网络安全技术第2章密码技术

1、第2章 密 码 技 术 . 第2章 密 码 技 术 2.1 概述概述 2.2 传统的加密方法传统的加密方法 2.3 数据加密标准数据加密标准 2.4 密钥管理和分配密钥管理和分配 2.5 数字签名与数字证书数字签名与数字证书 2.6 计算机网络加密技术计算机网络加密技术 习题习题 第2章 密 码 技 术 . 2.1 概概 述述 2.1.1 2.1.1 基本概念基本概念 明文：信息的原始形式(Plaintext，记为P)。 密文：明文经过变换加密后的形式(Cipherext，记为C)。 加密：由明文变成密文的过程称为加密(Enciphering， 记为E)，加密通常是由加密算法来实现的。 解密：

2、由密文还原成明文的过程称为解密(Deciphering， 记为D)，解密通常是由解密算法来实现的。 密钥：为了有效地控制加密和解密算法的实现，在其处 理过程中要有通信双方所掌握的专门信息参与，这种专门信 息称为密钥(Key，记为K)。 第2章 密 码 技 术 . 2.1.2 2.1.2 数据加密模型数据加密模型 密码技术通过信息的变换或编码，将机密的敏感信息变 换成黑客难以读懂的乱码型文字，以此可以达到两个目的： 其一，使不知道如何解密的黑客不可能从其截获的乱码中得 到任何有意义的信息；其二，使黑客不可能伪造任何乱码型 的信息。 一般的数据加密模型如图2.1所示，把明文按照以密钥 (Key)为

3、参数的函数进行变换，通过加密过程产生密文或密码 文件。破译密码的技术称为密码分析(Cryptanalysis)。把设计 密码的技术(加密技术)和破译密码的技术(密码分析)总称为密 码技术(Cryptology)。加密算法和解密算法是在密钥的控制下 进行的，在加密和解密过程中使用的密钥分别称为加密密钥 和解密密钥。 第2章 密 码 技 术 . 图2.1 数据加密模型 明 文 P加 密 算 法 消 极 干 扰 窃 听 积 极 干 扰 改 变 电 文 解 密 算 法明 文 P 加 密 密 钥加 密 密 钥 密 文 C 第2章 密 码 技 术 . 2.1.3 2.1.3 密码技术分类密码技术分类 对密

4、码技术的分类有很多种标准，如按执行的操作方式不 同，密码技术可分为替换密码技术(Substitution Cryptosystem) 和换位密码技术(Permutation Cryptosystem)。如果按收发双方 使用的密钥是否相同，密码技术可分为对称密码(或单钥密码) 技术和非对称密码(或双钥密码或公钥密码)技术。对称密码技 术中加密和解密的双方拥有相同的密钥，而非对称密码技术中 加密和解密的双方拥有不同的密钥。 第2章 密 码 技 术 . 1 1对称密码技术对称密码技术 对称密码技术采用的解密算法是加密算法的逆运算。该 技术的特点是在保密通信系统中发送者和接收者之间的密钥 必须安全传送

5、，而双方通信所用的秘密密钥必须妥善保管。 对称密码技术的安全性依赖于以下两个因素：第一，加加 密算法的强度密算法的强度必须足够大，仅仅基于密文本身去解密信息在 实践中是不可能的；第二，加密算法的安全性依赖于密钥的密钥的 秘密性秘密性，而不是算法的秘密性。因此，没有必要确保算法的 秘密性，而需要保证的是密钥的秘密性。对称密码技术的算 法实现速度极快，从AES算法的测试结果来看，软件实现的 速度已达到了每秒数兆或数十兆比特。 第2章 密 码 技 术 . 对称密码技术的这些特点使其有着广阔的应用前景。因 为算法不需要保密，所以制造商可以开发出低成本的芯片以 实现数据加密。由于这些芯片有着广泛的应用，

6、因此适合于 大规模生产。对称密码技术最大的问题是密钥的分发和管理 非常复杂，代价高昂。例如，对于具有n个用户的网络，需要 n(n1)/2个密钥，在用户群不是很大的情况下，对称密码技 术是有效的。但是对于大型网络，当用户群很大、分布很广 时，密钥的分配和保存就成了大问题。对称密码技术的另一 个缺点是不能实现数字签名。 对称密码技术的典型代表有：古典密码技术、序列密码 技术和分组密码技术(如DES、IDEA、AES等)。 第2章 密 码 技 术 . 在使用对称密码技术进行秘密通信时，任意两个不同用户 之间都应该使用互不相同的密钥。如果一个网络中有n个用户， 则他们之间可能会进行秘密通信，这时网络中

7、共需n(n1)/2个 密钥(其中每个用户都需要保存n1个密钥)，这样巨大的密钥 量给密钥分配和密钥管理都带来了极大的困难。随着计算机网 络技术的发展，特别是因特网的发展，网络上互不相识的用户 都有可能需要进行保密的通信。例如，网上政府、VPN、电子 商务、移动通信、电子邮件、网上聊天等都需要保密通信。这 些需求都需要数量巨大的密钥，因此密钥分配成了关键的障碍， 而对称密码技术也很难解决这些问题。另外，对称密码技术难 以解决签名验证问题。 第2章 密 码 技 术 . 2 2非对称密码技术非对称密码技术 非对称密码技术也称为双钥或公钥密码技术，研究的基本工 具不再像对称密码技术那样是代换和置换，而

