第十四章通信安全講解材料

第十四章通信安全14.1概述通信安全的基礎(chǔ)－密碼學(xué)密碼編碼學(xué)密碼分析學(xué)通信不安全因素被破譯被攻擊－被偽造和篡改認(rèn)證－防止被攻擊的手段認(rèn)證的目的：驗(yàn)證信息發(fā)送者真?zhèn)悟?yàn)證接收信息的完整性―是否被篡改了？是否被重復(fù)接收了？是否被拖延了？認(rèn)證技術(shù)：包括消息認(rèn)證、身份驗(yàn)證和數(shù)字簽字。1密碼編碼學(xué)內(nèi)容：將消息加密的方法將已加密的消息解密的方法密碼分析學(xué)內(nèi)容：如何破譯密文和偽造密文。密碼學(xué)的基本術(shù)語明文－待加密的消息密文－加密后的消息密碼－用于加密的數(shù)據(jù)變換集合密鑰－用于表示加密變換的參數(shù)密碼種類：?jiǎn)蚊荑€密碼公共密鑰密碼：也稱為雙密鑰密碼214.2單密鑰加密通信系統(tǒng)例：密鑰Z－m序列加密算法－模2加法解密算法－仍是模2加法一般算法：令F為產(chǎn)生密文Y的可逆變換，即有

Y=F(X,Z)=FZ(X) 在接收端，密文Y用逆變換F-1恢復(fù)成原來的明文X，即

X=F-1(Y,Z)=FZ-1(Y)=FZ-1[FZ(X)] 密鑰安全信道信源加密解密信道XYZX敵方發(fā)送端信道 接收端314.3分組密碼和流密碼分組密碼加密過程原理連續(xù)的分組用相同的密鑰加密。若有一個(gè)特定的分組明文和以前的一個(gè)分組相同，則加密后兩者的密文也相同。目標(biāo)是使明文的任1比特都不會(huì)直接出現(xiàn)在密文中。串行-分組變換器密碼加密邏輯分組-串行變換器密鑰串行明文串行明文4密鑰流應(yīng)當(dāng)盡可能地近似于一個(gè)完全隨機(jī)的序列。若密鑰流是一個(gè)m序列，則圖中的密鑰流產(chǎn)生器就是一個(gè)m序列產(chǎn)生器；密鑰則是控制此m序列的生成多項(xiàng)式和同步信息等。二進(jìn)制加性流密碼沒有錯(cuò)誤傳播；在密文中一個(gè)錯(cuò)誤比特解密后只影響輸出中的相應(yīng)比特。 （分組密碼可能有錯(cuò)誤傳播，使明文分組中很少幾個(gè)比特的改變?cè)诿芪妮敵鲋挟a(chǎn)生很多比特的變化。分組密碼的這種錯(cuò)誤傳播性質(zhì)在認(rèn)證中很有價(jià)值，因?yàn)樗箶撤降钠谱g人員不可能修改加密后的數(shù)據(jù)，除非知道密鑰。）流密碼通常較適用于通過易出錯(cuò)的通信信道傳輸數(shù)據(jù)，用于要求高數(shù)據(jù)率的應(yīng)用中，例如視頻保密通信，或者用于要求傳輸延遲很小的場(chǎng)合。6對(duì)通信安全的基本要求假設(shè)：敵方破譯人員知道所用加密法的全部機(jī)理，只是不知道密鑰。密碼分析性攻擊的形式：僅對(duì)密文的攻擊對(duì)已知明文的攻擊對(duì)選定的明文的攻擊對(duì)選定的密文的攻擊實(shí)際中常發(fā)生的是僅對(duì)密文的攻擊：例：使用語言的統(tǒng)計(jì)結(jié)構(gòu)知識(shí)（例如，英文字母e的出現(xiàn)概率是13%，以及字母q的后面總跟隨著u）和關(guān)于某些可能的字的知識(shí)（例如，一封信的開頭中可能有“先生”或“女士”兩字）。僅對(duì)密文的攻擊是一個(gè)密碼系統(tǒng)受到的最輕的威脅。因此，任何系統(tǒng)若不能戰(zhàn)勝這種攻擊，則被認(rèn)為是完全不安全的系統(tǒng)。714.4用信息論研究密碼的方法香農(nóng)模型的假定：敵方破譯人員具有無限的時(shí)間和無限的計(jì)算能力；敵方僅限于對(duì)密文攻擊。香農(nóng)的密碼分析定義：給定密文以及各種明文和密鑰的先驗(yàn)概率，搜尋密鑰的過程。當(dāng)敵方破譯人員獲得密文的唯一解時(shí)，就成功地解密了。香農(nóng)對(duì)安全性的基本度量－互信息量I(X;Y)令X=(X1,X2,…,XN)表示一個(gè)N比特的明文消息;

