密碼學原理與應用課件

密碼學原理與應用密碼學原理與應用1內(nèi)容一、密碼學概論1.密碼體制及其分類2.密碼學發(fā)展簡史3.密碼分析概念和原理二、密碼編碼學基本原理1.對稱密碼概念與典型算法：Feistel結(jié)構(gòu)、DES等2.公鑰密碼概念與典型算法：RSA等3.消息認證概念與典型算法：MD5等三、密碼學典型應用1.加密設備的部署2.密鑰管理與密鑰分配3.數(shù)字證書與PKI內(nèi)容一、密碼學概論2一、密碼學概論1.密碼體制及其分類2.密碼學發(fā)展簡史3.密碼分析概念和原理一、密碼學概論3密碼體制及其分類——學科內(nèi)涵學科內(nèi)涵研究如何隱秘地傳遞信息的學科對信息以及其傳輸?shù)臄?shù)學性研究與數(shù)學、信息論、計算機科學等緊密相關是信息安全（認證、訪問控制等技術）的基礎和核心其首要目的是隱藏信息的涵義，而不是隱藏信息的存在密碼體制及其分類——學科內(nèi)涵學科內(nèi)涵4密碼體制及其分類——基本術語密碼學（Cryptology）泛指研究保密通信的學科，包括設計和破譯兩個方面密碼編碼學（Cryptography）研究如何達到信息秘密性、鑒別性等的科學，研究編碼系統(tǒng)密碼編碼者（cryptographer）密碼分析學（Cryptanalysis）研究如何破解密碼系統(tǒng)，或偽造信息使密碼系統(tǒng)失效的科學密碼分析者（cryptanalyst）加密和破譯既相互對立又密切相關，二者的相互作用促進了密碼學的發(fā)展密碼體制及其分類——基本術語密碼學（Cryptology）5密碼體制及其分類——密碼體制密碼系統(tǒng)——五元組（M，C，K，E，D）明文空間M密文空間C密鑰空間K加密算法E解密算法D密碼體制及其分類——密碼體制密碼系統(tǒng)——五元組（M，C，K，6密碼體制及其分類明文(plaintext)原始的消息。加密算法(encryptionalgorithm)對明文進行各種代替和變換的算法，加密算法的輸入為明文和密鑰，輸出為密文。密文(ciphertext)加密后的消息。解密算法(decryptionalgorithm)加密算法的逆運算，輸入密文和密鑰，輸出原始明文。密鑰(secretkey)加密算法的輸入，密鑰獨立于明文和算法，算法根據(jù)所用的特定密鑰而產(chǎn)生不同的輸出。密碼體制及其分類明文(plaintext)原始的消息。7密碼體制及其分類——三種分類(1)明文轉(zhuǎn)換為密文的運算類型代替(Substitution)：明文中每個元素映射成另一個元素置換(Transposition)：將明文元素重新排列基本要求是不允許信息丟失（即可逆）大多數(shù)密碼體制使用多層代替和置換（即乘積密碼系統(tǒng)）密碼體制及其分類——三種分類(1)明文轉(zhuǎn)換為密文的運算類型8密碼體制及其分類——三種分類(2)所用的密鑰數(shù)對稱密碼：收發(fā)雙方使用相同的密鑰（又稱為單鑰或傳統(tǒng)密碼）非對稱密碼：收發(fā)雙方使用不同的密鑰（又稱為雙鑰或公鑰密碼）密碼體制及其分類——三種分類(2)所用的密鑰數(shù)9密碼體制及其分類——三種分類(3)明文處理方式分組密碼：每次處理輸入的一組元素，相應地輸出一組元素流密碼：連續(xù)地處理輸入元素，每次輸出一個元素（又稱為序列密碼）密碼體制及其分類——三種分類(3)明文處理方式10密碼學發(fā)展簡史密碼學發(fā)展史簡圖密碼學發(fā)展簡史密碼學發(fā)展史簡圖11密碼學發(fā)展簡史密碼學發(fā)展兩大階段古典密碼階段(—1949)

