第十一章-保密通信的信息理論

第十一章保密通信的信息理論本章主要內(nèi)容

保密系統(tǒng)的數(shù)學模型

數(shù)據(jù)加密標準

國際數(shù)據(jù)加密算法

保密通信基礎知識

公鑰加密方法

信息安全與數(shù)字簽名現(xiàn)代密碼學

密碼技術最早出現(xiàn)并且至今仍是對數(shù)據(jù)、數(shù)字信息進行保密的最有效的安全技術。1949年香農(nóng)（Shannon）發(fā)表了“保密系統(tǒng)的通信理論”的著名論文，將信息理論引入了密碼學，提出了通用的密鑰密碼系統(tǒng)模型，引進了不確定性、剩余度和唯一解距離作為度量密碼系統(tǒng)安全性的測度，對完全保密、純密碼、理論安全性和實用安全性等新概念作了論述，為傳統(tǒng)的秘密鑰密碼學研究奠定了理論基礎。1976年，狄非（Diffie）和赫爾曼（Hellman）在“密碼學的新方向”一文中，提出了將加密密鑰和解密密鑰分開，且加密密鑰公開，解密密鑰保密的公鑰密碼體制，導致了密碼學上的一場革命，開創(chuàng)了現(xiàn)代密碼學的新領域。11.1保密學的基本概念

保密學是研究密碼系統(tǒng)或通信系統(tǒng)的安全問題的科學。它包含密碼學和密碼分析學兩個分支。密碼學是研究和設計各種密碼體制，使信息得到安全地隱藏。密碼分析學是在束知密鑰情況下研究分析破譯密碼，使獲取已隱藏的信息。密碼體制的基本思想是隱藏和偽裝需要保密的信息，使非受權者不能獲取信息。明文(或消息)——需要采用某種方法對其進行變換來隱藏載荷著信息的消息或字符串。

密文(或稱密報)——明文經(jīng)過某種變換后成為一種載荷著不能被非受權者所理解的隱藏信息的消息或字符串。

加密——明文變換成密文的這種變換操作過程。

解密——利用密鑰從密文恢復成明文的操作過程，即加密的逆過程。

加密者——對明文進行加密操作的人員。

接收者——預定接收密文的人員。接收者知道密鑰是非常關鍵的。

加密算法——加密者對明文進行加密所采用的一組法則，又稱為加密編碼。解密算法——利用密鑰將密文進行解密所采用的一組法則，叉稱為解密密碼。

加密密鑰——加密算法通常在一組密鑰的控制下進行，這組密鑰稱加密密鑰。

解密密鑰——解密算法也在一組密鑰的控制下進行，這組密組稱為解密密鑰。單鑰密碼體制——在加密和解密過程中，加密密鑰和解密密鑰相同，或從一個易得出另一個的密碼體制。

雙鑰密碼體制——在加密和解密過程中，加密密鑰和解密密鑰不相同，而且從一個難以得出另一個的密碼體制。它使加密能力和解密能力分開。

截取者——凡截取已加密了的消息的任何人，是非受權的、截取機密的人。一般情況，截取者不知道密鑰。

密碼分析——在未知密鑰的情況下，但通過分析從截獲的密文中推斷出明文的過程稱為密碼分析。稱試圖對密碼進行分析為攻擊。密鑰體制可根據(jù)所采用的密鑰類型分為對稱（單密鑰）體制(One-keyorSymmetricCryptosystem)和非對稱（雙鑰密）體制(Two-keyorAsymmetricCryptosystem)。

私鑰密碼體制原理示意圖

（1）在密碼技術中，加密和解密實質(zhì)上是某種“密碼算法”，按密碼算法進行變換的控制參數(shù)就是“密鑰”。（2）一個好的密碼系統(tǒng)必須具有抗破譯的能力，使這種破譯不可能，或者即使理論上可破譯，而實際上這種破譯很困難。（3）對信息的加密方式來看，可分為分組密碼和序列密碼兩大類。（4）從密鑰體制來看，可分為秘密鑰密碼體制和公開鑰密碼體制。9．2保密系統(tǒng)的數(shù)學模型