Y=(Y1,Y2,…,YN)表示相應(yīng)的N比特密文。假定：密鑰Z服從某種概率分布H(X)－X的不確定性H(X/Y)－給定Y后X的不確定性I(X;Y)=H(X)–H(X/Y)－X和Y之間的互信息量。814.4.1完善安全性完善安全性定義假定：破譯人員只能夠看到密文Y，則一個(gè)保密系統(tǒng)的完善安全性定義為：明文X和密文Y之間是統(tǒng)計(jì)獨(dú)立的，即有

I(X;Y)=0 于是，由I(X;Y)=H(X)–H(X/Y)，可以求出

H(X/Y)=H(X) 上式表明，敵方破譯人員最多只能，按照所有可能消息的概率分布，從給定的密文Y，去猜測(cè)明文消息X。

9 香農(nóng)基本界給定密鑰Z后，有

H(X/Y)

H(X,Z/Y)=H(Z/Y)+H(X/Y,Z) 當(dāng)且僅當(dāng)Y和Z共同唯一地決定X時(shí)，

H(X/Y,Z)=0；當(dāng)使用已知密鑰Z解密時(shí)，這是一個(gè)很有價(jià)值的假定。 因此，我們可以將式 H(X/Y)

H(X,Z/Y)=H(Z/Y)+H(X/Y,Z) 簡(jiǎn)化如下：

H(X/Y)

H(Z/Y)

H(Z) 將上式代入式 H(X/Y)=H(X)得知：為使一個(gè)保密系統(tǒng)給出完善的安全性，必須滿足條件

H(Z)

H(X)它表明為了達(dá)到完善安全性，密鑰Z的不確定性必須不小于被此密鑰所隱蔽的明文X的不確定性。10一次一密密碼原理方框圖：一種流密碼，其密鑰和密鑰流相同，并且密鑰只使用一次。密文yn=xn

zn, n=1,2,… 式中，xn－消息比特序列；

zn－統(tǒng)計(jì)獨(dú)立和均勻分布的密鑰比特序列。一次一密密碼是完善安全的，因?yàn)橄⒑兔芪闹g的互信息量為0；所以它是完全不可解密的。消息xn密文yn密鑰zn密文yn消息xn密鑰zn(a)加密(b)解密1114.4.2唯一解距離對(duì)于一個(gè)用非完善密碼加密的密文，可以預(yù)期，當(dāng)截獲的文件量隨時(shí)間增大到某一點(diǎn)時(shí)，破譯人員用無限的時(shí)間和無限的計(jì)算能力，將能夠找到密鑰并從而破譯了密文。在香農(nóng)的模型中，破譯人員能破譯此密文的臨界點(diǎn)稱為唯一解距離。唯一解距離的定義： 使條件熵H(Z/Y1,Y2,…,YN)近似為0的最小N。對(duì)于一類特殊的“隨機(jī)密文”，唯一解距離近似由下式給出： 式中，H(Z)－密鑰Z的熵，

Ly－密文字符集的大小，

r－N比特密文中所含信息的冗余度百分比，即 式中，H(X)為明文X的熵。12 在大多數(shù)保密系統(tǒng)中，密文字符集的大小Ly和明文字符集的大小Lx一樣。在這種情況下，r就是明文本身的冗余度百分比。求H(Z) 令K=密鑰Z中的數(shù)字?jǐn)?shù)目，這些數(shù)字是從大小為L(zhǎng)z的字符集中選用的；則可以將密鑰Z的熵表示如下： 當(dāng)且僅當(dāng)密鑰是完全隨機(jī)的時(shí)，上式等號(hào)成立。 令Lz=Ly，并完全隨機(jī)地選擇密鑰以使唯一解距離最大。然后，將H(Z)=Klog2

