第1章緒論1.1信息安全概述1.2信息安全模型1.3密碼學在信息安全中的作用1.4密碼學的基本知識1.5密碼體制的安全性

1.1信息安全概述

信息是信息化社會發展的重要戰略資源，也是衡量一個國家綜合國力的重要指標之一。信息的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。在信息時代，任何一個國家的政治、軍事和外交等都離不開信息，經濟建設、科學的發展和技術的進步也離不開信息。對信息的開發、控制和利用已成為國家間利益爭奪的重要內容。當前，隨著網絡信息技術的迅猛發展，信息的地位與作用仍然在急劇上升，信息安全問題因此而日益突出。未來的軍事斗爭將首先在信息領域展開，并全程貫穿著信息戰，信息安全將成為贏得戰爭勝利的重要保障。特別是在當前我國信息化建設已進入高速發展的階段，電子政務、電子商務、網絡金融、網絡媒體等的蓬勃發展，這些與國民經濟、社會穩定發展息息相關的領域急需信息安全保障。因此，加強信息安全技術的研究、提高信息安全的應用水平，在信息系統應用領域營造信息安全氛圍，既是時代發展的客觀要求，也是未來信息技術發展的迫切需要。

1．信息安全的基本概念

1）信息安全的定義

到目前為止，“安全”并沒有統一的定義，但其基本含義可以理解為：客觀上不存在威脅，主觀上不存在恐懼。“信息安全”同樣也沒有公認和統一的定義，但國內外對信息安全的論述大致可分為兩大類：一是指具體的信息系統的安全；而另一類則是指某一特定信息體系結構的安全，比如一個國家金融系統、軍事指揮系統。但一些專家認為這兩種定義均很片面，所涉及的內容過窄。我們認為，信息安全是指一個國家社會信息化狀態不受外來的威脅與侵害，一個國家的信息技術體系不受外來的威脅與侵害。這是因為“信息安全”應該首先是一個國家宏觀的社會信息化狀態是否處于自主控制之下，是否穩定問題；其次才是信息技術安全的問題。

2）信息安全的基本屬性

不管攻擊者采用什么樣的手段，他們都要通過攻擊信息的基本屬性來達到攻擊的目的。在技術層次上，信息安全應是保證在客觀上杜絕對信息的安全威脅，使得信息的擁有者在主觀上對其信息的本源性放心。信息安全根據其本質的界定，應具有以下所述基本屬性：

（1）保密性（Confidentiality）：指信息不泄漏給非授權的個人、實體和過程，或供其使用的特性。

（2）完整性（Integrity）：指信息未經授權不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。對網絡信息安全進行攻擊其最終目的就是破壞信息的完整性。（3）可用性（Avaliability）：指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到所需信息及相關資料。對可用性的攻擊就是阻斷信息的可用性，如破壞網絡和有關系統的正常運行就屬于這類攻擊。

（4）可控性（Controlability）：指授權機構對信息的內容及傳播具有控制能力的特性，可以控制授權范圍內的信息流向以及信息傳播方式。

（5）可審查性（Auditability）：指在信息交流過程結束后，通信雙方不能抵賴曾經做出的行為，也不能否認曾經接收到對方的信息。（6）可靠性（Reliability）：指信息以用戶認可的質量連續服務于用戶的特性（包括信息的準確、迅速和連續地傳輸、轉移等），但也有一些專家認為可靠性是人們對信息系統而不是對信息本身的要求。

信息安全其實質就是指采用一切可能的方法和手段，保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性，確保信息的上述“六性”的安全。

2．信息安全問題的根源

現在講信息安全問題，已經不再像以前那樣僅簡單地談計算機病毒，信息安全的防御也不再是僅安裝了病毒軟件和防火墻就能達到目的，這是因為信息系統所面臨的安全威脅正隨著信息技術的廣泛應用在不斷地增加。產生信息安全問題的根源可以從以下兩個方面來進行分析：一是我們使用的計算機所面臨的安全威脅；二是網絡系統所面臨的威脅。

1）計算機所面臨的主要安全威脅

隨著個人計算機的普及，個人計算機也已成為黑客攻擊的目標之一，就其安全威脅而言，主要涉及以下幾個方面。（1）計算機病毒：是當前最常見、最主要的威脅，幾乎每天都有計算機病毒產生。計算機病毒的主要危害體現在破壞計算機文件和數據，導致文件無法使用，系統無法啟動；消耗計算機CPU、內存和磁盤資源，導致一些正常服務無法進行，出現死機、占用大量的磁盤空間；有的還會破壞計算機硬件，導致計算機徹底癱瘓。

（2）木馬：是一種基于遠程控制的黑客工具，也稱為“后門程序”。木馬作為一種遠程控制的黑客工具，主要危害包括竊取用戶信息（比如計算機或網絡賬戶和密碼、網絡銀行賬戶和密碼、QQ賬戶和密碼、E－mail賬戶和密碼等），攜帶計算機病毒（造成計算機或網絡不能正常運行，甚至完全癱瘓），或被黑客控制，攻擊用戶計算機或網絡。（3）惡意軟件：是指一類特殊的程序，是介于計算機病毒與黑客軟件之間的軟件的統稱。它通常在用戶不知曉也未授權的情況下潛入系統，具有用戶不知道（一般也不許可）的特性，激活后將影響系統或應用的正常功能，甚至危害或破壞系統。其主要危害體現在非授權安裝（也被稱為“流氓軟件”）、自動撥號、自動彈出各種廣告界面、惡意共享和瀏覽器竊持等。當前，惡意軟件的出現、發展和變化給計算機及網絡系統帶來了巨大的危害。