8、是数学函数。1976 年，斯坦福大学的W.Diffie和M.E.Hellman在美国国家计算机大会 上提出了他们革命性的思想公开密钥密码思想，并发表了名 为密码学的新方向(New Directions in Cryptography)的著名论 文。在该文中首次提出了公开密钥密码技术的思想，很好地解决 了上述问题，开创了现代密码学研究的新领域。近年来，非对称 密码技术已获得了巨大的发展，在理论研究方面，许多密码研究 人员(甚至包括其他相关学科领域的一些研究人员)对非对称密码 技术的研究投入了巨大的精力和热情，发表了大量的研究文献， 获得了许多系统的研究成果。在实践应用当中，公钥密码技术成 功地解

9、决了计算机网络安全的身份认证、数字签名等问题，推动 了包括电子商务在内的一大批网络应用的不断深入和发展。 第2章 密 码 技 术 . 采用非对称密码技术的每个用户都有一对密钥：一个是 可以公开的(称为加密密钥或公钥)，可以像电话号码一样进 行注册公布；另一个则是秘密的(称为秘密密钥、解密密钥或 私钥，它由用户严格保密保存)。非对称密码技术的主要特点 是将加密和解密功能分开，因而可以实现多个用户加密的信 息只能由一个用户解读，或由一个用户加密的信息可由多个 用户解读。前者可以用于公共网络中实现通信保密，而后者 可以用于实现对用户的认证。 第2章 密 码 技 术 . 公钥密码技术的最大优点(同时也

10、是最重要的创新之处)在 于针对密钥管理方法进行了改进，因为公钥密码系统在信息的 传输过程中采用彼此不同的加密密钥与解密密钥，所以使得密 码技术摆脱了必须对密钥进行安全传输的束缚，从而使密钥在 处理和发送上更为方便而且安全。特别是在当今具有用户量大、 消息发送方与接收方存在明显的信息不对称特点的应用环境中， 公钥密码技术表现出了令人乐观的前景。 第2章 密 码 技 术 . 2.2 传统的加密方法传统的加密方法 2.2.1 2.2.1 替换密码技术替换密码技术 替换密码技术是基于符号替换的密码技术，这种密码技 术以符号的置换来达到掩盖明文信息的目的。替换密码技术 有单字符单表替换密码技术、单字符多

11、表替换密码技术等。 下面介绍单字符单表替换密码技术。 第2章 密 码 技 术 . 单字符单表替换密码技术对明文中的所有字符都使用一个 固定的映射。设A=a0，a1，.，an为明文字母表，B=b0， b1，.，bn1为密文字母表，单字符单表替换密码技术使用了 A到B的映射关系f：AB，f(ai)=bj(一般情况下，为保证加密 的可逆性，f是一一映射)，将明文中的每一个字母都替换为密 文字母表中的字母。单字符单表替换密码技术的密钥就是映射 f或密文字母表(一般情况下，明文字母表与密文字母表是相同 的，这时的密钥就是映射f )。典型的单字符单表替换有以下几 种密码技术。 第2章 密 码 技 术 .

12、1 1乘法密码技术乘法密码技术 乘法密码技术的加密变换为 1) ,gcd( ), (mod ,)(nknkijaaE jik 乘法密码技术的解密变换为 ) (mod ,)( 1 nkjiaaD ijk 乘法密码技术的密钥是k。若n是素数，则有n2个密钥； 若n不是素数，则有个密钥(其中为欧拉函数的值)。 )(n 第2章 密 码 技 术 . 【例1.1】 英文字母n=26，选取密钥k=9，则明文字母到 密文字母的替换如表2.1所示。 如果明文： m=a man liberal in his views 则密文： c= a ean vujkx un lug hukqg 第2章 密 码 技 术 .

13、表表2.1 乘法密码技术乘法密码技术 明文 a b c d e f g h i j k l m 密文 a j s b k t c l u d m v e 明文 n o p q r s t u v w x y z 密文 n w f o x g p y h q z i r 第2章 密 码 技 术 . 2 2移位替换密码技术移位替换密码技术 加密变换为 nknkijaaE jik 0 ), )(mod( ,)( 解密变换为 ) )(mod() )(mod( ,)(nknjnkjiaaD ijk 由于 ) (mod) )(mod()(mod)(ninkkikji 因此解密与加密是可逆的。 第2章 密

14、码 技 术 . 从解密变换中可以看出： knk ED 移位替换密码技术的密钥是k，k惟一地确定了明文空间 到密文空间的映射，故移位替换密码技术的密钥空间的元素 个数为(n1)。 第2章 密 码 技 术 . 【例1.2】 凯撒密码(Caser)技术是对26个英文字母进行移 位替换的密码，n=26。如果选择k=3，用凯撒密码技术对明文 a man liberal in his views进行加密，由表2.2所示可以得到密文 C=E(m)为d pdq olehudo kq klv ylhzv。解密变换Dk=E23，即用 密钥k=23的替换表就可以恢复明文。 第2章 密 码 技 术 . 表表2.2 凯

