常用算法簡介與應(yīng)用舉例

常用算法簡介與應(yīng)用舉例Author：牛登平Date：2011.8.82內(nèi)容

內(nèi)容提要概述對稱算法非對稱算法散列算法數(shù)字簽名手機(jī)登網(wǎng)認(rèn)證簡介3機(jī)密性完整性可用性安全目標(biāo)4安全攻擊威脅機(jī)密性——竊聽；流量分析威脅完整性——篡改；偽裝；重放；否認(rèn)威脅可用性——拒絕服務(wù)5安全服務(wù)信息的機(jī)密性信息的完整性身份認(rèn)證不可否認(rèn)性訪問控制6安全機(jī)制加密信息的完整性數(shù)字簽名身份認(rèn)證交換流量填充路由控制公證訪問控制7安全機(jī)制與安全服務(wù)之間的關(guān)系安全服務(wù)安全機(jī)制信息機(jī)密性加密、路由控制信息完整性加密、數(shù)字簽名、信息完整性身份認(rèn)證加密、數(shù)字簽名、身份認(rèn)證交換不可否認(rèn)性數(shù)字簽名、信息完整性、公證訪問控制訪問控制機(jī)制8安全技術(shù)密碼術(shù)1、對稱密鑰加密2、非對稱密鑰加密3、散列法密寫術(shù)9內(nèi)容

內(nèi)容提要概述對稱算法非對稱算法散列算法數(shù)字簽名手機(jī)登網(wǎng)認(rèn)證簡介10對稱密鑰加密——特征加密和解密的過程使用同一密鑰對稱加密速度快；對稱加密是安全的；因為接收者需要得到對稱密鑰，所以對稱密鑰容易受到中間攔截竊聽的攻擊；對稱密碼系統(tǒng)當(dāng)中密鑰的個數(shù)大約是參與者數(shù)目的平方，因此很難將它的使用擴(kuò)展到大范圍的人群中；對稱密碼的使用需要復(fù)雜的密鑰管理；對稱密碼技術(shù)不適用于數(shù)字簽名和不可否認(rèn)性11對稱密鑰加密—DESDES（DataEncryptionStandard,數(shù)字加密標(biāo)準(zhǔn)）1、DES的數(shù)據(jù)分組長度為64位,密文分組長度也是64位;2、DES的密鑰為64位,有效密鑰長度為56位,有8位用于奇偶校驗;3、DES解密時的過程和加密時相似,但密鑰的順序正好相反;4、DES的整個體制是公開的,系統(tǒng)的安全性完全靠密鑰的保密12對稱密鑰加密—DES的缺陷密鑰的長度：有效位56bit，密鑰集2^56在1977年，人們估計要耗資兩千萬美元才能建成一個專門計算機(jī)用于DES的解密，而且需要12個小時的破解才能得到結(jié)果。1997年開始，RSA公司發(fā)起了一個稱作“向DES挑戰(zhàn)”的競技賽。1997年1月，用了96天時間，成功地破解了用DES加密的一段信息；一年之后，在第二屆賽事上，這一記錄41天；1998年7月，“第2-2屆DES挑戰(zhàn)賽（DESChallengeII-2）”把破解DES的時間縮短到了只需56個小時；“第三屆DES挑戰(zhàn)賽（DESChallengeIII）”把破解DES的時間縮短到了只需22.5小時。13對稱密鑰加密—對DES的改進(jìn)三重DES的運算過程：三重DES的兩個版本：雙密鑰的三重DES：有效密鑰長度112

密鑰K1=密鑰K3；K1不等于K2三密鑰的三重DES：有效密鑰長度168 密鑰K1、密鑰K2、密鑰K3均不相同14對稱密鑰加密—三重DES改進(jìn)分析多重DES彌補了單DES密鑰集過短缺陷?？梢杂行У挚剐U力攻擊。個人攻擊小組攻擊院、校網(wǎng)絡(luò)攻擊大公司軍事情報機(jī)構(gòu)40bits數(shù)周數(shù)日數(shù)小時數(shù)毫秒數(shù)微秒56bits數(shù)百年數(shù)十年數(shù)年數(shù)小時數(shù)秒鐘64bits數(shù)千年數(shù)百年數(shù)十年數(shù)日數(shù)分鐘80bits不可能不可能不可能數(shù)百年數(shù)百年128bits不可能不可能不可能不可能數(shù)千年15對稱密鑰加密—ECB工作模式

