和密码术是各自独立的，但完全可以将一条信息既混虽然隐文术和密码术是各自独立的，但完全可以将一条信息既混乱又隐藏以取得一个最安全的效果。乱又隐藏以取得一个最安全的效果。n例如，二战期间流行的微粒照片是一种隐文术。德军在拉丁美洲例如，二战期间流行的微粒照片是一种隐文术。德军在拉丁美洲的间谍将一页文件缩小在直径不到的间谍将一页文

9、件缩小在直径不到1毫米的微型照片上，看上去毫米的微型照片上，看上去就是一个点，再将这个点状照片贴在看似无关紧要的一封信中的就是一个点，再将这个点状照片贴在看似无关紧要的一封信中的某个句号上面。这种微型照片在某个句号上面。这种微型照片在1941年第一次被美国联邦调查年第一次被美国联邦调查局发现，紧接着美军就有所警觉，查看信中有无微弱的光点，它局发现，紧接着美军就有所警觉，查看信中有无微弱的光点，它可能就是反滑的胶片反射出来的光。从那以后，美军能读懂大多可能就是反滑的胶片反射出来的光。从那以后，美军能读懂大多数被截住的微型照片的内容，除非德军间谍有所防范，在缩小之数被截住的微型照片的内容，除非德军

10、间谍有所防范，在缩小之前，将照片中的信息混乱。这样，密码术融进了隐文术中，美军前，将照片中的信息混乱。这样，密码术融进了隐文术中，美军即使有时截获了通信，但却无法获得关于德间谍活动的任何新的即使有时截获了通信，但却无法获得关于德间谍活动的任何新的信息。在秘密通讯的上述两种分支中，密码术是更加有效的，因信息。在秘密通讯的上述两种分支中，密码术是更加有效的，因为它能防止确切的信息落到敌军手中。为它能防止确切的信息落到敌军手中。 .2022-6-68古典密码学古典密码学n古典密码学分类古典密码学分类n代换（代换（Substitution）密码和置换（）密码和置换（Permutation）密码）密码

11、n代换密码代换密码 单表代换密码：单表代换密码是对明文的所有字母都用一个固定的明文单表代换密码：单表代换密码是对明文的所有字母都用一个固定的明文字母表到密文字母表的映射。字母表到密文字母表的映射。n几类简单的单表代换密码几类简单的单表代换密码 n移位密码（移位密码（Shift Cipher）n苏托尼厄斯在公元二世纪写下苏托尼厄斯在公元二世纪写下凯撒传凯撒传，书中对凯撒用过的其中，书中对凯撒用过的其中一种替换密码作了详细的描写。密码学家通常将用来书写原始信息一种替换密码作了详细的描写。密码学家通常将用来书写原始信息的有关字母称为明码字母表，这里简称明码表；而把用来替换明码的有关字母称为明码字母表

12、，这里简称明码表；而把用来替换明码字母的有关字母称为密码字母表，这里简称密码表。当把明码表放字母的有关字母称为密码字母表，这里简称密码表。当把明码表放在密码表的上面时，很明显密码字母表和明码字母表相比后移了在密码表的上面时，很明显密码字母表和明码字母表相比后移了3个个位置。因而这种形式的替换通常叫做凯撒移位密码，或简单说，凯位置。因而这种形式的替换通常叫做凯撒移位密码，或简单说，凯撒密码。撒密码。 .2022-6-69古典密码学古典密码学n例 恺撒（恺撒（Caesar）密码是）密码是k3的情况。即通过简单的向右移动源的情况。即通过简单的向右移动源字母表字母表3个字母则形成如下代换字母表个字母则

13、形成如下代换字母表 若明文为：若明文为： please confirm receipt则密文为：则密文为：SOHDVE FRQILUP UHFHLSW :abcdefghijklm:DEFGHIJKLMNOPnopqrstuvwxyzQRSTUVWXYZABC.2022-6-610古典密码学古典密码学n安全性分析安全性分析n移位密码是极不安全的（移位密码是极不安全的（mod26），因为它可被），因为它可被穷举密钥搜索所分析：仅有穷举密钥搜索所分析：仅有26个可能的密钥，尝试个可能的密钥，尝试每一个可能的加密规则，直到一个有意义的明文串每一个可能的加密规则，直到一个有意义的明文串被获得。被获得。