保密系統(tǒng)模型如圖11.1所示。

信源是產(chǎn)生消息的源，設離散無記憶信源為其輸出的消息為L長的信源序列，即S=(s1s2…sL)si∈A稱為明文。稱SL為消息空間或明文空間。密鑰源是產(chǎn)生密鑰序列的源。通常密鑰是離散的。設密鑰符號集為B={b1,b2,…，bt)，并設P(bi)≥0,一般設計密鑰源是無記憶等概分布信源，即各密鑰符號是獨立等概分布的。密鑰源產(chǎn)生長為r的序列稱為密鑰序列，即k=(k1k2…kr)ki∈B。k∈Br,共有tr個密鑰序列，稱Br為密鑰空間。一般明文空間和密鑰空間是彼此統(tǒng)計獨立的。合法接收者知道密鑰序列k和密鑰空間，而截取者是不知道密鑰K和密鑰空間的加密編碼器是對明文S進行加密變換，它將明文空間輸出的明文S在密鑰ke控制下變換成密文c，即其中Eke表示在ke控制下的加密變換。c的全體稱為密文空間Cn。一般密文符號集與明文符號集相同,ci∈A而且n=L，即長度相等。

解密譯碼器是合法接收者(信宿)對接收的密文進行解密變換。因為它知道密鑰kd和解密變換D，很容易從密文中恢復出明文，即對于單密鑰體制，其加密密鑰ke和解密密鑰kd相等。所以有一般密鑰通過保密信道傳送給合法的接收者(信宿)或者發(fā)送者與接收者事先商定好。

截取者接收到密文c，即使他知道加密算法，但因不知道特定的密鑰k，就無法獲取信息?？梢?，所用的特定的密鑰很重要，必須要保密好。另外也不能使截取者從密文中獲得密鑰。密碼系統(tǒng)的安全性有兩種標準，一種是理論保密性，另一種是實際保密性。理論保密性是指截取者在具有無限的時間和計算資源條件下，密碼系統(tǒng)抗破譯的能力。實際保密性是指截取者在一定的計算資源及其他限制的條件下，密碼系統(tǒng)抗破譯的能力。現(xiàn)代密碼系統(tǒng)應當滿足：

1)系統(tǒng)即使迭不到理論上不可破，也應當是實際上不可破的。

2)系統(tǒng)的保密性不依賴于對加密、解密算法和系統(tǒng)的保密，而僅僅依賴于密鑰的保密性。

3)加密、解密運算簡單快捷，易于實現(xiàn)。

4)加密和解密算法適用于所有密鑰空間的元素。11．3古典密碼體制

11.3.1單表密碼單表密碼是一種簡單的代換密碼。它對所有的明文字符都采用一個固定的明文字符集到密文字符集的映射。即映射函數(shù)設明文s=(s1s2s3…)則相應密文為C=Ek(s)=f(s1)f(s2)f(s3)…此時密鑰就是一個固定的代換字母表。那么，對密文C=(c1c2…)的解密譯碼過程為s=Dk(c)=f-1(c1)f-1(c2)f-1(c3)…[例11.1]設明文字符集為26個英文字母A={A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z}.一個固定的代換字母表為A'={X,G,U,A,C,D,T,B,P,H,S,R,L,M,V,Q,Y,W,I,Z,E,J,O,K,N,F}若有明文為S=Thisisabook則密文c=Ek(s)=ZBPIPIXGVVS對于這種26個英文字母的信源，采用這種簡單的代換密碼，不同的代換字母表共可以有26!種。密鑰

9．3．2移位代換密碼

移位代換密碼又稱加法密碼，它是單表密碼中的一種。在高盧戰(zhàn)爭中凱撒(caesar)使用過的凱撒密碼就是這種加法密碼。設明文字符集A={a0,a1,…,aq-1)，密鑰為k，其加密變換為

這種移位代換密碼，密鑰k可取1至q共q種，可獲q種不同的代換字母表。

[11．2]設明文字符集為26個英文字母，q=26，進行移位代換密碼。這就是凱撒密碼。若選取密鑰k=4，則有下述代換對應表：A:abcdefghIjklmnopqrstuvwxyzA’:EFGHIJKLMNOPQRSTUVWXYZABCD所得密文字母集為明文字母集向左位移k位。若明文為則密文

因為對于凱撒密碼來言，q=26，所以共有26個代換字母表。11．3．3乘數(shù)密碼

乘數(shù)密碼類似于前面的加法密碼。它的加密變換為其中ij都是明文字符集中的下標。式(11.10)表示密文代換表中字符是按明文字符集的下標每隔k位挑選出一個字符排列而成的，所以又稱采樣密碼。當然我們希望密文代換表與明文字符集是一一對應的，即明文中不同的字符應在密文代換表中代換成不同的字符，否則解密就不是惟一的，就會有錯誤產(chǎn)生。例如設A={a0,a1,a2,a3,a4,a5}，若k={0,1,…5}，可得如下不同的密文代換表：k=1，5才能得到一一對應的代換表，而k=0，2，3，4都不可用。所以，乘數(shù)密碼中密鑰有嚴格選擇要求，要求k和q是互素的。這樣，密鑰k所選擇的范圍減少，其能采用的代換字母表大大少于加法密碼[例11.3]設明文字符集為26個英文字母，對它作k=5的乘數(shù)密碼-可得明文和密文字母對應表：A:abcdefghIjklmnopqrstuvwxyzA’:AFKPUZEJOTYDINSXCHMRWBGLQV