：特定應用領域（軍事、政治、外交）現(xiàn)代密碼學階段(1949—)：密碼技術成為一門學科著名論文:Communicationtheoryofsecrecysystems,BellSyst.Tech.J.,Volume28,656-715,1949.密碼學發(fā)展簡史密碼學發(fā)展兩大階段12密碼學發(fā)展簡史——古典密碼古典密碼密碼學還不是科學,而是藝術出現(xiàn)一些密碼算法和加密設備密碼算法的基本手段出現(xiàn)，針對的是字符簡單的密碼分析手段出現(xiàn)主要特點：數(shù)據(jù)的安全基于算法的保密密碼學發(fā)展簡史——古典密碼古典密碼13密碼學發(fā)展簡史——古典密碼二十世紀早期密碼機密碼學發(fā)展簡史——古典密碼二十世紀早期密碼機14密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼——發(fā)展初期（1949-1975）計算機使得基于復雜計算的密碼成為可能相關技術的發(fā)展1949年Shannon的《TheCommunicationTheoryofSecretSystems》1967年DavidKahn的《TheCodebreakers》1971-73年IBMWatson實驗室的《HorstFeistel》等幾篇技術報告主要特點：數(shù)據(jù)的安全基于密鑰而不是算法的保密密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼——發(fā)展初期（1949-115密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼－公鑰密碼學（1976-）W.Diffie和E.M.Hellman提出公鑰密碼的思想(1976)著名論文：W.DiffieandM.E.Hellman,Newdirectionincryptography,IEEETran.OnInformationTheory,IT-22,(6),644-654,1976.1977年Rivest,Shamir&Adleman提出了RSA公鑰算法90年代逐步出現(xiàn)橢圓曲線等其他公鑰算法主要特點：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡苊艽a學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼－公鑰密碼學（1976-）16密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼系統(tǒng)設計要求系統(tǒng)即使達不到理論上是不可破的，也應當為實際上不可破的。就是說，從截獲的密文或某些已知的明文密文對，要決定密鑰或任意明文，在計算上是不可行的系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰保密。這是著名的Kerckhoff原則加密和解密算法適用于所有密鑰空間中的元素系統(tǒng)便于實現(xiàn)和使用密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼系統(tǒng)設計要求17密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼－密碼技術的商用化（1977-）1977：美國國家標準局(現(xiàn)美國家標準與技術研究所NIST)頒布對稱密碼算法數(shù)據(jù)加密標準DES(DataEncryptionStandard)80年代出現(xiàn)“過渡性”的“PostDES”算法,如IDEA、RCx、CAST等90年代對稱密鑰密碼進一步成熟，Rijndael、RC6、MARS、Twofish、Serpent等出現(xiàn)2001年Rijndael成為DES的替代者密碼學發(fā)展簡史——現(xiàn)代密碼現(xiàn)代密碼－密碼技術的商用化（19718密碼分析概念與原理——基本概念非授權者通過各種辦法（如搭線竊聽電磁信號等）來竊取機密信息，稱其為截收者。截收者雖然不知道系統(tǒng)所用的密鑰，但通過分析可能從截獲的密文推斷出原來的明文或密鑰，這一過程稱為密碼分析。研究如何從密文推演出明文或密鑰的科學稱為密碼分析學。破譯者使用的策略取決于加密方案的固有性質(zhì)以及破譯者掌握的信息。