14、.2022-6-611古典密码学古典密码学n替换密码替换密码n密钥空间密钥空间K由所有可能的由所有可能的26个符号个符号0，1，.，25的置换组成。的置换组成。n例2.2 密钥句子为：密钥句子为：the message was transmitted an hour ago 。源字母表为：源字母表为： a b c d e f g h i j k l m n o p q r s t u v w x y z 代换字母表为：代换字母表为：THEMSAGWRNIDOUBCFJKLPQVXYZ明文：明文：please confirm receipt 密文：密文：CDSTKS EBUARJO JSESRC

15、L.2022-6-612古典密码学古典密码学n安全性分析安全性分析n替换密码的密钥是由替换密码的密钥是由26个字母的置换组成。这些置个字母的置换组成。这些置换的数目是换的数目是26！，超过，一个非常大的数。这样即！，超过，一个非常大的数。这样即使对现代计算机来说，穷举密钥搜索也是不可行的。使对现代计算机来说，穷举密钥搜索也是不可行的。然而，以后我们会看到，替换密码容易被其他的分然而，以后我们会看到，替换密码容易被其他的分析方法所破译。析方法所破译。 .2022-6-613古典密码学古典密码学n仿射密码仿射密码n多表代换密码多表代换密码n多字母代换密码多字母代换密码.2022-6-6142.1.

16、1 密码学发展历史n第二阶段是从第二阶段是从1949年到年到1975年。年。1949年年Shannon发表的发表的“保密系统的信息理论保密系统的信息理论”一文标一文标志着密码学从此成为一门科学，由此拉开了现代密志着密码学从此成为一门科学，由此拉开了现代密码学研究的序幕。该文奠定了密码学的理论基础。码学研究的序幕。该文奠定了密码学的理论基础。n第三阶段从第三阶段从1976年至今。非对称密钥提出即各种年至今。非对称密钥提出即各种公钥体制，特别是公钥体制，特别是RSA公钥体制的提出在密码学上公钥体制的提出在密码学上是个里程碑。是个里程碑。1977年，年，DES提出，商用密码研究提出，商用密码研究开始

17、活跃起来。开始活跃起来。 .2022-6-6152.1 概述概述n2.1.2密码学基本术语密码学基本术语 n明文、密文明文、密文 n被隐蔽的消息被称做明文（被隐蔽的消息被称做明文（Plain Text），通常用），通常用P或或M表示。表示。n隐蔽后的消息被称做密文隐蔽后的消息被称做密文(Cipher Text)，通常用，通常用C表示。表示。n发送者、接收者发送者、接收者n在信息传送过程中，主动提供信息的一方称为发送者，得在信息传送过程中，主动提供信息的一方称为发送者，得到信息的一方称为接收者。到信息的一方称为接收者。 .2022-6-6162.1.2密码学基本术语密码学基本术语n加密、解密、加

18、密算法、解密算法加密、解密、加密算法、解密算法n将明文变换成密文的过程称为加密将明文变换成密文的过程称为加密(Encryption)。n将密文变换成明文的过程称为解密将密文变换成明文的过程称为解密(Decryption)。n对明文进行加密时所采用的一组规则称为加密算法对明文进行加密时所采用的一组规则称为加密算法(Encryption Algorithm)。通常用。通常用E表示。表示。n对密文进行解密时所采用的一组规则称为解密算法对密文进行解密时所采用的一组规则称为解密算法(Decryption Algorithm)。通常用。通常用D表示。表示。n密钥密钥n加密和解密算法的操作通常都是在一组密钥

