《信息安全機(jī)制》課件

1、信息安全機(jī)制,第2章 信息安全機(jī)制,信息安全機(jī)制,本章學(xué)習(xí)目標(biāo),通過本章學(xué)習(xí)，讀者應(yīng)該掌握以下內(nèi)容： 對稱加密機(jī)制及典型算法 非對稱加密機(jī)制及算法 數(shù)字簽名的原理 數(shù)據(jù)完整性驗(yàn)證的原理及典型算法,信息安全機(jī)制,2.1 加密機(jī)制 2.1.1 密碼學(xué)基礎(chǔ)知識 一個密碼體制被定義為一對數(shù)據(jù)變換，其中一個變換應(yīng)用于我們稱之為明文的數(shù)據(jù)項(xiàng)，變換后產(chǎn)生的相應(yīng)數(shù)據(jù)項(xiàng)稱為密文；而另一個變換應(yīng)用于密文，變換后的結(jié)果為明文。這兩個變換分別稱為加密變換（Encryption）和解密變換（Decryption）。加密變換將明文和一個稱為加密密鑰的獨(dú)立數(shù)據(jù)值作為輸入，輸出密文；解密變換將密文和一個稱為解密密鑰的數(shù)據(jù)值作

2、為輸入,信息安全機(jī)制,加密和解密,加密 解密 M：明文 C：密文 KE：加密密鑰 KD：解密密鑰,信息安全機(jī)制,2.1.2 對稱加密算法 加密：Ek(M)=C 解密：Dk(C)=M 序列密碼算法（stream cipher） 分組密碼算法(block cipher) 加密過程主要是重復(fù)使用混亂和擴(kuò)散兩種技術(shù)，混亂（confusion）是改變信息塊使輸出位和輸入位無明顯的統(tǒng)計(jì)關(guān)系。擴(kuò)散（diffusion）是將明文位和密鑰的效應(yīng)傳播到密文的其它位。 對稱密碼算法有很多種 ：DES、triple DES、IDEA、RC2、RC4、RC5、RC6、GOST、FEAL、LOKI,信息安全機(jī)制,2.1.

3、3 DES算法,首先把明文分成若干個64-bit的分組，算法以一個分組作為輸入，通過一個初始置換（IP）將明文分組分成左半部分（L0）和右半部分（R0），各為32-bit。然后進(jìn)行16輪完全相同的運(yùn)算，這些運(yùn)算我們稱為函數(shù)f，在運(yùn)算過程中數(shù)據(jù)與密鑰相結(jié)合。經(jīng)過16輪運(yùn)算后，左、右兩部分合在一起經(jīng)過一個末轉(zhuǎn)換（初始轉(zhuǎn)換的逆置換IP-1），輸出一個64-bit的密文分組,1、算法描述,信息安全機(jī)制,密鑰位移位，從密鑰的56位中選出48位。通過一個擴(kuò)展置換將數(shù)據(jù)的左半部分?jǐn)U展成48位，并通過一個異或操作與48位密鑰結(jié)合，通過8個S盒（substitution box）將這48位替代成新的32位，再依

4、照P-盒置換一次。以上四步構(gòu)成復(fù)雜函數(shù)f（圖中虛線框里的部分）。然后通過另一個異或運(yùn)算，將復(fù)雜函數(shù)f的輸出與左半部分結(jié)合成為新的右半部分,每一輪的運(yùn)算過程,信息安全機(jī)制,密鑰通常表示為64-bit，但每個第8位用作奇偶校驗(yàn)，實(shí)際的密鑰長度為56-bit。在DES的每一輪運(yùn)算中，從56-bit密鑰產(chǎn)生出不同的48-bit的子密鑰（K1,K2K16）。首先，56-bit密鑰分成兩部分（以C、D分別表示這兩部分），每部分28位，然后每部分分別循環(huán)左移1位或2位（從第1輪到第16輪，相應(yīng)左移位數(shù)分別為：1、1、2、2、2、2、2、2、1、2、2、2、2、2、2、1）。再將生成的56-bit組經(jīng)過一個壓