密碼分析概念與原理——基本概念非授權者通過各種辦法（如搭線竊19密碼分析概念與原理——主要分析方法密碼分析概念與原理——主要分析方法20密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——窮舉破譯法方法：對截獲的密文依次用各種可能的密鑰試譯，直到獲得有意義的明文；或者利用對手已注入密鑰的加密機（比如繳獲得到），對所有可能的明文依次加密直到得出與截獲的密文一致的密文。對策：將密鑰空間和明文空間設計得足夠大。密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——窮舉破譯法21密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——數(shù)學分析法確定性分析法方法：利用密文和部分明文等已知量以數(shù)學關系式表示出所求未知量（如密鑰等），然后計算出未知量。對策：設計具有堅實數(shù)學基礎和足夠復雜的加密函數(shù)統(tǒng)計分析法方法：密碼破譯者對截獲的密文進行統(tǒng)計分析，找出其統(tǒng)計規(guī)律或特征，并與明文空間的統(tǒng)計特征進行對照比較，從中提取出密文與明文間的對應關系，最終確定密鑰或明文。對策：擾亂密文的語言統(tǒng)計規(guī)律密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——數(shù)學分析法22密碼分析概念與原理－主要分析方法邊信道攻擊法（sidechannelattack）利用密碼系統(tǒng)實現(xiàn)時泄漏的額外信息，推導密碼系統(tǒng)各種的秘密參數(shù)，也被稱為“側(cè)信道攻擊方法”、“物理分析方法”

密碼算法執(zhí)行器件（加密芯片）的功耗密碼算法各步驟執(zhí)行的時間度量電磁輻射計算錯誤……與具體實現(xiàn)有關，非通用的分析方法，但更有效、更強大密碼分析概念與原理－主要分析方法邊信道攻擊法（sidech23密碼分析概念與原理——密碼分析當加密方案產(chǎn)生的密文滿足下面條件之一或全部條件時，則稱該方案是計算安全的(computationallysecure)破解密文的代價超出被加密信息的價值破解密文需要的時間超出信息的有用壽命問題的關鍵是，我們很難定量的評估成功破譯密文需要付出的努力。但是，假設算法沒有內(nèi)在的數(shù)學弱點，那么就只剩下窮舉攻擊方法了，我們就能夠?qū)ζ涑杀竞蜁r間做出合理的評估。密碼分析概念與原理——密碼分析當加密方案產(chǎn)生的密文滿足下面條24密碼分析概念與原理——密碼分析窮舉搜索密鑰需要的平均時間窮舉方法嘗試所有可能的密鑰直到把密文翻譯成可解的明文。平均而言，一般需要嘗試所有可能密鑰的一半才能成功。下面的表格給出了不同密鑰長度所需的時間密碼分析概念與原理——密碼分析窮舉搜索密鑰需要的平均時間25二、密碼編碼學基本原理1.對稱密碼概念與典型算法：Feistel結(jié)構(gòu)、DES等2.公鑰密碼概念與典型算法：RSA等3.消息認證概念與典型算法：MD5等二、密碼編碼學基本原理26對稱密碼概念與典型算法——概念對稱密碼體制（SymmetricSystem）傳統(tǒng)密碼算法（又稱為單密鑰算法）加密密鑰和解密密鑰相同，或從一個易于推出另一個能加密就能解密，加密能力和解密能力是結(jié)合在一起的，開放性差如：DES、IDEA、RC5、AES等算法對稱密碼概念與典型算法——概念對稱密碼體制（Symmetri27對稱密碼概念與典型算法——概念對稱密碼體制優(yōu)點：算法多、速度快、安全性好缺點：密鑰更換、傳遞和交換需要可靠信道如有N用戶，則需要C=N(N-1)/2個密鑰，N很大時，秘鑰管理困難不能實現(xiàn)數(shù)字簽名對稱密碼概念與典型算法——概念對稱密碼體制28對稱密碼概念與典型算法——概念對稱密碼體制的細分根據(jù)明文處理方式，可以分為：分組密碼（blockcipher)將明文分成固定長度的組，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。如DES、IDEA、AES等流密碼（streamcipher)又稱序列密碼。