1、第4章 網(wǎng)絡(luò)安全的密碼學(xué)基礎(chǔ)(jch)密碼學(xué)概述密碼系統(tǒng)設(shè)計(jì)與分析對稱密碼體制 公鑰密碼體制Hash函數(shù)數(shù)字簽名密碼學(xué)與安全協(xié)議(xiy)密碼學(xué)在網(wǎng)絡(luò)安全中的應(yīng)用清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁4.1密碼學(xué)概述 網(wǎng)絡(luò)(wnglu)安全是一門涉及計(jì)算機(jī)、網(wǎng)絡(luò)(wnglu)、通信、信息安全、數(shù)學(xué)等多學(xué)科的綜合性交叉學(xué)科。密碼技術(shù)是網(wǎng)絡(luò)(wnglu)安全的核心技術(shù)之一，通過密碼技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)(wnglu)信息的保密性、完整性、認(rèn)證性及追蹤性等 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.1.1 密碼學(xué)起源(qyun)及發(fā)展階段密碼學(xué)的起源要追溯到幾千年前，當(dāng)時用于軍

2、事和外交通信。 第一個階段是從古代到1949年，可稱為古典密碼學(xué)階段。這個階段是密碼學(xué)誕生的前夜時期。這一時期的密碼技術(shù)可以說是一種(y zhn)藝術(shù)。這個時期的密碼專家常常憑直覺、猜測和信念來進(jìn)行密碼設(shè)計(jì)和分析，而不是憑推理和證明。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁第二個階段是從1949年到1975年。這個階段密碼學(xué)是一種科學(xué)。1949年，香農(nóng)（Shannon）在貝爾系統(tǒng)技術(shù)雜志上發(fā)表的論文“保密系統(tǒng)的通信理論”，為私鑰密碼系統(tǒng)奠定了理論基礎(chǔ)，從此(cngc)密碼學(xué)成為一門科學(xué)。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁第三個階段是從1976年至今。1976年，

3、Diffie和Hellman 發(fā)表的“密碼學(xué)的新方向”一文建立了公鑰密碼系統(tǒng)，導(dǎo)致了密碼學(xué)上的一次革命。他們(t men)首次證明了在發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ攀强赡艿摹＿@個階段出現(xiàn)了一些重大成果，如1977年Rivest，Shamir和Adleman提出了RSA公鑰密碼算法 .清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.1.2 密碼學(xué)的基本概念1.密碼學(xué)簡介密碼學(xué)(cryptology)是研究信息系統(tǒng)安全保密的科學(xué)。密碼學(xué)主要包括兩個分支：密碼編碼學(xué)(cryptography)和密碼分析學(xué)(cryptanalysis)。編碼的目的是設(shè)計(jì)各種密碼體制用以保障各種安全，

4、而密碼分析學(xué)主要是從攻擊者的角度來說，分析的目的則是試圖攻破各種密碼體制、研究加密(ji m)信息的破譯或信息的偽造。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁2.密碼系統(tǒng)的模型及特性一個密碼系統(tǒng)可以用五元組（P，C，K，E，D）表示，這里P是明文消息(xio xi)空間，C是密文消息空間，K是密鑰消息空間，E是加密算法，D是解密算法，并且E是P與K 到C的一個映射：P K C；D是C與K到 P的一個映射：C K P。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁 密碼系統(tǒng)(xtng)模型明文空間Pm接收者m非法接入者搭線信道（主動攻擊）c Cjd密碼分析員m

5、加密密鑰源K1k1解密密鑰源K2k2密鑰信道c加密器c = (m)解密器m =(c)清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁為保護(hù)信息的機(jī)密性，密碼系統(tǒng)應(yīng)當(dāng)滿足如下條件：(1) 系統(tǒng)即使達(dá)不到理論上是不可破的，即密碼分析者得出正確的明文或密鑰的概率是0，也應(yīng)當(dāng)為實(shí)際上不可破的。就是說，從截獲的密文或某些(mu xi)已知明文-密文對，要決定密鑰或任意明文在計(jì)算上是不可行的。(2) 系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰。這是著名的Kerckhoff原則。(3) 加密和解密算法適用于所有密鑰空間中的元素。(4) 系統(tǒng)便于實(shí)現(xiàn)和使用。 清華大學(xué)出版社 北京交通