若明文為S=thismessageisfake則密文C=RJOMIUMMAEUOMZAYU對于q=26，K只能取1、3、5、7、9、11、15、17、19、21、23、25共12種?？梢?，乘數(shù)密碼的密鑰數(shù)量比加法密碼的密鑰數(shù)量要少，是具極低保密性的碼。

仿射密碼仿射密碼:是將乘數(shù)密碼和加法密碼相組合。明文是先用乘數(shù)密碼的代換字符表變換后，再用移位代換字符表變換得密文。即仿射密碼的變換為當k1=0為加法密碼，k2=0是乘數(shù)密碼。若采用仿射密碼密鑰數(shù)量就有26×12=312種，即使去掉恒等的一種，還有311種，這使仿射密碼的保密性提高。11.3.4固定周期d的位移置換這種置換變換不是用一固定的代換字符表，所以它不是單表代換。它是將明文每長度為d劃分為一組，在每組內(nèi)進行置換，而置換方式各組都相同。若最后長度不足d的就加添字母x。

一般情況，當周期為d時，置換表共有d!個。

[例11.4]26個英文字母組成的明文字符集，取d=6，各段位置下標號按下述置換表置換若明文S=Thisme|ssagei|sfakex密文C=SEMITHGIEASSKXRASF利用式(9．12)進行反變換，得解密譯碼變換表11.3.5多表代換密碼

多表代換密碼是以一系列代換表依此對明文的字符進行代換的加密方法。通常采用的代換表數(shù)量有限，而是周期地重復使用。1.維吉尼亞密碼這是一種以移位代換為基礎的周期代換密碼。周期為d，即由d個字符序列組成的密鑰,然后以d為周期而加密。明文字符A={a0,a1,…,aq-1}；密鑰為k={k1,k2,…,kd},kL∈A；令i為明文字符集的下標；令L1,L2,..,Ld為密鑰字符k1,k2,…,kd的下標；則加密變換為[例11.6]26個英文字母組成的明文字符集A，q=26.選用密鑰字為k=RADIO,d=5,可得L1,L2,L3,L4,L5。就可用密鑰字對明文進行加密變換，若有明文s=thismessageisfake下標i=197818124181806481850104密鑰k=RADIORADIORADIORA下標L=170381417038141703817140

J=107110021182182021821131414密文c=KHLAAVSVIUVIVNOBE2.博福特和變異博福特密碼博福特和變異博福特密碼類似與維吉尼亞密碼，其加密變換為或3.滾動密鑰密碼對于周期代換密碼，隨周期d增大使保密性增加。當d和明文序列一樣長時就稱滾動密鑰密碼。如果所采用的密鑰序列k=(k1,k2,…,kd)．d=L不重復相同(L為明文長度)，這就是一次一密鑰體制。4．佛納姆密碼

當明文字符集A={0，1}為二元符號時，滾動密鑰密碼成為佛納姆密碼。這時密鑰符號集也為二元符號，密鑰序列為二元序列k=k1k2…ki…ki∈[0，1]明文為s=s1s2…si…si∈[0，1]密文為c=c1c2…ci…ci∈[0，1]加密變換為ci

=si+

ki(模2運算)（i=1,2,…）解密度換為si

=ci+

ki(模2運算)（i=1,2,…）[例11．6]若明文字母h，其二元明文序列S=00101相應的密鑰序列k=11010，則有顯然有11．4完全保密性密碼系統(tǒng)的安全性是密碼學中研究的主要問題。一個密碼系統(tǒng)希望是安全的就是指截取者無法破譯獲得所發(fā)送的信息。一般截取者在以下三個條件下進行破譯工作的：

(1)唯密文破譯破譯者僅能從截獲得到的密文中進行分析，得出明文或密鑰。(2)已知明文破譯破譯者除了有截獲的密文外，還知道一些明文一密文對，可利用分析.(3)選擇明文破譯破譯者可以用他所選擇的任何明文一密文對來進行分析，確定未知的密鑰?，F(xiàn)將分析，在這些破譯條件下，系統(tǒng)的安全性問題，即應滿足什么條件，系統(tǒng)才是安全的．在第11．2節(jié)中，圖11．1已給出了保密系統(tǒng)的數(shù)字模型。因此，可以計算系統(tǒng)中各部分的熵。明文的墑密鑰的熵密文的熵

