網(wǎng)絡信息安全內(nèi)容整理

網(wǎng)絡信息安全內(nèi)容整理網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第1頁。PassiveAttack--releaseofcontents

被動攻擊之消息內(nèi)容的泄漏網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第2頁。PassiveAttack—trafficanalysis

被動攻擊之流量分析網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第3頁。ActiveAttack—Masquerade

主動攻擊之偽裝網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第4頁。ActiveAttack—Replay

主動攻擊之重放網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第5頁。ActiveAttack—Modificationofmessages主動攻擊之消息修改網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第6頁。ActiveAttack—DenialofService

主動攻擊之拒絕服務網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第7頁。網(wǎng)絡信息安全

Chapter2

ClassicalEncryptionTechniques網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第8頁。理論安全，或無條件安全TheoreticalSecure(orPerfectSecure)

攻擊者無論截獲多少密文，都無法得到足夠的信息來唯一地決定明文。Shannon用理論證明：欲達理論安全，加密密鑰長度必須大于等于明文長度，密鑰只用一次，用完即丟，即一次一密，One-timePad，不實用。實際安全，或計算上安全PracticalSecure(orComputationallySecure)

如果攻擊者擁有無限資源，任何密碼系統(tǒng)都是可以被破譯的；但是，在有限的資源范圍內(nèi)，攻擊者都不能通過系統(tǒng)的分析方法來破解系統(tǒng)，則稱這個系統(tǒng)是計算上安全的或破譯這個系統(tǒng)是計算上不可行(ComputationallyInfeasible)。理論安全和實際安全網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第9頁。對稱密碼體制(SymmetricSystem,One-keySystem,Secret-keySystem)

加密密鑰和解密密鑰相同，或者一個密鑰可以從另一個導出，能加密就能解密，加密能力和解密能力是結(jié)合在一起的，開放性差。非對稱密碼體制(AsymmetricSystem,Two-keySystem,Public-keySystem)

加密密鑰和解密密鑰不相同，從一個密鑰導出另一個密鑰是計算上不可行的，加密能力和解密能力是分開的，開放性好。對稱密碼體制和非對稱密碼體制網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第10頁。序列密碼如果密文不僅與最初給定的算法和密鑰有關(guān)，同時也與明文位置有關(guān)(是所處位置的函數(shù))，則稱為序列密碼體制。加密以明文比特為單位，以偽隨機序列與明文序列模2加后，作為密文序列。分組密碼如果經(jīng)過加密所得到的密文僅與給定的密碼算法和密鑰有關(guān)，與被處理的明文數(shù)據(jù)在整個明文中的位置無關(guān)，則稱為分組密碼體制。通常以大于等于64位的數(shù)據(jù)塊為單位，加密得相同長度的密文。序列密碼體制和分組密碼體制網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第11頁。確定型密碼體制和概率密碼體制確定型：當明文和密鑰確定后，密文也就唯一地確定了。概率型：當明文和密鑰確定后，密文通過客觀隨機因素從一個密文集合中產(chǎn)生，密文形式不確定，稱為概率型密碼體制。單向函數(shù)型密碼體制和雙向變換型密碼體制單向函數(shù)型密碼體制適用于不需要解密的場合，容易將明文加密成密文，如哈希函數(shù)；雙向變換型密碼體制可以進行可逆的加密、解密變換。其他加密體制網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第12頁?，F(xiàn)代密碼學的基本原則設計加密系統(tǒng)時，總是假定密碼算法是可以公開的，需要保密的是密鑰。一個密碼系統(tǒng)的安全性不在算法的保密，而在于密鑰，即Kerckhoff原則。對加密系統(tǒng)的要求系統(tǒng)應該是實際上安全的(practicalsecure)，截獲密文或已知明文－密文對時，要決定密鑰或任意明文在計算上是不可行的。加密解密算法適用于密鑰空間中的所有元素。系統(tǒng)易于實現(xiàn)，使用方便。系統(tǒng)的安全性不依賴于對加密體制或加密算法的保密，而依賴于密鑰。系統(tǒng)的使用不應使通信網(wǎng)絡的效率過分降低?，F(xiàn)代密碼學基本原則網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第13頁。傳統(tǒng)密碼的簡化模型網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第14頁。傳統(tǒng)密碼體制的模型Y=Ek(X)X=Dk(Y)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第15頁。網(wǎng)絡信息安全

