《第2章 信息安全机制优秀课件.ppt》由会员分享,可在线阅读,更多相关《第2章 信息安全机制优秀课件.ppt(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第2章 信息安全机制第1页,本讲稿共31页本章学习目标本章学习目标通过本章学习,读者应该掌握以下内容:对称加密机制及典型算法非对称加密机制及算法数字签名的原理数据完整性验证的原理及典型算法PGP的使用第2页,本讲稿共31页2.1加密机制加密机制 2.1.1 2.1.1 密码学基础知识密码学基础知识一个密码体制被定义为一对数据变换,其中一个变换应用于我们称之为明文的数据项,变换后产生的相应数据项称为密文;而另一个变换应用于密文,变换后的结果为明文。这两个变换分别称为加密变换(Encryption)和解密变换(Decryption)。加密变换将明文和一个称为加密密钥的独立数据值作为输入,输出密文;
2、解密变换将密文和一个称为解密密钥的数据值作为输入 第3页,本讲稿共31页 加密和解密加密和解密 加密 解密M:明文 C:密文 KE:加密密钥 KD:解密密钥第4页,本讲稿共31页2.1.2 对称加密算法对称加密算法加密:Ek(M)=C解密:Dk(C)=M序列密码算法(streamcipher)分组密码算法(blockcipher)加密过程主要是重复使用混乱和扩散两种技术,混乱(confusion)是改变信息块使输出位和输入位无明显的统计关系。扩散(diffusion)是将明文位和密钥的效应传播到密文的其它位。对称密码算法有很多种:DES、tripleDES、IDEA、RC2、RC4、RC5、R
3、C6、GOST、FEAL、LOKI第5页,本讲稿共31页2.1.3 DES算法算法首先把明文分成若干个64-bit的分组,算法以一个分组作为输入,通过一个初始置换(IP)将明文分组分成左半部分(L0)和右半部分(R0),各为32-bit。然后进行16轮完全相同的运算,这些运算我们称为函数f,在运算过程中数据与密钥相结合。经过16轮运算后,左、右两部分合在一起经过一个末转换(初始转换的逆置换IP-1),输出一个64-bit的密文分组。1、算法描述、算法描述第6页,本讲稿共31页密钥位移位,从密钥的56位中选出48位。通过一个扩展置换将数据的左半部分扩展成48位,并通过一个异或操作与48位密钥结合
4、,通过8个S盒(substitution box)将这48位替代成新的32位,再依照P-盒置换一次。以上四步构成复杂函数f(图中虚线框里的部分)。然后通过另一个异或运算,将复杂函数f的输出与左半部分结合成为新的右半部分。每一轮的运算过程:第7页,本讲稿共31页密钥通常表示为64-bit,但每个第8位用作奇偶校验,实际的密钥长度为56-bit。在DES的每一轮运算中,从56-bit密钥产生出不同的48-bit的子密钥(K1,K2K16)。首先,56-bit密钥分成两部分(以C、D分别表示这两部分),每部分28位,然后每部分分别循环左移1位或2位(从第1轮到第16轮,相应左移位数分别为:1、1、2
5、、2、2、2、2、2、1、2、2、2、2、2、2、1)。再将生成的56-bit组经过一个压缩转换(compression permutation),舍掉其中的某8个位并按一定方式改变位的位置,生成一个48-bit的子密钥Ki。每一轮中的子密钥的生成每一轮中的子密钥的生成第8页,本讲稿共31页48-bit组被分成8个6-bit组,每一个6-bit组作为一个S盒的输入,输出为一个4-bit组。每个S-盒是一个4行16列的表,表中的每一项都是一个4-bit的数。S盒的6-bit的输入确定其输出为表中的哪一个项,其方式是:6-bit数的首、末两位数决定输出项所在的行;中间的四位决定输出项所在的列。例如
6、:第6个S盒如表2-1所示,假设第6个S-盒的输入为110101,则输出为第3行第10列的项(行或列的记数从0开始),即输出为4-bit组0001。S-盒置换盒置换第9页,本讲稿共31页三重DES如上所言,DES一个致命的缺陷就是密钥长度短,并且对于当前的计算能力,56位的密钥长度已经抗不住穷举攻击,而DES又不支持变长密钥。但算法可以一次使用多个密钥,从而等同于更长的密钥。三重DES算法表示为:C=EK3(DK2(EK1(M)通常取K3=K1,则上式变为:C=EK1(DK2(EK1(M)第10页,本讲稿共31页2.1.4 RC5算法算法RC5是Ron Revist发明的。RSA实验室对64b