15、撒密码技术替换表凯撒密码技术替换表 明文 a b c d e f g h i j k l m 密文 d e f g h i j k l m n o p 明文 n o p q r s t u v w x y z 密文 q r s t u v w x y z a b c 第2章 密 码 技 术 . 3 3密钥字密码技术密钥字密码技术 密钥字密码技术利用一个密钥字来构造替换作为密钥。 例如，如果选择cipher作为密钥字，则明文字母与密文字母的 对应关系如表2.3所示(这种密码技术先把密钥字写在明文字母 表下，再将未在字母表中出现过的字母依次写在此密钥字后， 这样构造出了一个字母替换表)。不同的密钥

16、字可以得到不同 的替换表，对于密文为英文单词的情况，密钥字最多可以有 26!41026个不同的替换表。 第2章 密 码 技 术 . 表表2.3 密钥字为密钥字为cipher的密钥字密码技术表的密钥字密码技术表 明文 a b c d e f g h i j k l m 密文 c i p h e r a b d f g j k 明文 n o p q r s t u v w x y z 密文 l m n o p s t u v w x y z 第2章 密 码 技 术 . 2.2.2 2.2.2 换位密码技术换位密码技术 1 1列换位法列换位法 将明文字符分割成为若干个(例如5个)两列的分组，并按一

17、组后面跟着另一组的形式排好，形式如下： c1 c2 c3 c4 c5 c6 c7 c8 c9 c10 c11 c12 c13 c14 c15 第2章 密 码 技 术 . 最后，不全的组可以用不常使用的字符或a，b，c，填 满。密文是取各列产生的，为 8312721161 cccccccc 如明文为WHATYOUCANLEARNFROMTHISBOOK，分组排列为 W H A T Y O U C A N L E A R N F R O M T H I S B O O K A B C 则密文将以这种形式读出：wolfhohuerikacaosatarmbbynntoc，这 里的密钥是数字5。 第2

18、章 密 码 技 术 . 2 2矩阵换位法矩阵换位法 这种加密算法是把明文中的字母按给定的顺序安排在一 个矩阵中，然后用另一种顺序选 出矩阵的字母来产生密文。 如将明文ENGINEERING按行排在34的矩阵中，如最后一 行不全可用A，B，C，填满，形式如下： 1 2 3 4 E N G I N E E R I N G A 第2章 密 码 技 术 . 给定一个置换： 1 2 3 4 N I E G E R N E N A I G 得到密文NIEGRNENIG。 第2章 密 码 技 术 . 在这个加密方案中，密钥就是矩阵的行数m和列数n(即 )，以及给定的置换矩阵f=(1234)(2413)(也就

19、是， 其解密过程是将密文根据的矩阵按行、按列的顺序写出，如下： ),(fnmk 43 nm 1 2 3 4 N I E G E R N E N I G A 第2章 密 码 技 术 . 再根据给定的置换矩阵产生新的矩阵： 1 2 3 4 E N G I N E E R I N G A 恢复明文：ENGINEERING。 第2章 密 码 技 术 . 2.3 数据加密标准数据加密标准 在介绍现代密码技术之前，我们首先来了解几个基本的概 念。一般来说，算法(Algorithm)是指完成某项任务所需的系统 化的指令集，这种任务可以是任何能够得出可认知结果的任务。 有些指令是重复性的，不同的算法往往会得出

20、相同的结果。我 们可以把算法看成是一种由有限数量的步骤组成的程序，这种 程序可用来解决某种数学问题。例如，对于等式3x2=103x， 可以用表2.4中列出的算法计算x。 第2章 密 码 技 术 . 表表2.4 算算 法法 程程 序序 算 法 程 序 3x2=103 x 最初等式 3x +3x =10(2) 将带有 x 的组件移至一边，将不带有 x 的组件移至另一边 6x =12 计算机新值 x=12/6 计算 x x =2 结果 第2章 密 码 技 术 . 1 1数据加密标准数据加密标准 DES是Data Encryption Standard(数据加密标准)的缩写。 它是由IBM公司研制的一

21、种加密算法，美国国家标准局于1977 年公布把它作为非机要部门使用的数据加密标准，近30年来， 它一直活跃在国际保密通信的舞台上，扮演着十分重要的角色。 DES是一种分组加密算法，它以64位的分组长度对数据进 行加密。同时DES也是一种对称算法，加密和解密用的是同一 种算法。它的密匙长度为56位(因为每个第8位都用作奇偶校验)， 密匙可以是任意56位的数，而且可以在任意时候改变。其中， 有极少量的数被认为是弱密匙，但是很容易避开它们，因此 DES的保密性依赖于密钥。下面简要介绍DES的算法框架。 第2章 密 码 技 术 . DES对64位(bit)的明文分组M进行操作，M经过一个初始 置换IP