流密碼每次通過輸出密鑰流序列加密(通常是模2加)一位或一字節(jié)的明文。如A5、E0、RC4等對稱密碼概念與典型算法——概念對稱密碼體制的細分29對稱密碼概念與典型算法——分組密碼典型算法DES(DataEncryptionStandard,數(shù)據(jù)加密標準)DES也稱為DEA(DataEncryptionAlgorithm,數(shù)據(jù)加密算法)；1972年，IBM設計完成；1975年，IBM發(fā)布該算法的詳細內(nèi)容；1976年，美國聯(lián)邦政府采用該算法，成為從二十世紀80年代到二十世紀末事實上的對稱加密標準；采用56位密鑰（64位，其中每個字節(jié)一個奇偶校驗位），64位明文；共進行16輪加密操作。對稱密碼概念與典型算法——分組密碼典型算法DES(Data30Feistel網(wǎng)絡示意圖Feistel網(wǎng)絡示意圖31Feistel加密結(jié)構(gòu) 輸入是分組長為2w的明文和一個密鑰K。將每組明文分成左右兩半L0和R0，在進行完n輪迭代后，左右兩半再合并到一起以產(chǎn)生密文分組。其第i輪迭代的輸入為前一輪輸出的函數(shù)：

其中Ki是第i輪用的子密鑰，由加密密鑰K得到。一般地，各輪子密鑰彼此不同而且與K也不同。Feistel加密結(jié)構(gòu) 輸入是分組長為2w的明文和一個密鑰K32Feistel加解密過程Feistel加解密過程33DES加密過程密文（64bits）IP置換（64bits）L0(32bits)R0(32bits)L1=R0R1=L0f(R0,k1)fki+16輪同樣運算…L16+R16=L15f(R15,ki)+IP-1置換（64bits）明文（64bits）DES加密過程密文（64bits）IP置換（64bits）L34對稱密碼概念與典型算法——分組密碼典型算法IDEA(InternationalDataEncryptionAlgorithm,國際數(shù)據(jù)加密算法)1990年提出，1992年確定IDEA受專利保護應用于PGP（PrettyGoodPrivacy）分組為64位，密鑰為128位，52個子密鑰，每個子密鑰16位8輪＋輸出置換，每輪使用6個子密鑰過程與DES相似，但是相對簡單一些對稱密碼概念與典型算法——分組密碼典型算法IDEA(Inte35對稱密碼概念與典型算法——分組密碼典型算法AES(AdvancedEncryptionStandard,高級加密標準)雖然到目前為止，尚沒有致命的攻擊能夠破解DES（目前大多數(shù)的破解都是針對DES密鑰長度太短來破解）但是已經(jīng)影響到了DES密碼體制的安全。1997年4月15日，美國國家標準技術研究所（NIST）發(fā)起征集高級加密標準（AdvancedEncryptionStandard,AES）的活動，活動目的是確定一個非保密的、可以公開技術細節(jié)的、全球免費使用的分組密碼算法，作為新的數(shù)據(jù)加密標準。1997年9月12日，美國聯(lián)邦登記處公布了正式征集AES候選算法的通告。作為進入AES候選過程的一個條件，開發(fā)者承諾放棄被選中算法的知識產(chǎn)權。對AES的基本要求是：比三重DES快、至少與三重DES一樣安全、數(shù)據(jù)分組長度為128比特、密鑰長度為128/192/256比特。對稱密碼概念與典型算法——分組密碼典型算法AES(Advan36對稱密碼概念與典型算法——分組密碼典型算法AES(AdvancedEncryptionStandard,高級加密標準)1998年8月12日，在首屆AES會議上指定了15個候選算法。1999年3月22日第二次AES會議上，將候選名單減少為5個，這5個算法是RC6，Rijndael，SERPENT，Twofish和MARS。2000年4月13日，第三次AES會議上，對這5個候選算法的各種分析結(jié)果進行了討論。2000年10月2日，NIST宣布了獲勝者——Rijndael算法。2001年11月出版了最終標準FIPSPUB197。