Lz代入 得到：N0

K/r

13

N0

K/r

例：考察一個(gè)Lx=Ly=Lz保密系統(tǒng)，它用于對(duì)英文文本加密 典型英文文本的r大約等于75％。因此，按照上式，一個(gè)破譯人員在僅截獲約1.333K比特的密文數(shù)據(jù)后，就能破譯此密碼，其中K是密鑰長(zhǎng)度。值得注意，非完善密碼仍然有實(shí)用價(jià)值。1414.4.3數(shù)據(jù)壓縮在密碼編碼中的作用數(shù)據(jù)壓縮能除去冗余度，因此增大了唯一解距離。14.4.4擴(kuò)散與混淆擴(kuò)散：將明文中一個(gè)比特的影響擴(kuò)散到密文中很多比特，從而將明文的統(tǒng)計(jì)結(jié)構(gòu)隱藏起來?；煜翰捎脭?shù)據(jù)變換，使密文的統(tǒng)計(jì)特性與明文的統(tǒng)計(jì)特性之間的關(guān)系更為復(fù)雜。乘積密碼：由一些簡(jiǎn)單的密碼分量相繼加密構(gòu)成；這些較簡(jiǎn)單的密碼分量分別能使最終的密碼有適度的擴(kuò)散和混淆。 例：乘積密碼用“替代密碼”和“置換密碼”作為基本分量。15替代密碼：明文的每個(gè)字符用一種固定的替代所代替；代替的字符仍為同一字符表中的字符；特定的替代規(guī)則由密鑰決定。 若明文為

X=(x1,x2,x3,x4,…) 式中，x1,x2,x3,x4,…為相繼的字符，則變換后的密文為

Y=(y1,y2,y3,y4,…)=[f(x1),f(x2),f(x3),f(x4),…] 式中，f(

)是一個(gè)可逆函數(shù)。 例：密文的字符表 從此表中可以看到，第一個(gè)字符U替代A，第二個(gè)字符H替代B，等等。使用替代密碼可以得到混淆。明文字符ABCDEFGHIJKLMNOPQRSTUVWXYZ密文字符UHNACSVYDXEKQJRWGOZITPFMBL16置換密碼：明文被分為具有固定周期d的組，對(duì)每組作同樣的交換。特定的交換規(guī)則是由密鑰決定的。若周期d＝4，交換規(guī)則為 則明文中的字符x將從位置1移至密文中的位置4。 一般而言，明文

X=(x1,x2,x3,x4,x5,x6,x7,x8,…)將變換成密文

Y=(x3,x4,x2,x1,x7,x8,x6,x5,…) 雖然密文Y中單個(gè)字符的統(tǒng)計(jì)特性和明文X中的一樣，但是高階統(tǒng)計(jì)特性卻改變了。使用置換密碼可以得到擴(kuò)散。 明文字符x1

x2

x3

x4密文字符x3

x4x2x117將替代和置換作交織，并將交織過程重復(fù)多次，就能得到具有良好擴(kuò)散和混淆性能的保密性極強(qiáng)的密碼。 例： 設(shè)明文消息為 THEAPPLESAREGOOD使用交換字符表作為替代密碼，則此明文將變換為如下密文： IYCUWWKCZUOCVRRA 下一步我們將交換規(guī)則用于置換密碼，則從替代密碼得到的密文將進(jìn)一步變換成 UCIYCKWWCOZUARVR這樣，上面的密文和原來的明文相比，毫無共同之處。明文字符ABCDEFGHIJKLMNOPQRSTUVWXYZ密文字符UHNACSVYDXEKQJRWGOZITPFMBL明文字符x1