6、(jiotng)大學(xué)出版社共七十七頁3.密碼體制(tzh)的分類 按密鑰使用的特點(diǎn)，密碼體制可以分為對稱密碼體制（symmetric cryptosystem）和非對稱密碼體制（asymmetric cryptosystem）。 對稱密碼體制可按加密方式分為序列密碼（stream cipher）和分組密碼（block cipher）。序列密碼又稱為流密碼，就是將明文信息一次加密一個比特(b t)或多個比特(b t)形成密碼字符串。分組密碼是一次對明文組進(jìn)行加密。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁4.2密碼系統(tǒng)的設(shè)計(jì)(shj)與分析4.2.1密碼系統(tǒng)的設(shè)計(jì)原則1.基本原則密碼系統(tǒng)的設(shè)

7、計(jì)必須遵循一些基本原則:(1) 簡單實(shí)用原則: 在已知密鑰的情況下，容易通過加密算法和解密(ji m)算法計(jì)算密文和明文；但是在未知密鑰的情況下，無法從加密算法或者解密(ji m)算法推導(dǎo)出明文或者密文。 (2) 抗攻擊性原則: 在現(xiàn)有的計(jì)算環(huán)境下，能夠抵抗各種密碼分析，例如：已知密文，如果不知道密鑰，則無法從其中推出密鑰和明文。 (3) 算法公開化原則：一個設(shè)計(jì)良好的密碼體制，它的加密算法和解密算法均可公開，不可公開的是私有密鑰。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁2. Shannon的觀點(diǎn)關(guān)于密碼設(shè)計(jì)，Shannon在一篇論文里面提出了一些基本觀點(diǎn)：(1) 組合密碼系統(tǒng)的觀點(diǎn)。為

8、了易于實(shí)現(xiàn)，實(shí)際應(yīng)用中常常將較簡單且容易實(shí)現(xiàn)的密碼系統(tǒng)進(jìn)行組合，形成較復(fù)雜、密鑰量較大的密碼系統(tǒng)。Shannon 提出了兩種可能的組合方法。第一種是概率加權(quán)和方法，即以一定的概率隨機(jī)地從多個子密碼系統(tǒng)中選擇一個用于加密當(dāng)前的明文。第二種是乘積方法。(2) 挫敗統(tǒng)計(jì)分析的觀點(diǎn)。用統(tǒng)計(jì)分析可以破譯多種密碼系統(tǒng)。為挫敗統(tǒng)計(jì)分析，Shannon 提出了兩種方法。第一種是在加密之前(zhqin)將語言的一些多余度去掉。例如，在計(jì)算機(jī)系統(tǒng)中，在加密之前(zhqin)，可以采利用Huffman 編碼除去多余度來壓縮一個文件。第二種是利用擴(kuò)散（diffusion）和混淆（confusion）這兩種技術(shù)來擴(kuò)散或

9、混淆多余度。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.2.2密碼(m m)分析的概念與方法1.密碼分析(fnx)的基本概念密碼分析是在不知道密鑰的情況下恢復(fù)出明文或密鑰。密碼分析也可以發(fā)現(xiàn)密碼體制的弱點(diǎn)，最終得到密鑰或明文。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁2.密碼分析與攻擊類型根據(jù)密碼分析者破譯(p y)時具有的條件，通常攻擊類型可分為如下四種：唯密文攻擊（ciphertext-only attack）、已知明文攻擊（known plaintext attack）、選擇明文攻擊（chosen plaintext attack）和選擇密文攻擊（chosen

10、ciphertext attack）。 以上四種攻擊類型中，唯密文攻擊最弱，選擇密文攻擊最強(qiáng)，攻擊強(qiáng)度按順序遞增。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁3.攻擊密碼系統(tǒng)的方法(fngf)攻擊密碼系統(tǒng)的方法有窮舉破譯法（exhaustive attack method）和分析法。 分析法可分為確定性分析法和統(tǒng)計(jì)分析法這兩類。確定性分析法是利用一個或幾個已知量(如，已知密文或明文-密文對)用數(shù)學(xué)關(guān)系式表示出所求未知量(如密鑰等)。統(tǒng)計(jì)分析法是利用明文的已知統(tǒng)計(jì)規(guī)律進(jìn)行破譯。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁已有的密碼分析技術(shù)有很多，如代數(shù)攻擊，差