19、加密和解密算法的操作通常都是在一组密钥(Key)的控制的控制下进行的，分别称为加密密钥和解密密钥。通常用下进行的，分别称为加密密钥和解密密钥。通常用Ke和和Kd表示。表示。.2022-6-6172.1.2密码学基本术语密码学基本术语n截收者截收者n在消息的传输和处理系统中，除了信息的合法授权接收者外，还在消息的传输和处理系统中，除了信息的合法授权接收者外，还有非授权者，他们通过各种手段有非授权者，他们通过各种手段,如：搭线窃听、电磁窃听、声如：搭线窃听、电磁窃听、声音窃听等来窃取机密信息，称其为截收者。音窃听等来窃取机密信息，称其为截收者。n主动攻击、被动攻击主动攻击、被动攻击n攻击者主动向系

20、统窜扰，采用删除、更改、增填、重放、伪造等攻击者主动向系统窜扰，采用删除、更改、增填、重放、伪造等手段向系统注入假消息，以达到一定的目的，这样的攻击手段称手段向系统注入假消息，以达到一定的目的，这样的攻击手段称作主动攻击；对一个密码系统采取截获密文进行分析的这类攻击作主动攻击；对一个密码系统采取截获密文进行分析的这类攻击称作被动攻击。称作被动攻击。 n密码系统密码系统n通常简称为密码体制（通常简称为密码体制（Cryptosystem），由五元组），由五元组（M,C,K,E,D）构成密码系统模型参见图构成密码系统模型参见图2-1。n五元组（五元组（M,C,K,E,D）描述如下：）描述如下：n明文

21、空间明文空间M，它是全体明文的集合；，它是全体明文的集合；n密文空间密文空间C，它是全体密文的集合；，它是全体密文的集合；.2022-6-6182.1.2密码学基本术语密码学基本术语n密钥空间密钥空间K，它是全体密钥的集合，其中每一个密钥，它是全体密钥的集合，其中每一个密钥K均均由加密密钥和解密密钥组成；由加密密钥和解密密钥组成；n加密算法加密算法E，它是由明文空间到密文空间的加密变换；，它是由明文空间到密文空间的加密变换；n解密算法解密算法D，它是由密文空间到明文空间的解密变换。，它是由密文空间到明文空间的解密变换。 攻击者 信道 解密算法 明文 加密算法 明文 M M C C 安全信道 加

22、密密钥 解密密钥 Ke Kd 密钥 K .2022-6-6192.1 概述概述n2.1.3密码体制分类n根据密钥的特点根据密钥的特点n对称密码体制（对称密码体制（Symmetric Cryptosystem）n单钥（单钥（One-Key）体制或私钥（）体制或私钥（Private Key）体制或传）体制或传统密码体制（统密码体制（Classical Cryptosystem）；）；n非对称密码体制（非对称密码体制（Asymmetric Cryptosystem）。）。n双钥（双钥（Two-Key）或公钥（）或公钥（Public Key）密码体制。）密码体制。 .2022-6-6202.1.3密码

23、体制分类n按照加密方式不同，私钥密码体制被分为按照加密方式不同，私钥密码体制被分为n流密码（流密码（Stream Cipher）（或称序列密码）（或称序列密码）n分组密码（分组密码（Block Cipher）n区别是：流密码是将明文消息按字符逐位加密；分区别是：流密码是将明文消息按字符逐位加密；分组密码是将明文消息先进行分组，再逐组加密。组密码是将明文消息先进行分组，再逐组加密。 .2022-6-6212.2 私钥密码体制算法名称算法名称算法类型算法类型算法参数算法参数算法特点算法特点DES分组密码分组长度：64比特密钥长度：64比特迭代圈数：16 比特从1977年公布以来，使用最广泛的分组密

24、码算法，算法简单易实现。目前为保证其安全性，常使用双重或三重DESAES分组密码分组长度（可变）：128、192、256比特密钥长度（可变）：128、192、256比特迭代圈数（可变）10，12，14圈2000年公布的最新分组密码加密标准，是目前常用的安全强度较高的分组密码，常用分组长度为128比特，密钥长度为128比特，迭代圈数为10圈IDEA分组密码分组长度：64比特密钥长度：128比特迭代圈数：8圈1992年正式使用以来，被较多使用的一种安全、效率较高的分组密码，被成功用于PGP邮件加密系统中。RC4流密码密钥长度可变1987年RSA公司开发的流密码算法；采用OFB模式，加密速度快，约为