x2

x3

x4密文字符x3

x4x2x11814.5數(shù)據(jù)加密標(biāo)準(zhǔn)－美國(guó)政府標(biāo)準(zhǔn)算法DESDES采用擴(kuò)散和混淆算法，是一種保密性很強(qiáng)的密碼。它對(duì)64b長(zhǎng)的明文數(shù)據(jù)分組運(yùn)算，所用的密鑰長(zhǎng)度為56b。DES算法中：總變換=P-1{F[P(X)]}， 其中X－明文， P－某種交換， F－包括替代和置換；由某些函數(shù)f的級(jí)連構(gòu)成。19DES算法流程圖第1次初始交換后：64b的明文分為左 半部L0和右半部R0，每半部長(zhǎng)32b。完成16輪交換，其中第i輪交換：

Li=Ri－1， i=1，2，…，16

Ri=Li-1

f(Ri-1,Zi)，i=1，2，…，16 式中，Zi－在第i輪中使用的密鑰； 此密鑰的長(zhǎng)度為48b。第16輪運(yùn)算的結(jié)果，經(jīng)過顛倒后， 得到R16L16。再經(jīng)過最后一次交換P-1， 就產(chǎn)生出64b的密文。為了解密，函數(shù)f(

,

)不必須是可逆的， 因?yàn)?Li-1,Ri-1)能夠從(Li,Ri)直接恢復(fù)： Ri-1=Li

i=1，2，…，16 Li-1=Ri

f(Li,Zi) i=1，2，…，16f(R0,

Z1)R16L16最后一次交換64b密文Z164b明文初始交換32bL032bR0f(R0,

Z1)R1L1f(R0,

Z1)R2L2R15L15Z2Z1620計(jì)算f(

,

)的流程圖擴(kuò)展：R(32b)

R(48b)

方法：重復(fù)每個(gè)相繼的4 比特字的兩端比特。 若

R=r1r2r3r4r5r6r7r8…r29r30r31r32

則擴(kuò)展后

R

＝r32r1r2r3r4r5r4r5r6r7r8r9… …r28r29r30r31r32r1R

和Zi模2相加，再將相加 結(jié)果分成8個(gè)6b的字：B1B2…B8=R

Zi

32b的R擴(kuò)展48b的R

48b的ZiS2S8S1…交換P[

]32bf(R,Zi)第1個(gè)4b的字第2個(gè)4b的字第8個(gè)4b的字第1個(gè)6b的字第2個(gè)6b的字第8個(gè)6b的字21每個(gè)6b的字Bi輸入到一個(gè)替代方框Si；后者用查表的方法產(chǎn)生出一個(gè)4b的輸出Si(Bi)。Si(Bi)是6b字Bi的布爾函數(shù)。8個(gè)輸出Si輸入到交換方框P[

]。交換所得就是所要求的 32b的函數(shù)f(R,Zi):

f(R,Zi)＝P[S1(B1)S2(B2)…S8(B8)]32b的R擴(kuò)展48b的R

48b的ZiS2S8S1…交換P[

]32bf(R,Zi)22密鑰進(jìn)程計(jì)算－決定每個(gè)Zi所用的過程流程圖各Zi使用密鑰Z0的 不同子集。密鑰Z0在位置8,16, …,64上有8個(gè)監(jiān)督 比特，用于在對(duì)應(yīng) 的8b字節(jié)中進(jìn)行錯(cuò) 誤檢測(cè)?！敖粨Q選擇1”丟掉Z0 的監(jiān)督比特。然后存入兩個(gè)28b的 移存器中。64b密鑰交換選擇156b密鑰28bC028bD0左移左移C1D1左移左移交換選擇2C2D2左移左移交換選擇2C16D16交換選擇2移存器Z1Z2Z16…23作16次迭代運(yùn)算，每次迭代包括一次或兩次循環(huán)左移，然后進(jìn)行“交換選擇2”。輸出就是第1次至第 16次迭代用的不同的 48b密鑰分組Z1,Z2, …,Z16。64b密鑰交換選擇156b密鑰28bC028bD0左移左移C1D1左移左移交換選擇2C2D2左移左移交換選擇2C16D16交換選擇2移存器Z1Z2Z16…2414.6公共密鑰密碼編碼方法14.6.1基本原理公共密鑰系統(tǒng)中，用兩種算法去計(jì)算兩個(gè)不可逆函數(shù)（變換）。令這兩種算法用{Ez}和{Dz}表示：