已知密文條件下關于明文的疑義度是H(SL|Cn)

，它表示在已知密文條件下對明文存在的不確定性；已知密文條件下關于密鑰的疑義度是H(Br|Cn)

，它表示在已知密文條件下對密鑰的不確定性。從唯密文破譯角度來看，破譯者就是希望從截取的密文中提取有關明文或密鑰的信息

從截取的密文中提取有關明文的信息是

(11.18)從截取的密文中提取有關密鑰的信息是對合法的接收者來說，他是在已知密文和密鑰條件下提取明文信息的。由于加密變換的可逆性，合法接收者在知道密鑰和密文條件下，關于明文不存在任何不確定性，所以越大越小定義9．1若對保密系統(tǒng)(SL,Cn,Br,Ek,Dk)滿足

I(SL;Cn)=0(11．22)則稱此系統(tǒng)為完全的保密系統(tǒng)或稱無條件的保密系統(tǒng)。由式(11．22)可知，當破譯者從密文中得不到任何有關明文的信息時，他是無法破譯的。顯然，這種安全性是對唯密文破譯而言的，它不一定能保證已知明文或選擇明文破譯條件下也是安全的。

由式(11．18)可知要式I(SL;Cn)=0滿足，即要求由熵的表達式可知，也就是要求它表示密文與明文是完全統(tǒng)計獨立的，所以從密文中不能獲得任何關于明文的信息。定理11.1對于任何保密系統(tǒng)，有(11.25)一般密鑰空間Br中密鑰是等概分布的，H(Br)與密鑰空間的密鑰量有關。密鑰量越大，H(Br)越大;密鑰量越小，H(Br)越小定理9.1說明若密鑰量越小，H(Br)越小，I(SL;Cn)越大而越接近H(SL)。使破譯者從密文中能獲得關于明文的信息量越大，就容易破譯。因此，從設計密碼系統(tǒng)角度來看，必須要使密鑰空間的密鑰量盡可能大。定理11.2完全保密系統(tǒng)存在的必要條件是

H(Br)≥H(SL)

由定理11.2可知，要構造完全保密系統(tǒng)，必須密鑰空間的熵大于明文空間的熵。當密鑰空間等概分布時，也就是說必須密鑰量的對數(shù)大于明文空間的熵。所以，從唯密文破譯角度看，密鑰空間密鑰量越大，系統(tǒng)就越安全。

若密鑰序列為二元序列，即密鑰符號集B={0,1}，由式(11.29)得H(SL)≤H(Br)=rH(B)=r若密鑰符號集B={b1，b2，…，bt}，可得H(SL)≤H(Br)=rH(B)=rlogt可見，實現(xiàn)完全保密所需的密鑰量是有下限的。一般信源是有剩余的，明文信源空間的信息熵0≤

H(SL)=H(S1S2…SL)=≤Llogq當信源有記憶時，H(SL)將大大減?。?/p>

正因為明文存在剩余度，所以實現(xiàn)完全保密所需的密鑰量的下限可以減少。另外，由于明文存在剩余度，也就是明文字母出現(xiàn)概率不均勻，或者字母之間有依賴關系，這就給破譯者帶來一定便利。例如，英文26個字母中E出現(xiàn)概率最高，又英文語句中雙字母TH、HE、IN、ER…等出現(xiàn)的概率高，三字母THE、ING、AND、HER…等出現(xiàn)的概率高等。破譯者在英文字母密文的破譯中就可利用這種關系，較容易地進行猜測破譯，獲取正確的明文?，F(xiàn)我們定義L長明文序列的剩余度為D。L長明文序列平均每個字母的剩余度根據(jù)第8章，我們巳知可以對信源進行無失真壓縮編碼，可以使編碼后新信源的剩余度減少，甚至達到剩余度接近等于零。由此可見，在加密處理以前，先將明文信源進行不失真的數(shù)據(jù)壓縮，用最少的碼元來表述明文信源，這樣不但可以使所需密鑰量降低，而且減少和去掉了明文之間的依賴關系，給破譯者增加了破譯的困難。這也是香農(nóng)(Shannon)最先指出的一個重要結論。定理11.3存在有完全的保密系統(tǒng).若密鑰不重復使用，采用一次一密鑰體制，則在已知明文密文對情況下雖可破譯出所對應的密鑰，但這密鑰對以后收到密文的破譯是無效的。這樣，佛納姆密碼體制就是安全的。在實際應用中，為安全起見，要求密鑰是完全隨機方式產(chǎn)生的。而密鑰通過可靠安全的途徑送到接收者，并每次將使用過后的密鑰都立即銷毀。11．5理論保密性