11、分攻擊，線性攻擊，相關(guān)攻擊等。如何對差分密碼分析和線性密碼分析進(jìn)行改進(jìn)，降低它們的復(fù)雜度仍是現(xiàn)在(xinzi)理論研究的熱點(diǎn) 。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.密碼(m m)系統(tǒng)的安全性判斷衡量一個密碼系統(tǒng)的安全性通常有兩種方法：無條件安全性和實(shí)際(shj)安全性。無條件安全性也稱為理論安全性。如果密碼分析者具有無限計(jì)算資源（如時間、設(shè)備、資金等）也無法破譯密碼，那么這個密碼體制是無條件安全的。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁實(shí)際安全性分為計(jì)算安全性和可證明安全性。如果在原理上可破譯一個(y )密碼系統(tǒng)，但用所有可用資源也不可能完成所要求的計(jì)算量，

12、就稱該密碼系統(tǒng)是計(jì)算安全的。如果能證明破譯密碼體制的困難性等價于解某已知數(shù)學(xué)難題，就稱該密碼體制是可證明安全的。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.3對稱(duchn)密碼體制4.3.1對稱密碼體制的基本概念對稱密碼體制又稱私鑰或單鑰或傳統(tǒng)密碼體制。該體制中，通常加密(ji m)密鑰和解密密鑰一樣，目前仍然是使用最為廣泛的加密(ji m)類型。自1997年美國頒布數(shù)據(jù)加密(ji m)標(biāo)準(zhǔn)（DES）密碼算法作為美國數(shù)據(jù)加密(ji m)標(biāo)準(zhǔn)以來，對稱密碼體制得到了迅速發(fā)展，在世界各國得到了廣泛應(yīng)用。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁加密器EK解密器DK密文

13、明文明文K密鑰產(chǎn)生器K秘密通道 私鑰密碼(m m)體制模型 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁私鑰秘密體制的安全使用需要滿足以下兩個要求：1)加密算法必須是足夠強(qiáng)的。即使敵手擁有一定數(shù)量的密文和產(chǎn)生每個密文的明文，也不能破譯密文或發(fā)現(xiàn)密鑰。2)發(fā)送者和接收者必須在某種安全形式下獲得密鑰并且必須保證密鑰安全。如果有人發(fā)現(xiàn)該密鑰，而且知道相應(yīng)(xingyng)算法，那么就能解讀使用該密鑰加密的任何通信。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.3.2對稱密碼體制的分類按加密方式對稱密碼體制可以(ky)分為序列密碼和分組密碼，序列密碼也稱為流密碼。清華大

14、學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁1.序列密碼的基本原理與設(shè)計(jì)分析序列密碼一次加密一個明文符號，運(yùn)算速度快，加密、解密易實(shí)現(xiàn)，所以序列密碼在許多領(lǐng)域有著廣泛的應(yīng)用，如序列密碼RC4 用于許多網(wǎng)絡(luò)和安全(nqun)協(xié)議中，A5 用于全球移動通信系統(tǒng)GSM (the Global System for Mobile Communications)， 用于藍(lán)牙（Bluetooth）技術(shù)，序列密碼主要應(yīng)用于政府、軍隊(duì)等。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁序列密碼模型(mxng) 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁2.分組密碼的基本原理

15、與設(shè)計(jì)分析分組密碼是將明文消息編碼表示后的數(shù)字序列, 劃分成長為m的組x = (,)，各組分別在密鑰k = (,) 控制的加密(ji m)算法加密(ji m)下變換成長為n 的密文c = (,)。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁分組密碼(m m)模型 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.3.3 DES密碼(m m)算法分析1.DES密碼算法簡介1972年，美國標(biāo)準(zhǔn)局NBS（現(xiàn)在的NIST）公開征求用于計(jì)算機(jī)通信數(shù)據(jù)保密的方案。隨后(suhu)IBM公司的W.Tuchman和C.Meyers等研究人員提交了一個數(shù)據(jù)加密算法Lucifer，

