第4章基礎(chǔ)安全技術(shù)

第4章基礎(chǔ)安全技術(shù)

4.1密碼技術(shù)4.2完整性校驗(yàn)與數(shù)字簽名4.3PKI技術(shù)習(xí)題4.1密碼技術(shù)4.1.1古典密碼系統(tǒng)4.1.2對(duì)稱密碼系統(tǒng)

4.1.3公鑰密碼系統(tǒng)數(shù)據(jù)加密的一般模型如下圖所示。

明文M用加密算法E和加密密鑰Ke得到密文C=Eke(M)。傳遞過程中可能出現(xiàn)加密密文截取者。到了接收端，利用解密算法D和解密密鑰Kd，解出明文M=DKe(C)。4.1.1古典密碼系統(tǒng)

1.仿射密碼系統(tǒng)仿射密碼系統(tǒng)是一種典型的單表變換密碼系統(tǒng)。所謂單表變換密碼是指明文的所有字母和密文的所有字母之間存在一個(gè)固定的映射關(guān)系f：Zn→Zn。返回本節(jié)

下表是從明文字母映射到密文字母的一個(gè)實(shí)例。

【例4-1】根據(jù)表4-2對(duì)明文“affinecipher”進(jìn)行加密。根據(jù)表4-2的映射關(guān)系，存在以下的加密變換：

a→y，f→d，i→g，n→l，e→c，c→a，p→n，h→f，r→p于是可以得到密文：“yddglcagnfcp”接收方收到密文后，也可以通過表2-l進(jìn)行還原：

y→a，d→f，g→i，l→n，c→e，a→c，n→p，

f→h，p→r得到明文：“affinecipher”

在仿射密碼系統(tǒng)(AffineCipher)中，明文空間和密文空間均為Zn。密鑰空間：K={K=（k0，k1）|gcd（k1，n）=1，k0，k1∈Zn}加密算法：Ek（i）i)=（ik1+k0）modn解密算法：Dk（j）=（j-k0）／k1modn

2.Vigenère密碼系統(tǒng)多表變換密碼系統(tǒng)是單表變換密碼系統(tǒng)的擴(kuò)展。在單表變換中，加密和解密由一個(gè)映射來(lái)完成，而多表變換中存在多個(gè)映射。

在Vigenère密碼系統(tǒng)中，明文空間和密文空間均為Zn。密鑰：k=（k0，k1，…，kd），ki∈Zn

加密算法：mi+tdci+td

ci+td=（mi+td+ki

）（modn）解密算法：ci+td

mi+td

mi+td=（ci+td-ki）（modn）

【例4-3】在Vigenère密碼系統(tǒng)中，明文和密文都是英文字母串，n=26，密鑰k={19，7，8，13，10}，明文的英文形式是：“thealgebraicformofanellipticcurve”相應(yīng)的數(shù)字形式是：“19,7,4,0,11

6,4,1,17,0，8,2,5,14,17，12,14,5,0,13，

4,11,11,8,15，19,8,2,2,2017,21,4”（忽略空格）

實(shí)施加密算法：

19（+19）→127（+7）→144（+8）→120（+13）→1311（+10）→216（+19）→254（+7）→111（+8）→917（+13）→40（+10）→108（+19）→12（+7）→95（+8）→1314（+13）→117（+10）→112（+19）→514（+7）→215（+8）→130（+13）→1313（+10）→234（+19）→2311（+7）→1811（+8）→198（+13）→2115（+10）→2519（+19）→128（+7）→152（+8）→102（+13）→1520（+10）→417（+19）→102l（+7）→24（+8）→12

得到數(shù)字密文：“12,14,12,13,21，25,11,9,4,10，1,9,13,1,1，5,21,13,13,23，

23,18,19,21,25，12,15,10,15,4，10,2,12”

相應(yīng)的英文密文：“momnvzljekbjnbbfvnnxxstvzmpkpekcm”