本節(jié)討論在唯密文破譯條件下，破譯一種密碼體制時理論上破譯者必須處理的密文量至少需多少。也就是研究在理論上是否存在理想的保密系統(tǒng)的問題。

對于密碼系統(tǒng)來說，傳輸?shù)拿芪腃=(c1c2…cn)ci∈A。已知密文條件下關于密鑰的疑義度為

根據(jù)條件熵的性質(zhì)有由此可知，n越大，疑義度越小。一般情況，隨著截獲密文的增加，對密鑰或明文的疑義度減少，獲得有關密鑰或明文的信息量就增加。當n充分大時，使H(BrICn)→0時，就可惟一地確定密鑰空間Br，從而實現(xiàn)破譯。因而使H(BrICn)

≈0的最小n是密碼學中一個有重要意義的量。

定義11.2一個密碼系統(tǒng)在唯密文攻擊下的惟一解距離n0為

n0就是使H(BrICn)達到近似等于零的最小整數(shù)。惟一解距離就是破譯者惟一地確定加密所用密鑰至少所需要的密文量。當截獲者截獲的密文量大于n0，原則上就可以惟一地確定密碼系統(tǒng)所用的密鑰，就可以破譯。因此，惟一解距離n0是度量密碼系統(tǒng)安全性的一個指標。若對于一個密碼系統(tǒng)，能使

limH(BrICn)≠0(n→∞)，則對系統(tǒng)而言，截獲了許多密文并不能消除關于密鑰的不確定性，系統(tǒng)無法破譯，這是很理想的保密系統(tǒng)，也就是這系統(tǒng)是具有理論保密性的。

定理11.4若保密系統(tǒng)(SL,Cn,Br,Ek,Dk)采用隨機密碼方法，將L(=n)長的明文加密成n長的密文，則因為加密編碼是隨機的，即密鑰是隨機產(chǎn)生的，而且密鑰空問是等概率分布的。因此，經(jīng)過密鑰加密后，L長的密文序列中字符之間可認為近似統(tǒng)計獨立，完全隨機的。所以有因為所以因為(11.53)

由式(11.53)可知，當密鑰空間給定后，隨著截獲密文長度L增加，疑義度H(BrICn)近似線性下降，直到疑義度變得相當小。由式(11.53)和惟一解距離的定義，可得其中如為長Ｌ明文序列平均每個字母的剩余度。圖9．2給出了H(Ｂｒ)與密文量L的典型變化特性?？梢?，當=0，即明文源無剩余度時，惟一解距離n0→∞。這就是說截獲者截獲了無數(shù)多的密文，還不能惟一地確定密碼系統(tǒng)所用的密鑰，系統(tǒng)無法破譯。這時密碼系統(tǒng)是具有理論保密性的。雖然，這系統(tǒng)不一定滿足式(11.29)，不是完全保密系統(tǒng)。但它此時H(Br|Cn)≈H(Br)，截獲了無數(shù)多密文后，對于密鑰的疑義度仍等于密鑰空間的密鑰量的對數(shù)，所以破譯很困難，近似無法破譯。實際情況，明文源是有剩余的，≠0。所以．在對明文消息加密之前，先進行壓縮編碼來減少明文的剩余度，然后再加密，這對于提高系統(tǒng)的安全性是有著重要的作用。因此，明文信源的壓縮編碼是強化保密系統(tǒng)安全性的重要措施.實際情況中，明文源的剩余度為有限值，而密鑰空間密鑰量和H(Br)有限，所以惟一解距離n0是個有限值，理論上是可破譯的。[例11.7]英文字母的單表代換密碼。它密鑰量=26！，所以計算得英文信源所以所以[例11.8]英文字母的凱撒密碼，它密鑰量=26。當然，從理論上說凱撒密碼只需截獲2個密文字母都可以破譯。但實際情況下，截獲密文要大于1.4個字母才能破譯。[例11.9]固定周期d的位移置換密碼，其密鑰量=d!，得對于英文字母信源各例求得的n0是在理論意義上的，也就是理論上說當截獲密文>n0時應可破譯。它忽略了實際破譯的兩種情況：第一，理論上是假設了破譯者能利用明文源的全部統(tǒng)計知識，(計算用的是H∞)，而實際上如自然語言是很復雜的，實際破譯所需截獲的密文>>n0;第二，理論上沒有涉及實際破譯所花需的工作量、時間和計算量。從實際破譯來說，要使工作量、計算量和破譯時間減少，也要截獲大量的密文。