16、該算法被美國標(biāo)準(zhǔn)局采用，在經(jīng)過一系列研究討論和簡單修改后于1977年正式批準(zhǔn)為數(shù)據(jù)加密標(biāo)準(zhǔn)DES。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁2.DES算法的加密過程在DES中采用了多輪循環(huán)加密來擴(kuò)散和混淆明文。DES將明文消息按64比特分組，密鑰長度也是64比特，但是實(shí)際使用時密鑰長度是56比特，另外8比特用作奇偶校驗(yàn)位（即每個字節(jié)(z ji)的最后一位用作奇偶校驗(yàn),使得每一個字節(jié)(z ji)含有奇數(shù)個1，因此可以檢錯）。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁DES算法加密過程(guchng)如下： 輸入64比特的明文，首先經(jīng)過初始矩陣IP置換； 在56比特的輸入密

17、鑰控制下，進(jìn)行16輪相同的迭代加密處理過程，即在16個48比特子密鑰控制下進(jìn)行16輪乘積變換； 最后通過簡單的換位和逆初始置換，得到64比特的輸出密文。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁 DES加密算法框圖(kungt) 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.DES加密(ji m)的子密鑰生成過程 DES 子密鑰的生成(shn chn) 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁5. DES的運(yùn)行(ynxng)模式為了能在各種應(yīng)用 場合使用(shyng) DES， 美國 在 FIPS PUS 74 和 81 中定義了 DES 的 4 種運(yùn)行模

18、式 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.4公鑰密碼(m m)體制4.4.1公鑰密碼體制的基本概念1.公鑰密碼體制簡介公鑰密碼體制，又稱為雙鑰或非對稱密碼體制。密碼系統(tǒng)有兩個密鑰，即加密密鑰和解密密鑰不同。 這兩個密鑰一個是公開的，一個是秘密的，分別稱為公開密鑰（公鑰）和私有密鑰（私鑰），公開密鑰是對外公開的，即所有人都可知，私有密鑰是只有特定(tdng)的用戶才能擁有，這是公鑰密碼體制與對稱密碼體制最大的不同。公鑰密碼學(xué)的產(chǎn)生是為了解決對稱密碼體制中最困難的兩個問題：密鑰分配問題和數(shù)字簽名問題。 清華大學(xué)出版社 北京交通大學(xué)

19、出版社共七十七頁公鑰密碼算法的基本要求公鑰密碼算法應(yīng)滿足以下要求： 接收方 B 產(chǎn)生(chnshng)密鑰對（公開鑰 PKB 和秘密鑰 SKB） 在計(jì)算上是容易的。 發(fā)方 A 用收方的公開鑰對消息 m 加密以產(chǎn)生密文 c， 即c = EPKBm在計(jì)算上是容易的。 收方 B 用自己的秘密鑰對 c 解密， 即m = DSKBc在計(jì)算上是容易的。 敵手由 B 的公開鑰 PKB 求秘密鑰 SKB 在計(jì)算上是不可行的。 敵手由密文 c 和 B 的公開鑰 PKB 恢復(fù)明文 m 在計(jì)算上是不可行的。 加、解密次序可換， 即EPKBDSKB（m） = DSKBEPKB（m）。 清華大學(xué)出版社 北京交通(jio

20、tng)大學(xué)出版社共七十七頁單向陷門函數(shù)的性質(zhì)(xngzh)單向函數(shù)是滿足下列性質(zhì)的函數(shù)：函數(shù)是一一映射，即每個函數(shù)值都存在唯一的逆；并且計(jì)算函數(shù)值很容易，但求逆不可行。即y = f(x) 容易計(jì)算，但x =(y) 不可行。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁公鑰密碼體制(tzh)加密和認(rèn)證模型公鑰密碼體制有加密模型和認(rèn)證模型。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.4.2公鑰密碼體制(tzh)的特點(diǎn)及應(yīng)用公鑰密碼體制(tzh)有如下一些特點(diǎn)：加密和解密能力分開。可以實(shí)現(xiàn)多個用戶加密的消息只能由一個用戶解讀（用于公共網(wǎng)絡(luò)中實(shí)現(xiàn)保密通信）。可實(shí)