Chapter3

BlockCipherandDataEncryptionStandard網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第16頁。第3章分組密碼和數(shù)據(jù)加密標準分組密碼是一種加密解密算法，將輸入明文分組當做一個整體處理，輸出一個等長的密文分組。許多分組密碼都采用Feistel結(jié)構(gòu)，這樣的結(jié)構(gòu)由許多相同的輪函數(shù)組成。每一輪里，對輸入數(shù)據(jù)的一半進行代換，接著用一個置換來交換數(shù)據(jù)的兩個部分，擴展初始的密鑰使得每一輪使用不同的子密鑰。DES是應用最為廣泛的分組密碼，它擴展了經(jīng)典的Feistel結(jié)構(gòu)。DES的分組和密鑰分別是64位和56位的。差分分析和線性分析是兩種重要的密碼分析方法。DES對這兩種攻擊有一定的免疫性。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第17頁。乘積密碼的設計思想ClaudeShannonandSubstitution-PermutationCiphers

1949年，ClaudeShannon

引進了substitution-permutation(S-P)networks的思想，即現(xiàn)代的乘積加密器，形成了現(xiàn)代分組加密的基礎(chǔ)。S-PNetworks是基于替代和置換這兩個基本操作的。提供了對明文信息處理所做的confusion和diffusion

。Shannon認為，為了對付基于統(tǒng)計分析的密碼破譯，必須對明文作confusion(混淆)和diffusion(擴散)處理，以減少密文的統(tǒng)計特性，為統(tǒng)計分析制造障礙。diffusion–明文統(tǒng)計結(jié)構(gòu)擴散消失到大批密文統(tǒng)計特性中，使明文和密文之間統(tǒng)計關(guān)系盡量復雜；confusion–混淆，使密文和加密密鑰之間的關(guān)系盡量復雜。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第18頁。因此復雜度只有O(256)然后恢復m：m=c2/Kmodp=c2K-1modp用Euclid算法計算模φ(n)的乘法逆元素，即根據(jù)αmmodp=YArrsmodp,看其是否一致,k不能重復使用。=yAxBmodp(whichBcancompute)找到任何滿足H(x)=H(y)的偶對(x,y)，在計算上不可行，抗強碰撞性a–b=a+(-b)確定型密碼體制和概率密碼體制(a1opa2)modn=[(a1modn)]op(a2modn)]modnxmod7=2 x1=2,x2=3,x3=2對消息整體的簽字，將被簽消息整體經(jīng)過密碼變換得到簽字；群,環(huán)和域Groups,Rings,andFieldsClaudeShannonandSubstitution-PermutationCiphers(M7),乘法逆元,對于F中的任意元素a(除0以外),F中都存在一個元素a-1,使得aa-1=(a-1)a=1.Diffie-HellmanKeyExchange加密：YA=αxAmodP=32mod17=9歐拉函數(shù)φ(n)的證明對消息整體的簽字，將被簽消息整體經(jīng)過密碼變換得到簽字；ｘ(p-1))(modp)≡(p-1)!modp.公鑰證書將一個通信方的身份與他的公開密鑰綁定在一起，通常還包括有效期和使用方法等ActiveAttack—Replay

主動攻擊之重放4ChineseRemainderTheorem通常以大于等于64位的數(shù)據(jù)塊為單位，加密得相同長度的密文。{1,2,…,p-1}構(gòu)成相同，只是元素順序不同。78=49≡11mod19716=121≡7mod19使用公開密鑰方法僅對散列碼加密，提供數(shù)字簽名環(huán)R,由{R,+,x}表示,是具有加法和乘法兩個二元運算的元素的集合，對于環(huán)中的所有a,b,c,都服從以下公理：,(p-1)amodp}是{1,2,.1密鑰管理之公鑰的分配密文即為(c1,c2)2023/6/12CryptographyandNetworkSecurity-219/36網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第19頁。網(wǎng)絡信息安全