實(shí)施解密算法：

12（-19）→1914（-7）→712（-8）→413（-13）→021（-10）→1125（-19）→611（-7）→49（-8）→l4（-13）→1710（-10）→0l（-19）→89（-7）→213（-8）→5l（-13）→141（-10）→175（-19）→1221（-7）→1413（-8）→51（-13）→023（-10）→1323（-19）→418（-7）→1119（-8）→112l（-13）→825（-l0）→1512（-19）→1915（-7）→810（-8）→215（-13）→24（-10）→2010（-19）→172（-7）→2l12（-8）→4

還原出數(shù)字明文：“19,7,4,0,11，6,4,1,17,0，8,2,5,14,17，12,14,5,0,13，4,11,11,8,15，19,8,2,2,20，17,21,4”

還原出英文明文：“thealgebraicformofanellipticcurve”

3.Hill密碼系統(tǒng)在Hill密碼系統(tǒng)中，明文空間和密文空間都是Zmn，明文用(xl，x2，…，xm)表示，密文用（y1，y2，…，ym）表示。

密鑰：

k=

加密算法：（y1，y2，…，ym）=（xl，x2，…，xm）

相應(yīng)的解密算法是：

4.1.2對(duì)稱密碼系統(tǒng)

1.DES算法DES算法具有對(duì)稱性，既可用于加密又可用于解密。對(duì)稱性帶來(lái)的一個(gè)很大的好處在于硬件容易實(shí)現(xiàn)，DES的加密和解密可以用完全相同的器件來(lái)實(shí)現(xiàn)。DES算法的明文分組是64位，輸出密文也是64位。所用密鑰的有效位數(shù)是56位，加上校驗(yàn)位共64位。（1）DES加密算法的數(shù)據(jù)流程圖

64比特的明文初始換位加密變換逆初始換位64比特的密文子密鑰的生成（k1，k2，…，k16）64比特的密鑰

（2）原理

①該算法輸入的是64比特的明文，在64比特的密鑰控制下，通過初始換位IP變成T0=IP(T)。

②再對(duì)T0經(jīng)過16層的加密變換。

③最后通過逆初始變換得到64比特的密文。它反復(fù)使用替換和變位，以便徹底地打亂明文的信息，使得密文的每一位都依賴于明文的每一位和密鑰的每一位。DES的加密過程可分為加密處理、加密變換及子密鑰的生成幾個(gè)部分。（3）算法流程圖

密鑰數(shù)據(jù)R(32)擴(kuò)展型換位R′(48)K(48)S1S2S3S4S5S6S7S8換位(32)F(R,k)(32)

輸入64位初始變換L0R0fL1=R0R1=L0

F(R0,K1)輸入64位逆初始變換L2=R1L15=R14L16=R15R2=L1F(R1,K2)R15=L44F(R14,K15)R16=L15F(R15,K16)ffK16fKnK2K1

（4）關(guān)于DES的評(píng)價(jià)DES具有良好的保密性能和抗分析破譯性能，并已廣泛地應(yīng)用于金融業(yè)，美國(guó)、日本和西歐一些國(guó)家都使用DES。目前，DES在各種算法的加密軟、硬件產(chǎn)品中占有很大的比重，最具有代表性，影響最大，應(yīng)用最廣。返回本節(jié)

2.其他對(duì)稱密碼系統(tǒng)（1）LOKI算法

LOKI算法于1990年在密碼學(xué)界首次亮相。同DES一樣，LOKI算法以64位二進(jìn)制分組加密數(shù)據(jù)，也使用64位密鑰，不同的是在密鑰中無(wú)奇偶校驗(yàn)位。

（2）Khufu和Khafre算法1990年，由Merhie設(shè)計(jì)的Khufu和Khafre算法也是一個(gè)很有特點(diǎn)的算法。該算法具有較長(zhǎng)的密鑰，適合于軟件實(shí)現(xiàn)。