22、置换成m0，将m0明文分成左半部分和右半部分m0=(L0, R0)，这两部分各32位长。然后进行16轮完全相同的运算，这 些运算被称为函数f，在运算过程中数据与密匙将结合起来。 经过16轮运算后，左、右两半部分合在一起经过一个末置换， 这样就完成了加密算法。 第2章 密 码 技 术 . 在每一轮运算中，密钥位首先进行移位，然后再从密钥 的56位中选出48位。通过一个扩展置换将数据的右半部分扩 展成48位，并通过一个异或操作替换成新的32位数据，再将 其置换一次。这四步运算就构成了函数f。然后，通过另一个 异或运算，函数f的输出与左半部分结合，其结果成为新的右 半部分，原来的右半部分成为新的左半

23、部分。将该操作重复 16次后，就实现了加密。DES的具体算法如图2.2所示。 第2章 密 码 技 术 . 图2.2DES算法框图 明文 IP L0R0 f K1 R1=L0 f(R0, K1)L1=R0 经过 16 轮相同运算 R16=L15 f(R15, K16)L16=R15 IP1 密文 + 16轮迭代过程 Li=Ri-1, Ri=Li-1 + f(Ri-1,Ki) 1i16 Li-1 Ri-1Key 移位移位 + P-盒置换 + Li Ri 缺点：不能抵御差分密码分析 线性密码分析 第2章 密 码 技 术 . 2 2国际数据加密标准国际数据加密标准 1990年，瑞士联邦技术学院的Xue

24、jia Lai和James Massey 公布了第一版分析之后，设计者为了对抗此攻击，增加了密 码算法的强度，并提出了改进算法IPES(Improved Prosed Encryption Standard，改进型建议加密标准)。在1992年，设计 者又将IPES改为IDEA。IDEA是近年来提出的各种分组密码中 较为成功的算法之一，因为在目前该算法仍然是安全的，它 已在PGP(Pretty Good Privacy)中得到了应用。 第2章 密 码 技 术 . 3 3高级加密标准高级加密标准 20世纪70年代中期，由美国人开创的DES可以说经历了漫 长而辉煌的年代。但由于在20世纪末出现了差分

25、密码分析及差分密码分析及 线性密码分析线性密码分析，使得破译DES成为了可能。比利时的密码学专 家Joan Daemen提出了加密算法Rijndael。目前，Rijndael以 其算法设计的简洁、高效以及安全而备受世人关注。 Rijndael密码在设计中考虑到了3条准则：抗击目前已知 的所有攻击，在多个平台上 实现速度要快和编码紧凑、设 计简单。 第2章 密 码 技 术 . Rijndael中同样使用了迭代变换，但与大多数分组密码不 同的是，Rijndael没有使用Feistel结构。Rijndael密码的迭代变 换由3种不同的可逆变换组成，这3种不同的可逆变换能够提 供抗线性密码分析和差分密

26、码分析能力。同时在多轮迭代上 实现了高度扩散(其中包括行移位变换与列混合变换，但它们 都是线性变换)。非线性部分是由16个S盒并置而成的，起混淆 的作用(这16个S盒取自有限域GF(28)中的乘法逆运算，它是 Rijndael密码中惟一的非线性变换)。每一轮迭代的子密钥(也 称圈密钥)都是从密码密钥中获得的，每一轮迭代都把子密钥 异或到中间状态上。 第2章 密 码 技 术 . Rijndael是一个迭代型的具有可变分组长度和可变密钥 长度的分组密码，在AES设计中要求分组长度为128 bit(而 Rijndael支持128 bit、192 bit或或256 bit的分组长度的分组长度)，因此，

27、 在AES规范中，将分组长度限定为128。Rijndael符合AES的 要求(密钥长度为可变的)，但Rijndael支持分组和密钥长度分组和密钥长度 128 bit、192 bit和和256 bit，即Rijndael的分组长度和密钥长度 可变的。根据密钥长度的不同，分别称为AES-128、AES- 192和AES-256。 第2章 密 码 技 术 . AES算法的安全性仍然在讨论当中，从目前的情况来看， Rijndael尚无已知的安全性方面的攻击，该算法似乎具有良好 的安全性。目前，对AES的讨论主要集中于AES似乎有些过分 简单。因为除S盒外，Rijndael算法几乎都是线性(变换)的，其

28、 数学结构可能会受到攻击。但是，也正是由于简单，因此它才 能在AES开发期间被进行详细的安全性分析。 第2章 密 码 技 术 . 由于AES的密钥长度是可变的，因此当进行穷举攻击时， 穷举密钥的重尝试次数与密钥的长度有关：对于128 bit的密钥， 需尝试执行2127(约为1.71038)次算法；对于192 bit的密钥，需 尝试执行2191(约为3.11057)次算法；对于256 bit的密钥，需尝 试执行2255(约为5.81076)次算法。因而，相比之下，AES算法 比DES算法保密强度高。除此之外，AES在设计时已经考虑到 了差分攻击与线性攻击，因而可以很好地抵抗这两种攻击。 第2章

29、密 码 技 术 . 关于AES的效率问题，无论在有无反馈模式的计算环境中， AES在硬件、软件的实现上都表现出了良好的性能。AES可以 在包括8位和64位平台在内的各种平台及DSP上进行加密和解 密。AES算法的迭代变换与S盒完全是并行的。它的这种固有 的并行性便于有效地使用处理器资源，因而密钥建立速度快。 另外，AES非常适合于硬件实现，但由于加密、解密过程使用 了不同的代码和S盒，因此加密与解密只能共用部分电路。 第2章 密 码 技 术 . 2.4 密钥管理和分配密钥管理和分配 对称密钥加密方法的一个致命弱点就是其密钥管理十分 困难，因此它很难在现代电子商务的实践中得到广泛应用。 在这一点

