第十四章通信安全講解材料

第十四章通信安全14.1概述通信安全的基礎(chǔ)－密碼學密碼編碼學密碼分析學通信不安全因素被破譯被攻擊－被偽造和篡改認證－防止被攻擊的手段認證的目的：驗證信息發(fā)送者真?zhèn)悟炞C接收信息的完整性―是否被篡改了？是否被重復(fù)接收了？是否被拖延了？認證技術(shù)：包括消息認證、身份驗證和數(shù)字簽字。1密碼編碼學內(nèi)容：將消息加密的方法將已加密的消息解密的方法密碼分析學內(nèi)容：如何破譯密文和偽造密文。密碼學的基本術(shù)語明文－待加密的消息密文－加密后的消息密碼－用于加密的數(shù)據(jù)變換集合密鑰－用于表示加密變換的參數(shù)密碼種類：單密鑰密碼公共密鑰密碼：也稱為雙密鑰密碼214.2單密鑰加密通信系統(tǒng)例：密鑰Z－m序列加密算法－模2加法解密算法－仍是模2加法一般算法：令F為產(chǎn)生密文Y的可逆變換，即有

Y=F(X,Z)=FZ(X) 在接收端，密文Y用逆變換F-1恢復(fù)成原來的明文X，即

X=F-1(Y,Z)=FZ-1(Y)=FZ-1[FZ(X)] 密鑰安全信道信源加密解密信道XYZX敵方發(fā)送端信道 接收端314.3分組密碼和流密碼分組密碼加密過程原理連續(xù)的分組用相同的密鑰加密。若有一個特定的分組明文和以前的一個分組相同，則加密后兩者的密文也相同。目標是使明文的任1比特都不會直接出現(xiàn)在密文中。串行-分組變換器密碼加密邏輯分組-串行變換器密鑰串行明文串行明文4密鑰流應(yīng)當盡可能地近似于一個完全隨機的序列。若密鑰流是一個m序列，則圖中的密鑰流產(chǎn)生器就是一個m序列產(chǎn)生器；密鑰則是控制此m序列的生成多項式和同步信息等。二進制加性流密碼沒有錯誤傳播；在密文中一個錯誤比特解密后只影響輸出中的相應(yīng)比特。 （分組密碼可能有錯誤傳播，使明文分組中很少幾個比特的改變在密文輸出中產(chǎn)生很多比特的變化。分組密碼的這種錯誤傳播性質(zhì)在認證中很有價值，因為它使敵方的破譯人員不可能修改加密后的數(shù)據(jù)，除非知道密鑰。）流密碼通常較適用于通過易出錯的通信信道傳輸數(shù)據(jù)，用于要求高數(shù)據(jù)率的應(yīng)用中，例如視頻保密通信，或者用于要求傳輸延遲很小的場合。6對通信安全的基本要求假設(shè)：敵方破譯人員知道所用加密法的全部機理，只是不知道密鑰。密碼分析性攻擊的形式：僅對密文的攻擊對已知明文的攻擊對選定的明文的攻擊對選定的密文的攻擊實際中常發(fā)生的是僅對密文的攻擊：例：使用語言的統(tǒng)計結(jié)構(gòu)知識（例如，英文字母e的出現(xiàn)概率是13%，以及字母q的后面總跟隨著u）和關(guān)于某些可能的字的知識（例如，一封信的開頭中可能有“先生”或“女士”兩字）。僅對密文的攻擊是一個密碼系統(tǒng)受到的最輕的威脅。因此，任何系統(tǒng)若不能戰(zhàn)勝這種攻擊，則被認為是完全不安全的系統(tǒng)。714.4用信息論研究密碼的方法香農(nóng)模型的假定：敵方破譯人員具有無限的時間和無限的計算能力；敵方僅限于對密文攻擊。香農(nóng)的密碼分析定義：給定密文以及各種明文和密鑰的先驗概率，搜尋密鑰的過程。當敵方破譯人員獲得密文的唯一解時，就成功地解密了。香農(nóng)對安全性的基本度量－互信息量I(X;Y)令X=(X1,X2,…,XN)表示一個N比特的明文消息;

Y=(Y1,Y2,…,YN)表示相應(yīng)的N比特密文。假定：密鑰Z服從某種概率分布H(X)－X的不確定性H(X/Y)－給定Y后X的不確定性I(X;Y)=H(X)–H(X/Y)－X和Y之間的互信息量。814.4.1完善安全性完善安全性定義假定：破譯人員只能夠看到密文Y，則一個保密系統(tǒng)的完善安全性定義為：明文X和密文Y之間是統(tǒng)計獨立的，即有