Chapter4

FiniteFields網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第20頁。群,環(huán)和域Groups,Rings,andFields群G,記作{G,?},定義一個二元運算?的集合，G中每一個序偶(a,b)通過運算生成G中元素(a?b)，滿足下列公理：(A1)封閉性Closure:如果a和b都屬于G,則a?b也屬于G.(A2)結(jié)合律Associative:對于G中任意元素a,b,c，都有a?(b?c)=(a?b)?c成立(A3)單位元Identityelement:G中存在一個元素e，對于G中任意元素a，都有a?e=e?a=a成立(A4)逆元Inverseelement:對于G中任意元素a,G中都存在一個元素a’，使得a?a’=a’?a=e成立網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第21頁。交換群和循環(huán)群交換群AbelianGroup：還滿足以下條件的群稱為交換群(又稱阿貝爾群)(A5)交換律Commutative：對于G中任意的元素a,b，都有a?b=b?a成立當群中的運算符是加法時，其單位元是0；a的逆元是-a,并且減法用以下的規(guī)則定義：a–b=a+(-b)循環(huán)群CyclicGroup如果群中的每一個元素都是一個固定的元素a(a∈G)的冪ak(k為整數(shù))，則稱群G為循環(huán)群。元素a生成了群G，或者說a是群G的生成元。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第22頁。環(huán)(Rings)環(huán)R,由{R,+,x}表示,是具有加法和乘法兩個二元運算的元素的集合，對于環(huán)中的所有a,b,c,都服從以下公理：(A1-A5),單位元是0，a的逆是-a.(M1),乘法封閉性,如果a和b屬于R,則ab也屬于R(M2),乘法結(jié)合律,對于R中任意a,b,c有a(bc)=(ab)c.(M3),乘法分配律,a(b+c)=ab+acor(a+b)c=ac+bc(M4),乘法交換律,ab=ba，交換環(huán)(M5),乘法單位元,R中存在元素1使得所有a有a1=1a.(M6),無零因子,如果R中有a,b且ab=0,則a=0orb=0.滿足M4的是交換環(huán)；滿足M5和M6的交換環(huán)是整環(huán)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第23頁。域(Fields)域F,可以記為{F,+,x},是有加法和乘法的兩個二元運算的元素的集合，對于F中的任意元素a,b,c,滿足以下公理：(A1-M6),F是一個整環(huán)(M7),乘法逆元,對于F中的任意元素a(除0以外),F中都存在一個元素a-1,使得aa-1=(a-1)a=1.域就是一個集合，在其上進行加減乘除而不脫離該集合,除法按以下規(guī)則定義:a/b=a(b-1).有理數(shù)集合,實數(shù)集合和復數(shù)集合都是域；整數(shù)集合不是域，因為除了1和-1有乘法逆元，其他元素都無乘法逆元網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第24頁。(a1opa2)modn=[(a1modn)]op(a2modn)]modn①反身性：a=amodn②對稱性：若a=bmodn，則b=amodn③傳遞性:若a=bmodn且b=cmodn，則a=cmodn④如果a=bmodn且c=dmodn，則

a+c=(b+d)modna-c=(b-d)modna?c=(b?d)modn⑤(a+b)modn=(amodn+bmodn)modn(a-b)modn=(amodn-bmodn)modn(a?b)modn=(amodn?bmodn)modn

模算術(shù)運算網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第25頁。

(a+b)modn=(amodn+bmodn)modn

證明：定義(amodn)=ra,(bmodn)=rb于是存在整數(shù)j,k使得a=ra+jn,b=rb+kn.那么(a+b)modn=(ra+jn+rb+kn)modn=(ra+rb+(k+j)n)modn=(ra+rb)modn=[(amodn)+(bmodn)]modn

模算術(shù)運算網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第26頁。網(wǎng)絡信息安全

Chapter6

MoreonSymmetricCiphers

網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第27頁。6.1.1雙重DES多次加密的最簡單形式是進行兩次加密，每次使用不同的密鑰C=EK2(EK1(P))P=DK1(DK2(C))這種方法的密鑰長度是56x2=112位雖然雙重DES對應的映射與單DES對應的映射不同，但是有中途相遇攻擊“meet-in-the-middle”只要連續(xù)使用密碼兩次，這種攻擊總是有效因為X=EK1(P)=DK2(C)用所有可能的密鑰加密明文P并把結(jié)果存儲起來然后用所有可能的密鑰解密密文C，尋找匹配的X值因此復雜度只有O(256)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第28頁。2023/6/12現(xiàn)代密碼學理論與實踐-0629/57雙重DES和三重DES雙重DES(DoubleDES)給定明文P和加密密鑰K1和K2,加密：C=EK2[EK1[P]]解密：P=DK1[DK2[C]]密鑰長度為56x2=112位存在中途相遇攻擊問題網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第29頁。6.2分組密碼的工作模式網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第30頁。網(wǎng)絡信息安全