5、縮轉(zhuǎn)換（compression permutation），舍掉其中的某8個位并按一定方式改變位的位置，生成一個48-bit的子密鑰Ki,每一輪中的子密鑰的生成,信息安全機(jī)制,48-bit組被分成8個6-bit組，每一個6-bit組作為一個S盒的輸入，輸出為一個4-bit組。每個S-盒是一個4行16列的表，表中的每一項(xiàng)都是一個4-bit的數(shù)。S盒的6-bit的輸入確定其輸出為表中的哪一個項(xiàng)，其方式是：6-bit數(shù)的首、末兩位數(shù)決定輸出項(xiàng)所在的行；中間的四位決定輸出項(xiàng)所在的列。例如：第6個S盒如表2-1所示，假設(shè)第6個S-盒的輸入為110101，則輸出為第3行第10列的項(xiàng)（行或列的記數(shù)從0開始），

6、即輸出為4-bit組0001,S-盒置換,信息安全機(jī)制,三重DES 如上所言，DES一個致命的缺陷就是密鑰長度短，并且對于當(dāng)前的計(jì)算能力，56位的密鑰長度已經(jīng)抗不住窮舉攻擊，而DES又不支持變長密鑰。但算法可以一次使用多個密鑰，從而等同于更長的密鑰。三重DES算法表示為： C=EK3（DK2（EK1（M） 通常取K3=K1，則上式變?yōu)椋?C=EK1（DK2（EK1（M,信息安全機(jī)制,2.1.4 RC5算法 RC5是Ron Revist發(fā)明的。RSA實(shí)驗(yàn)室對64bit分組的RC5算法進(jìn)行了很長時(shí)間的分析，結(jié)果表明對5輪的RC5，差分攻擊需要264個明文；對10輪需要245個明文；對15輪需要26

7、8個明文，而這里最多只可能有264個明文，所以對15輪以上的RC5的攻擊是失敗的。Rivest推薦至少使用12輪。 RC5是具有參數(shù)變量的分組密碼算法，其中可變的參量為：分組的大小、密鑰的大小和加密的輪次。該算法主要使用了三種運(yùn)算：異或、加、循環(huán),信息安全機(jī)制,RC5的分組長度是可變的，下面我們將采用64bit的分組來描述算法。加密需要使用2r+2（其中r表示加密的輪次）個與密鑰相關(guān)的32bit字，分別表示為S0、S1、S2S2r+1。創(chuàng)建這個與密鑰相關(guān)的數(shù)組的運(yùn)算如下：首先將密鑰的字節(jié)拷貝到32bit字的數(shù)組L，如果需要，最后一個字可以用零填充。然后利用線性同余發(fā)生器初始化數(shù)組S,信息安全機(jī)

8、制,S0=P Si=(Si-1+Q) mod 232 (其中 i=1 to 2(r+1)-1，P=0 xb7e15163,Q=0 x9e3779b9) 最后將L與S混合： 初始化： i=j=0 A=B=0 然后做3n次循環(huán)：(其中c為密鑰所占32bit字?jǐn)?shù)目，亦即數(shù)組L的長度，n為2(r+1)和c中的最大值)。 A=Si=(Si+A+B)3 B=Lj=(Lj+A+B)(A+B) i=(i+1) mod 2(r+1) j=(j+1) mod c,信息安全機(jī)制,加密過程： 首先將明文分組（64bit）分成兩個32位字A和B（假設(shè)字節(jié)進(jìn)入字的順序?yàn)榈谝粋€字節(jié)進(jìn)行寄存器的低位置），然后進(jìn)行如下的運(yùn)算：