25、DES的10倍RC5分组密码RSA公司1994年设计，既适合于硬件实现又适合于软件实现。Blowfish分组密码分组长度：64比特密钥长度可变，最长可达448比特适合于内存较大的微处理器，不适合于分组交换、经常更换密钥和单向函数中。私钥密码算法比较私钥密码算法比较 .2022-6-6222.2 私钥密码体制n2.2.1简化DES（S-DES）n为了帮助读者加深对为了帮助读者加深对DES算法的理解，掌握算法的理解，掌握DES算法的结构，本节介绍简化算法的结构，本节介绍简化DES(S-DES)。 S-DES与与DES有着相似的性质和结构，但是参有着相似的性质和结构，但是参数要比数要比DES小得多小

26、得多n算法结构如图所示算法结构如图所示 .2022-6-623.2022-6-6242.2.1简化DES（S-DES）nS-DES算法描述算法描述nS-DES的密钥产生的密钥产生 在在S-DES算法中，由收发双方共享的算法中，由收发双方共享的10位密钥通过位密钥通过置换和移位操作产生了两个置换和移位操作产生了两个8位密钥，这两个位密钥，这两个8位密位密钥被分别用在加解密的不同阶段，钥被分别用在加解密的不同阶段， 如图描述了密钥产生过程。下面如图描述了密钥产生过程。下面 介绍其产生过程介绍其产生过程 .2022-6-625S-DES的密钥产生的密钥产生.2022-6-6262.2.1简化DES（

27、S-DES）n置换置换P10置换置换P10被定义为：被定义为：n移位操作（移位操作（LS-1）LS-1表示循环左移一位。表示循环左移一位。n置换置换P8从移位操作输出的从移位操作输出的10位密钥中选取位密钥中选取8位，按下表的规则运用置位，按下表的规则运用置换换P8：n移位操作移位操作LS-2LS-2表示循环左移表示循环左移2位。位。3 5 2 7 4 10 1 9 8 66 3 7 4 8 5 10 0.2022-6-6272.2.1简化DES（S-DES）nS-DES加密加密S-DES加密过程包括加密过程包括4个函个函数，数，5步操作。下面根据步操作。下面根据这些函数使用的先后顺这些函数使

28、用的先后顺序对这四个函数进行详序对这四个函数进行详细介绍。细介绍。 .2022-6-6282.2.1简化DES（S-DES）n初始置换（初始置换（IP）S-DES算法的输入是一个算法的输入是一个8位明文分组，我们首先使用函数对其位明文分组，我们首先使用函数对其进行初始置换进行初始置换 n函数函数S-DES算法最复杂的部分，它由置换函数和代换函数组合而成。算法最复杂的部分，它由置换函数和代换函数组合而成。函数可按如下方式表达。设函数可按如下方式表达。设L和和R分别是的八位输入的左边分别是的八位输入的左边4位位和右边和右边4位。位。F是一个是一个4位到位到4位的映射。则函数可以表示为位的映射。则函

29、数可以表示为其中，其中，SK是子密钥，第一轮取值为是子密钥，第一轮取值为K1 ，第二轮取值为，第二轮取值为K2 ，是，是按位异或函数。按位异或函数。2 6 3 1 4 8 5 7,KfL RLF R SKR.2022-6-6292.2.1简化DES（S-DES）函数函数F主要包括主要包括4步操作。步操作。n第一步：E/P扩展置换操作4 1 2 3 2 3 4 1n第二步：与子密钥异或相加将8位子密钥K1与E/P扩展置换输出的八位按位异或。nS盒运算将第二步的输出结果分为左右两部分，各4位。将左4位输入到中得到一个2位的输出。将右4位输入中产生另一个2位的输出。 S盒的操作规则如下：第1位和第4