2）網絡所面臨的主要安全威脅

相對于個人計算機而言，網絡所面臨的安全威脅除具有計算機所面臨的三種常見的威脅之外，主要是由于網絡的開放性、網絡自身固有的安全缺陷和網絡黑客的入侵與攻擊（人為的因素）等三個方面帶來的安全威脅。

（1）網絡的開放性：主要表現為由于網絡業務都是基于公開的協議、連接的建立是基于主機上彼此信任的原則和遠程訪問，因而使得各種攻擊無需到現場就能成功。正是由于網絡的開放性，使得在虛幻的計算機網絡中網絡犯罪往往十分隱蔽，雖然有時會留下一些蛛絲馬跡，但更多的時候是無跡可尋。（2）網絡自身固有的安全缺陷：這是網絡安全領域首要關注的問題，發現系統漏洞（安全缺陷）也是黑客進行入侵和攻擊的主要步驟。據調查，國內80%以上的網站存在明顯的漏洞。漏洞的存在給網絡上的不法分子的非法入侵提供了可乘之機，也給網絡安全帶來了巨大的風險。據美國CERT/CC統計，2006年總共收到系統漏洞報告8064個，平均每天超過22個（自1995年以來，漏洞報告總數已經達到30780個）。這些漏洞的存在對廣大互聯網用戶的系統造成了嚴重的威脅。當前，操作系統的漏洞是我們面臨的最大風險。比如，Windows操作系統是目前使用最為廣泛的系統，但經常發現存在漏洞。過去Windows操作系統的漏洞主要被黑客用來攻擊網站，對普通用戶沒有多大影響，但近年來一些新出現的網絡病毒利用Windows操作系統的漏洞進行攻擊，能夠自動運行、繁衍、無休止地掃描網絡和個人計算機，然后進行有目的的破壞。比如“紅色代碼”、“尼姆達”、“蠕蟲王”以及“沖擊波”等。隨著Windows操作系統越來越復雜和龐大，出現的漏洞也越來越多，利用Windows操作系統漏洞進行攻擊造成的危害越來越大，甚至有可能給整個互聯網帶來不可估量的損失。（3）人為因素的威脅：雖然人為因素和非人為因素都對計算機及網絡系統構成威脅，但精心設計的人為攻擊（因素）威脅更大。人為因素的威脅是指人為造成的威脅，包括偶發性和故意性威脅。具體來說主要包括網絡攻擊、蓄意入侵和計算機病毒等。一般來說，人為因素威脅可以分為人為失誤、惡意攻擊和管理不善。◆人為失誤：一是配置和使用中的失誤，比如系統操作人員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不恰當，用戶將自己的賬號隨意轉借給他人或信息共享等都會對網絡安全帶來威脅；二是管理中的失誤，比如用戶安全意識薄弱，對網絡安全不重視，安全措施不落實，導致安全事故發生。據調查表明，在發生安全事故的原因中，居前兩位的分別是“未修補軟件安全漏洞”和“登錄密碼過于簡單或未修改”，這表明了大多數用戶缺乏基本的安全防范意識和防范常識。◆惡意攻擊：是當前計算機及網絡系統面臨的最大威脅，主要分為兩大類：一是主動攻擊，它使用各種攻擊方式有選擇地破壞信息的完整性、有效性和可用性等；二是被動攻擊，它是在不影響計算機及網絡系統正常工作的情況下，進行信息的竊取、截獲、破譯等，以獲取重要的機密信息。這兩類攻擊均能對計算機及網絡系統造成極大的破壞，并導致機密信息泄露。◆管理不善：一般來說，網絡安全不能單靠網絡安全技術來滿足，還需要有完善的法律法規、管理制度才能達到期望的目標。目前，系統管理的不善也為一些不法分子造成可乘之機。據統計，80%以上的機密泄露都是由于系統內部人員管理不善造成的。同時，對網絡系統的嚴格管理也是避免網絡受到攻擊的重要措施。

3．信息安全服務與信息安全機制

1）安全服務

安全服務就是加強信息系統數據處理和信息傳輸安全性的一類服務，采用安全服務也能在一定程度上彌補和完善現有操作系統和信息系統的安全漏洞，其目的在于采用一種或多種安全機制阻止安全攻擊。在ISO7498[CD*2]2標準中定義了6類可選的安全服務：鑒別（Authentication）、數據機密性（DataConfidentiality）、數據完整性（DataIntegrity）、訪問控制（AccessControl）、可用性（Availability）、不可否認性（Nonrepudiation）服務。