Chapter8

IntroductiontoNumberTheory網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第31頁。

費馬定理和歐拉定理定理

費馬定理Fermat’sTheorem若p是素數(shù),a是正整數(shù)且不能被p整除,則ap-1modp=1證明：因為{amodp,2amodp,...,(p-1)amodp}是{1,2,...,(p-1)}的置換形,所以,(aｘ2aｘ...ｘ(p-1)a)≡(1ｘ2ｘ...ｘ(p-1))(modp)≡(p-1)!modp.但是,aｘ2aｘ...ｘ(p-1)a=(p-1)!ap-1,因此(p-1)!ap-1≡(p-1)!modp,兩邊去掉(p-1)!,即得ap-1modp=1.例如：a=7,p=19,ap-1modp=718mod19=?72=49≡11mod1974=121≡7mod1978=49≡11mod19716=121≡7mod19ap-1=718=716x72≡7x11≡1mod19網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第32頁。

費馬定理和歐拉定理用a乘以集合中所有元素并對p取模，則得到集合X={amodp,2amodp,…,(p-1)amodp}。因為p不能整除a，所以X的元素都不等于0，而且各元素互不相等。假設ja≡ka(modp),其中1≤j<k≤p-1,因為a和p互素，所以兩邊可以把a消去，則推出j≡k(modp)，而這是不可能的。因此X的p-1個元素都是正整數(shù)且互不相等。所以說X和{1,2,…,p-1}構(gòu)成相同，只是元素順序不同。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第33頁。（1）計算610mod11若p是素數(shù),a是正整數(shù)且不能被p整除,則ap-1modp=1解法：我們可得610mod11=1。這是p=11時，可以使用費馬小定理的第一個版本直接計算得到。費馬小定理（范例）網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第34頁。（2）計算312mod11ap≡amodp,p是素數(shù)解法：此處指數(shù)（12）和模數(shù)（11）是不同的。費馬小定理（范例）網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第35頁。歐拉函數(shù)φ(n)的證明定理p和q是素數(shù),n=p*q,φ(n)=φ(p)φ(q)=(p-1)(q-1)顯然，對于素數(shù)p，φ(p)=p-1證明：考慮余數(shù)集合{0,1,…,(pq-1)}中不與n互素的余數(shù)集合是{p,2p,…,(q-1)p},{q,2q,…,(p-1)q}和0,所以φ(n)=pq-[(q-1)+(p-1)+1]=pq-(p+q)+1=(p-1)(q-1)=φ(p)φ(q)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第36頁。歐拉定理對任意互質(zhì)的a和n有：網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第37頁。（1）若

n

是素數(shù)，根據(jù)

和費馬小定理，則上式成立；若p是素數(shù),a是正整數(shù)且不能被p整除,則ap-1modp=1（2）所有小于n，且與

n

互質(zhì)的正整數(shù)的集合歐拉定理（證明）

網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第38頁。歐拉定理（證明）即每一個元素都有g(shù)cd(xi,n)=1。用a與R中的每個元素模n相乘：S是R的一個排列，因為(1)a與n互素，且xi與n互素，所以axi必與n互素，這樣S中所有元素均小于n且與n互素。(2)S中沒有重復元素，所以集合S是集合R的一個置換。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第39頁。歐拉定理（證明）網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第40頁。8.4ChineseRemainderTheorem

中國余數(shù)定理CRT說明某一范圍內(nèi)的整數(shù)可通過它對兩兩互素的整數(shù)取模所得的余數(shù)來重構(gòu)Z10(0,1,…,9)中的10個整數(shù)可通過它們對2和5(10的素因子)取模所得的兩個余數(shù)來重構(gòu).假設數(shù)x的余數(shù)r2=0且r5=3,即xmod2=0,xmod5=3,則x是Z10中的偶數(shù)且被5除余3,唯一解x=8.一種CRT的表示形式令M=mi,其中mi兩兩互素,1<=i,j<=k,i≠j,gcd(mi,mj)=1將Zm中的任一整數(shù)對應一個k元組,該k元組的元素均在Zmi中,對應關(guān)系為A?(a1,a2,…,ak),其中A∈Zm,對1<=i<=k,ai∈Zmi,且ai=Amodmi網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第41頁。8.4ChineseRemainderTheorem