對稱密碼概念與典型算法——分組密碼典型算法AES(Advan37對稱密碼概念與典型算法——分組密碼典型算法AES的特點非Feistel結(jié)構(gòu)采用對稱和并行結(jié)構(gòu)——算法的實現(xiàn)更加靈活適合于現(xiàn)代處理器，也可在智能卡上實現(xiàn)AES每輪主要包括四個步驟字節(jié)代替移位行（置換）混合列（有限域上算術運算）輪密鑰加（與部分密鑰異或）對稱密碼概念與典型算法——分組密碼典型算法AES的特點38對稱密碼概念與典型算法——序列密碼典型算法RC4算法是由RonRivest于1987年為RSA公司設計的一種可變密鑰長度（1-256B）的序列密碼。廣泛應用于商業(yè)密碼產(chǎn)品中。軟件實現(xiàn)速度快，有廣泛應用，如無線網(wǎng)絡WEP、WAP，BTprotocolencryption，MicrosoftPoint-to-PointEncryption，SSL(optionally)，RemoteDesktopProtocol，Kerberos(optionally)該算法的速度可以達到普通分組加密的10倍左右，且具有很高級別的非線性。對稱密碼概念與典型算法——序列密碼典型算法RC4算法是由Ro39對稱密碼概念與典型算法對稱密碼概念與典型算法40非對稱密碼概念與典型算法——概念非對稱（公鑰）密碼體制加密密鑰和解密密鑰不同，一個用于加密，一個用于解密，且從一個密鑰導出另一個密鑰是計算上不可行的非對稱密碼概念與典型算法——概念非對稱（公鑰）密碼體制41非對稱密碼概念與典型算法——公鑰密碼體制簡介1976年Diffie和Hellman在《NewDirectionsinCryptography》中提出了非對稱密鑰密碼非對稱密碼概念與典型算法——公鑰密碼體制簡介1976年Dif42非對稱密碼概念與典型算法——公鑰密碼體制簡介加密與解密由不同的密鑰完成加密：解密：知道加密算法，從加密密鑰得到解密密鑰在計算上是不可行的兩個密鑰中任何一個都可以作為加密而另一個用作解密非對稱密碼概念與典型算法——公鑰密碼體制簡介加密與解密由不同43非對稱密碼概念與典型算法——公鑰密碼體制簡介保密：此時將公鑰作為加密密鑰，私鑰作為解密密鑰，通信雙方不需要交換密鑰就可以實現(xiàn)保密通信非對稱密碼概念與典型算法——公鑰密碼體制簡介保密：此時將公鑰44非對稱密碼概念與典型算法——公鑰密碼體制簡介簽名：將私鑰作為加密密鑰，公鑰作為解密密鑰，可實現(xiàn)由一個用戶對數(shù)據(jù)加密而使多個用戶解讀非對稱密碼概念與典型算法——公鑰密碼體制簡介簽名：將私鑰作為45非對稱密碼概念與典型算法——公鑰密碼體制簡介簽名＋保密非對稱密碼概念與典型算法——公鑰密碼體制簡介簽名＋保密46非對稱密碼概念與典型算法——公鑰密碼體制簡介優(yōu)點：加密能力與解密能力是分開的可滿足不相識的人之間保密通信，適合網(wǎng)絡應用需要保存的密鑰量大大減少，N個用戶只需要N個可以實現(xiàn)用戶身份的確認缺點：速度較慢、密鑰長(通常是1024比特以上)非對稱密碼概念與典型算法——公鑰密碼體制簡介優(yōu)點：47非對稱密碼概念與典型算法——RSA算法簡介RonRivest,AdiShamir,LeonardAdleman于1977年發(fā)明第一個非對稱密碼算法安全性基于大數(shù)分解的難題非對稱密碼概念與典型算法——RSA算法簡介RonRives48非對稱密碼概念與典型算法——RSA算法簡介RSA安全性基于大數(shù)分解的難題產(chǎn)生一對大素數(shù)很容易求一對大素數(shù)的乘積很容易，但要對這個乘積進行因式分解則非常困難公鑰和私鑰經(jīng)過一對大素數(shù)運算而來，破解算法的難度等價于分解這兩個大素數(shù)的乘積非對稱密碼概念與典型算法——RSA算法簡介RSA安全性基于大49非對稱密碼概念與典型算法——RSA算法描述1）取兩個隨機大宿舍p和q(保密)2）計算公開的模數(shù)n=p*q(公開）3）計算秘密的歐拉函數(shù)φ(n)=(p-1)(q-1)(保密)4）隨機選擇整數(shù)e(0<e<φ(n))，滿足e和φ(n)互素(公開e，加密密鑰)5）計算d，使得d×e≡1modφ(n)(保密d，解密密鑰）6）公鑰為(n,e),私鑰為(n,d)7）將明文x加密得密文y，y=xe