2）安全機制

所謂安全機制就是實現安全服務的技術手段，也是保護信息系統免受攻擊及確保系統安全運行的重要手段。信息系統的安全是一個系統的概念，為了保障信息系統的安全可以采用多種安全機制。在ISO7498－2（我國稱為GB/T9387－2）標準中，將安全機制定義為特殊安全機制和通用安全機制兩大類。特殊安全機制包括加密（Encryption）、數字簽名（DigitalSignature）、訪問控制（AccessControl）、數據完整性（DataIntegrity）、鑒別（Authentication）、業務流量填充（TrafficPadding）、路由控制（RoutingControl）和公正機制（NotarizationMechanisms）；通用安全機制包括可信功能、安全標簽、事件檢測、安全審計跟蹤和安全恢復機制。在以上安全機制中，除了業務填充、路由控制和事件檢測之外，其余安全機制都與密碼算法有關，因此說密碼算法是信息安全的核心技術。通常，一種安全機制可以提供多種安全服務，而一種安全服務也可采用多種安全機制。

4．信息安全攻擊的主要形式

當前，對信息系統的攻擊是來自多方面的，這些攻擊可以宏觀地分為人為（或主觀因素）攻擊和自然災害（或客觀因素）攻擊。它們都會對信息安全構成威脅，但是精心設計的人為攻擊的威脅是最大的，也是最難防御的。這里主要介紹人為攻擊。

一般而言，人為攻擊都是通過尋找系統的弱點，以非授權的方式達到破壞、欺騙和竊取數據信息等目的的。當前，如果采用不同的分類標準（如攻擊手段、攻擊目標等），信息安全攻擊的形式可以有不同的分類結果。美國國家標準局在2000年9月發布的“信息保障技術框架（IATF）3.0”版本中將攻擊形式分為被動攻擊、主動攻擊、物理臨近攻擊、內部人員攻擊和軟硬件配裝攻擊等5類。（1）被動攻擊：指未經用戶同意和認可的情況下將信息或數據文件泄露給系統攻擊者，但不對數據信息進行任何修改。被動攻擊通常包括監聽未受保護的通信信息，進行流量分析；破解弱加密的數據流，獲得認證信息（如密碼等）。其中，流量分析的情況比較微妙。例如通過某種手段，如加密屏蔽了信息內容或其他通信量，使得攻擊者從截獲的信息中無法得到信息的真實內容，但攻擊者還能通過觀察這些數據包的格式或模式，分析通信雙方的位置、通信的次數及信息長度等，而這些信息可能對通信雙方來說是非常敏感的，不希望被攻擊者得知。這就是所謂的流量分析。被動攻擊常采用搭線監聽、無線截獲和其他方式的截獲（如通過木馬、病毒等程序）。被動攻擊一般不易被發現，是主動攻擊的前期階段。此外，由于被動攻擊不會對被攻擊對象做任何修改，留下的痕跡較少或根本沒有留下痕跡，因而非常難以檢測。抗擊被動攻擊的重點在于預防，具體措施包括使用VPN（虛擬專用網絡）、采用加密技術保護網絡及使用加密保護的分布式網絡等。（2）主動攻擊：主要涉及某些數據流的篡改或虛假數據流的產生。主動攻擊常分為假冒（或偽造）、重放、篡改信息和拒絕服務四類。

主動攻擊的特點與被動攻擊恰好相反。被動攻擊雖然難以檢測，但可以采用有效的防止策略，而要絕對防止主動攻擊是十分困難的，因為需要隨時隨地地對所有的通信設備和通信活動進行物理和邏輯保護。因而主動攻擊的主要途徑是檢測，以及能從此攻擊造成的破壞中及時地恢復，同時檢測還具有某種威懾效應，在一定程度上也能起到防止攻擊的作用。具體措施包括入侵檢測、安全審計和完整性恢復等。（3）物理臨近攻擊：指未授權人以更改、收集或拒絕訪問為目的而物理接近網絡系統或設備。這種接近可以是秘密進入或公開接近，或兩種方式同時使用。

（4）內部人員攻擊：可以是惡意的也可以是非惡意的。惡意攻擊是指內部人員有計劃地竊聽或損壞信息或拒絕其他授權用戶的訪問。據美國FBI的評估顯示，80%以上的攻擊和入侵都來自組織內部。由于內部人員知道系統的布局、有價值的數據存放在什么地方及何種防御工具在運行，因此這種攻擊手段難以防止。非惡意攻擊則通常是由于粗心、缺乏技術知識或為了“完成工作”等無意間繞過安全策略但對系統產生了破壞的行為造成的。（5）軟硬件配裝攻擊：指在軟硬件生產的工廠內或在產品分發過程中惡意修改硬件或軟件。這種攻擊可能給一個產品引入后門程序等惡意代碼，以便日后在未授權的情況下可以訪問所需的信息或系統。

當然，在現實生活中一次成功的攻擊過程可能會綜合若干種攻擊手段，通常是采用被動攻擊手段來收集信息，制定攻擊步驟和策略，然后通過主動攻擊來達到目的。此外，人為攻擊所造成的危害程度取決于被攻擊的對象，與所采用的攻擊手段無關。

1.2信息安全模型

1．通信服務提供者的信息安全模型

通信服務提供者的目標是安全可靠地跨越網絡傳輸信息。當通信雙方欲傳遞某個消息時，首先需要在網絡中確定從發送方到接收方的一個路由，然后在該路由上共同采用通信協議協商建立一個邏輯上的信息通道。實現安全通信主要包括以下兩個方面：（1）對消息進行安全相關的變換：如對消息進行加密和鑒別。加密的目的是對消息進行重新編碼（組合），以使非授權用戶無法讀懂消息的內容；鑒別的目的是確保發送者身份的真實性。