斷言一對任何A，0≤A≤M，有唯一的k元組(a1,a2,…,ak)與之對應，其中0≤ai<mi，并且對任何這樣的k元組(a1,a2,…,ak)，ZM中有唯一的A與之對應。

網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第42頁。8.4ChineseRemainderTheorem

由A到(a1,a2,…,ak)的轉(zhuǎn)換顯然是唯一確定的。即只需取ai=Amodmi。對給定的(a1,a2,…,ak)，可如下計算A。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第43頁。孫子定理(孫子算經(jīng),3-5世紀)今有物不知其數(shù),三三數(shù)之剩二,五五數(shù)之剩三,七七數(shù)之剩二,問物幾何。

xmod3=2 n=3*5*7=105 xmod5=3 d1=3,d2=5,d3=7 xmod7=2 x1=2,x2=3,x3=2網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第44頁。孫子定理(孫子算經(jīng),3-5世紀)今有物不知其數(shù),三三數(shù)之剩二,五五數(shù)之剩三,七七數(shù)之剩二,問物幾何。

xmod3=2 n=3*5*7=105 xmod5=3 d1=3,d2=5,d3=7 xmod7=2 x1=2,x2=3,x3=2(1)求yi，()yimoddi=1

()y1mod3=1 ()y2mod5=1 ()y3mod7=1

得：35y1mod3=1 y1=2 21y2mod5=1 y2=1 15y3mod7=1 y3=1(2)x=(35×2×2＋21×1×3＋15×1×2)mod105=23網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第45頁。網(wǎng)絡信息安全

Chapter9

Public-keyCryptographyandRSA網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第46頁。公開密鑰加密過程網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第47頁。公開密鑰認證過程網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第48頁。算法流程隨機選擇兩個秘密大素數(shù)p和q；計算公開模數(shù)n=p*q；計算秘密的歐拉指數(shù)函數(shù)φ(n)=(p-1)(q-1)；選擇一個與φ(n)互素的數(shù)，作為e或d；用Euclid算法計算模φ(n)的乘法逆元素，即根據(jù)edmodφ(n)=1,求d或e；加密：C=Memodn解密：M=Cdmodn=(Memodn)dmodn=M這里，φ(n)為歐拉函數(shù),即集合(1,2,...,n-1)中與n互素的數(shù)的個數(shù)。RSA密碼體制基本原理網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第49頁。2023/6/12現(xiàn)代密碼學理論與實踐-0950/32網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第50頁。2023/6/12現(xiàn)代密碼學理論與實踐-0951/32網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第51頁。一個例子p=17,q=11,e=7,M=88求公鑰KU和私鑰KR分別為多少？加密計算后所得到的C為多少？并驗證解密運算后，是否能恢復出明文M。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第52頁。一個例子p=17,q=11,n=pq=17x11=187,φ(n)=(p-1)(q-1)=16x10=160選擇e=7,gcd(7,160)=1,23x7=161,所以d=23公鑰KU={7,187},私鑰KR={23,187},M=88加密計算C=887mod

187887mod187=[(884mod187)x882mod187)x881mod187)]mod187881mod187=88882mod187=7744mod187=77884mod187=59969536mod187=132887mod187=(88x77x132)mod187=894432mod187=11解密計算M=1123mod

187=88網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第53頁。RSA密碼體制基本原理RSA算法滿足公開密鑰加密的要求,必須符合下列條件：有可能找到e,d,n的值,使得對所有M<n有Medmodn=M對于所有M<n的值,要計算Me和Cd是相對容易的在給定e和n時,計算d是不可行的幾個關(guān)系φ(n)=φ(pq)=φ(p)φ(q)=(p-1)(q-1),p,qareprimeedmodφ(n)=1,ed=kφ(n)+1,即ed≡1modφ(n),d≡e-1modφ(n)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第54頁。網(wǎng)絡信息安全