I(X;Y)=0 于是，由I(X;Y)=H(X)–H(X/Y)，可以求出

H(X/Y)=H(X) 上式表明，敵方破譯人員最多只能，按照所有可能消息的概率分布，從給定的密文Y，去猜測明文消息X。

9 香農(nóng)基本界給定密鑰Z后，有

H(X/Y)

H(X,Z/Y)=H(Z/Y)+H(X/Y,Z) 當且僅當Y和Z共同唯一地決定X時，

H(X/Y,Z)=0；當使用已知密鑰Z解密時，這是一個很有價值的假定。 因此，我們可以將式 H(X/Y)

H(X,Z/Y)=H(Z/Y)+H(X/Y,Z) 簡化如下：

H(X/Y)

H(Z/Y)

H(Z) 將上式代入式 H(X/Y)=H(X)得知：為使一個保密系統(tǒng)給出完善的安全性，必須滿足條件

H(Z)

H(X)它表明為了達到完善安全性，密鑰Z的不確定性必須不小于被此密鑰所隱蔽的明文X的不確定性。10一次一密密碼原理方框圖：一種流密碼，其密鑰和密鑰流相同，并且密鑰只使用一次。密文yn=xn

zn, n=1,2,… 式中，xn－消息比特序列；

zn－統(tǒng)計獨立和均勻分布的密鑰比特序列。一次一密密碼是完善安全的，因為消息和密文之間的互信息量為0；所以它是完全不可解密的。消息xn密文yn密鑰zn密文yn消息xn密鑰zn(a)加密(b)解密1114.4.2唯一解距離對于一個用非完善密碼加密的密文，可以預(yù)期，當截獲的文件量隨時間增大到某一點時，破譯人員用無限的時間和無限的計算能力，將能夠找到密鑰并從而破譯了密文。在香農(nóng)的模型中，破譯人員能破譯此密文的臨界點稱為唯一解距離。唯一解距離的定義： 使條件熵H(Z/Y1,Y2,…,YN)近似為0的最小N。對于一類特殊的“隨機密文”，唯一解距離近似由下式給出： 式中，H(Z)－密鑰Z的熵，

Ly－密文字符集的大小，

r－N比特密文中所含信息的冗余度百分比，即 式中，H(X)為明文X的熵。12 在大多數(shù)保密系統(tǒng)中，密文字符集的大小Ly和明文字符集的大小Lx一樣。在這種情況下，r就是明文本身的冗余度百分比。求H(Z) 令K=密鑰Z中的數(shù)字數(shù)目，這些數(shù)字是從大小為Lz的字符集中選用的；則可以將密鑰Z的熵表示如下： 當且僅當密鑰是完全隨機的時，上式等號成立。 令Lz=Ly，并完全隨機地選擇密鑰以使唯一解距離最大。然后，將H(Z)=Klog2

Lz代入 得到：N0

K/r

13

N0

K/r

例：考察一個Lx=Ly=Lz保密系統(tǒng)，它用于對英文文本加密 典型英文文本的r大約等于75％。因此，按照上式，一個破譯人員在僅截獲約1.333K比特的密文數(shù)據(jù)后，就能破譯此密碼，其中K是密鑰長度。值得注意，非完善密碼仍然有實用價值。1414.4.3數(shù)據(jù)壓縮在密碼編碼中的作用數(shù)據(jù)壓縮能除去冗余度，因此增大了唯一解距離。14.4.4擴散與混淆擴散：將明文中一個比特的影響擴散到密文中很多比特，從而將明文的統(tǒng)計結(jié)構(gòu)隱藏起來?；煜翰捎脭?shù)據(jù)變換，使密文的統(tǒng)計特性與明文的統(tǒng)計特性之間的關(guān)系更為復(fù)雜。乘積密碼：由一些簡單的密碼分量相繼加密構(gòu)成；這些較簡單的密碼分量分別能使最終的密碼有適度的擴散和混淆。 例：乘積密碼用“替代密碼”和“置換密碼”作為基本分量。15替代密碼：明文的每個字符用一種固定的替代所代替；代替的字符仍為同一字符表中的字符；特定的替代規(guī)則由密鑰決定。 若明文為