(modn)8）密文y解密得明文x，x=yd

(modn)非對稱密碼概念與典型算法——RSA算法描述1）取兩個隨機大宿50非對稱密碼概念與典型算法——RSA算法安全性分析密碼分析者攻擊RSA體制的關鍵點在于如何分解n若分解成功使n=pq，則可以算出φ(n)＝(p-1)(q-1)，然后由公開的e，解出秘密的d非對稱密碼概念與典型算法——RSA算法安全性分析密碼分析者攻51非對稱密碼概念與典型算法——RSA算法安全性分析計算能力的不斷提高和分解算法的進一步改進，原來被認為是不可能分解的大數(shù)已被成功分解RSA-129（即n為129位十進制數(shù)，大約428個比特）已在網(wǎng)絡上通過分布式計算歷時8個月于1994年4月被成功分解RSA-155（512比特）已于1999年8月被成功分得到了兩個78位（十進制）的素數(shù)RSA-768（232十進制）已于2009年12月被成功分得到了兩個116位（十進制）的素數(shù)估計在未來一段比較長的時期，密鑰長度介于1024比特至2048比特之間的RSA是安全的非對稱密碼概念與典型算法——RSA算法安全性分析計算能力的不52對稱密碼與非對稱密碼對比對稱密碼與非對稱密碼對比53數(shù)字信封—對稱加密與非對稱加密的結(jié)合數(shù)字信封是一種解決兩個對等實體之間通過網(wǎng)絡發(fā)送大量數(shù)據(jù)的解決方法。通信方A用B的公鑰K2加密A與B之間的共享密鑰K1，并將其發(fā)送給B。B用自己的私鑰K3解密收到的消息，得到共享密鑰K1。A、B之間用對稱密鑰K1對收發(fā)的數(shù)據(jù)加解密。數(shù)字信封—對稱加密與非對稱加密的結(jié)合數(shù)字信封是一種解決兩個對54數(shù)字信封—對稱加密與非對稱加密的結(jié)合數(shù)字信封的優(yōu)點由于非對稱密碼用于對稱密碼密鑰的發(fā)布，較好地解決了對稱密碼的密鑰發(fā)布問題。由于對稱密鑰相對于要發(fā)送的明文而言通常要小，因此，密鑰交換過程中的加解密過程很快。由于使用對稱密碼進行實際數(shù)據(jù)的傳輸，因此，實際數(shù)據(jù)傳輸過程中的加解密過程很快。數(shù)字信封—對稱加密與非對稱加密的結(jié)合數(shù)字信封的優(yōu)點55消息認證消息認證是用來驗證消息完整性的一種機制或服務。確保收到的數(shù)據(jù)確實和發(fā)送時一樣（未被修改、插入、刪除或重放），且發(fā)送方聲稱的身份是真實有效的消息認證主要是為了防范（檢測）主動的完整性攻擊消息認證消息認證是用來驗證消息完整性的一種機制或服務。確保收56消息認證在網(wǎng)絡環(huán)境中，傳統(tǒng)的攻擊類型有：認證內(nèi)容認證消息（數(shù)據(jù)）的內(nèi)容認證消息（數(shù)據(jù)）的來源認證消息（數(shù)據(jù)）的時效性消息認證在網(wǎng)絡環(huán)境中，傳統(tǒng)的攻擊類型有：57消息認證分類使用認證函數(shù)產(chǎn)生某種認證符，分為三類：消息加密：將整個消息的密文作為認證符。消息認證碼（MAC）：消息和密鑰的函數(shù)，它產(chǎn)生定長的值，以該值作為認證符。雜湊函數(shù)（Hash）：又稱散列函數(shù)，將任意長的消息映射為定長的散列值的函數(shù)，以該散列值作為認證符。消息認證分類使用認證函數(shù)產(chǎn)生某種認證符，分為三類：58消息認證——消息加密對稱加密非對稱加密消息認證——消息加密對稱加密59消息認證——消息認證碼消息認證碼MessageAuthenticationCode(MAC)利用密鑰生成一個固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)附加在消息之后。

M—消息