7、it分组的RC5算法进行了很长时间的分析,结果表明对5轮的RC5,差分攻击需要264个明文;对10轮需要245个明文;对15轮需要268个明文,而这里最多只可能有264个明文,所以对15轮以上的RC5的攻击是失败的。Rivest推荐至少使用12轮。RC5是具有参数变量的分组密码算法,其中可变的参量为:分组的大小、密钥的大小和加密的轮次。该算法主要使用了三种运算:异或、加、循环。第11页,本讲稿共31页RC5的分组长度是可变的,下面我们将采用64bit的分组来描述算法。加密需要使用2r+2(其中r表示加密的轮次)个与密钥相关的32bit字,分别表示为S0、S1、S2S2r+1。创建这个与密钥相关
8、的数组的运算如下:首先将密钥的字节拷贝到32bit字的数组L,如果需要,最后一个字可以用零填充。然后利用线性同余发生器初始化数组S:第12页,本讲稿共31页S0=PSi=(Si-1+Q)mod232(其中 i=1to2(r+1)-1,P=0 xb7e15163,Q=0 x9e3779b9)最后将L与S混合:初始化:i=j=0A=B=0然后做3n次循环:(其中c为密钥所占32bit字数目,亦即数组L的长度,n为2(r+1)和c中的最大值)。A=Si=(Si+A+B)3B=Lj=(Lj+A+B)(A+B)i=(i+1)mod2(r+1)j=(j+1)modc第13页,本讲稿共31页加密过程:首先将
9、明文分组(64bit)分成两个32位字A和B(假设字节进入字的顺序为第一个字节进行寄存器的低位置),然后进行如下的运算:A=A+S0B=B+S1for(i=1;i=r;i+)A=(AB)B)+S2i;B=(BA)=1;r-)B=(B-S2i+1)A)A;A=(A-S2i)B)B;B=B-S1A=A-S0此时输出的A、B为解密后得到的明文。第15页,本讲稿共31页2.1.5 非对称加密体制非对称加密体制公开密钥体制把信息的加密密钥和解密密钥分离,通信的每一方都拥有这样的一对密钥。其中加密密钥可以像电话号码一样对外公开,由发送方用来加密要发送的原始数据;解密密钥则由接收方秘密保存,作为解密时的私用
10、密钥。公开密钥加密算法的核心是一种特殊的数学函数单向陷门函数(trap-door one way function)。即该函数从一个方向求值是容易的,但其逆变换却是极其困难的,因此利用公开的加密密钥只能作正向变换,而逆变换只有依赖于私用的解密密钥这一“陷门”才能实现。第16页,本讲稿共31页公开密钥体制最大的优点就是不需要对密钥通信进行保密,所需传输的只有公开密钥。这种密钥体制还可以用于数字签名,即信息的接收者能够验证发送者的身份,而发送者在发送已签名的信息后不能否认。公开密钥体制的缺陷在于其加密和解密的运算时间比较长,这在一定程度上限制了它的应用范围。公开密钥体制在理论上被认为是一种比较理想
11、的的计算密码的方法,但现在真正实用的公开密钥算法还不是很多,目前公认比较安全的要算RSA算法及其变种Rabin算法。算法表示为:Ek1(M)=CDk2(C)=MDk2(Ek1(M)=M(其中k1和k2为一对密钥中的私有密钥和公开密钥)第17页,本讲稿共31页2.1.6 RSA算法算法RSA算法的思路如下:为了产生两个密钥,先取两个大素数,p和q。为了获得最大程度的安全性,两数的长度一样。计算乘积 n=p*q,然后随机选取加密密钥e,使e和(p-1)*(q-1)互素。最后用欧几里得(Euclidean)扩展算法计算解密密钥d,d满足ed1 mod(p-1)(q-1),即de-1mod(p-1)(
12、q-1)。则e和n为公开密钥,d是私人密钥。两个大数p和q应该立即丢弃,不让任何人知道。一般选择公开密钥e比私人密钥 d小。最常选用的e值有三个3,17,65537。第18页,本讲稿共31页加密消息时,首先将消息分成比n小的数据分组(采用二进制数,选到小于n的2的最大次幂),设mi表示消息分组,ci表示加密后的密文,它与mi具有相同的长度。加密过程:ci=mie(modn)解密过程:mi=cid(modn)第19页,本讲稿共31页2.1.7 密钥与密码破译方法1、密钥的穷尽搜索、密钥的穷尽搜索破译密文最简单的方法,就是尝试所有可能的钥匙组合。2、密码分析、密码分析在不知道钥匙的情况下,利用数学