（2）通信雙方共享某些秘密信息：這些信息是不希望對手獲知的，比如加密密鑰。

為了使得消息安全傳輸，有時還需一個可信的第三方，其作用是負責向通信雙方發布秘密信息或者在通信雙方有爭議時進行仲裁。圖1－1就是通信服務提供者的信息安全模型。圖1－1通信服務提供者的信息安全模型圖按照圖1－1所示，設計一個安全的網絡通信必須考慮以下四個方面的內容：

①選擇一個密碼算法來執行安全性變換，即通常所說的應用于信道的加密和鑒別的算法，該算法應足夠的健壯；

②生成用于該算法的秘密信息，如密鑰等；

③研制通信雙方之間的秘密信息發布和信息共享的方法；

④確定通信雙方之間使用的協議，以通過加密算法和秘密信息來獲取所需的安全服務。

2．通信服務使用者的信息安全模型

對于通信服務使用者系統，即傳統意義上的信息系統，由于是存放和處理信息的場所，其安全需求主要是防止未授權訪問和保證系統的正常工作。圖1－2就是通信服務使用者的信息模型。圖1－2通信服務使用者的信息安全模型在圖1－2中，通信服務使用者系統（即信息系統）主要受到兩種類型的威脅：

①非授權地獲取或篡改信息數據；

②尋找系統缺陷，破壞系統以阻止合法用戶使用系統提供的資源和服務。

對于這兩類威脅，信息系統主要通過兩道防線來加強其安全性。第一道防線是“守衛者”，它包括登錄程序和屏蔽邏輯程序等訪問控制機制，用于拒絕非授權用戶的訪問、檢測和拒絕病毒等惡意程序；第二道防線是由一些內部安全控制部件組成，包括鑒別和認證子系統、審計子系統和授權系統等，主要用于管理系統內部的各項操作和分析所存儲的信息，以檢查是否有未授權的入侵者。 1.3密碼學在信息安全中的作用

在當前的現實生活中，安全問題隨處可見。比如我們的房屋要安裝防盜門以阻止盜賊的闖入；汽車安裝報警器以阻止盜賊的盜竊行動；電子郵箱設置密碼訪問功能，以保護用戶信息的安全；銀行的信用卡設置密碼保護功能以保證用戶存取現金及交易的安全；電子商務系統中簽定商品交易合同，進行電子簽名以確保雙方事后不能相互抵賴等等。特別是隨著網絡及應用技術的進一步發展，基于網絡系統應用的信息安全問題日益引起人們的關注。諸如電子郵箱密碼的安全使用、電子合同簽署的安全問題、電子現金的安全存取和信息的安全存儲等問題都需要密碼技術的支撐。比如通過使用密碼技術使信息加密保存，可以阻止非法用戶獲取你的私密信息；通過使用密碼技術對信息進行認證，以確保信息完整；通過使用密碼技術對用戶身份進行認證和審查，可以確保授權用戶的安全使用等等。這些都是密碼技術在信息安全領域所起作用的具體體現。信息安全是一門涉及計算機科學與技術、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義上說，凡是涉及到網絡系統中信息的保密性、完整性、可用性、可靠性、可控性和可審查性的相關技術和理論都是信息安全的研究領域。因此，密碼學是信息安全的基石，是信息安全的核心技術，也是信息安全的基礎性技術。密碼技術是實現加密、解密、數據完整性、鑒別交換、密碼存儲與校驗等的基礎，借助于密碼技術可以實現信息的保密性、完整性和鑒別服務。在保密性服務方面，加密技術將敏感信息（即受保護的信息）變換為敏感性較弱的信息；在完整性或鑒別服務方面，利用密碼技術來實現信息的不可偽造。由此看來，密碼技術作為信息安全的基石、核心技術和基礎性技術，是保護信息安全最重要的技術之一。當前，信息安全的主流技術和理論都是基于以算法復雜性理論為基礎的現代密碼技術。從Diffie和Hellman開創的現代密碼學革命開始，現代密碼學最近30多年的發展歷程表明，信息安全的一個最具活力的創新點是信息安全編碼理論和方法的深入研究，這方面具有代表性的工作有DES（數據加密標準）、AES（高級加密標準）、RSA密碼算法、ECC（橢圓曲線密碼算法）、HCC（超橢圓密碼算法）、IDEA（國際數據加密算法）、PGP系統等。在信息時代飛速推進的今天，大量的信息以數字形式存放在信息系統中，信息的傳輸則是在開放、不安全的公共信道上。而這些信息系統和公共信道在沒有設防的情況下是非常脆弱的，很容易受到入侵者的攻擊和破壞。如何保護公共網絡上信息的安全已成為人們關注的焦點，作為信息安全的核心技術——密碼技術也引起了人們的高度重視，吸引著越來越多的科技人員投入到密碼學領域的研究中。值得注意的是，盡管密碼學在信息安全領域具有舉足輕重的作用，但密碼學絕不是信息安全的唯一技術，它也不能解決所有的安全問題。同時，密碼編碼和密碼分析學是一對矛和盾的關系（即所謂“道高一尺，魔高一丈”），它們在發展中始終處于一種動態平衡狀態。確保信息安全的問題，除了技術之外，管理也是非常重要的一個方面。若密碼技術使用不當或攻擊者繞過了密碼技術的使用，密碼技術就不能真正提供安全性。 1.4密碼學的基本知識