21、現(xiàn)只能由一個用戶加密消息而使多個用戶可以解讀（可用于認(rèn)證系統(tǒng)中對消息進(jìn)行數(shù)字簽字）。無需事先分配密鑰。重要特點(diǎn)：僅根據(jù)密碼算法和加密密鑰來確定解密密鑰在計(jì)算上不可行。有些算法如RSA還具有特點(diǎn)：兩個密鑰中任何一個都可用來加密，另一個用來解密。清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.4.3 RSA密碼算法(sun f)分析1.RSA密碼算法簡介最早提出的滿足要求的公鑰密碼算法是RSA。1976年Deffie和Hellman提出公鑰密碼思想之后，1977年麻省理工學(xué)院的Ron Rivest、Adi Shamir和Len Adlema

22、n三位學(xué)者提出了RSA(Rivest-Shamir-Adleman)公鑰密碼算法，該算法于1978年首次(shu c)發(fā)表，從此至今，RSA算法是被使用最多的公鑰密碼算法。 清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁Rivest、Shamir 和 Adleman 研制的方案使用了指數(shù)表達(dá)式。RSA算法是一種(y zhn)分組密碼，明文M以分組為單位加密，其中每個分組是小于某個數(shù) n 的二進(jìn)制數(shù)值。也就是說，分組大小必須小于或等于 log2（n）。對于某個明文分組 M 和密文分組 C，明文和密文都是從0到n-1之間的整數(shù)。當(dāng)前，密鑰長度（指n的二進(jìn)制位數(shù)）在1024位到2048位之間是合適的。

23、RSA算法基于大整數(shù)質(zhì)因子分解非常困難這一數(shù)學(xué)難題，這里大整數(shù)通常有幾百位長。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁已知明文的某塊分組M，公鑰(e，n)，私鑰(d，n)，相應(yīng)密文分組為C，則RSA加密(ji m)算法的加密(ji m)過程如下：C = EPK (M) = mod n RSA算法加密和解密過程是等價的，解密過程如下：M = DSK (C) = mod n發(fā)送方和接收方都必須知道 n 的值。 發(fā)送方知道 e 的值， 而只有接收方知道 d 的值。 因此， 這是一種公開密鑰為 PK= e， n， 且私有密鑰為SK = d， n的公開密鑰加密算法。 清華大學(xué)出版社

24、北京交通(jiotng)大學(xué)出版社共七十七頁要使這個算法能夠(nnggu)滿足公開密鑰加密的要求， 必須符合如下條件：有可能找到 e、d、n 的值， 使得對所有 M n 有 Med= M mod n。對于所有 M n 的值， 要計(jì)算和相對來說是簡單的。在給定 e 和 n 時， 判斷出 d 是不可行的。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁3RSA算法(sun f)舉例清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4RSA算法的安全性分析RSA 的安全性是基于分解大整數(shù)的困難性假定， 之所以為假定是因?yàn)橹两襁€未能證明分解大整數(shù)就是 NP 問題(wnt)， 也許

25、有尚未發(fā)現(xiàn)的多項(xiàng)式時間分解算法。即給定大整數(shù)n，將n分解為兩個素?cái)?shù)因子p與q，在數(shù)學(xué)上至今沒有有效的方法予以解決。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.5 Hash函數(shù)4.5.1. Hash函數(shù)的基本概念Hash函數(shù)也稱為散列函數(shù)。Hash函數(shù)是一種將任意長度(chngd)的消息壓縮到某一固定長度(chngd)的消息摘要的函數(shù)。消息摘要也稱為報文摘要，它是由Hash函數(shù)來完成。設(shè)H是散列函數(shù)，m是消息，h是報文摘要，則h = H(m)。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁密碼學(xué)中的Hash函數(shù)H，應(yīng)具有如下性質(zhì)：(1) H函數(shù)的輸入為任意大

26、小的數(shù)據(jù)塊。(2) H產(chǎn)生固定長度的輸出。(3) 對任意給定x，計(jì)算H(x) 容易，用硬件和軟件都可以實(shí)現(xiàn)(shxin)。(4) 對任意給定的Hash值h，找到滿足H(x) = h的x是計(jì)算上不可行的，稱為單向性。(5) 已知 x， 找出 y（yx） 使得 H（y） = H（x） 在計(jì)算上是不可行的。如果單向雜湊函數(shù)滿足這一性質(zhì)， 則稱其為弱單向散列函數(shù)。(6) 找出任意兩個不同的輸入 x、y， 使得 H（y）= H（x） 在計(jì)算上是不可行的。如果單向雜湊函數(shù)滿足這一性質(zhì)， 則稱其為強(qiáng)單向散列函數(shù)。第(5)和第(6)個條件給出了散列函數(shù)無碰撞性的概念，如果散列函數(shù)對不同的輸入可產(chǎn)生相同的輸出，