30、上，公开密钥加密方法占有绝对的优势。不过，无 论实施哪种方案，密钥管理都是要考虑的问题。当网络扩展 更大、用户增加更多时尤其如此。 第2章 密 码 技 术 . 密钥分配是密钥管理中最大的问题之一。密钥必须通过 最安全的通路进行分配。例如，可以派非常可靠的信使携带 密钥，分配给相互通信的各个用户，这种方法称为网络外分 配方式。如果网络中通信的用户很多且密钥更换很频繁，则 要求采用网络通信进行网络内分配方式，即对密钥自动分配。 目前，密钥分配公认的有效方法是通过密钥分配中心密钥分配中心KDCKDC来 管理和分配公开密钥。每个用户只保存自己的秘密密钥SK和 KDC的公开密钥PK。用户可以通过KDC获

31、得任何其他用户的公 开密钥或者某一次通信采用的对称密钥加密算法的临时密钥。 假设有两个用户A和B都是KDC的注册用户，他们拥有 与KDC通信的秘密密钥SKA-KDC和SKB-KDC，现在A想与B 通过对称密钥加密算法通信，要求KDC分配这次通信的临时 密钥，则KDC分配密钥的过程如图2.3所示。 第2章 密 码 技 术 . 图2.3 KDC分配一次对称密钥的过程 用户A (1) SKA-KDC(A，B) (2) PKA-KDC(K，PK B-KDC(A，K) 用户B (3) PKA-KDC(A，K) KDC 1）A用自己的密钥SKA-KDC向KDC发送加密信息报文SKA-KDC(A,B)，说明

32、想和用户B通信； 2）KDC根据某个算法随机产生一个供A和B通信使用的密钥K，然后返回给A一个应答报 文PKA-KDC(K, PKB-KDC(A, K)。 此报文用A的公开密钥PKA-KDC加密，报文中有K和请A转给B的报文PKB-KDC(A, K)，此 报文是用B的公开密钥PKB-KDC加密的； 3）当B收到A转来的报文PKB-KDC(A, K)后，用私钥解密，就知道A与自己通信且密钥为K。 此后，A就可利用密钥K与B通信。 第2章 密 码 技 术 . 此外，KDC可使用其秘密密钥SKKDC对发给A的应答报文 进行数字签名，以防止伪造，还可在报文中加入时间戳以防止 重放攻击。由于密钥K的使用

33、是一次性的，因此其保密性非常 高。在公开密钥体制中，为使各用户更加安全地通信，必须有 一个机构把用户的公开密钥与用户的实体(人或计算机)绑定联 系起来，这样才能防止用自己的秘密密钥签名报文伪造成别的 用户，这个机构被称为认证中心(Certification Authority，CA)。 例如，用户A想欺骗用户B，用户A可以伪造一份C发送的报文 发给B，A用自己的秘密密钥签名，并附上A自己的公开密钥， 谎称这个公开密钥是C的，B有时很难确定这个公开密钥是否 是C的。这就得靠值得信赖的机构CA来确定。CA可由政府或 信誉良好的组织出资建立，每个实体都有CA发来的证书 (Certificate)，里

34、面包含有公开密钥及其拥有者的标识信息(用 户名或IP地址)，此证书由CA进行数字签名。任何用户都可以 从可信的地方获得CA的公开密钥，此公开密钥可以用来验证 某个用户的公开密钥是否为该实体所拥有。 第2章 密 码 技 术 . 2.5 数字签名与数字证书数字签名与数字证书 2.5.1 2.5.1 数字签名及原理数字签名及原理 在网络通信技术迅速发展的今天，如何证明在网络中所 传送消息的真实性呢?数字签名可以解决这一问题。数字签名 和传统的手写签名具有同样的功效，类似于亲笔签名或盖章。 那么在计算机网络中传送的信息如何“亲笔签名或盖章”呢? 数字签名是密码技术领域中研究的重要问题之一，是日常生 活

35、中手写签名的电子对应物，其主要功能是实现用户以电子 信息的形式存放信息认证。当今，随着电子商务技术的迅速 发展，数字签名的使用将会越来越普遍。 第2章 密 码 技 术 . 在一个保密通信系统中，为了防备通信双方中任何一方 的欺骗或伪造，用数字签名(Digital Signature)技术可以有 效地解决这个问题。通常，通信双方有多种形式的欺骗或伪 造，在进行通信时有可能发生以下几种形式的欺骗。 (1) 发送方否认自己发送过某一消息。 (2) 接收方自己伪造一个消息，并声称来自发送方。 (3) 网络上某个用户冒充另一个用户接收或发送消息。 (4) 接收方对收到的信息进行篡改。 第2章 密 码 技