（3）FEAL-8密碼FEAL密碼算法是由日本NTT（日本電報(bào)電話公司）的Shimizi和Miyaguchi設(shè)計(jì)的一種算法，其主要思路是增加每一輪迭代的算法強(qiáng)度。FEAL密碼算法是一個(gè)算法族，如：FEAL-8表示8輪迭代的FEAL密碼算法

（4）IDEA算法1990年，XueJiaLai和Massey首次提出IDEA密碼系統(tǒng)，當(dāng)時(shí)稱為建議加密標(biāo)準(zhǔn)（PES）。該算法于1992年正式更名為IDEA。IDEA的明文和密文分組都是64位，密鑰長(zhǎng)度為128位，算法具有對(duì)稱性，同一種算法既可用于加密，又可用于解密。

（5）RC5算法RC5是由RSA公司的首席科學(xué)家RonRivest于1994年設(shè)計(jì)、1995年正式公開的一個(gè)很實(shí)用的加密算法。RC5的特點(diǎn)是分組長(zhǎng)度、密鑰長(zhǎng)度和迭代輪數(shù)都可變。自RC5公布以來(lái)至今還沒有發(fā)現(xiàn)攻擊它的有效手段，但一些理論文章也分析出了RC5的某些弱點(diǎn)。（6）高級(jí)加密標(biāo)準(zhǔn)AES算法1997年4月15日，NIST（NationalInstituteofStandardTechnology，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）發(fā)起了征集AES（AdvancedEncryptionStandard，高級(jí)加密標(biāo)準(zhǔn)）算法的活動(dòng)美國(guó)學(xué)者約翰遜（DonB.Johnson）首次提出把未來(lái)彈性（FutureResilien-cy）引入AES評(píng)估標(biāo)準(zhǔn)。

未來(lái)彈性的概念“未來(lái)彈性”作為系統(tǒng)設(shè)計(jì)的目標(biāo)，旨在設(shè)計(jì)出能夠應(yīng)付未來(lái)難以預(yù)測(cè)的變化和不確定性的系統(tǒng)。Internet是具有未來(lái)彈性特征的。密碼多樣性也是具有未來(lái)彈性特征的。

未來(lái)彈性與AES評(píng)估標(biāo)準(zhǔn)將未來(lái)彈性引入AES評(píng)估標(biāo)準(zhǔn)還有以下優(yōu)點(diǎn)：增強(qiáng)安全性；增強(qiáng)適應(yīng)性；減少專利糾紛；分散目標(biāo)避免攻擊。

淺析AES算法的遴選AES算法具有可變的分組長(zhǎng)度和密鑰長(zhǎng)度，分別設(shè)計(jì)了3個(gè)密鑰長(zhǎng)度128／192／256位，用于加密長(zhǎng)度為128／192／256位的分組，相應(yīng)的輪數(shù)為10／12／14。AES算法具有安全、性能好、效率高、易于實(shí)現(xiàn)和靈活等優(yōu)勢(shì)。4.1.3公鑰密碼系統(tǒng)

1976年，美國(guó)學(xué)者Diffie和hellman根據(jù)單向函數(shù)的概念提出了公開密鑰體制，引起了密碼學(xué)的一場(chǎng)革命。公開密鑰密碼體制從根本上克服了傳統(tǒng)密碼體制的困難，解決了密鑰分配和消息認(rèn)證等問題，特別適合于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用。返回本節(jié)

1.RSA公鑰系統(tǒng)（1）原理在公開密鑰密碼體制中，加密密鑰和解密密鑰互異分離。加密密鑰可以通過非保密信道向他人公開，使任何得到該加密密鑰的用戶據(jù)此將明文信息加密后予以發(fā)送；而按特定要求選擇的解密密鑰則需保持秘密。

（2）基礎(chǔ)RSA算法運(yùn)用了數(shù)論中的Euler定理，即a、r是兩個(gè)互素的正整數(shù)。則az≡1(modr)，其中z為與r互素且不大于r的正整數(shù)的個(gè)數(shù)（即Euler函數(shù)）。該算法取用一個(gè)合數(shù)（該合數(shù)為兩個(gè)大素?cái)?shù)的乘積），而不是取用一個(gè)大素?cái)?shù)作為其模數(shù)r。