C—MAC函數(shù)

K—共享的密鑰

MAC—消息認證碼

MAC＝C(K,M)消息和MAC一起發(fā)送給接收方，接收方對收到的消息用相同的密鑰進行相同的運算得到新的MAC，若新MAC與收到的MAC一致，則可確保：（1）消息未被修改（2）消息來自真正的發(fā)送方（3）若消息中含有序列號，則可相信消息順序是正確的。消息認證——消息認證碼消息認證碼MessageAuthen60消息認證——散列函數(shù)單向散列函數(shù)(Hash)又稱為雜湊函數(shù)，是消息認證碼的一種變形。Hash與MAC的相同之處：輸入是可變大小的消息M，輸出是固定大小的散列碼。Hash與MAC的不同之處：散列碼并不使用密鑰，它僅是輸入消息的函數(shù)。散列碼，也稱為消息摘要(MessageDigest)或者散列值，是消息的一個指紋。消息認證——散列函數(shù)單向散列函數(shù)(Hash)又稱為雜湊函數(shù)61消息認證——散列函數(shù)散列碼的應用用對稱密碼對消息及附在其后的散列碼加密（冗余保護，提供認證與保密）用對稱密碼僅對散列加密，對那些不要求保密性的應用，這種方法處理代價?。ㄌ峁┱J證）用發(fā)送方的私鑰僅對散列加密（原理同上）先用發(fā)送方的私鑰對散列碼加密，再用對稱密碼對消息和上述加密結(jié)果進行加密（常用的技術，提供保密與認證）通信雙方共享公共的秘密值S（類似于密鑰），A將M和S的聯(lián)合體計算散列值，并將其附在M后（提供認證）消息認證——散列函數(shù)散列碼的應用62消息認證——散列函數(shù)散列函數(shù)的要求給定一個消息，計算其散列值應該非常容易。對給定的消息，散列值總是一致的。給定一個散列值，找出創(chuàng)建該散列值的原消息是非常困難的。任意給定兩個消息，如果計算其消息摘要，兩者的消息摘要必須不同。如果兩個消息產(chǎn)生相同的散列值，則稱為沖突(Collision)。如果散列值的長度為n，則兩個消息產(chǎn)生同樣的散列值的概率為1/2n，n較大時，如為128位時，小概率事件難以發(fā)生。消息認證——散列函數(shù)散列函數(shù)的要求63消息認證——散列函數(shù)散列函數(shù)的雪崩效應兩個原消息之間非常小的變化，得到的消息摘要應該有很大的變化。消息認證——散列函數(shù)散列函數(shù)的雪崩效應64消息認證——散列函數(shù)散列函數(shù)的性質(zhì)散列函數(shù)可應用于任意大小的數(shù)據(jù)塊；散列函數(shù)產(chǎn)生定長的輸出；對任意給定的x，計算H（x）比較容易，用硬件和軟件均可實現(xiàn)；對任意散列函數(shù)，找出滿足H（x）＝h的x在計算上是不可行的，有些文獻中稱之為單向性；對任意給定的分組x，找到滿足y不等于x，且H（y）＝H（x）的y在計算上是不可行的，稱之為抗弱沖突性；找出任何滿足H（x）＝H（y）的偶對（x，y）在計算上是不可行的，稱之為抗強沖突性。消息認證——散列函數(shù)散列函數(shù)的性質(zhì)65消息認證——MD51990年MIT的RonRivest提出MD4。1992年RonRivest完成MD5(RFC1321)。其發(fā)展歷程為MD、MD2、MD3、MD4、MD5?，F(xiàn)行美國標準SHA-1以MD5的前身MD4為基礎。輸入：任意長度的報文。輸入分組長度：512位。輸出：128位的消息摘要。消息認證——MD51990年MIT的RonRivest66消息認證——MD5MD5不是足夠安全的Dobbertin在1996年找到了兩個不同的512位塊,它們在MD5計算下產(chǎn)生相同的hash，但對一般性的一個512位分組，并不能總是找到一個產(chǎn)生同樣hash的另一個分組；2004年，山東大學王小云教授針對一個X，計算MD5(X)，能夠通過更改X的某些位，得到一個Y，使得MD5(X)=MD5(Y)。——Rivest說，我們不得不做更多的重新思考了。消息認證——MD5MD5不是足夠安全的67三、密碼學典型應用1.加密設備的部署2.密鑰管理與密鑰分配3.