ECB（電碼本）模式：各明文組獨立地以同一密鑰加密；傳送短數(shù)據(jù)16對稱密鑰加密—CBC工作模式CBC（密碼分組鏈接）模式：

Cn=Ek[Cn-1⊕Pn]；初始向量V1；17對稱密鑰加密——智能卡應(yīng)用舉例（1）安全報文中的應(yīng)用——1）數(shù)據(jù)加密：信息機(jī)密性2）密碼校驗和（CBC模式）：信息完整性18對稱密鑰加密——智能卡應(yīng)用舉例（2）外部認(rèn)證——卡對終端的認(rèn)證19對稱密鑰加密——智能卡應(yīng)用（3）內(nèi)部認(rèn)證——終端對卡的認(rèn)證20對稱密鑰加密——智能卡應(yīng)用（4）會話密鑰——（一次一密）21對稱密鑰加密——存在的問題1.密鑰管理量的困難傳統(tǒng)密鑰管理兩兩分別用一對密鑰時,則n個用戶需要C(n,2)=n(n-1)/2個密鑰,當(dāng)用戶量增大時密鑰空間急劇增大如:n=100時:C(100,2)=4,995n=5000時:C(5000,2)=12,497,5002.數(shù)字簽名的問題傳統(tǒng)加密算法無法實現(xiàn)抗抵賴的需求22內(nèi)容

內(nèi)容提要概述對稱算法非對稱算法散列算法數(shù)字簽名手機(jī)登網(wǎng)認(rèn)證簡介23非對稱密鑰加密——定義公鑰密碼系統(tǒng)加密變換Ek，解密變換DkDk是Ek的逆過程Ek、Dk易于計算從Ek推出Dk在計算上不可行從加密密鑰推算出解密密鑰在計算上不可行24非對稱密鑰加密——兩個目的解決密鑰分配問題對安全密鑰分發(fā)的需求最小N個會話方只需要n組公私鑰對即可生成手寫簽名的等價替代物

-由合法簽署者產(chǎn)生，其他人不能偽造

-任何人可以對其進(jìn)行驗證

-依賴于消息25非對稱密鑰加密——加密模型26非對稱密鑰加密——特點用一個密鑰加密的東西,只能用另外一個密鑰來解密;非對稱加密是安全的;因為不必發(fā)送密鑰給接收者,所以非對稱加密不必?fù)?dān)心密鑰被中間攔截的問題;需要分發(fā)的的密鑰數(shù)目和參與者數(shù)目一樣,這樣,在參與者眾多的情況下,非對稱密碼技術(shù)仍然會工作得很好;非對稱密碼技術(shù)沒有復(fù)雜的密鑰分發(fā)問題;不需要事先在各參與方之間建立關(guān)系以交換密鑰;支持?jǐn)?shù)字簽名和不可否認(rèn)性;加密速度相對較慢;得到的密文變長27非對稱密鑰加密——算法實例背包算法RSA(Rivest,Shamir,Adleman)橢圓曲線ECC(EillipticCurveCroptography)28非對稱密鑰加密——RSA算法描述RSA加、解密算法(1978Rivest,Shamir,Adelman)?分組大小為k,2k<n≤2k+1?公開密鑰{e,n}

n（兩素數(shù)p和q的乘積）（推薦p,q等長）

e（與(p-1)(q-1)互素）

ed≡1(mod(p-1)(q-1))?私有密鑰{d,p,q}

d（e-1mod(p-1)(q-1))?加密c=m^emodn?解密m=c^dmodn29非對稱密鑰加密——RSA安全性依賴于大數(shù)分解，但是否等同于大數(shù)分解一直未能證明。不管怎樣，分解n是最顯然的攻擊方法。1994年4月26日，美國各大媒體報道：由RSA發(fā)明人在17年前出的129位數(shù)字已被因子分解，并破解了附帶的密語：

Themagicwordsaresqueamishossifrage.