X=(x1,x2,x3,x4,…) 式中，x1,x2,x3,x4,…為相繼的字符，則變換后的密文為

Y=(y1,y2,y3,y4,…)=[f(x1),f(x2),f(x3),f(x4),…] 式中，f(

)是一個可逆函數(shù)。 例：密文的字符表 從此表中可以看到，第一個字符U替代A，第二個字符H替代B，等等。使用替代密碼可以得到混淆。明文字符ABCDEFGHIJKLMNOPQRSTUVWXYZ密文字符UHNACSVYDXEKQJRWGOZITPFMBL16置換密碼：明文被分為具有固定周期d的組，對每組作同樣的交換。特定的交換規(guī)則是由密鑰決定的。若周期d＝4，交換規(guī)則為 則明文中的字符x將從位置1移至密文中的位置4。 一般而言，明文

X=(x1,x2,x3,x4,x5,x6,x7,x8,…)將變換成密文

Y=(x3,x4,x2,x1,x7,x8,x6,x5,…) 雖然密文Y中單個字符的統(tǒng)計特性和明文X中的一樣，但是高階統(tǒng)計特性卻改變了。使用置換密碼可以得到擴散。 明文字符x1

x2

x3

x4密文字符x3

x4x2x117將替代和置換作交織，并將交織過程重復(fù)多次，就能得到具有良好擴散和混淆性能的保密性極強的密碼。 例： 設(shè)明文消息為 THEAPPLESAREGOOD使用交換字符表作為替代密碼，則此明文將變換為如下密文： IYCUWWKCZUOCVRRA 下一步我們將交換規(guī)則用于置換密碼，則從替代密碼得到的密文將進一步變換成 UCIYCKWWCOZUARVR這樣，上面的密文和原來的明文相比，毫無共同之處。明文字符ABCDEFGHIJKLMNOPQRSTUVWXYZ密文字符UHNACSVYDXEKQJRWGOZITPFMBL明文字符x1

x2

x3

x4密文字符x3

x4x2x11814.5數(shù)據(jù)加密標準－美國政府標準算法DESDES采用擴散和混淆算法，是一種保密性很強的密碼。它對64b長的明文數(shù)據(jù)分組運算，所用的密鑰長度為56b。DES算法中：總變換=P-1{F[P(X)]}， 其中X－明文， P－某種交換， F－包括替代和置換；由某些函數(shù)f的級連構(gòu)成。19DES算法流程圖第1次初始交換后：64b的明文分為左 半部L0和右半部R0，每半部長32b。完成16輪交換，其中第i輪交換：

Li=Ri－1， i=1，2，…，16

Ri=Li-1

f(Ri-1,Zi)，i=1，2，…，16 式中，Zi－在第i輪中使用的密鑰； 此密鑰的長度為48b。第16輪運算的結(jié)果，經(jīng)過顛倒后， 得到R16L16。再經(jīng)過最后一次交換P-1， 就產(chǎn)生出64b的密文。為了解密，函數(shù)f(

,

)不必須是可逆的， 因為(Li-1,Ri-1)能夠從(Li,Ri)直接恢復(fù)： Ri-1=Li

i=1，2，…，16 Li-1=Ri

f(Li,Zi) i=1，2，…，16f(R0,

Z1)R16L16最后一次交換64b密文Z164b明文初始交換32bL032bR0f(R0,

Z1)R1L1f(R0,

Z1)R2L2R15L15Z2Z1620計算f(

,

)的流程圖擴展：R(32b)

R(48b)

方法：重復(fù)每個相繼的4 比特字的兩端比特。 若

R=r1r2r3r4r5r6r7r8…r29r30r31r32

則擴展后

R

＝r32r1r2r3r4r5r4r5r6r7r8r9… …r28r29r30r31r32r1R

和Zi模2相加，再將相加 結(jié)果分成8個6b的字：B1B2…B8=R

Zi

32b的R擴展48b的R

48b的ZiS2S8S1…交換P[

]32bf(R,Zi)第1個4b的字第2個4b的字第8個4b的字第1個6b的字第2個6b的字第8個6b的字21每個6b的字Bi輸入到一個替代方框Si；后者用查表的方法產(chǎn)生出一個4b的輸出Si(Bi)。Si(Bi)是6b字Bi的布爾函數(shù)。8個輸出Si輸入到交換方框P[