（3）RSA的實(shí)施實(shí)施RSA公開密鑰密碼體制的步驟為：設(shè)計(jì)密鑰先仔細(xì)選取兩個(gè)互異的大素?cái)?shù)P和Q，令:N=PQ，z=(P-1)(Q-1)接著尋求兩個(gè)正整數(shù)和，使其滿足:

這里的就是公開的加密密鑰。

加密密文把要發(fā)送的明文信息M數(shù)字化和分塊，其加密過程是：

恢復(fù)明文：對(duì)C解密，即得到明文：

（4）RSA算法的安全性大整數(shù)分解情況年度被分解因子十進(jìn)位長(zhǎng)度機(jī)器形式時(shí)間198347HP迷你計(jì)算機(jī)3天198369Cray超級(jí)計(jì)算機(jī)32小時(shí)19889025個(gè)SUN工作站幾星期1989961MIPS處理器1個(gè)月198910680個(gè)工作站以上幾星期1993110128×128處理器（0.2MIPS）1個(gè)月19941291600臺(tái)計(jì)算機(jī)

8個(gè)月

RSA與DES加密速度的比較密碼體制硬件速度（bit／s）軟件速度（bit／s或MIPS）RSA加密220k0.5k解密-------32kDES1.2G400k

（5）舉例取兩個(gè)質(zhì)數(shù)p=11，q=13，p和q的乘積為n=p×q=143，算出另一個(gè)數(shù)z=(p-1)×(q-1)=120；

再選取一個(gè)與z=120互質(zhì)的數(shù)，例如e=7，則公開密鑰=（n，e）=（143，7）。對(duì)于這個(gè)e值，可以算出其逆：d=103。因?yàn)閑×d=7×103=721，滿足e×dmodz=1；

即721mod120=1成立。則秘密密鑰=（n，d）=（143，103）。

設(shè)張小姐需要發(fā)送機(jī)密信息（明文）m=85給李先生，她已經(jīng)從公開媒體得到了李先生的公開密鑰（n，e）=（143，7），于是她算出加密值：c=memodn=857mod143=123并發(fā)送給李先生。李先生在收到密文c=123后，利用只有他自己知道的秘密密鑰計(jì)算：m=cdmodn=123103mod143=85，所以，李先生可以得到張小姐發(fā)給他的真正的信息m=85，實(shí)現(xiàn)了解密。

（6）RSA的安全性就目前的計(jì)算機(jī)水平用1024位的密鑰是安全的，2048位是絕對(duì)安全的。RSA實(shí)驗(yàn)室認(rèn)為，512位的n已不夠安全，應(yīng)停止使用，現(xiàn)在的個(gè)人需要用668位的n，公司要用1024位的n，極其重要的場(chǎng)合應(yīng)該用2048位的n。

（7）密鑰分配公認(rèn)的有效方法是通過密鑰分配中心KDC來(lái)管理和分配公開密鑰。KDC的公開密鑰和秘密密鑰分別為PKAS、SKAS。每個(gè)用戶只保存自己的秘密密鑰和KDC的公開密鑰PKAS。用戶可以通過KDC獲得任何其他用戶的公開密鑰。4.2完整性校驗(yàn)與數(shù)字簽名4.2.1Hash函數(shù)4.2.2HMAC函數(shù)4.2.3數(shù)字簽名

完整性校驗(yàn)的原理如下圖所示：

(1)消息的發(fā)送者對(duì)所要發(fā)送的消息產(chǎn)生一個(gè)附件，并將該附件和消息傳輸給接收者；(2)消息的接收者在將消息作為真實(shí)消息接收之前，檢查接收到的消息內(nèi)容和附件是否是一致的；