1.4.1密碼學的發展簡史

密碼學（Cryptography）是一門既古老又年輕的學科，其歷史可以追溯到幾千年以前。早在四千多年以前，古埃及人就開始使用密碼來保密要傳遞的消息。此外，古代的一些行幫暗語及文字加密游戲等，實際上也是對信息的加密，這種加密通過一定的約定，把需要表達的信息限定在一定范圍內流通。一直到第一次世界大戰前，密碼學的進展很少見諸于世，直到1918年，WilliamF.Friedman的論文“TheIndexofCoincidenceandItsApplicationsinCryptography”（重合指數及其在密碼學中的應用）發表時，情況才有所好轉。在這漫長的時期內，信息的保密基本上靠人工對消息加密和防破譯；其應用也主要局限于軍事目的，只為少數人掌握和控制。所以，它的發展受到了限制。這就是古典密碼學階段，也是密碼學的起源。在這一時期密碼學基本上可以說是一門技巧性很強的藝術，而不是一門科學。密碼學專家常常也是憑借自己的直覺和信念來進行密碼設計和分析，而對密碼的分析也大多數是基于密碼分析者（即破譯者）的直覺和經驗。

1949年，C.E.Shannon（香農）在《貝爾系統技術》雜志上發表了一篇題為“TheCommunicationTheoryofSecrecySystem（保密系統的通信理論）”的論文，為密碼學奠定了堅實的理論基礎，使密碼學真正成為一門科學。此后，直到1967年，由于保密的需要，人們基本上看不到有關密碼學的文獻和資料。在1967年，DavidKahn（戴維·卡恩）通過收集整理了第一次世界大戰和第二次世界大戰的大量歷史資料，出版了“TheCodebreakers”（《破譯者》）一書，為密碼學公開化、大眾化奠定了基礎。當時看到本書的人們驚訝到：原來還有密碼學。20世紀70年代初期，IBM等公司發表了幾篇密碼學的報告，從而使更多的人了解了密碼學的存在。此后，密碼學的文獻大量涌現。

1976年，W.E.Diffie和M.E.Hellman發表了“NewDirectioninCryptography（密碼學新方向）”一文，提出了一種全新的密碼設計思想，導致了密碼學上的一場革命。他們首次證明了在發送端和接收端不需要傳送密鑰的保密通信是可能的，從而開創了公鑰密碼學的新紀元，成為現代密碼學的一個里程碑。

1977年，美國國家標準局（NationalBureauofStandards，NBS）即現在的國家標準與技術研究所（NIST）正式公布了數據加密標準（DataEncryptionStandard，DES），將DES算法公開，從而揭開了密碼學的神秘面紗。從此，密碼學的研究進入了一個嶄新的時代。隨后，DES被美國許多部門和機構采納為標準，并成為事實上的國際標準。由于安全的原因，DES于1998年正式退役。

1978年，R.L.Rivest，A.Shamir和L.Adleman實現了RSA公鑰密碼學，此后成為了公鑰密碼學中杰出的代表。

1984年，Bennett.CharlesH，Brassard.Gille首次提出了量子密碼學（現稱為BB84協議）。量子密碼學與以前的密碼學不同，它是一種基于量子定律的密碼學，可以發現竊聽等攻擊行為，還可以抗擊具有無限計算能力的攻擊。因此，很多人認為，在量子計算機誕生之后，量子密碼學有可能會成為唯一真正安全的密碼學。

1985年，N.Koblitz和V.Miller把橢圓曲線理論運用到公鑰密碼學中，成為公鑰密碼學研究的新亮點。與此同時，密碼學的另一個重要方向——序列密碼（也稱為流密碼，主要用于政府、軍方等國家要害部門）理論也取得了重大的進展。1989年，R.Mathews，D.Wheeler，L.M.Pecora和Carroll等人首次把混沌理論使用到序列密碼及保密通信理論中，為序列密碼的研究開辟了一條新的途徑。

1997年，美國國家標準與技術研究所NIST開始征集新一代數據加密標準來接任即將退役的DES。2000年10月，由比利時密碼學家JoanDaemen和VincentRijmen發明的Rijndael密碼算法成為新一代數據加密標準——AES（AdvancedEncryptionStandard）算法。2001年11月26日，NIST正式公布高級加密標準，并于2002年5月26日正式生效。

2000年1月，歐盟正式啟動了歐洲數據加密、數字簽名、數據完整性計劃NESSIE，旨在提出一套強壯的包括分組密碼、序列密碼、散列函數、消息認證碼（MAC）、數字簽名和公鑰加密密碼標準。

當前，現代密碼學的發展已經深入到信息時代的各個環節，其相應的技術也大量涌現，主要有數據加密、密碼分析、信息鑒別、零知識證明、秘密分享等。另外，值得一提的是近年發展迅猛的信息隱藏技術，它是將需要保密的信息隱藏在公開信息中來保密、傳輸的技術，所以有人也稱其為秘密的信息嵌入技術。1.4.2密碼學的基本概念