27、 則稱該函數(shù)具有碰撞性。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.5.2 Hash函數(shù)的構(gòu)造方法構(gòu)造單向散列函數(shù)的方法有很多，目前主要有以下幾種：(1) 利用某些數(shù)學(xué)困難問題，如因子分解問題、離散對數(shù)問題等。(2) 利用一些私鑰密碼體制如DES等，這種散列函數(shù)的安全性與所使用的基礎(chǔ)密碼算法相關(guān)。(3) 直接構(gòu)造散列函數(shù)，這類算法不基于任何假設(shè)和密碼體制，如經(jīng)典的散列算法消息摘要(zhiyo)算法MD5和安全散列算法SHA-1等。清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.5.3散列函數(shù)的密碼分析如果有兩個不同的消息，它們的散列函數(shù)值相同，那么就稱這兩個消

28、息是碰撞消息或這兩個消息碰撞。通常假設(shè)敵手知道Hash算法。敵手的主要攻擊目標(biāo)是找到一對或更多對碰撞消息。目前已有一些攻擊Hash算法和計(jì)算碰撞消息的方法，其中有些方法是一般方法，可用于攻擊任何類型的Hash算法，如生日攻擊。還有些方法是特殊方法，只能用于攻擊某類特殊類型的Hash算法，如中間相遇攻擊適用于攻擊具有分組鏈結(jié)構(gòu)的Hash算法，修正分組攻擊適用于攻擊基于模算術(shù)的Hash算法。此外，差分攻擊也可以(ky)用于攻擊某些Hash算法。針對Hash算法的一些弱點(diǎn)也可對它進(jìn)行攻擊，如可利用Hash算法的代數(shù)結(jié)構(gòu)對其進(jìn)行攻擊。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.6

29、數(shù)字簽名4.6.1數(shù)字簽名的基本概念所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換(binhun)。這種數(shù)據(jù)或變換(binhun)允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人(例如接收者)進(jìn)行偽造。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁數(shù)字簽名必須具有以下(yxi)特征：數(shù)字簽名必須能驗(yàn)證簽名者、簽名日期和時間。數(shù)字簽名必須能認(rèn)證被簽的消息內(nèi)容。當(dāng)雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭執(zhí)(zhngzh)時，數(shù)字簽名應(yīng)能由第三方仲裁以解決爭執(zhí)(zhngzh)。根據(jù)這些特征，數(shù)字簽名應(yīng)滿足以下條件：簽名必須是與消息相關(guān)的二進(jìn)制位

30、串。簽名必須使用發(fā)送方某些獨(dú)有的信息，以防偽造和否認(rèn)。產(chǎn)生數(shù)字簽名比較容易。識別和驗(yàn)證數(shù)字簽名比較容易。偽造數(shù)字簽名在計(jì)算上是不可行的。無論是從給定的數(shù)字簽名偽造消息，還是從給定的消息偽造數(shù)字簽名在計(jì)算上都是不可行的。保存數(shù)字簽名的拷貝是可行的。清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁4.6.2常用的數(shù)字簽名算法簡介目前(mqin)大多數(shù)數(shù)字簽名都是基于公鑰密碼算法，如RSA數(shù)字簽名算法、美國的數(shù)字簽名標(biāo)準(zhǔn)DSS，也有少數(shù)基于對稱密碼體制，如Hash簽名方法。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.6.3數(shù)字簽名的系統(tǒng)描述數(shù)字簽名系統(tǒng)包括：簽名算法(sun f)（對

31、應(yīng)加密算法(sun f)）、驗(yàn)證算法(sun f)（對應(yīng)解密算法(sun f)）、簽名方（對應(yīng)發(fā)送方）、驗(yàn)證方（對應(yīng)接收方）和簽名關(guān)鍵值。數(shù)字簽名技術(shù)是密碼學(xué)的一種應(yīng)用。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.6.4數(shù)字簽名及驗(yàn)證過程基于公鑰密碼體制進(jìn)行數(shù)字簽名利用私鑰的唯一性。簽名方首先利用自己的私鑰SK對消息或消息摘要進(jìn)行加密，加密后得到的密文作為簽名，連同相應(yīng)的明文(mngwn)一起發(fā)送給接收方。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版