9、 A=A+S0 B=B+S1 for(i=1;i=r;i+) A=(AB)B)+S2i; B=(BA)A)+S2i+1; 輸出的A、B為密文,信息安全機(jī)制,解密時(shí)，把密文分成A和B，然后進(jìn)行如下運(yùn)算： for(i=r;r=1;r-) B=(B-S2i+1)A) A; A=(A-S2i)B) B; B=B-S1 A=A-S0 此時(shí)輸出的A、B為解密后得到的明文,信息安全機(jī)制,2.1.5 非對稱加密體制,公開密鑰體制把信息的加密密鑰和解密密鑰分離，通信的每一方都擁有這樣的一對密鑰。其中加密密鑰可以像電話號碼一樣對外公開，由發(fā)送方用來加密要發(fā)送的原始數(shù)據(jù)；解密密鑰則由接收方秘密保存，作為解密時(shí)的私用

10、密鑰。公開密鑰加密算法的核心是一種特殊的數(shù)學(xué)函數(shù)單向陷門函數(shù)（trap-door one way function）。即該函數(shù)從一個方向求值是容易的，但其逆變換卻是極其困難的，因此利用公開的加密密鑰只能作正向變換，而逆變換只有依賴于私用的解密密鑰這一“陷門”才能實(shí)現(xiàn),信息安全機(jī)制,公開密鑰體制最大的優(yōu)點(diǎn)就是不需要對密鑰通信進(jìn)行保密，所需傳輸?shù)闹挥泄_密鑰。這種密鑰體制還可以用于數(shù)字簽名，即信息的接收者能夠驗(yàn)證發(fā)送者的身份，而發(fā)送者在發(fā)送已簽名的信息后不能否認(rèn)。公開密鑰體制的缺陷在于其加密和解密的運(yùn)算時(shí)間比較長，這在一定程度上限制了它的應(yīng)用范圍。公開密鑰體制在理論上被認(rèn)為是一種比較理想的的計(jì)算密

11、碼的方法，但現(xiàn)在真正實(shí)用的公開密鑰算法還不是很多，目前公認(rèn)比較安全的要算RSA算法及其變種Rabin算法。算法表示為： Ek1(M)=C Dk2(C)=M Dk2(Ek1(M)=M (其中k1和k2為一對密鑰中的私有密鑰和公開密鑰,信息安全機(jī)制,2.1.6 RSA算法,RSA算法的思路如下：為了產(chǎn)生兩個密鑰，先取兩個大素?cái)?shù)，p和q。為了獲得最大程度的安全性，兩數(shù)的長度一樣。計(jì)算乘積 n=p*q，然后隨機(jī)選取加密密鑰e，使e和(p-1)*(q-1)互素。最后用歐幾里得（Euclidean）擴(kuò)展算法計(jì)算解密密鑰d，d滿足ed1 mod (p-1)(q-1)，即de-1 mod (p-1)(q-1)

12、。則e和n為公開密鑰，d是私人密鑰。兩個大數(shù)p和q 應(yīng)該立即丟棄，不讓任何人知道。一般選擇公開密鑰e比私人密鑰 d小。最常選用的e值有三個3，17，65537,信息安全機(jī)制,加密消息時(shí)，首先將消息分成比n小的數(shù)據(jù)分組（采用二進(jìn)制數(shù)，選到小于n的2的最大次冪），設(shè)mi表示消息分組，ci表示加密后的密文，它與mi具有相同的長度。 加密過程：ci=mie(mod n) 解密過程：mi=cid(mod n,信息安全機(jī)制,2.1.7 密鑰與密碼破譯方法,1、密鑰的窮盡搜索 破譯密文最簡單的方法，就是嘗試所有可能的鑰匙組合。 2、密碼分析 在不知道鑰匙的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密鑰匙的方法，稱