密碼學一詞來源于古希臘的Crypto和Graphein，其含義是密寫。它是以認識密碼變換的本質、研究密碼保密與破譯的基本規律為對象的學科，也是研究通信安全保密的一門學科。經典密碼學包括密碼編碼學和密碼分析學。密碼編碼學是研究把信息（明文）變換成沒有密鑰就不能解讀或很難解讀的密文的方法，從事此行工作的稱為密碼編碼者；密碼分析學是研究分析破譯密碼的方法，從事此行工作的稱為密碼分析者。密碼編碼學和密碼分析學彼此目的相反、相互獨立，但在發展中又相互促進。密碼編碼學的任務是尋求生成高強度密碼的有效算法，以滿足對信息進行加密或認證的要求；密碼分析學的任務是破譯密碼或偽造認證密碼，竊取機密信息進行詐騙破壞活動。對一個保密系統采取截獲密文進行分析的方法來進行攻擊稱為被動攻擊；非法入侵者采用刪除、更改、添加、重放、偽造等手段向系統注入假信息的攻擊稱為主動攻擊。進攻與反進攻、破譯與反破譯是密碼學中永無止境的矛與盾的競技。經典密碼學可以實現信息的保密性。現代密碼學除了包括密碼編碼學和密碼分析學兩個學科之外，還包括近幾年才形成的新分支——密鑰密碼學，它是以密鑰（現代密碼學的核心）及密鑰管理作為研究對象的學科。密鑰管理是一系列的規程，包括密鑰的產生、分配、存儲、保護、銷毀等環節，在保密系統中是至關重要的。以上三個分支學科構成了現代密碼學的主要學科體系。經典密碼學主要以實現信息的保密性為目的，現代密碼學不僅可以實現信息的保密性，而且還可以實現信息的真實性、完整性、可用性、可審查性和不可否認性。現代密碼學最重要的原則是“一切秘密寓于密鑰之中”。即算法是公開的，但密鑰必須是保密的。當加密完成后，可以將密文通過不安全的渠道發送給收信人，只有擁有解密密鑰的收信人才可以對密文進行解密即反變換得到密文。因此，密鑰必須通過安全渠道傳送，即密鑰必須是保密的。1.4.3保密通信模型

1949年，香農（Shannon）發表了一篇題為《保密系統的通信理論》的論文，該論文用信息論的觀點對信息保密問題進行了全面的闡述，這使信息論成為密碼學的一個重要理論基礎，也宣告了現代密碼學時代的到來。

香農從概率統計的觀點出發研究信息的傳輸和保密問題，將通信系統歸納為圖1－3所示的原理圖，將保密通信系統歸納為圖1－4所示的原理圖。通信系統設計的目的是在信道有干擾的情況下，使接收的信息無誤或差錯盡可能小。保密系統設計的目的是使竊聽者（或攻擊者）即使在完全準確地收到了接收信號的情況下也無法恢復出原始信息。圖1－3通信系統原理圖圖1－4保密通信系統原理圖由此可以看出，知道明文空間和密鑰空間的概率分布，就可確定密文空間的概率分布、密文空間關于明文空間的概率分布以及明文空間關于密文空間的概率分布。

在保密通信系統中，如果假定信道是無干擾的，則合法的密文接收者能夠利用解密變換和密鑰從密文中恢復明文，即m=Dk(c)=Dk(Ek(m))。

若假定密碼分析者能夠從信道上截獲密文，還假定密碼分析者知道所用的密碼體制，且知道明文空間和密鑰空間及其統計特性（這就是所謂的Kerckhoffs假設），那么密碼體制的安全性完全取決于所選用的密鑰的安全性。也即如果攻擊者不知道密文所用的密鑰，在Kerckhoffs假設下，密碼算法的安全性完全寓于密鑰的安全性之中。1.4.4密碼體制的構成及其分類

1．密碼體制的構成

密碼體制就是完成加密和解密功能的密碼方案或密碼算法。由1.4.3小節可知，一個密碼體制（Cryptosystem）或密碼算法通常由以下5個部分構成：

①明文空間M（全體明文的集合）；

②密文空間C（全體密文的集合）；

③密鑰空間K（全體密鑰的集合）；

④加密器或加密變換（算法）E，由加密密鑰控制的加密變換的集合，即Ek(m)=c,m∈M,c∈C,k∈K；⑤解密器或解密變換（算法）D，由解密密鑰控制的解密變換的集合，即Dk(c)=m,m∈M,c∈C,k∈K。