30、位作为一个2位二进制数决定了S盒的行，第2位和第3位决定了S盒的列。输出也是一个2位的二进制数。 .2022-6-630S盒盒 列行0123S001032132102021333132S100123120132301032102.2022-6-6312.2.1简化DES（S-DES）n第四步：置换操作P4接下来，由和的输出组成的4位数据再进行如下置换操作：2 4 3 1第四步操作的输出就是函数F的输出。n交换函数交换函数SW函数函数f只改变输入的最左边只改变输入的最左边4位。交换函数位。交换函数SW将输入的左将输入的左4位和右位和右4位交换，这样再次作用的就是不同的位交换，这样再次作用的就是不

31、同的4位了。交位了。交换函数换函数SW的输出被第二次输入到函数，的输出被第二次输入到函数，n逆置换（）逆置换（）在在S-DES算法的最后，使用的逆置换如下表所示：算法的最后，使用的逆置换如下表所示：4 1 3 5 7 2 8 6.2022-6-6322.2 私钥密码体制n2.2.2 DES简介简介 S-DES与与DES的算法结构相同，但的算法结构相同，但DES的参数较大，其输入为的参数较大，其输入为64位分组，函数迭代位分组，函数迭代16圈，因此需要产生圈，因此需要产生16个子密钥。个子密钥。DES的初始输入密钥为的初始输入密钥为64位，其中有效密钥为位，其中有效密钥为56位（初始密钥的位（初

32、始密钥的第第8i（i = 1,8）比特是奇偶校验位），利用子密钥生成算）比特是奇偶校验位），利用子密钥生成算法由法由56位密钥产生位密钥产生16个个48位子密钥。位子密钥。 n特点特点:DES算法具有极高安全性，到目前为止，除了用穷举搜索法算法具有极高安全性，到目前为止，除了用穷举搜索法对对DES算法进行攻击外，还没有发现更有效的办法。如果一台计算法进行攻击外，还没有发现更有效的办法。如果一台计算机的速度是每一秒种检测一百万个密钥，则它搜索完全部密钥算机的速度是每一秒种检测一百万个密钥，则它搜索完全部密钥就需要将近就需要将近2285年的时间，可见，这是难以实现的，当然，随年的时间，可见，这是难

33、以实现的，当然，随着科学技术的发展，当出现超高速计算机后，我们可考虑把着科学技术的发展，当出现超高速计算机后，我们可考虑把DES密钥的长度再增长一些，以此来达到更高的保密程度。密钥的长度再增长一些，以此来达到更高的保密程度。.2022-6-633DES的产生的产生.2022-6-634DES的产生的产生.2022-6-635DES的产生的产生.2022-6-636DES简介简介nDES算法在算法在ATM、磁卡及智能卡、磁卡及智能卡(IC)、加油站、加油站、高速公路收费站等领域被广泛应用，以此来实高速公路收费站等领域被广泛应用，以此来实现关键数据的保密、如信用卡人的现关键数据的保密、如信用卡人的

34、PIN，全称，全称Personal Identification Number，就是个，就是个人识别密码人识别密码 .2022-6-637DES简介简介 .2022-6-6382.2.2 DES简介简介nDES的意义的意义具体表现在以下几个方面具体表现在以下几个方面 n它公开展示了能完全适应某一历史阶段中信息安全要求的一它公开展示了能完全适应某一历史阶段中信息安全要求的一种密码体制的构造方法；种密码体制的构造方法；n它是世界上第一个数据加密标准，并确立了这样一个原则，它是世界上第一个数据加密标准，并确立了这样一个原则，即算法的细节可以公开而密钥必须是保密的；即算法的细节可以公开而密钥必须是保密