13、為密碼分析。密碼分析有兩個基本目標(biāo)：利用密文發(fā)現(xiàn)明文，利用密文發(fā)現(xiàn)鑰匙。 3、其它密碼破譯方法,信息安全機(jī)制,2.2 數(shù)據(jù)完整性機(jī)制 密碼學(xué)除了為數(shù)據(jù)提供保密方法以外，還可以用于其他的作用： 鑒別（authentication）：消息的接收者可以確定消息的來源，攻擊者不可能偽裝成他人。 抗抵賴（nonrepudiation）：發(fā)送者事后不能否認(rèn)自己已發(fā)送的消息。 完整性（integrity）：消息的接收者能夠驗(yàn)證消息在傳送過程中是否被修改；攻擊者不可能用假消息來代替合法的消息,信息安全機(jī)制,2.2.1 數(shù)據(jù)完整性驗(yàn)證,消息的發(fā)送者用要發(fā)送的消息和一定的算法生成一個附件，并將附件與消息一起發(fā)送出

14、去；消息的接收者收到消息和附件后，用同樣的算法與接收到的消息生成一個新的附件；把新的附件與接收到的附件相比較，如果相同，則說明收到的消息是正確的，否則說明消息在傳送中出現(xiàn)了錯誤,信息安全機(jī)制,2.2.2 單向散列函數(shù) 單向散列函數(shù)（one-way hash function），也叫壓縮函數(shù)、收縮函數(shù)，它是現(xiàn)代密碼學(xué)的中心，是許多協(xié)議的另一個結(jié)構(gòu)模塊。散列函數(shù)長期以來一直在計(jì)算機(jī)科學(xué)中使用，散列函數(shù)是把可變長度的輸入串（叫做預(yù)映射，pre-image）轉(zhuǎn)換成固定長度的輸出串（叫做散列值）的一種函數(shù)。 利用單向散列函數(shù)生成消息的指紋可以分成兩種情況。一種是不帶密鑰的單向散列函數(shù)，這種情況下，任何人

15、都能驗(yàn)證消息的散列值；另一種是帶密鑰的散列函數(shù)，散列值是預(yù)映射和密鑰的函數(shù)，這樣只有擁有密鑰的人才能驗(yàn)證散列值。單向散列函數(shù)的算法實(shí)現(xiàn)有很多種，如Snefru算法、N-Hash算法、MD2算法、MD4算法、MD5算法，SHA-1算法等等,信息安全機(jī)制,MD5算法描述 MD5以512bit的分組來處理輸入文本，每一分組又劃分為16個32bit的子分組。算法的輸出由4個32bit分組組成，將它們級聯(lián)形成一個128bit的散列值。首先填充消息使用其長度恰好為一個比512的倍數(shù)僅小64bit的數(shù)。填充方法是在消息后面附一個1，然后填充上所需要的位數(shù)的0，然后在最后的64位上附上填充前消息的長度值。這樣

16、填充后，可使消息的長度恰好為512的整數(shù)倍，且保證不同消息在填充后不相同,2.2.3 消息摘要算法MD5,信息安全機(jī)制,2.3 數(shù)字簽名機(jī)制,數(shù)字簽名機(jī)制需要實(shí)現(xiàn)以下幾個目的： l 可信：消息的接收者通過簽名可以確信消息確實(shí)來自于聲明的發(fā)送者。 l 不可偽造：簽名應(yīng)是獨(dú)一無二的，其它人無法假冒和偽造。 l 不可重用：簽名是消息的一部分，不能被挪用到其它的文件上。 l 不可抵賴：簽名者事后不能否認(rèn)自己簽過的文件,信息安全機(jī)制,2.3.1 數(shù)字簽名的基本原理 數(shù)字簽名實(shí)際上是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換能使數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)的完整性，并保護(hù)數(shù)據(jù)，防止被人（如接收者）偽造。 簽名機(jī)制的本質(zhì)特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，也就是說，一個簽名者的簽名只能唯一地由他自己產(chǎn)生。當(dāng)收發(fā)雙方發(fā)生爭議時(shí)，第三方（仲裁機(jī)構(gòu)）就能夠根據(jù)消息上的數(shù)字簽名來裁定這條消息是否確實(shí)由發(fā)送方發(fā)出，從而實(shí)現(xiàn)抗抵賴服務(wù)。另外，數(shù)字簽名應(yīng)是所發(fā)送數(shù)據(jù)的函