9．6實際保密性上一節(jié)是研究密碼系統(tǒng)的理論安全性問題。假定破譯者能充分地利用信源的全部統(tǒng)計知識，并且具備無限的計算能力、時間、人力和設備等資源，則只需截獲密文量大于n0時，原則上就可以惟一確定系統(tǒng)所用密鑰而破譯。而實際情況下，破譯者所能利用的資源、破譯時間、計算能力和人力等都受到很多限制。一旦破譯一種密碼所需付出的代價超過破譯該密碼所得信息的價值，或者破譯成功的時間超出了所得信息的有效期，則這種破譯也是徒勞的。所以，研究保密系統(tǒng)的實際意義上的保密問題是很重要的。實際保密性:保密系統(tǒng)在破譯者的時間、能力、物力等資源受限制條件下的安全性稱為實際保密性。如果一個保密系統(tǒng)的破譯所需花費的努力超過破譯者具有的條件，則此系統(tǒng)實際上是安全保密的。

密碼系統(tǒng)的理論安全性通常是在理想的、易于數(shù)學分析的假設下，關于密碼安全性的測度。忽略了破譯者所處的實際情況。在實際條件限制下，一個在理論上不完全保密的系統(tǒng)可能提供實際上的安全保密性。反之，也可能一個理論上是安全保密的系統(tǒng)，在實際上卻很脆弱、易于攻破的。例如，在英文字母單表代換密碼中，如果=0，則系統(tǒng)理論上是安全保密的。這是在唯密文破譯意義上得到的。實際情況中，破譯者常常能獲得一些明文密文對，就能破譯這密碼。又例如，一次一密鑰體制，密鑰量很大，H(Br)很大，所以系統(tǒng)理論上是安全的。但這種情況密鑰量至少和明文一樣多，密鑰傳送、密鑰的管理都很困難，實際上密鑰系統(tǒng)易于攻破。所以，實際保密系統(tǒng)不能單純追求理論保密性。

一般消息的保密都有一個最小保障時間。如果在這時間內(nèi)破譯者不能破譯的話，則系統(tǒng)的安全性能滿足實際需要，系統(tǒng)具有實際安全性。估計一個保密系統(tǒng)的實際保密性，主要考慮兩個因素。

第一是，破譯者的計算能力。這計算能力取決于破譯者所具備的設備、資金等資源。如果破譯者進行破譯所需運算的運算量、運算時間和存儲量等都受資源的限制，使在系統(tǒng)的保障時間內(nèi)無法破譯，這系統(tǒng)實際是安全的。

第二是，破譯者的破譯算法的有效性。如果破譯者掌握的破譯算法很拙劣，就需花費很長的時間和很大的精力來進行破譯，這對系統(tǒng)來說，就具有實際的保密性。例如，單表代換密碼對英文字母(q=26)進行加密，其共有26!個單表代換的密鑰。如果破譯者破譯時，簡單地采用每張代換表對密文進行比較、試驗，這就需花很長很長的時間才能破譯。假設以每微秒試驗一張代換表的速度進行試驗，又假設通過試驗一半密鑰就能找到正確的密鑰，這就大約需6.4×1012年(2×1026／(602×24×365×106))。當然，實際破譯者不會采用這種完全試湊法的。他往往是利用英文信源的統(tǒng)計特性，進行統(tǒng)計分析，這樣即使截取到很短的密文也能很快破譯。因此，破譯者總是不斷地尋找新的破譯算法，提高他的破譯效率。因此，保密系統(tǒng)的設計者要設計一個實際安全的保密系統(tǒng)，就必須研究、分析破譯者可能采用哪些破譯方法，估計這些破譯方法的工作量和有效性，使這些破譯方法的運算工作量很大、時間很長。也就相當于設計一個密碼系統(tǒng)，使破譯密碼的難度等價于解某個已知數(shù)學難題，這就能使密碼系統(tǒng)做到實際上是安全的。公開密鑰密碼系統(tǒng)的思想就是基于實際安全性提出的，把密碼破譯歸納為解數(shù)學難題，因而一個密碼系統(tǒng)的實際安全性的大小就取決于求解這些數(shù)學問題的難易程度了。數(shù)學問題的算法求解的復雜性可通過計算復雜性理論來描述，因此計算復雜性理論為破譯密碼的計算復雜度提供了實際的度量方法。而計算復雜性理論中的一些典型數(shù)學問題又給人們提供了設計實際安全的密碼系統(tǒng)的基礎。所以，信息論和計算復雜性理論是現(xiàn)代密碼系統(tǒng)設計和分析的重要基礎。從本章討論的結論可知，要使通信系統(tǒng)做到傳輸信息有效、可靠和保密，必須首先對信源進行數(shù)據(jù)壓縮，然后對壓縮的數(shù)據(jù)進行加密，再將加密后的數(shù)據(jù)進行信道糾錯編碼，最后送入信道。信道輸出的消息經(jīng)過糾錯譯碼、解密譯碼、壓縮解碼三步反變換后送到信宿。公鑰密碼體制原理示意圖公開密鑰加密法