35、的；n它极大地推动了密码算法标准化工作；它极大地推动了密码算法标准化工作；n它的出现及引发的讨论确立了安全设计和使用分组密码的若它的出现及引发的讨论确立了安全设计和使用分组密码的若干准则，并引发了分组密码设计的高潮；干准则，并引发了分组密码设计的高潮；n它推动了密码分析理论和技术的快速发展，先后出现了差分它推动了密码分析理论和技术的快速发展，先后出现了差分分析、线性分析等多种新的有效的密码分析方法。分析、线性分析等多种新的有效的密码分析方法。.2022-6-6392.2.2 DES简介简介n多重多重DES n双重双重DES双重双重DES的密钥长度为的密钥长度为112比特，可有效地增加算法比特，

36、可有效地增加算法强度。强度。 n三重三重DES算法算法 21()KKCDESDESm12( )KKmDESDESC121()KKKCEDEM121()KKKMDEDC.2022-6-6402.2 私钥密码体制n2.2.3 高级加密标准AESn密码学中的密码学中的高级加密标准高级加密标准（Advanced Encryption Standard，AES），又称高级加密标准），又称高级加密标准.nRijndael加密法，是加密法，是美国联邦政府美国联邦政府采用的一种区块加密标准。这采用的一种区块加密标准。这个标准用来替代原先的个标准用来替代原先的DES，已经被多方分析且广为全世界所使，已经被多方分

37、析且广为全世界所使用。经过五年的甄选流程，高级加密标准由用。经过五年的甄选流程，高级加密标准由美国国家标准与技术美国国家标准与技术研究院研究院 （NIST）于）于2001年年11月月26日发布于日发布于FIPS PUB 197，并在并在2002年年5月月26日成为有效的标准。日成为有效的标准。2006年，高级加密标准年，高级加密标准已然成为已然成为对称密钥对称密钥加密中最流行的算法之一。加密中最流行的算法之一。 n该算法为该算法为比利时比利时密码学家密码学家Joan Daemen和和Vincent Rijmen所设计，结合两位作者的名字，以所设计，结合两位作者的名字，以Rijndael之命名之

38、，投稿高级之命名之，投稿高级加密标准的甄选流程。（加密标准的甄选流程。（Rijdael的发音近于的发音近于 Rhinedoll。）。） .2022-6-641nAES是美国国家标准技术研究所是美国国家标准技术研究所NIST旨在取代旨在取代DES的的21世纪的世纪的加密标准。加密标准。 nAES的基本要求是，采用对称分组密码体制，密钥长度的最的基本要求是，采用对称分组密码体制，密钥长度的最少支持为少支持为128、192、256，算法应易于各种硬件和，算法应易于各种硬件和软件软件实现。实现。1998年年NIST开始开始AES第一轮分析、测试和征集，共产生了第一轮分析、测试和征集，共产生了15个个候

39、选算法。候选算法。1999年年3月完成了第二轮月完成了第二轮AES2的分析、测试。的分析、测试。2000年年10月月2日美国政府正式宣布选中比利时密码学家日美国政府正式宣布选中比利时密码学家Joan Daemen 和和 Vincent Rijmen 提出的一种密码算法提出的一种密码算法RIJNDAEL 作为作为 AES. n在应用方面，尽管在应用方面，尽管DES在安全上是脆弱的，但由于快速在安全上是脆弱的，但由于快速DES芯片的大量生产，使得芯片的大量生产，使得DES仍能暂时继续使用，为提高安全强度，仍能暂时继续使用，为提高安全强度，通常使用独立密钥的三级通常使用独立密钥的三级DES。但是。但

40、是DES迟早要被迟早要被AES代替。代替。 .2022-6-6422.2 私钥密码体制n2.2.4 分组密码工作模式分组密码工作模式 n指以某个分组密码算法为基础，构造一个分组指以某个分组密码算法为基础，构造一个分组密码系统方法，构造出的分组密码系统不仅可密码系统方法，构造出的分组密码系统不仅可以解决对任意长度的明文加密问题的方法，还以解决对任意长度的明文加密问题的方法，还可以构造随机数生成器、流密码、消息认证码可以构造随机数生成器、流密码、消息认证码及杂凑函数等。及杂凑函数等。 主要有：主要有： .2022-6-6432.2.4 分组密码工作模式分组密码工作模式n 电码本电码本ECB(Ele