36、 术 . 这些欺骗在实际的网络安全中都有可能发生。例如，在电 子资金传输中，接收方减少收到的资金数，并声称这一数目来 自发送方；用户通过电子邮件向其证券经纪人发送对某笔业务 的指令，以后这笔业务赔钱了，用户否认曾发送过相应的指令。 在收发双方尚未建立起完全的信任关系且存在利害冲突的情况 下，数字签名技术是解决这一问题的有效途径。数字签名应满 足下列要求。 (1) 签名是可信的。任何人都可以验证签名的有效性。 (2) 签名是不可伪造的。除了合法的签名者之外，任何人 伪造其签名都是困难的。 第2章 密 码 技 术 . (3) 签名是不可复制的。对一个消息的签名不能通过复 制变为另一个消息的签名。如

37、果一个消息的签名是从别处复 制得到的，则任何人都可以发现消息与签名之间的不一致性， 从而拒绝签名的消息。 (4) 签名的消息是不可改变的。经签名的消息不能篡改， 一旦签名的消息被篡改，任何人都可以发现消息与签名之间 的不一致性。 (5) 签名是不可抵赖的。签名者事后不能否认自己的签 名，可以由第三方或仲裁方 来确认双方的信息，并做出仲 裁。 第2章 密 码 技 术 . 为了满足数字签名的这些要求(例如通信双方在发送消息 时)，既要防止接收方或其他第三方伪造，又要防止发送方因 对自己不利而否认，也就是说，要保证数字签名的真实性。 书信或文件可以根据亲笔签名或印章来证明其真实性。但 在计算机网络中

38、传送的文件又如何盖章呢？这就是数字签名所 要解决的问题。 数字签名必须保证做到以下三点： (1) 接收者能够核实发送者对报文的签名； (2) 发送者事后不能抵赖对报文的签名； (3) 接收者不能伪造对报文的签名。 第2章 密 码 技 术 . 现在已有多种实现各种数字签名的方法。采用公开密钥算 法要比采用常规密钥算法更容易实现。下面就来介绍这种数字 签名。 发送者A用其秘密解密密钥SKA对报文P进行运算，将结 果DSKA(P)传送给接收者B。(读者可能要问：报文P还没有加 密，怎么能够进行解密呢？其实“解密”仅仅是一个数学运算。 发送者此时的运算并非想将报文P加密，而是为了进行数字签 名)。B用

39、已知A的公开加密密钥得出EPKA(DSKA(P)P。因 为除A外没有别人能具有A的解密密钥SKA，所以除A外没有别 人能产生密文DSKA(P)。这样，B就相信报文P是A签名后发送 的，如图2.4所示。 第2章 密 码 技 术 . 图2.4 数字签名的实现 发送者 A D SKA 用秘密密钥 进行签名 明文 P 接收者 B E PKA 用公开密钥 进行签名 DSKA(P) 明文 P 第2章 密 码 技 术 . 若A要抵赖曾发送报文给B，则B可将P及DSKA(P)出示给 第三者。第三者很容易用PKA去证实A确实发送过P给B。反 之，若B将P伪造成，则B不能在第三者前出示DSKA()。这样 就证明B

40、伪造了报文。由此可见，实现数字签名的同时也实现 了对报文来源的鉴别。但上述过程仅对报文进行了签名，对 报文P本身却未保密，因为截到密文DSKA(P)并知道发送者身 份的任何人，通过查阅手册即可获得发送者的公开密钥PKA， 故而能理解电文内容。若采用图2.5所示的方法，则可同时实 现秘密通信和数字签名。图2.5中，SKA和SKB分别为A和B的 秘密密钥，而PKA和PKB分别为A和B的公开密钥。 第2章 密 码 技 术 . 图2.5 具有保密性的数字签名 发送者 A D SKA 用秘密密钥 进行签名 明文 PE DSKA(P) PKA 用公开密钥 进行签名 密文 C=(EPKB(DSKA(P) 接

41、收者 B D SKA 用秘密密钥 进行签名 E DSKA(P) PKA 用公开密钥 进行签名 明文 P 第2章 密 码 技 术 . 2.5.2 2.5.2 数字证书数字证书 1 1数字证书的概念数字证书的概念 数字证书就是互联网通信中标志通信各方身份信息的一系 列数据，它提供了一种在Internet上验证用户身份的方式，其作 用类似于司机的驾驶执照或日常生活中的身份证。数字证书是 由一个权威机构CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在网上用它来识别对方的身 份。数字证书是一个经证书授权中心数字签名的包含公开密钥 拥有者信息以及公开密钥的文件。

42、最简单的证书包含一个公开 密钥、名称以及证书授权中心的数字签名。一般情况下，证书 中还包括密钥的有效时间、发证机关(证书授权中心)的名称、 该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 第2章 密 码 技 术 . 一个标准的X.509数字证书包含以下内容： (1) 证书的版本信息； (2) 证书的序列号，每个证书都有一个惟一的证书序列号； (3) 证书所使用的签名算法； (4) 证书的发行机构名称，命名规则一般采用X.500的格式； (5) 证书的有效期，现在通用的证书一般采用UTC时间格式， 其计时范围为19502049； (6) 证书所有人的名称，其命名规则一般采用X