目前，已能分解140位十進(jìn)制的大素數(shù)。因此，模數(shù)n必須選大一些（推薦1024位以上）。

RSA最快的情況也比DES慢上100倍，無論是軟件還是硬件實現(xiàn)。速度一直是RSA的缺陷。一般只用于少量數(shù)據(jù)加密。30內(nèi)容

內(nèi)容提要概述對稱算法非對稱算法散列算法數(shù)字簽名手機(jī)登網(wǎng)認(rèn)證簡介31散列法——定義散列函數(shù)（HashFunctions)H(M)——輸入為任意長度的消息M;輸出為一個固定長度的散列值，稱為消息摘要(MessageDigest)?這個散列值是消息M的所有位的函數(shù)并提供錯誤檢測能：消息中的任何一位或多位的變化都將導(dǎo)致該散列值的變化?又稱為：哈希函數(shù)、數(shù)字指紋（Digitalfingerprint)、壓縮（Compression)函數(shù)、緊縮（Contraction）函數(shù)、數(shù)據(jù)鑒別碼DAC（Dataauthenticationcode）、篡改檢驗碼MDC(Manipulationdetectioncode)32散列法——算法實例算法分組長度HASH值MD564字節(jié)16字節(jié)SHA1-16064字節(jié)20字節(jié)SHA1-25664字節(jié)32字節(jié)SHA1-512128字節(jié)64字節(jié)33散列法——特點與應(yīng)用特點——單向性（Hash函數(shù)的最基本的要求）由給定的輸入可以容易的確定特定的Hash輸出值；由給定的Hash值尋找能產(chǎn)生此Hash值的輸入數(shù)據(jù)是困難的。應(yīng)用：與非對稱算法結(jié)合，用于數(shù)字簽名。34內(nèi)容

內(nèi)容提要概述對稱算法非對稱算法散列算法數(shù)字簽名手機(jī)登網(wǎng)認(rèn)證簡介35數(shù)字簽名——概念需求：電子商務(wù)、政務(wù)要求對電子文檔進(jìn)行辨認(rèn)和驗證，因而產(chǎn)生數(shù)字簽名作用：保證信息完整性；提供信息發(fā)送者的身份認(rèn)證性質(zhì)：數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名容易被自動驗證簽名不能被偽造36數(shù)字簽名——設(shè)計要求簽名必須是依賴于被簽名信息的一個位串模板;簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認(rèn);必須相對容易生成該數(shù)字簽名;必須相對容易識別和驗證該數(shù)字簽名;偽造該數(shù)字簽名在計算復(fù)雜性意義上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名;在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的.必須能夠驗證作者及其簽名的日期時間必須能夠認(rèn)證簽名時刻的內(nèi)容簽名必須能夠由第三方驗證，以解決爭議37數(shù)字簽名——過程假設(shè)A要發(fā)送一個電子文件給B:1.系統(tǒng)初始化：選擇簽名所需的算法、參數(shù)2.產(chǎn)生簽名：A用其私鑰加密文件并發(fā)送給B3.簽名驗證：B用A的公鑰解開A送來的文件38數(shù)字簽名——可仲裁的數(shù)字簽名（1）直接數(shù)字簽名的缺陷：簽名者聲稱私鑰被盜，簽名是他人假冒。為此引入第三方作仲裁者。簽名過程：發(fā)方X收方Y(jié)仲裁A消息MXA:M||EkXA[ID-x||H(M)]AY:EkAY[ID-x||M||EkXA[ID-x||H(M)]||T]說明：

E:對稱密鑰加密，kXA，kAY分別為X和A、A和Y的共享密鑰。

T:時戳（不是舊消息的重放）

Id-x：x的身份

H(M):M的Hash值39數(shù)字簽名——可仲裁的數(shù)字簽名（2）Y對收到的內(nèi)容保存，以備爭議時使用。前提：雙方都信任仲裁者由于Y不知kXA，不能直接驗證X的簽名，而是依靠仲裁者。因此，仲裁者必須做到：X相信A不會泄漏kXA，不會偽造X的簽名；Y相信A確實收到X的簽名并驗證無誤后發(fā)送；X和Y都相信A可以公正地解決爭議。40數(shù)字簽名——可仲裁的數(shù)字簽名（3）上述方法缺陷：若A不公正，與X共謀否認(rèn)簽名，或與Y串通偽造簽名。新簽名方案：XA:IDx||EskX[IDx||Epky[Eskx(M)]]AY:(A先用X的公鑰解密得IDx||Epky[Eskx(M)])EskA[IDx||Epky[EskX(M)]||T]說明：skX和skA為X、A的私鑰，pky為Y的公鑰。優(yōu)點：無共享密鑰，防共謀；