41、ctronic Code Book)模式模式 最简单的分组密码工作模式是电码本（最简单的分组密码工作模式是电码本（ECB）模式，）模式，每次使用相同的密钥处理一个固定长度为每次使用相同的密钥处理一个固定长度为n位的明位的明文分组（以文分组（以DES为例，就是为例，就是64位明文分组）。位明文分组）。 主要优点主要优点 ：n无差错传播。在传输过程中，一个密文分组的丢失或传输无差错传播。在传输过程中，一个密文分组的丢失或传输错误不影响其它分组的正确解密，即传输中的差错不会传错误不影响其它分组的正确解密，即传输中的差错不会传播到其它分组块。播到其它分组块。n 不同明文分组的加密可并行实施，尤其是硬件

42、实现时速不同明文分组的加密可并行实施，尤其是硬件实现时速度很快。例如同时输入多个分组。度很快。例如同时输入多个分组。.2022-6-6442.2.4 分组密码工作模式分组密码工作模式主要缺点有：主要缺点有：n容易暴露明文的数据模式，即相同明文会生成相同密文，容易暴露明文的数据模式，即相同明文会生成相同密文，无法抵御统计攻击。例如英文字母频率表无法抵御统计攻击。例如英文字母频率表 ：E是使用频率是使用频率最高的，下面是英文字母使用频率表最高的，下面是英文字母使用频率表:(%) nA 8.19 B 1.47 C 3.83 D 3.91 E 12.25 F 2.26 G 1.71 H 4.57 I

43、7.10 J 0.14 K 0.41 L 3.77 M 3.34 N 7.06 O 7.26 P 2.89 Q 0.09 R 6.85 S 6.36 T 9.41 U 2.58 V 1.09 W 1.59 X 0.21 Y 1.58 Z 0.08 n无法抵抗组的重放、嵌入和删除等攻击。为了克服该模式无法抵抗组的重放、嵌入和删除等攻击。为了克服该模式的弱点，可以在加密处理中引入少量的记忆等。的弱点，可以在加密处理中引入少量的记忆等。.2022-6-6452.2.4 分组密码工作模式分组密码工作模式n所谓重放攻击就是攻击者发送一个目的主机已接收过所谓重放攻击就是攻击者发送一个目的主机已接收过的包，

44、来达到欺骗系统的目的，主要用于身份认证过的包，来达到欺骗系统的目的，主要用于身份认证过程。程。n攻击者利用网络监听或者其他方式盗取认证凭据，之攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给目的主机。后再把它重新发给目的主机。n通过一个故事来说明通过一个故事来说明n阿里巴巴和阿里巴巴和40大盗的故事大盗的故事n人物：人物：n黑客：阿里巴巴黑客：阿里巴巴n用户：用户：40大盗大盗n系统：宝库系统：宝库n身份认证：石门身份认证：石门n故事情节：有一天，故事情节：有一天，40大盗准备把一些抢来的珠宝放大盗准备把一些抢来的珠宝放进他们的宝库里去。进他们的宝库里去。/ 用户打算登陆系统用户

45、打算登陆系统.2022-6-6462.2.4 分组密码工作模式分组密码工作模式n他们来到宝库面前，准备打开石门他们来到宝库面前，准备打开石门/ 系统要求身份认系统要求身份认证，弹出口令窗口证，弹出口令窗口n40大盗的首领对着石门喊道：大盗的首领对着石门喊道：“芝麻开门芝麻开门”/用户输用户输入口令入口令“芝麻开门芝麻开门”n不巧这一幕被阿里巴巴看到不巧这一幕被阿里巴巴看到/有黑客截获用户的登陆有黑客截获用户的登陆过程，监听过程，监听n40大盗将宝物放进宝库后，就离开了大盗将宝物放进宝库后，就离开了/用户退出系统用户退出系统n等等40达盗走远后，阿里巴巴来到石门前也大喊达盗走远后，阿里巴巴来到石