Chapter10KeyManagement;OtherPublicKeyCryptosystem網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第55頁。公開密碼的主要作用之一就是解決密鑰分配問題，公鑰密碼實際上可以用于以下兩個不同的方面公鑰的分配公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配幾種公鑰分配方法公開發(fā)布、公開可訪問的目錄公鑰授權(quán)、公鑰證書公鑰的公開發(fā)布用戶將他的公鑰發(fā)送給另一通信方，或者廣播給通信各方，比如在電子郵件后附上PGP密鑰，或者發(fā)布到郵件列表上最大問題在于任何人都可以偽造這種公鑰的發(fā)布10.1.1密鑰管理之公鑰的分配網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第56頁。自由的公鑰發(fā)布網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第57頁。維護一個動態(tài)可訪問的公鑰目錄可以獲得更大程度的安全性一個可信實體或組織負責這個公開目錄的維護和分配目錄包含{name,public-key}等項每一通信方通過目錄管理員以安全的方式注冊一個公鑰通信方在任何時刻可以用新的密鑰替代當前的密鑰目錄定期更新目錄可通過電子方式訪問一旦攻擊者獲得目錄管理員私鑰，則可傳遞偽造的公鑰，可以假冒任何通信方以竊取消息，或者修改已有的記錄公開可訪問的目錄網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第58頁。公開可訪問的目錄網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第59頁。A發(fā)送帶有時間戳的消息給公鑰管理員,請求B的當前公鑰管理員給A發(fā)送用其私鑰KRauth加密的消息,A用管理員的公鑰解密，可以確信該消息來自管理員：B的公鑰KUb，用來加密；原始請求，A可以驗證其請求未被修改；原始時間戳,A可以確定收到的不是來自管理員的舊消息。A保存B的公鑰,并用它對包含A的標識IDA和Nonce1的消息加密,然后發(fā)送給BB以同樣方式從管理員處得到A的公鑰B用KUa對A的N1和B的N2加密,發(fā)送給AA用B的公鑰對N2加密并發(fā)送給B,使B相信其通信伙伴是A公鑰授權(quán)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第60頁。公鑰分配方案網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第61頁。有了公鑰證書使得不通過實時訪問公鑰授權(quán)部門而實現(xiàn)公鑰交換成為可能公鑰證書將一個通信方的身份與他的公開密鑰綁定在一起，通常還包括有效期和使用方法等證書的所有內(nèi)容必須經(jīng)由可信公鑰授權(quán)方或者證書授權(quán)方簽名后方可生效知道公鑰授權(quán)當局公開密鑰的任何人都可以驗證一個用戶的公開密鑰證書的有效性

對于申請者A，管理員提供的證書為：CA=

EKRauth

[T,IDA,KUa]其他人讀取并驗證：DKUauth[CA]=DKUauth[EKRauth

[T,IDA,KUa]]=(T,IDA,KUa)10.1.2公鑰證書網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第62頁。公鑰證書的交換網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第63頁。采用前述方法獲得的公開密鑰可以用于保密和認證之需公鑰密碼算法速度較慢，因此更適合作為傳統(tǒng)密碼中實現(xiàn)秘密密鑰分配的一種手段因此，需要產(chǎn)生會話密碼來加密已經(jīng)有一些方法用來協(xié)商適當?shù)臅捗荑€10.1.3利用公鑰密碼分配傳統(tǒng)密碼體制的密鑰網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第64頁。10.2Diffie-Hellman密鑰交換Diffie和Hellman在1976年首次提出了公鑰算法，給出了公鑰密碼學的定義，該算法通常被稱為Diffie-Hellman密鑰交換算法Diffie-Hellman密鑰交換算法是一種公鑰分發(fā)機制它不是用來加密消息的所生成的是通信雙方共享的會話密鑰，必須保密，其值取決于通信雙方的私鑰和公鑰信息Diffie-Hellman密鑰交換算法是基于有限域GF中的指數(shù)運算的(模一素數(shù)或多項式)Diffie-Hellman密鑰交換算法的安全性依賴于求解離散對數(shù)問題DLP網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第65頁。Diffie-HellmanKeyExchange通信雙方約定一個大素數(shù)(或多項式)p,和模p的一個素根α各方產(chǎn)生公開密鑰選擇一個秘密鑰(數(shù)值)，如xA<p，xB<p