對 ，有Dk(Ek(m))=m,m∈M,c∈C,k∈K。以上描述的五元組{M,C,K,E,D}就稱為一個密碼體制。而一個完整的密碼系統是由密碼體制、信源、信宿和攻擊者構成的（如圖1－4所示）。從1.4.3節的討論中還可以看出，加密和解密是在密鑰的控制下進行的，并有加密密鑰和解密密鑰之分。傳統密碼體制所采用的加密密鑰和解密密鑰相同，稱為單鑰或對稱密鑰密碼體制（在圖1－4中加密密鑰和解密密鑰是相同的），即是說知道了加密密鑰，也就知道了解密密鑰；知道了解密密鑰也就知道了加密密鑰。所以加密密鑰和解密密鑰必須同時保密。最典型的就是美國數據加密標準DES。1976年，在由Diffie和Hellman提出的密碼新體制中，加密密鑰和解密密鑰不同，也是不能相互推導的，稱為公鑰或雙鑰或非對稱密鑰密碼體制（比如在圖1－4中，若使用公鑰密碼體制進行保密通信，加密密鑰和解密密鑰不相同）。公鑰密碼體制的產生，一方面為數據的保密性、完整性、真實性提供了有效方便的技術；另一方面，比較科學地解決了密碼技術的關鍵問題——密鑰分配問題，而且還為數字簽名提供了有效的方法。當前及以后較長的一段時間內，密鑰仍然是信息安全保密的關鍵，它的產生、分配和管理是密碼技術中的重要研究內容。現代密碼學普遍依賴于數學。一般而言，越是先進的加密算法所涉及的數學也越高深。而隨著計算機科技的進步，加密技術日新月異，原來不能破解的加密技術也可能因為計算機速度的提高和計算機成本的降低而變得容易。所以，每當出現新的加密技術時，破解技術亦尾隨而至，加密與解密一直如同白道與黑道一般，經常是道高一尺，魔高一丈。

2．密碼體制的分類

對密碼體制的分類有很多種標準，比如按執行的操作方式不同，可以分為替換密碼體制（SubstitutionCryptosystem）和換位密碼體制（PermutationCryptosystem）。替換密碼體制是將明文中的每個元素（比特、字母、比特組合或字母組合）映射為另一個元素，主要達到非線性變換的目的；換位密碼體制是將明文中的元素重新排列，這是一種線性變換，所有的操作都是可逆的。如果從收發雙方使用的密鑰是否相同來看，密碼體制分為對稱密碼（或單鑰密碼）技術和非對稱密碼（或雙鑰密碼或公鑰密碼）技術。對稱密碼體制中加密和解密的雙方擁有相同的密鑰，又稱為常規密鑰密碼體制、單密密鑰密碼體制和秘密密鑰密碼體制；而非對稱密碼體制中加密和解密的雙方擁有不同的密鑰，又稱為雙鑰密碼體制和公開密鑰密碼體制。在現代對稱密碼體制中，其加密密鑰和解密密鑰相同。加密信息的安全性取決于密鑰的安全性，與算法的安全性無關，即由密文和加解密算法不可能得到明文。換句話說算法無需保密，需保密的僅是密鑰。非對稱密碼體制，其主要特點是將加密和解密能力分開，加密密鑰（即公開密鑰）PK是公開的，加密算法E和解密算法D也都是公開的，而解密密鑰（也稱為秘密密鑰）SK是保密的。雖然SK是由PK決定的，但不能根據PK計算出SK，即加密密鑰和解密密鑰在計算上是不能相互推算出來的。從不同的角度對密碼體制進行分類，還可以有以下分類形式：

（1）根據密文數據段是否與明文數據段在整個明文中的位置有關，可以將密碼體制分為分組密碼體制和序列密碼體制。

分組密碼體制的密文僅與加密算法和密鑰有關，而與被加密的明文分組在整個明文中的位置無關。分組密碼將固定長度的明文分組加密為相同長度的密文分組。該固定長度稱為分組大小。共同的明文分組在相同的密鑰作用下產生相同的密文分組。序列密碼體制的密文不僅與給定的加密算法和密鑰有關，而與當前正被加密的明文部分在整個明文中的位置有關。序列密碼體制每次對較小的明文單位進行處理，通常以比特（或字節）為加密單位。加密時以流的形式進行處理，將明文流與密鑰流進行結合（如按位二進制異或），形成密文流。密鑰流是與明文流等長的偽隨機序列，因此加密后的密文流也是偽隨機序列。

到目前為止，人們在分組密碼方面所下的工夫比序列密碼多得多，因為分組密碼的應用范圍要廣得多。絕大多數基于網絡的常規加密應用都是使用分組密碼。（2）根據加密變換是否可逆，可以將密碼體制分為單向變換密碼體制和雙向變換密碼體制。

單向變換密碼體制可以將明文加密成密文，但卻不能將密文轉換為明文（或在計算上不可行）。單向變換密碼體制的目的不在于加密，主要用于密鑰管理和鑒別。一般的加密解密都屬于雙向變換的密碼體制。（3）根據在加密過程中是否引入客觀隨機因素，可以將密碼體制分為確定型密碼體制和概率密碼體制。

確定型密碼體制是指一旦明文和密鑰確定后，也就確定了唯一的密文。目前使用的絕大多數的密碼體制都屬于確定型密碼體制。

若對于給定的明文和密鑰，總存在一個較大的密文集合與之對應，最終的密文根據客觀隨機因素在密文集中隨機選取，則稱這種密碼體制為概率密碼體制。概率密碼體制的特點是保密強度高，大量的隨機因素使得破譯非常困難。但概率密碼體制的加密開銷量較大，密文長度比明文長度長得多。