原理框圖

兩個密鑰。一個公開作為加密密鑰，另一個為用戶專用，作為解密密鑰。公開密鑰密碼體制

公鑰密碼技術是由Diffe和Hellman于1976年首次提出的一種密碼技術。

特點：有兩個不同的密鑰，將加密功能和解密功能分開。公鑰——私鑰

基本特性：給定公鑰，要確定出私鑰是計算上不可行的。

公鑰密碼技術可以簡化密鑰的管理，并且可通過公開系統(tǒng)如公開目錄服務來分配密鑰。

信息安全與數(shù)字簽名

信息安全就是在網(wǎng)絡環(huán)境下信息系統(tǒng)中的數(shù)據(jù)受到指定保護，不因偶然和惡意的原因而遭到破壞、更改、泄露，使信息系統(tǒng)能連續(xù)、可靠、正常地運行，或因破壞后還能迅速恢復正常使用的安全過程。

五種通用的安全業(yè)務：

認證（authentication）業(yè)務

訪問控制（accesscontrol）業(yè)務

保密（confidentiality）業(yè)務

數(shù)據(jù)完整性(dataintegrity)業(yè)務

不可否認(no-repudiation)業(yè)務

數(shù)字簽名數(shù)字簽名必須保證以下三點：

接收者能夠核實發(fā)送者對報文的簽名；

發(fā)送者事后不能抵賴對報文的簽名；

接收者不能偽造對報文的簽名。目前有兩大類加密算法：一類是秘密密鑰加密方法，代表是DES算法；另一類是公開密鑰加密算法，代表是RSA算法。因此介紹對應的兩類數(shù)字簽名算法。考試要點第一章信息的定義（與物質(zhì)、能量的關系；與消息、信號的關系；

香農(nóng)定義；）信息論研究的對象、目的、內(nèi)容第二章自信息的計算；信息熵的計算；（離散信源；

離散信源的N次擴展信源；馬爾科夫信源）信息熵的性質(zhì)；信源的剩余度的計算；習題：課后2；3；4；7；7；20；23；24第三章平均互信息的性質(zhì)與計算；信道容量的計算；（對稱信道；準對稱信道；一般信道）數(shù)據(jù)處理定理；習題:1;3;4;10;第五章等長碼編碼定理；變長碼編碼定理（香農(nóng)第一定理的意義）唯一可譯碼的判斷；（克拉夫特不等式；尾隨后綴法）平均碼長的求法；習題：3；8；第六章錯誤概率與譯碼規(guī)則；最大似然譯碼規(guī)則和最小錯誤概率譯碼規(guī)則，會求錯誤概率有噪信道編碼定理（香農(nóng)第二定理）的內(nèi)容、意義習題；1；3第八章會編霍夫曼碼（二元，三元），費諾碼；掌握MH碼、算術碼的編碼原理；了解游程編碼，LZ碼習題：4；5；11；第十一章保密學的基本概念古典密碼學的種類完全、理論、實際保密性的含義

其中一個變換應用于數(shù)據(jù)起源項，稱為明文，所產(chǎn)生的相應數(shù)據(jù)項稱為密文。而另一個變換應用于密文，恢復出明文。這兩個變換分別稱為加密變換和解密變換。習慣上，也使用加密和解密這兩個術語。

加密變換將明文數(shù)據(jù)和一個稱作加密密鑰的獨立數(shù)據(jù)值作為輸入。類似地，解密變換將密文數(shù)據(jù)和一個稱作解密密鑰的獨立數(shù)據(jù)值作為輸入。這些數(shù)據(jù)看上去像隨機比特向量。

明文是沒有受到保護的數(shù)據(jù)。密文可在一個不可信任的環(huán)境中傳送，因為如果密碼體制是安全的，那么任何不知道解密密鑰的人都不可能從密文推斷出明文。密鑰體制可根據(jù)所采用的密鑰類型分為對稱（單密鑰）體制(One-keyorSymmetricCryptosystem)和非對稱（雙鑰密）體制(Two-keyorAsymmetricCryptosystem)。