46、门前也大喊“芝麻芝麻开门开门”/黑客对系统进行了重放攻击黑客对系统进行了重放攻击n石门打开了，阿里巴巴把宝物都搬回家了石门打开了，阿里巴巴把宝物都搬回家了/成功入侵成功入侵系统系统 .2022-6-6472.2.4 分组密码工作模式分组密码工作模式n密码分组链接密码分组链接CBC（Cipher Block Chaining）模）模式式 加密模式可以表示为加密模式可以表示为其解密模式可以表示为其解密模式可以表示为 加密第一组明文时，需要与一个初始矢量（加密第一组明文时，需要与一个初始矢量（IV）异或后再）异或后再加密，即加密，即 解密最后一组密文时，也需要初始矢量（解密最后一组密文时，也需要初始

47、矢量（IV）的参与，即）的参与，即 1()iKiiCEPC1()iKiiPDCC11()KCEPIV11()KPDCIV.2022-6-6482.2.4 分组密码工作模式分组密码工作模式nCBC模式的优点有：模式的优点有：n能够隐蔽明文数据模式，相同的明文分组未必蕴涵着相同能够隐蔽明文数据模式，相同的明文分组未必蕴涵着相同的密文分组。的密文分组。n在一定程度上能够识别攻击者在密文传输中是否对数据作在一定程度上能够识别攻击者在密文传输中是否对数据作了窜改，如组的重放、嵌入或删除等。了窜改，如组的重放、嵌入或删除等。n具有自同步功能。密文出现丢块和错块不影响后续密文块具有自同步功能。密文出现丢块和

48、错块不影响后续密文块的脱密。若从第的脱密。若从第t块起密文块正确，则第块起密文块正确，则第t+1个明文块就个明文块就能正确求出。能正确求出。n模式的缺点：模式的缺点：nCBC模式的缺点是具有有限的错误传播特性。模式的缺点是具有有限的错误传播特性。 .2022-6-6492.2.4 分组密码工作模式分组密码工作模式n s比特密码反馈比特密码反馈CFB（Cipher Feedback）模式）模式n加密算法可以表示为：加密算法可以表示为：nCFB模式的解密算法可以表示为模式的解密算法可以表示为11()sKCPSEIV11()sKPCSEIV.2022-6-6502.2.4 分组密码工作模式分组密码工

49、作模式ns比特输出反馈比特输出反馈OFB（Output Feedback）模式）模式 n优点是传输过程中在某位上发生的错误不会影响其优点是传输过程中在某位上发生的错误不会影响其它位。它位。OFB的缺点是，抗消息流篡改攻击的能力不的缺点是，抗消息流篡改攻击的能力不如如CFB，即密文中的某位取反，恢复出的的明文相，即密文中的某位取反，恢复出的的明文相应也取反。应也取反。 .2022-6-6512.3 公钥密码体制公钥密码体制n2.3.1 概述概述 序号序号对称密码对称密码公钥密码公钥密码1加密和解密使用相同的密钥加密和解密使用不同密钥2密钥必须保密存放私钥保密存放，公钥公开存放3通信前，收发双方必

50、须实现密钥共享通信前，收发双方无需实现密钥共享4主要应用于数据加解密、可以实现数据保密性、认证等安全服务可应用于数据加解密、数字签名、密钥交换等方面，实现数据保密、认证、数据完整性、不可否认性等安全服务.2022-6-6522.3.1 概述概述n公钥密码体制必须具有如下特性：给定公钥，公钥密码体制必须具有如下特性：给定公钥，要确定出私钥是计算上不可行的。要确定出私钥是计算上不可行的。n公钥密码体制有两种基本模型，一种是加密模公钥密码体制有两种基本模型，一种是加密模型；另一种是认证模型。型；另一种是认证模型。n公钥密码体制可以简化密钥的管理，并且可通公钥密码体制可以简化密钥的管理，并且可通过公开