32、社共七十七頁4.6.5數(shù)字簽名的分類(fn li)目前對數(shù)字簽名的分類方法有以下幾種：(1)基于數(shù)學(xué)難題的分類整數(shù)的因子分解問題，如 算法(sun f)；離散對數(shù)問題，如、等算法；橢圓曲線離散對數(shù)問題，如算法。(2)基于簽名用戶的分類單用戶簽名；多用戶簽名，如群簽名、環(huán)簽名。(3)簽名人對消息是否可見普通簽名和盲簽名。清華大學(xué)出版社 北京交通大學(xué)出版社共七十七頁(4)基于簽名人是否受別人委托普通數(shù)字簽名；代理簽名方案。(5)根據(jù)簽名算法的進(jìn)行分類用非對稱加密算法進(jìn)行加密的數(shù)字簽名；任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。(6)依據(jù)數(shù)字簽名的執(zhí)行方式分?jǐn)?shù)字簽名的執(zhí)行方式有兩類： 直

33、接方式和具有仲裁的方式。(7) 基于數(shù)字簽名是否具有恢復(fù)特性(txng)的分類一類是具有消息自動恢復(fù)的特性；另一類是不具有消息自動恢復(fù)的特性。清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.6.6 RSA數(shù)字簽名算法RSA算法不僅可用于加密(ji m)，而且也可用于數(shù)字簽名。RSA簽名算法是當(dāng)前使用最普遍的簽名方案。使用RSA加密(ji m)算法時，發(fā)送方使用接收方的公鑰對消息加密(ji m)，接收方使用自己的私鑰對收到的密文解密。而使用RSA簽名算法時，發(fā)送方（簽名方）使用自己的私鑰對消息簽名，接收方（驗(yàn)證方）使用發(fā)送方的公鑰驗(yàn)證簽名。 清華大學(xué)出版社 北京交通(jiotng)

34、大學(xué)出版社共七十七頁4.7密鑰管理4.7.1密鑰管理的基本概念密碼系統(tǒng)的安全性依賴于密鑰。密鑰的安全管理是非常重要的，它是保障密碼系統(tǒng)安全的關(guān)鍵。現(xiàn)實(shí)世界中，密鑰管理是密碼學(xué)中最困難的部分。密鑰管理包括密鑰的產(chǎn)生、裝入、分配、存儲、備份、更新、銷毀、撤銷、保密(bo m)等方面。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁一個好的密鑰管理系統(tǒng)應(yīng)該做到： (1)密鑰難以被竊取； (2)在一定條件下密鑰被竊取也沒有用,密鑰有使用范圍和時間限制； (3)密鑰的分配和更換過程(guchng)對用戶透明,用戶不一定要親自管理密鑰清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁

35、4.7.2密鑰的使用階段一般地，一個密鑰主要經(jīng)歷密鑰產(chǎn)生(chnshng)、密鑰存儲、密鑰分配、密鑰啟用與停用、密鑰替換與更新、密鑰銷毀和密鑰撤銷幾個階段。清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.7.3密鑰有效期密鑰的使用不可無限期，任何密鑰都有有效期。密鑰的有效期指密鑰使用的生命期。對任何密碼應(yīng)用，必須有一個(y )策略能檢測密鑰的有效期。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.7.4密鑰托管密鑰托管也稱為托管加密，其目的是保證對個人沒有絕對的隱私和絕對不可(bk)跟蹤的匿名性，即在強(qiáng)加密中結(jié)合對突發(fā)事件的解密能力。 清華大學(xué)出版社 北京(bi

36、jn)交通大學(xué)出版社共七十七頁4.8密碼學(xué)與安全協(xié)議4.8.1安全協(xié)議的基本概念安全協(xié)議，有時也稱作密碼協(xié)議，是以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，其目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)。密碼學(xué)是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法。安全協(xié)議是網(wǎng)絡(luò)安全的一個重要組成部分(z chn b fn)，我們需要通過安全協(xié)議進(jìn)行實(shí)體之間的認(rèn)證、在實(shí)體之間安全地分配密鑰或其它各種秘密、確認(rèn)發(fā)送和接收的消息的非否認(rèn)性等。清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.8.2安全協(xié)議的安全性質(zhì)安全協(xié)議的安全性質(zhì)主要有如下一些：(1) 認(rèn)證性認(rèn)證是最重要的安全性質(zhì)之一，所有其它安全性質(zhì)的