私鑰密碼體制原理示意圖公鑰密碼體制原理示意圖

（1）在密碼技術中，加密和解密實質(zhì)上是某種“密碼算法”，按密碼算法進行變換的控制參數(shù)就是“密鑰”。（2）一個好的密碼系統(tǒng)必須具有抗破譯的能力，使這種破譯不可能，或者即使理論上可破譯，而實際上這種破譯很困難。（3）對信息的加密方式來看，可分為分組密碼和序列密碼兩大類。（4）從密鑰體制來看，可分為秘密鑰密碼體制和公開鑰密碼體制。

現(xiàn)代密碼設計應遵循的一些原則（1）系統(tǒng)即使達不到理論上不可破，也應當是實用上不可破的；（2）系統(tǒng)的保密性不依賴于對加密、解密算法及系統(tǒng)的保密，僅依賴于密鑰的保密性；（3）加密、解密運算簡單快速，易于實現(xiàn)；（4）密文相對于明文擴張小；（5）錯誤傳播擴散小；（6）密鑰量適中，分配管理容易。

密碼學中熵的概念密碼學和信息論一樣，都是把信源看成是符號（文字、語言等〕的集合，并且它按一定的概率產(chǎn)生離散符號序列。香農(nóng)對密碼學的重大貢獻之一在于他指出：冗余度越小，破譯的難度就越大。所有實際密碼體制的密文總是會暴露某些有關明文的信息。在一般情況下，被截獲的密文越長，明文的不確定性就越小，最后會變?yōu)榱?。理論上可破譯。但實際把明文計算出來的時空也許超過實際上可供使用的資源。重要的不是密碼體制的絕對安全性，而是它在計算上的安全性。香農(nóng)提出了兩種隱蔽明文信息中冗余度的基本技術：混亂和擴散。最容易的混亂是替代；產(chǎn)生擴散最簡單的方法是通過換位。數(shù)據(jù)加密標準DES

換位和替代密碼可使用簡單的硬件來實現(xiàn)。如圖所示：換位盒（P盒）

替代盒（S盒）

單獨使用P盒或位數(shù)較少的S盒，可以比較容易地檢測出它們的輸入輸出對應關系。交替使用這兩者,則可以大大提高安全性。如圖所示：(15位的P盒與5個并置的3位S盒所組成的7層硬件密碼產(chǎn)生器)。算法描述初始置換第1輪第2輪第16輪32bit對換逆初始置換64bit密文64bit明文置換選擇2置換選擇2循環(huán)左移循環(huán)左移置換選擇2循環(huán)左移置換選擇156bit密鑰K1K2K16加密流程：

1.對明文比特進行初始置換

2.將所得的結果進行完全相同的依賴于密鑰的

16輪處理

3.最后應用一個末尾置換獲得密文

依賴于密鑰的計算：

將64比特的數(shù)據(jù)分成兩半。其中一半作為一個

復雜函數(shù)的輸入，并且將其輸出結果與另一半進行

異或。

復雜函數(shù)：包括8個稱為S-盒的非線性代換。

DES的安全性主要依賴于S-盒，而且S-盒是其唯一的非線性部分。

DES密碼的安全性1997年1月28日，美國的RSA數(shù)據(jù)安全公司在RSA安全年會上公布了一項“秘密鑰挑戰(zhàn)”競賽，懸賞1萬美元破譯密鑰長度為56比特的DES。這場競賽的目的是調(diào)查Internet上分布計算的能力，并測試DES的相對強度。

美國克羅拉多州的程序員Verser從1997年3月13日起，用了96天的時間，在Internet上數(shù)萬名志愿者的協(xié)同工作下，于6月17日成功地找到了DES的密鑰。這一事件表明依靠Internet的分布計算能力，用窮盡搜索方法破譯DES已成為可能。

1998年7月17日電子邊境基金會（EFF）使用一臺25萬美金的電腦在56小時內(nèi)破解了56比特的DES。1999年1月RSA數(shù)據(jù)安全會議期間，電子邊境基金會用22小時15分鐘就宣告完成RSA公司發(fā)起的DES的第三次挑戰(zhàn)。國際數(shù)據(jù)加密算法（IDEA）IDEA使用128位密鑰，整個算法和DES相似，也是將明文劃分成一個個64位分組，經(jīng)過8輪迭代體制和一次變換，得出64位的密文。同一個算法即可用于加密，也可用于解密。

乘加單元

加密過程：

公開密鑰加