]。交換所得就是所要求的 32b的函數(shù)f(R,Zi):

f(R,Zi)＝P[S1(B1)S2(B2)…S8(B8)]32b的R擴展48b的R

48b的ZiS2S8S1…交換P[

]32bf(R,Zi)22密鑰進程計算－決定每個Zi所用的過程流程圖各Zi使用密鑰Z0的 不同子集。密鑰Z0在位置8,16, …,64上有8個監(jiān)督 比特，用于在對應(yīng) 的8b字節(jié)中進行錯 誤檢測。“交換選擇1”丟掉Z0 的監(jiān)督比特。然后存入兩個28b的 移存器中。64b密鑰交換選擇156b密鑰28bC028bD0左移左移C1D1左移左移交換選擇2C2D2左移左移交換選擇2C16D16交換選擇2移存器Z1Z2Z16…23作16次迭代運算，每次迭代包括一次或兩次循環(huán)左移，然后進行“交換選擇2”。輸出就是第1次至第 16次迭代用的不同的 48b密鑰分組Z1,Z2, …,Z16。64b密鑰交換選擇156b密鑰28bC028bD0左移左移C1D1左移左移交換選擇2C2D2左移左移交換選擇2C16D16交換選擇2移存器Z1Z2Z16…2414.6公共密鑰密碼編碼方法14.6.1基本原理公共密鑰系統(tǒng)中，用兩種算法去計算兩個不可逆函數(shù)（變換）。令這兩種算法用{Ez}和{Dz}表示：

Ez:fz(x)=y －公共密鑰（公鑰） Dz:fz-1(y)=x－秘密密鑰（私鑰） 式中，x－在某個函數(shù)fz的域中的一個輸入消息，

y－在fz取值范圍內(nèi)相應(yīng)的密文?；疽螅汉瘮?shù)fz必須是一個單向函數(shù)。公鑰和私鑰的兩個基本性質(zhì)：消息被這對密鑰之一加密后，能夠用另一個密鑰解密。知道公鑰后，不可能計算出私鑰。將此系統(tǒng)的用戶姓名、地址和公鑰列于一本“電話簿”中。當一個用戶需要向另一個用戶發(fā)送保密消息時，查此“電話簿”，用對方的公鑰對消息加密。加密的消息只能由持有對應(yīng)私鑰的用戶閱讀。2514.6.2Diffie-Hellman公共密鑰分配系統(tǒng)基本原理：令離散指數(shù)函數(shù)為

Y=

Xmodp 1

X

p–1 式中，

－一個整數(shù)，并且是一個本原元。 因此，X是Y的以

為底的模p離散對數(shù)：

X=log

Ymodp1

Y

p–1 使用“平方的乘積”法，很容易從X計算Y。 例如，對于X=16，有

Y=

16={[(

2)2]2}2

另一方面，從Y計算X則難得多。應(yīng)用方法：假定所有用戶都知道

和p。若有一用戶i，從一組整數(shù){1,2,…,p}中，均勻地選擇一個獨立隨機數(shù)Xi，作為私鑰；并將離散指數(shù)

Yi=

Ximodp

和用戶姓名及地址一起放在“公共電話簿”中。其他用戶也如此做。26假設(shè)用戶i和j希望進行保密通信。為此，用戶i從“公共電話簿”中取出Yj，并用私鑰Xi計算 用戶j用同樣方法計算Kij。因為

Kji=Kij 所以，用戶i和j可將Kji看作是普通保密系統(tǒng)中的密鑰。敵方若想得到Kji，必須用從“公共電話簿”中得到的Yi和Yj，按照下列公式去計算Kji： 上式因為包含離散對數(shù)故難于計算。

2714.7RSA算法14.7.1RSA公共密鑰密碼系統(tǒng)基本原理：RSA算法是一種分組密碼，其理論基礎(chǔ)是，求出一個隨機的大素數(shù)不難，但是將兩個這種數(shù)的乘積分解因子目前認為是不可能的。算法：隨機選擇兩個很大的素數(shù)p和q，p

q；將p和q相乘，得到乘積

pq=n

使用下式求出歐拉函數(shù)

(n):

(n)=(p–1)(q–1)從歐拉函數(shù)φ(n)的定義可知，上式給出小于n的正整數(shù)i的數(shù)目，且i和n的最大公因子等于1，即i和n互為素數(shù)。

例：設(shè)p＝3，q＝5，則n＝15，

(n)=(3-1)(5-1)=8。它表示小于15且和15互素的正整數(shù)i共有8個；它們是：1，2，4，7，8，11，13，14。28令e是一個小于φ(n)的正整數(shù)，它使e和φ(n)的最大公因子等于1。這樣，求出一個小于φ(n)的正整數(shù)d，它使

de＝1modφ(n)RSA的單向函數(shù)由計算下式中的離散指數(shù)定義：

fz(