37、實(shí)現(xiàn)都依賴于此性質(zhì)的實(shí)現(xiàn)。認(rèn)證是分布式系統(tǒng)中的主體進(jìn)行身份識別(shbi)的過程。主體與認(rèn)證服務(wù)器共享一個秘密，主體通過證明其擁有此秘密，即可讓認(rèn)證服務(wù)器識別(shbi)其身份。認(rèn)證可以用來確認(rèn)身份，對抗假冒攻擊的危險，并可用于獲得對人或事的信任。認(rèn)證系統(tǒng)一般使用一個加密密鑰作為秘密，而加密體制具有這種性質(zhì)。若主體沒有密鑰時，它將不能生成一個加密消息或解密經(jīng)此密鑰加密的消息。主體通過用密鑰加密來證明它擁有此密鑰。安全協(xié)議的認(rèn)證實(shí)現(xiàn)是基于密碼的。(2) 秘密性秘密性的目的是保護(hù)協(xié)議消息不被泄漏給未授權(quán)的人。保證秘密性最直接的方法是對消息加密，將消息從明文變成密文，沒有密鑰是無法解密消息的。清華大

38、學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁(3) 完整性完整性的目的是保護(hù)協(xié)議消息不被非法篡改、刪除或替換。最常用的方法是封裝和簽名，即用加密或Hash函數(shù)產(chǎn)生一個消息的摘要附在傳送消息后，作為驗(yàn)證消息完整性的憑證。(4) 不可否認(rèn)性不可否認(rèn)性是電子商務(wù)協(xié)議的一個重要(zhngyo)性質(zhì)。協(xié)議主體必須對其行為負(fù)責(zé)，不能也無法事后抵賴。不可否認(rèn)協(xié)議的目標(biāo)有兩個：確認(rèn)發(fā)送方非否認(rèn)和確認(rèn)接收方非否認(rèn)。主體提供的證據(jù)通常以簽名消息的形式出現(xiàn)，從而將消息與消息的發(fā)送者進(jìn)行了綁定。清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.8.3安全協(xié)議的缺陷分析 安全協(xié)議是許多分布式系統(tǒng)安全

39、的基礎(chǔ)，確保這些協(xié)議的安全運(yùn)行是極為重要的。 S.Gritzalis和D.Spinellis根據(jù)安全缺陷產(chǎn)生(chnshng)的原因和相應(yīng)的攻擊方法對安全缺陷進(jìn)行了分類： 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁（1）基本協(xié)議缺陷（2）口令/密鑰猜測缺陷（3）陳舊（stale）消息缺陷（4）并行會話缺陷（5）內(nèi)部協(xié)議缺陷（6）密碼(m m)系統(tǒng)缺陷清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.8.4安全(nqun)協(xié)議的分析 目前，對安全協(xié)議進(jìn)行分析的方法主要有兩大類：一類是攻擊檢驗(yàn)方法；一類是形式化的分析方法。 清華大學(xué)出版社 北京交通(jiotng)大學(xué)出版社共七十七頁4.9密碼學(xué)在網(wǎng)絡(luò)安全中的應(yīng)用目前，已經(jīng)提出了大量的實(shí)用網(wǎng)絡(luò)安全與管理安全協(xié)議，有代表的有：電子商務(wù)(din z shn w)協(xié)議，IPSec協(xié)議，TLS協(xié)議，簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議，S/MIME協(xié)議等。實(shí)用安全協(xié)議的安全性分析特別是電子商務(wù)(din z shn w)協(xié)議，IPSec協(xié)議，TLS協(xié)議是當(dāng)前協(xié)議研究中的另一個熱點(diǎn)。 清華大學(xué)出版社 北京(bi jn)交通大學(xué)出版社共七十七頁4.9.1 認(rèn)證的應(yīng)用密碼學(xué)不僅在保密方面有廣泛(gungfn)應(yīng)用，而且在認(rèn)證方面也有廣泛(gungfn)應(yīng)用。Kerberos是