43、.500的格式； (7) 证书所有人的公开密钥； (8) 证书发行者对证书的签名 第2章 密 码 技 术 . 2 2数字证书的重要意义数字证书的重要意义 基于Internet的电子商务系统技术使得在网上购物的顾客 能够极其方便轻松地获得商家和企业的信息，但同时也增加 了某些敏感或有价值的数据被滥用的风险。买方和卖方都必 须认为在因特网上进行的一切金融交易运作都是真实可靠的， 并且要使顾客、商家和企业等交易各方都具有绝对的信心， 这样因特网(Internet)电子商务系统就必须保证具有十分可靠的 安全保密技术，也就是说，必须保证网络安全的四大要素， 即信息传输的保密性、数据交换的完整性、发送信息

44、的不可 否认性、交易者身份的确定性。 第2章 密 码 技 术 . 1) 交易者身份的确定性 网上交易的双方很可能素昧平生，相隔千里。要使交易 成功首先要能确认对方的身份，商家要考虑客户端不能是骗 子，而客户也会担心网上的商店是一个玩弄欺诈的黑店。因 此能方便、可靠地确认对方身份是交易的前提。对于为顾客 或用户开展服务的银行、信用卡公司和销售商店，为了做到 安全、保密、可靠地开展服务活动，都要进行身份认证的工 作。对有关销售的商店来说，他们对顾客所用的信用卡的号 码是不知道的，商店只能把信用卡的确认工作完全交给银行 来完成。银行和信用卡公司可以采用各种保密与识别方法来 确认顾客的身份是否合法，同

45、时还要防止发生拒付款问题以 及确认订货和订货收据信息等。 第2章 密 码 技 术 . 2) 信息的保密性 交易中的商务信息均有保密的要求。如信用卡的账号和 用户名被人知悉，就可能被盗用；订货和付款的信息被竞争 对手获悉，就可能丧失商机。因此在电子商务的信息传播中， 一般均有加密的要求。 3) 不可否认性 由于商情的千变万化，因此交易一旦达成是不能被否认 的，否则必然会损害一方的利益。例如订购黄金，订货时金 价较低，但收到订单后，金价上涨了，如收单方否认收到订 单的实际时间，甚至否认收到订单的事实，则订货方就会蒙 受损失。因此电子交易通信过程的各个环节都必须是不可否 认的。 第2章 密 码 技

46、术 . 4) 不可修改性 交易的文件是不可被修改的。如订购黄金，供货单位在收 到订单后，发现金价大幅上涨了，如其能改动文件内容，将订 购数1吨改为1克，则将大幅受益，那么订货单位可能就会蒙受 损失。因此电子交易文件也要做到不可修改，以保障交易的严 肃和公正。 人们在感叹电子商务的巨大潜力的同时，不得不冷静地思 考，在人与人互不见面的计算机互联网上进行交易和作业时， 怎样才能保证交易的公正性和安全性以及交易双方身份的真实 性呢？国际上已经有比较成熟的安全解决方案，即建立安全证 书体系结构。数字安全证书提供了一种在网上验证身份的方式。 安全证书体制主要采用公开密钥体制，其他还包括对称密钥加 密、数

47、字签名、数字信封等技术。 第2章 密 码 技 术 . 3 3数字证书的原理数字证书的原理 数字证书采用公钥体制，即利用一对互相匹配的密钥进 行加密、解密。每个用户自己设定一把特定的仅为本人所知 的私有密钥(私钥)，用它来进行解密和签名；同时设定一把公 共密钥(公钥)并由本人公开，为一组用户所共享，用于加密和 验证签名。当发送一份保密文件时，发送方使用接收方的公 钥对数据加密，而接收方则使用自己的私钥解密，这样信息 就可以安全无误地到达目的地了。通过数字的手段保证加密 的过程是一个不可逆过程，即只有用私有密钥才能解密。在 公开密钥密码体制中，常用的一种是RSA体制，其数学原理 是将一个大数分解成

48、两个质数的乘积，加密和解密用的是两 个不同的密钥。 第2章 密 码 技 术 . 即使已知明文、密文和加密密钥(公开密钥)，想要推导 出解密密钥(私密密钥)，在计算上也是不可能的。按现在的 计算机技术水平，要破解目前采用的1024位RSA密钥，需要 上千年的计算时间。公开密钥技术解决了密钥发布的管理问 题，商户可以公开其公开密钥，而保留其私有密钥。购物者 可以用人人皆知的公开密钥对发送的信息进行加密，将信息 安全地传送给商户，然后由商户用自己的私有密钥进行解密。 第2章 密 码 技 术 . 用户也可以采用自己的私钥对信息加以处理。由于密钥 仅为本人所有，因此这样就产生了别人无法生成的文件，也 就

49、形成了数字签名。采用数字签名，能够确认以下两点： (1) 信息是由签名者自己签名发送的，签名者不能否认 或难以否认； (2) 信息自签发后到收到为止未曾作过任何修改，签发的 文件是真实文件。 第2章 密 码 技 术 . 数字签名的具体做法如下所述： (1) 将报文按双方约定的HASH算法计算得到一个固定位数 的报文摘要。在数学上保证：只要改动报文中的任何一位，重 新计算出的报文摘要值就会与原先的值不相符，这样就保证了 报文的不可更改性。 (2) 将该报文摘要值用发送者的私密密钥加密，然后连同 原报文一起发送给接收者，产生的报文即称为数字签名。 (3) 接收方收到数字签名后，用同样的HASH算法