Ez:fz(x)=y －公共密鑰（公鑰） Dz:fz-1(y)=x－秘密密鑰（私鑰） 式中，x－在某個(gè)函數(shù)fz的域中的一個(gè)輸入消息，

y－在fz取值范圍內(nèi)相應(yīng)的密文?；疽螅汉瘮?shù)fz必須是一個(gè)單向函數(shù)。公鑰和私鑰的兩個(gè)基本性質(zhì)：消息被這對(duì)密鑰之一加密后，能夠用另一個(gè)密鑰解密。知道公鑰后，不可能計(jì)算出私鑰。將此系統(tǒng)的用戶姓名、地址和公鑰列于一本“電話簿”中。當(dāng)一個(gè)用戶需要向另一個(gè)用戶發(fā)送保密消息時(shí)，查此“電話簿”，用對(duì)方的公鑰對(duì)消息加密。加密的消息只能由持有對(duì)應(yīng)私鑰的用戶閱讀。2514.6.2Diffie-Hellman公共密鑰分配系統(tǒng)基本原理：令離散指數(shù)函數(shù)為

Y=

Xmodp 1

X

p–1 式中，

－一個(gè)整數(shù)，并且是一個(gè)本原元。 因此，X是Y的以

為底的模p離散對(duì)數(shù)：

X=log

Ymodp1

Y

p–1 使用“平方的乘積”法，很容易從X計(jì)算Y。 例如，對(duì)于X=16，有

Y=

16={[(

2)2]2}2

另一方面，從Y計(jì)算X則難得多。應(yīng)用方法：假定所有用戶都知道

和p。若有一用戶i，從一組整數(shù){1,2,…,p}中，均勻地選擇一個(gè)獨(dú)立隨機(jī)數(shù)Xi，作為私鑰；并將離散指數(shù)

Yi=

Ximodp

和用戶姓名及地址一起放在“公共電話簿”中。其他用戶也如此做。26假設(shè)用戶i和j希望進(jìn)行保密通信。為此，用戶i從“公共電話簿”中取出Yj，并用私鑰Xi計(jì)算 用戶j用同樣方法計(jì)算Kij。因?yàn)?/p>

Kji=Kij 所以，用戶i和j可將Kji看作是普通保密系統(tǒng)中的密鑰。敵方若想得到Kji，必須用從“公共電話簿”中得到的Yi和Yj，按照下列公式去計(jì)算Kji： 上式因?yàn)榘x散對(duì)數(shù)故難于計(jì)算。

2714.7RSA算法14.7.1RSA公共密鑰密碼系統(tǒng)基本原理：RSA算法是一種分組密碼，其理論基礎(chǔ)是，求出一個(gè)隨機(jī)的大素?cái)?shù)不難，但是將兩個(gè)這種數(shù)的乘積分解因子目前認(rèn)為是不可能的。算法：隨機(jī)選擇兩個(gè)很大的素?cái)?shù)p和q，p

q；將p和q相乘，得到乘積

pq=n

使用下式求出歐拉函數(shù)

(n):

(n)=(p–1)(q–1)從歐拉函數(shù)φ(n)的定義可知，上式給出小于n的正整數(shù)i的數(shù)目，且i和n的最大公因子等于1，即i和n互為素?cái)?shù)。

例：設(shè)p＝3，q＝5，則n＝15，

(n)=(3-1)(5-1)=8。它表示小于15且和15互素的正整數(shù)i共有8個(gè)；它們是：1，2，4，7，8，11，13，14。28令e是一個(gè)小于φ(n)的正整數(shù)，它使e和φ(n)的最大公因子等于1。這樣，求出一個(gè)小于φ(n)的正整數(shù)d，它使

de＝1modφ(n)RSA的單向函數(shù)由計(jì)算下式中的離散指數(shù)定義：

fz(