1.5密碼體制的安全性

1.5.1密碼分析

縱觀密碼學發展的歷史，加密與破譯者始終是一對孿生“兄弟”。破譯也稱為密碼分析。實際上，密碼分析是密碼分析者在不知道密鑰的情況下，從密文恢復出明文的過程。成功的密碼分析者不僅能夠恢復出明文和密鑰，而且還能夠發現密碼技術的弱點，從而控制整個通信。

一般來講，如果根據密文就可以推算出明文或密鑰，或者能夠根據明文和相應的密文推算出密鑰，則這個密碼技術是可破譯的，否則是不可破譯的。如果假設密碼分析者知道了密碼技術的算法，但是不知道密鑰，在Kerckhoff假設下這個密碼技術是安全的。

1.分析密碼算法的方法

密碼分析者分析密碼算法主要有以下三種方法：

（1）窮舉法：密碼分析者試圖試遍所有的明文或密鑰來進行破譯。窮舉明文時，就是將可能的明文進行加密，將得到的密文與截取到的密文進行對比，來確定正確的明文。這一方法主要用于公鑰密碼技術及數字簽名。窮舉密鑰時，用可能的密鑰解密密文，直到得到有意義的明文，從而確定正確的明文和密鑰。可以使用增加密鑰長度、在明文和密文中增加隨機冗余信息等方法來抗擊窮舉分析方法。（2）統計分析法：密碼分析者通過分析密文、明文和密鑰的統計規律來達到破譯密碼技術。可以設法使明文的統計特性與密文的統計特性不一樣來對抗統計分析法。

（3）密碼體制分析法：根據所掌握的明文、密文的有關信息，通過數學求解的方法找到相應的加解密算法。對抗這種分析法應該選用具有堅實數學基礎和足夠復雜的加解密算法。原則上，受到密碼體制分析破譯的密碼技術已完全不能使用。

2.對密碼體制進行攻擊

根據對明文和密文掌握的程度，密碼分析者通常可以在下述五種情況下對密碼體制進行攻擊：

（1）唯密文攻擊（Ciphertext－only

attack）：密碼分析者僅知道一些密文和加密算法，且試圖恢復盡可能多的明文，并進一步推導出加密信息的密鑰。

（2）已知明文攻擊（Known－plaintext

attack）：密碼分析者不僅知道一些信息的密文和加密算法，而且還知道與之對應的明文，根據明文—密文對推導出加密密鑰或加密算法。（3）選擇明文攻擊（Chosen－plaintextattack）：密碼分析者知道加密算法，可以選擇一些明文，并得到相應的密文，而且可以選擇被加密的明文，并試圖推導出加密密鑰或算法。例如：在公鑰密碼技術中，分析者可以用公鑰加密他任意選定的明文。這種攻擊就是選擇明文攻擊。

（4）選擇密文攻擊（Chosen－ciphertextattack）：密碼分析者知道加密算法，可以選擇不同的密文，以及相應的被解密的明文，并試圖推導出加密密鑰。這種方法有時和選擇明文攻擊一起并稱做選擇文本攻擊。（5）選擇文本攻擊（Chosen-textattack）：是選擇明文攻擊和選擇密文攻擊的結合。破譯者已知加密算法，由密碼破譯者選擇明文信息和它對應的密文，以及由密碼破譯者選擇的猜測性密文和它對應的已破譯的明文。

顯然，唯密文攻擊是最困難的，因為分析者有最少量的信息可供利用。上述攻擊的強度是遞增的。一個密碼體制是安全的，通常是指在前三種攻擊下是安全的，即攻擊者一般容易具備前三種攻擊的條件。此外，還有自適應選擇明文攻擊（Adaptive-chosenplaintextattack）和選擇密鑰攻擊（Chosenkeyattack）。前者是選擇明文攻擊的特例，密碼分析者不僅能夠選擇被加密的明文，也能夠依據以前加密的結果對這個選擇進行修正。后者在實際應用中很少，它僅表示密碼分析者具有不同密鑰之間的關系，并不是密碼分析者能夠選擇密鑰。1.5.2密碼體制的安全性

1．密碼算法的安全性

在1.4.2小節和1.4.3小節中已經討論過，現代密碼學最重要的原則是“一切秘密寓于密鑰之中”，即這些算法的安全性都是基于密鑰的安全性，而不是基于算法的安全性。也即意味著算法是可以公開的，也可以被分析，即使攻擊者知道算法也不對算法的安全性構成危害。如果算法的保密性是基于保持算法的秘密，這種算法實際上是受限制的（Restricted）密碼算法。這種受限制的算法的特點是密碼分析者在分析密碼算法時，由于不知道密碼算法本身，還需要對算法進行恢復；但是處于保密狀態的算法只有少數用戶知道，對于破譯者來說破譯更困難；不了解該算法的人或組織不會使用，而且也不可能使用。因此，這樣的算法也不可能進行標準化和質量控制，而且要求每個用戶和組織必須有自己唯一的算法，這樣也不利于密碼算法的發展。在現代密碼學中，算法公開具有這樣一些優點：可以防止算法設計者在算法中隱藏后門；是評估算法安全性的唯一最佳的方式；有利于成為國內、國際標準算法；可以獲得大量的應用，最終走向低成本和高性能的實現，并大量生產該算法的