數(shù)字證書與PKI三、密碼學典型應用68加密設備的部署鏈路加密很多的加密設備較高的安全性在每個交換節(jié)點都需要解密數(shù)據(jù)包端到端加密源主機加密和接收端解密靜載荷加密包頭為明文加密設備的部署鏈路加密69加密設備的部署加密設備的部署70加密設備的位置鏈路加密：對于鏈路層加密，每條易受攻擊的通信鏈路都在包交換器兩端裝備加密設備。因此，所有通信鏈路的所有通信都受到保護。盡管這在大型網(wǎng)絡中需要很多加密設備，但它提供了較高的安全性。缺點：消息每次進入包交換機都要被解密。這是必要的，因為交換機必須讀取包頭（packetheader）地址來發(fā)送包。因此，每次交換時消息都易受攻擊。如果這是一個公共包交換網(wǎng)絡，則用戶不可控制節(jié)點安全。加密設備的位置鏈路加密：71加密設備的位置端到端加密：對于端到端加密，加密過程在兩個端系統(tǒng)上實現(xiàn)。主機只能加密包中的用戶數(shù)據(jù)部分而必須保留包頭為明文，使得它能被網(wǎng)絡讀取。因此使用端到端加密，用戶數(shù)據(jù)是安全的，但是通信模式不安全，因為包頭以明文傳遞。加密設備的位置端到端加密：72加密設備的位置為獲得更高安全性，兩種形式都采用。主機使用端到端加密密鑰加密包的用戶數(shù)據(jù)部分。然后使用鏈路加密密鑰加密整個包。這樣除了在包交換機里存儲包時包頭是明文外，整個包都是安全的。加密設備的位置為獲得更高安全性，兩種形式都采用。主機使用端73加密設備的部署加密設備的部署74密鑰管理與密鑰分配密碼技術的安全性都依賴于密鑰密碼學的原則：一切秘密寓于密鑰之中密鑰管理：處理密鑰自產(chǎn)生到最終銷毀的整個過程中的有關問題密鑰管理與密鑰分配密碼技術的安全性都依賴于密鑰75密碼學原理與應用課件76密鑰分配密鑰分配技術是在不讓其他人看到密鑰的情況下將一個密鑰傳遞給希望交換數(shù)據(jù)的雙方的方法。密鑰分配往往和身份認證聯(lián)系在一起。一個密碼系統(tǒng)的安全強度依賴于密鑰分配技術。密鑰管理方法因所使用的密碼體制（對稱密碼體制和公鑰密碼體制）而異。密鑰分配密鑰分配技術是在不讓其他人看到密鑰的情況下將一個密鑰77密鑰分配對稱密鑰的分配對稱加密基于共同密鑰實現(xiàn)，如何建立安全的數(shù)據(jù)通道傳輸密鑰成為密鑰管理的關鍵！解決：建立安全傳輸密鑰的數(shù)據(jù)通道非對稱密鑰的分配正確地獲取其他用戶的公鑰是密鑰管理的關鍵！解決：公開密鑰的集中式管理密鑰分配對稱密鑰的分配78密鑰分配分布式：網(wǎng)絡中的主機具有相同的地位，他們之間的密鑰分配取決于他們之間的協(xié)商——如基于公鑰密碼體制的密鑰分配方法、Diffie-Hellman密鑰交換協(xié)議集中式：一個中心服務器(密鑰分配中心KDC)，團體中的任何一個實體與中心服務器共享一個密鑰。KDC接受用戶的請求，為用戶提供安全的密鑰分配服務密鑰分配分布式：網(wǎng)絡中的主機具有相同的地位，他們之間的密鑰分79密鑰分配密鑰分配80數(shù)字證書與PKIPKI(PublicKeyInfrastructure)：X.509定義PKI為：創(chuàng)建、管理、存儲、發(fā)布和撤消基于公鑰密碼系統(tǒng)的數(shù)字證書所需要的硬件、軟件、人和過程的集合一種標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務所必須的密鑰和證書管理登記注冊、管理、發(fā)布公鑰證書，撤銷過去簽發(fā)但現(xiàn)已失效的密鑰證書數(shù)字證書與PKIPKI(PublicKeyInfras81公鑰證書Public-keycertificates公鑰證書又稱數(shù)字證書，可以理解為是一種數(shù)據(jù)結(jié)構(gòu)證書中包含用戶的合法公開密鑰，并由頒發(fā)證書的授權機構(gòu)簽名任何人可以閱讀證書以確定證書擁有者的姓名和公鑰，可以驗證證書是由授權機構(gòu)發(fā)出而非偽造的只有授權機構(gòu)才可以發(fā)行和更