(3)如果不對(duì)該附件進(jìn)行保護(hù)，攻擊者很容易進(jìn)行主動(dòng)攻擊，即先對(duì)數(shù)據(jù)內(nèi)容進(jìn)行修改，然后基于修改后的數(shù)據(jù)產(chǎn)生一個(gè)附件。為避免這種攻擊，需利用一個(gè)密鑰來(lái)產(chǎn)生一個(gè)附件。只有知道密鑰的人才能打開附件，從而驗(yàn)證其真實(shí)性。一旦攻擊者修改了消息，必將被檢測(cè)出來(lái)。

實(shí)現(xiàn)數(shù)據(jù)完整性必須滿足兩個(gè)要求：(1)是數(shù)據(jù)完整性應(yīng)該能被消息的接收者所驗(yàn)證；(2)是數(shù)據(jù)完整性應(yīng)該與消息相關(guān)，即消息不同，產(chǎn)生的附件數(shù)據(jù)也應(yīng)該不同。4.2.1Hash函數(shù)

Hash函數(shù)是將任意長(zhǎng)度的輸入串變化成固定長(zhǎng)度的輸出串的一種函數(shù)。Hash函數(shù)的輸人可以是任意大小的消息，而輸出是一個(gè)固定長(zhǎng)度的消息摘要，其原理如下圖所示：

輸入消息的每一位對(duì)輸出消息摘要都有影響。Hash函數(shù)可用于保證信息的完整性，防止在傳輸過程中有人改變信息的內(nèi)容。最常用的Hash函數(shù)有MD2、MD4、MD5以及SHA等。4.2.2HMAC函數(shù)

Hash函數(shù)的一個(gè)重要應(yīng)用就是產(chǎn)生消息的附件，如下圖所示：

使用Hash函數(shù)產(chǎn)生附件時(shí)，需要給消息前綴或后綴一個(gè)密鑰，然后再對(duì)這個(gè)級(jí)聯(lián)消息應(yīng)用Hash函數(shù)。Hash函數(shù)的輸出即為附件：Hash函數(shù)作用于一個(gè)任意長(zhǎng)度的消息M，它返回一個(gè)固定長(zhǎng)度m的散列值h：h=H(M)。這種利用帶密鑰的Hash函數(shù)實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)的方法稱為HMAC。4.2.3數(shù)字簽名

1.數(shù)字簽名的要求：（1）收方能夠確認(rèn)或證實(shí)發(fā)方的簽名，但不能偽造。（2）發(fā)方發(fā)出簽名的消息送收方后，就不能再否認(rèn)他所簽發(fā)的消息。（3）收方對(duì)收到簽名消息不能否認(rèn)，即有收到認(rèn)證。（4）第三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程。2.數(shù)字簽名與手書簽名的區(qū)別(1)手書簽名是模擬的，且因人而異。(2)數(shù)字簽名是0和1的數(shù)字串，因消息而異。(3)消息認(rèn)證使收方能驗(yàn)證消息發(fā)送者及所發(fā)消息內(nèi)容是否被篡改過。(4)數(shù)字簽名技術(shù)可解決收者和發(fā)者之間有利害沖突時(shí)的糾紛。返回本節(jié)

3.數(shù)字簽名的二大類(1)對(duì)整個(gè)消息的簽名。(2)對(duì)壓縮消息的簽名。它們都是附加在被簽名消息之后或某一特定位置上的一段簽名圖樣。返回本節(jié)

4.按明、密文的對(duì)應(yīng)關(guān)系分類(1)確定性數(shù)字簽名其明文與密文一一對(duì)應(yīng)，它對(duì)特定消息的簽名不變化（使用簽名者的密鑰簽名），如RSA、ElGamal等簽名。(2)隨機(jī)化的或概率式數(shù)學(xué)簽名，它對(duì)同一消息的簽名是隨機(jī)變化的，取決于簽名算法中的隨機(jī)參數(shù)和取值。