X發(fā)給Y的信息對第三方保密(包括A)；只要A的私鑰不泄漏，則消息不能重放。41內(nèi)容

內(nèi)容提要概述對稱算法非對稱算法散列算法數(shù)字簽名手機(jī)登網(wǎng)認(rèn)證簡介GSM入網(wǎng)鑒權(quán)流程|-----||-----||-----||SIM|---->IMSI--->|ME|---->IMSI--->|NET||-----| |-----||-----|||||||||<---RAND<----| |<----RAND<---||使用A3A8+Ki計算SRES*||||||||-->KC+SRES-->||---->SRES----->|-----|比較SRES與計算的SRES*|--使用A3A8算法+Ki計算SRES注釋：A3A8算法：目前最常用的是Com128-1-2-3算法。KC作為后續(xù)數(shù)據(jù)加解密的密鑰使用的信息安全技術(shù)：1）對稱算法（外部認(rèn)證技術(shù)）2）臨時密鑰USIM入網(wǎng)鑒權(quán)（3GAKA模式）認(rèn)證中心為每個用戶生成基于序列號的認(rèn)證向量組(RAND,XRES,CK,IK,AUTN）,并且按照序列號排序。AuC產(chǎn)生認(rèn)證向量組的流程如下圖所示：f0是一個偽隨機(jī)數(shù)生成的函數(shù)，只存放于AuC中，用于生成隨機(jī)數(shù)RAND。3G認(rèn)證向量中有一個“認(rèn)證令牌”AUTN，包含了一個序列號，使得用戶可以避免受到重傳攻擊。其中AK是用來在AUTN中隱藏序列號，因為序列號可能會暴露用戶的身份和位置信息。

當(dāng)認(rèn)證中心收到VLR/SGSN的認(rèn)證請求，發(fā)送N個認(rèn)證向量組給VLR/SGSN。在VLR/SGSN中，每個用戶的N個認(rèn)證向量組，按照“先入先出”（FIFO）的規(guī)則發(fā)送給移動臺，用于鑒權(quán)認(rèn)證。VLR/SGSN初始化一個認(rèn)證過程，選擇一個認(rèn)證向量組，發(fā)送其中的RAND和AUTN給用戶。用戶收到RAND和AUTN后，在USIM上進(jìn)行下列操作。卡端流程示意圖首先校驗MAC:

計算AK并從AUTN中將序列號恢復(fù)出來SQN=(SQN⊕AK)⊕AK；USIM計算出XMAC，將它與AUTN中的MAC值進(jìn)行比較。如果不同，用戶發(fā)送一個“用戶認(rèn)證拒絕”信息給VLR/SGSN，放棄該認(rèn)證過程。在這種情況下，VLR/SGSN向HLR發(fā)起一個“認(rèn)證失敗報告”過程，然后由VLR/SGSN決定是否重新向用戶發(fā)起一個認(rèn)證過程。

再次校驗SQN:

用戶比較收到的SQN是否在正確范圍內(nèi)（為了保證通信的同步，同時防止重傳攻擊，SQN應(yīng)該是目前使用的最大的一個序列號，由于可能發(fā)生延遲等情況，定義了一個較小的“窗口”，只要SQN收到的在該范圍內(nèi)，就認(rèn)為是同步的。）

如果SQN在正確范圍內(nèi)，USIM計算出RES，發(fā)送給VLR/SGSN，比較RES是否等于XRES。如果相等，網(wǎng)絡(luò)就認(rèn)證了用戶的身份。

SEQmax-L<SEQnet<SEQmax+

最后，用戶計算出加密密鑰CK=f3(RAND，K)，完整性密鑰IK=f4(RAND，K)如果用戶計算出SQN不在USIM認(rèn)為正確的范圍內(nèi)，將發(fā)起一次“重新認(rèn)證”。使用的信息安全技術(shù)：1）雙向認(rèn)