計算公鑰,如yA=αxAmodp,yB=αxBmodp,并相互交換雙方共享的會話密鑰KAB可以如下算出KAB=αxA.xBmodp=yAxBmodp(whichBcancompute)=yBxAmodp(whichAcancompute)KAB是雙方用對稱密碼通信時共享的密鑰如果雙方繼續(xù)通信，可以繼續(xù)使用這個密鑰，除非他們要選擇新的密鑰攻擊者如果想要獲得x,則必須解決DLP問題網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第66頁。10.2.2Diffie-Hellman密鑰交換協(xié)議本協(xié)議不能抵抗中間人攻擊網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第67頁。中間人攻擊假定A和B希望交換密鑰，而D是攻擊者，攻擊過程如下：網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第68頁。假設A和B互相通信，共享大素數(shù)p，本原元素α，0≤m≤p-1加密：A選擇k∈[0,p-1],k的作用其實即為xA,A訪問公共區(qū)域找到B的公開密鑰YB=αxBmodp,計算：K=(YB)kmodp,即K=αxBkmodpc1=αkmodpc2=mKmodp密文即為(c1,c2)解密：B首先恢復K：K=c1xBmodp=αkxBmodp然后恢復m：m=c2/Kmodp=c2K-1modp基于DLP的概率密碼系統(tǒng)

ElGamalCryptosystem網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第69頁。例：P=17,α=3,xA=2,xB=5,m=11,m從A發(fā)送到B,A選擇k=7.求：密文(c1,c2)并解密ElGamalCryptosystem網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第70頁。例：P=17,α=3,xA=2,xB=5,m=11,m從A發(fā)送到B,A選擇k=7.求：密文(c1,c2)并解密加密：YA=αxAmodP=32mod17=9 YB=αxBmodP=35mod17=5 K=(YB)kmodP=57mod17=10 c1=αkmodP=37mod17=11 c2=mKmodP=10x11mod17=8 所以，密文C=(c1,c2)=(11,8)解密：K=c1xBmodP=115mod17=10 c2=mKmodP=10mmod17=8 m=c2/KmodP=c2K-1modP KK-1modP=1，即10K-1mod17=1，得K-1=12

所以，明文m=c2K-1modP=8x12mod17=11ElGamalCryptosystem網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第71頁。網(wǎng)絡信息安全

Chapter11MessageAuthenticationandHashFunctions網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第72頁。MAC加密所得的消息校驗和

MAC=CK(M)使用一個秘密密鑰K，濃縮一個變長的消息M，產(chǎn)生一個固定長度的認證子MAC是一種多對一的函數(shù)定義域由任意長的消息組成，值域由所有可能的MAC和密鑰組成。若使用n位長的MAC,則有2n個可能的MAC,有N條可能的消息,N>>2n.若密鑰長度為k,則有2k種可能的密鑰。如N為100,n為10,共有2100不同的消息,210種不同的MAC,平均而言同一MAC可由2100/210=290條不同的消息產(chǎn)生。若密鑰長度為5，則從消息集合到MAC值的集合有25=32不同映射?？梢宰C明，由于認證函數(shù)的數(shù)學性質(zhì)，與加密相比，認證函數(shù)更不易被攻破MAC:消息認證碼的特點網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第73頁。網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第74頁。

散列函數(shù)

HashFunction一個散列函數(shù)以變長的報文M作為輸入，產(chǎn)生定長的散列碼H(M)，作為輸出，亦稱作報文摘要MessageDigest.散列碼是報文所有比特的函數(shù)值，具有差錯檢測能力，報文任意一比特的改變都將引起散列碼的改變不同的散列碼使用方式對附加了散列碼的報文進行加密使用常規(guī)加密方法僅對散列碼加密使用公開密鑰方法僅對散列碼加密，提供數(shù)字簽名同時提供保密和簽名，可以分別使用常規(guī)方法加密報文及使用公開密鑰方法加密散列碼其他對避免加密的方法重視的原因加密過程很慢，硬件開銷大網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第75頁。1.H可以應用于任意大小的數(shù)據(jù)塊2.H產(chǎn)生固定長度的輸出3.對任意給定的明文x，計算H(x)容易，可由硬件或軟件實現(xiàn)4.對任意給定的散列碼h，找到滿足H(x)=h的x，在計算上不可行，單向性5.對任何給定的分組x，找到滿足y≠x且H(x)=H(y)的y，在計算上不可行，抗弱碰撞性6.找到任何滿足H(x)=H(y)的偶對(x,y)，在計算上不可行，抗強碰撞性對散列函數(shù)的要求h=H(M)網(wǎng)絡信息安全內(nèi)容整理全文共85頁，當前為第76頁。條件1,2,3是所謂單向性問題(One