50、对报文计 算摘要值，然后与用发送者的公开密钥进行解密而解开的报文 摘要值相比较。若相等，则说明报文确实来自所称的发送者。 第2章 密 码 技 术 . 4 4证书与证书授权中心证书与证书授权中心 CA机构又称为证书授权(Certificate Authority)中心， 它作为电子商务交易中受信任的第三方，承担公钥体系中公钥 的合法性检验的责任。CA中心为每个使用公开密钥的用户发放 一个数字证书，数字证书的作用是证明证书中列出的用户合法 拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不 能伪造和篡改证书。它负责产生、分配和管理所有参与网上交 易的个体所需的数字证书，因此是安全电子交易的核

51、心环节。 由此可见，建设证书授权(CA)中心，是开拓和规范电子商 务市场必不可少的一步。为保证用户之间在网上传递信息的安 全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用 户身份的真实性进行验证，还需要有一个具有权威性、公正性、 惟一性的机构，负责向电子商务的各个主体颁发并管理符合国 内、国际安全电子交易协议标准的电子商务安全证书。 第2章 密 码 技 术 . 5 5数字证书的应用数字证书的应用 数字证书可以应用于互联网上的电子商务活动和电子政 务活动，其应用范围涉及需要身份认证及数据安全的各个行 业，包括传统的商业、制造业、流通业的网上交易，以及公 共事业、金融服务业、工商税务、海关、

52、政府行政办公、教 育科研单位、保险、医疗等网上作业系统。 第2章 密 码 技 术 . 2.6 计算机网络加密技术计算机网络加密技术 2.6.1 2.6.1 链路加密链路加密 链路加密是目前最常用的一种加密方法，通常用硬件在 网络层以下的物理层和数据链路层中实现，可用于保护通信 节点间传输的数据。这种加密方式比较简单，实现起来也比 较容易，只要把一对密码设备安装在两个节点间的线路上， 即把密码设备安装在节点和调制解调之间，使用相同的密钥 即可。用户没有选择的余地，也不需要了解加密技术的细节。 一旦在一条线路上采用链路加密，往往需要在全网内都采用 链路加密。如图2.6所示为链路加密的原理。这种方式

53、在邻近 的两个节点之间的链路上传送的数据是加密的，而在节点中 的信息是以明文形式出现的。链路加密时，报文和报头都应 加密。 第2章 密 码 技 术 . 图2.6 链路加密 节 点 (发 送 方 ) 加 密解 密 节 点 (交 换 中 心 ) 加 密解 密 节 点 (接 收 方 ) 密 钥 A密 钥 B 第2章 密 码 技 术 . 1 1异步通信加密异步通信加密 异步通信时，发送字符中的各位都是按发送方数据加密 设备(DEE)的时钟所确定的不同时间间隔来发送的。接收方 的数据终端设备(DTE)产生一个频率与发送方时钟脉冲相同， 且具有一定相位关系的同步脉冲，并以此同步脉冲为时间基 准接收发送过来

54、的字符，从而实现了收发双方的通信同步。 第2章 密 码 技 术 . 异步通信的信息字符由1位起始位开始，其后是58位数 据位，最后1位或2位为终止位，起始位和终止位对信息字符 定界。对异步通信的加密，一般起始位不加密，数据位和奇 偶校验位加密，终止位不加密。目前，数据位多用8位，以方 便计算机操作。如果数据编码采用标准ASCII码，最高位固定 为0，低7位为数据，则可对8位全加密，也可以只加密低7位 数据。如果数据编码采用8位的EBCDIC码或图像与汉字编码， 则因8位都表示数据，所以应对8位全加密。 第2章 密 码 技 术 . 2 2字节同步通信加密字节同步通信加密 字节同步通信不使用起始位

55、和终止位实现同步，而是首 先利用专用同步字符SYN建立最初的同步。传输开始后，接 收方从邮过来的信息序列中提取同步信息。为了区别不同性 质的报文(如信息报文和监控报文)以及标志报文的开始、结束 等格式，各种基于字节同步的通信协议均提供一组控制字符， 并规定了报文的格式。信息报文由SOH、STX、ETX和BCC 等4个传输控制字符构成。信息报文有如图2.7所示的两种基 本格式。 第2章 密 码 技 术 . 图2.7 信息报文的格式 SOH报头STX正文ETXBCC STX正文ETXBCC 第2章 密 码 技 术 . 3 3位同步通信加密位同步通信加密 基于位同步的通信协议有ISO推荐的HDLC(High Level Data Link Control)，IBM公司的SDLC和ADCCP。除了所用 术语和某些细节外，SDLC、ADCCP与HDLC原理相同。 HDLC作为信息传输的基本单位，无论是信息报文还是监控 报文，都按帧的格式进行传输。帧的格式如图2.8所示。 第2章 密 码 技 术 . 图2.8 帧的格式 FACIFCSF 第2章 密 码 技 术 . 其中，F为标志，表示每帧的头和尾；A为站地址；C为 控制命令和响应类别；I为数据；FC