5.簽名體制的組成(1)簽名算法；(2)驗(yàn)證算法。(3)原理①對(duì)M的簽名可簡(jiǎn)記為Sig(M)=s

，而對(duì)s的證實(shí)簡(jiǎn)記為Ver(s)＝{真，偽}＝{0，1}。

②簽名算法或簽名密鑰是秘密的，只有簽名人掌握。證實(shí)算法應(yīng)當(dāng)公開，以便于他們進(jìn)行驗(yàn)證。③一個(gè)簽名體制可由量（M，S，K，V）表示，其中M是明文空間，S是簽名的集合，K是密鑰空間，V證實(shí)函數(shù)的值域，由真、偽組成。

④對(duì)于每一k?K

，有一簽名算法，易于計(jì)算

s=Sigk(m)?S

。利用公開的證實(shí)算法：Verk

(s,m)?

{真，偽}可以驗(yàn)證簽名的真?zhèn)巍?/p>

⑤對(duì)每一m?M，真簽名Sigk(m)?S為M→S

的映射。易于證實(shí)S是否為M的名。Verk

(s,m)

=真，當(dāng)Sigk(s,m)滿足驗(yàn)證方程偽，當(dāng)Sigk(s,m)不滿足驗(yàn)證方程返回本節(jié)

6.數(shù)字簽名的應(yīng)用(1)用數(shù)字簽名對(duì)文檔進(jìn)行標(biāo)識(shí)，為文檔附上電子時(shí)間標(biāo)簽。(2)電子貿(mào)易、電子支票、電子貨幣、電子匯款使用電子簽名。(3)大范圍的商業(yè)應(yīng)用(4)數(shù)據(jù)庫(kù)的保護(hù)返回本節(jié)

基本的數(shù)字簽名方法

(1)A用其私鑰加密文件，這便是簽名過程；(2)A將加密的文件和未加密的文件都發(fā)送到B；(3)B用A的公鑰解開A傳送來(lái)的文件，將解密得到的文件與明文文件進(jìn)行比較，如果二者相同就可以認(rèn)為文件的確來(lái)自A，否則認(rèn)為文件并非來(lái)自A，這就是簽名驗(yàn)證過程。4.3PKI技術(shù)4.3.1PKI的概念4.3.2PKI部署與應(yīng)用

4.3.1PKI的概念

1.PKI的定義PKI是利用公開密鑰技術(shù)所構(gòu)建的、解決網(wǎng)絡(luò)安全問題的、普遍適用的一種基礎(chǔ)設(shè)施。美國(guó)的部分學(xué)者也把提供全面安全服務(wù)的基礎(chǔ)設(shè)施，包括軟件、硬件、人和策略的集合稱作PKI。

2.PKI的組成簡(jiǎn)單地講，PKI就是一個(gè)為實(shí)體發(fā)證的系統(tǒng)，它的核心是將實(shí)體的身份信息和公鑰信息綁定在一起，并且利用認(rèn)證機(jī)構(gòu)(CertificationAuthority，簡(jiǎn)稱CA)的簽名來(lái)保證這種綁定關(guān)系不被破壞，從而形成一種數(shù)據(jù)結(jié)構(gòu)，即數(shù)字證書(簡(jiǎn)稱證書)。

一個(gè)典型的PKI系統(tǒng)的結(jié)構(gòu)圖：

(1)終端實(shí)體(Entity)；一個(gè)終端實(shí)體可以是一個(gè)終端用戶、一個(gè)設(shè)備(如服務(wù)器、路由器等)或一個(gè)進(jìn)程等。終端實(shí)體可以分為：PKI證書的使用者；終端用戶或者系統(tǒng)，它們是PKI證書的主體。

(2)認(rèn)證機(jī)構(gòu)(CA)；CA的主要功能是接收實(shí)體的證書請(qǐng)求，在確認(rèn)實(shí)體的身份之后，為實(shí)體簽發(fā)數(shù)字證書數(shù)字證書的組成如下圖：

(3)注冊(cè)機(jī)構(gòu)(RA);RA在PKI系統(tǒng)中是一個(gè)可選的組件，主要是完成CA的一些管理功能。(4)證書撤銷列表發(fā)布者;(