13、方法破译密文或找到秘密钥匙的方法,称为密码分析。密码分析有两个基本目标:利用密文发现明文,利用密文发现钥匙。3、其它密码破译方法、其它密码破译方法第20页,本讲稿共31页2.2数据完整性机制数据完整性机制密码学除了为数据提供保密方法以外,还可以用于其他的作用:鉴别(authentication):消息的接收者可以确定消息的来源,攻击者不可能伪装成他人。抗抵赖(nonrepudiation):发送者事后不能否认自己已发送的消息。完整性(integrity):消息的接收者能够验证消息在传送过程中是否被修改;攻击者不可能用假消息来代替合法的消息。第21页,本讲稿共31页2.2.1 数据完整性验证数据
14、完整性验证消息的发送者用要发送的消息和一定的算法生成一个附件,并将附件与消息一起发送出去;消息的接收者收到消息和附件后,用同样的算法与接收到的消息生成一个新的附件;把新的附件与接收到的附件相比较,如果相同,则说明收到的消息是正确的,否则说明消息在传送中出现了错误。第22页,本讲稿共31页2.2.2 单向散列函数单向散列函数单向散列函数(one-way hash function),也叫压缩函数、收缩函数,它是现代密码学的中心,是许多协议的另一个结构模块。散列函数长期以来一直在计算机科学中使用,散列函数是把可变长度的输入串(叫做预映射,pre-image)转换成固定长度的输出串(叫做散列值)的一
15、种函数。利用单向散列函数生成消息的指纹可以分成两种情况。一种是不带密钥的单向散列函数,这种情况下,任何人都能验证消息的散列值;另一种是带密钥的散列函数,散列值是预映射和密钥的函数,这样只有拥有密钥的人才能验证散列值。单向散列函数的算法实现有很多种,如Snefru算法、N-Hash算法、MD2算法、MD4算法、MD5算法,SHA-1算法等等。第23页,本讲稿共31页MD5算法描述算法描述MD5以512bit的分组来处理输入文本,每一分组又划分为16个32bit的子分组。算法的输出由4个32bit分组组成,将它们级联形成一个128bit的散列值。首先填充消息使用其长度恰好为一个比512的倍数仅小6
16、4bit的数。填充方法是在消息后面附一个1,然后填充上所需要的位数的0,然后在最后的64位上附上填充前消息的长度值。这样填充后,可使消息的长度恰好为512的整数倍,且保证不同消息在填充后不相同。2.2.3消息摘要算法MD5第24页,本讲稿共31页2.3数字签名机制数字签名机制数字签名机制需要实现以下几个目的:数字签名机制需要实现以下几个目的:l l可可信信:消消息息的的接接收收者者通通过过签签名名可可以以确确信信消消息确实来自于声明的发送者。息确实来自于声明的发送者。l l不不可可伪伪造造:签签名名应应是是独独一一无无二二的的,其其它它人人无法假冒和伪造。无法假冒和伪造。l l不不可可重重用用
17、:签签名名是是消消息息的的一一部部分分,不不能能被被挪挪用到其它的文件上。用到其它的文件上。l l不不可可抵抵赖赖:签签名名者者事事后后不不能能否否认认自自己己签签过过的的文件。文件。第25页,本讲稿共31页2.3.1 数字签名的基本原理数字签名的基本原理数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换,这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性,并保护数据,防止被人(如接收者)伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生,也就是说,一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时,第三方(仲裁机构)就能够根据消息上
18、的数字签名来裁定这条消息是否确实由发送方发出,从而实现抗抵赖服务。另外,数字签名应是所发送数据的函数,即签名与消息相关,从而防止数字签名的伪造和重用。第26页,本讲稿共31页2.3.2 数字签名的实现方法数字签名的实现方法1、使用对称加密和仲裁者实现数字签名、使用对称加密和仲裁者实现数字签名第27页,本讲稿共31页2、使用公开密钥体制进行数字签名、使用公开密钥体制进行数字签名公开密钥体制的发明,使数字签名变得更简单,它不再需要第三方去签名和验证。签名的实现过程如下:lA用他的私人密钥加密消息,从而对文件签名;lA将签名的消息发送给B;lB用A的公开密钥解消息,从而验证签名;第28页,本讲稿共31页3、使使用用公公开开密密钥钥体体制制与与单单向向散散列列函函数数进行数字签名进行数字签名第29页,本讲稿共31页4 4、加入时间标记的签名、加入时间标记的签名5 5、多重签名、多重签名6 6、盲签名、盲签名 第30页,本讲稿共31页2.4复合型加密系统复合型加密系统PGP2.4.1 PGP简介简介2.4.2 PGP应用系统介绍应用系统介绍 第31页,本讲稿共31页