第2章之对称加密_8040_1175_20100916162350

1、第二章 密码技术简介对称加密4学时学时二、对称数据加密技术n分组密码发展n数据加密标准DESnDES的安全性和面临的攻击n其他对称密码算法n高级加密标准AESn分组密码设计n分组加密操作模式对称加密加密和解密过程均采用同一把秘密钥匙（密钥）。Alice发送加密的信息给Bob的情况：（1）Alice和Bob协商用同一密码系统。（2）Alice和Bob协商同一密钥。（3）Alice用加密算法和选取的密钥加密她的明文信息，得到了密文信息。（4）Alice发送密文信息给Bob。（5）Bob用同样的算法和密钥解密密文，然后读它。 利用对称密码体制通信利用对称密码体制通信1、分组密码发展分组加密: 是指对

2、一个个定长的数据块进行加密，数据块之间的关系不依赖于加密过程，即当两个数据块内容一样时，加密后所得到的密文也完全一样。序列加密: 是指数据流的加密，加密过程带有反馈性，即前一个字节加密的结果作为后一字节加密的密钥。可见，流加密方式具有更强的安全性。Shannon 与代换置换密码n1949 Claude Shannon 提出了代换置换的思想，现代代换-移位乘积密码的基础nS-P 基于两个经典密码技术: n代换(S-box)n置换 (P-box)n消息的混乱和扩散 加密的两个基本要素n代换/替代Substitution: 制造混乱(confusion)，使得确定消息和密钥是怎样转换成密文的尝试变得

3、困难。n置换Transposition:重新排列消息中的字母，将消息或密钥外的信息扩散(diffusion)到整个密文，从而打破密文的结构特性。 多阶段混合使用替代和置换加密能够产生使密码分析极为困难的算法。混乱和扩散n需要密码完全掩盖原始消息的统计特性n一次一密钥的密码本掩盖了统计特性n实际上 Shannon建议综合使用各种技术和原理以实现 :n扩散扩散 在大量的密文中消除明文的统计结构n混乱混乱 使密文与密钥的关系尽可能复杂化2、数据加密标准（DES Data Encryption Standard）1) DES的发展历程n1973.5.15美国联邦注册大会上，美国国家标准局（NBS）公开

4、征集标准密码算法n1974.8.27第二次征集n候选算法是从IBM（国际商用机器）公司1970初Feistel领导开发的Lucifer算法发展而来，W. Tuchman 和 C. Meyer 1971-1972年研制成功。nNBS请NSA帮助评估n70-90 密码学家与NSA之间的争辩n1975.3.17 NBS公布算法细节，征求评论n1976年11月23日，DES被采纳作为美国联邦的一个标准，并授权在非密级政府通信中使用n 1977年1月15日由美国国家标准局颁布为数据加密标准（Data Encryption Standard），于1977年7月15日生效n在此之前，没有一个NSA执行算法被

5、公布n目前世界上应用最广泛的分组密码2) DES设备的鉴定和认证n鉴定工作是由美国国家标准与技术研究所（NIST）来完成，到1995年3月，有45种不同的实现方法已通过鉴定 nDES标准的条款中规定每五年对标准重新审查一次， NBS提出了三个审查结果供人参考：再使用该标准三年，取消该标准或者修改该标准的适用性n有专家在1993年声称DES的寿命将在20世纪90年代末期结束 DES分组加密算法n对称算法，加密和解密用的是同一种算法，只是加密和解密时所采用的密钥编排不同n分组算法，以64-位为分组n混乱和扩散的组合，一次加密或解密总共有16轮，也就是要完成一次加密（解密）过程，必须在明文（密文）分

6、组上实施16次相同的组合技术 n密钥长度：56位，密钥通常表示为64位的数，但每个字节的第8位都用作奇偶校验，可以忽略 4) DES算法的描述 Li = Ri-1 Ri = Li-1 XOR f(Ri-1,Ki)明文IPL0R0K1L1= R0R1= L0 f(R0, K1)K2L2= R1R2= L1 f(R1, K2)L15= R14R15= L14 f(R14, K15)R16= L15 f(R15, K16)L16= R15K16IP-1密文5) 总体过程描述初始置换（IP）- 16轮完全相同的运算-初始置换的逆（IP-1） 每一轮DES： Li = Ri-1， Ri = Li-1 X

7、OR f(Ri-1,Ki) Li-1 Ri-1F+Li RiKiF（1）初始置换（Initial Permutation IP）nIP 重新排列输入数据比特 n结构上很有规律 (易于实现硬件加密)n例如: IP= 1 2 3 4 5 6 7 8 2 6 3 1 4 8 5 7IP-1= 1 2 3 4 5 6 7 8 4 1 3 5 7 2 8 6易见IP-1(IP(X)=X 初始变换IP输入（64位）58 50 42 34 26 18 10 260 52 44 36 28 20 12 462 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41

8、33 25 17 9 159 51 43 35 27 19 11 361 53 45 37 29 21 13 563 55 47 39 31 23 15 7输出（64位）L0（32位）R0（32位）置换码组 输入（64位）40 8 48 16 56 24 64 3239 7 47 15 55 23 63 3138 6 46 14 54 22 62 3037 5 45 13 53 21 61 2936 4 44 12 52 20 60 2835 3 43 11 51 19 59 2734 2 42 10 50 18 58 2633 1 41 9 49 17 57 25输出（64位）逆初始变换IP

9、-1（2）16轮运算函数f的细节：数据右半部分通过扩展（expansion permutation）由32位扩展为48位，并通过一个异或操作与经过移位和置换的48位密钥结合，其结果通过8个S-盒（substitution box）将这48位替代成新的32位数据，再将其置换一次 （3）每一轮DES中f函数的细节长度为长度为32的比特串的比特串R（32bits）作第一个输入，作第一个输入，以长度为以长度为48的比特串的比特串K(48bits)作第二个输入。作第二个输入。产生的输出为长度为产生的输出为长度为32的位串。的位串。Li-1Ri-1密钥移位移位P-盒置换LiRi密钥（3）函数细节扩展置换E

10、P盒置换S盒代替A32位32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 1312 13 14 15 16 1716 17 18 19 20 2120 21 22 23 24 2524 25 26 27 28 2928 29 30 31 32 1选择运算E选择运算E的结果48位（4）扩展置换运算E雪崩效应 n输入明文或密钥中一个比特的变化会导致输出中一半比特的密文发生变化n使得穷举试凑成为不可能nDES的扩展置换使其具有很强的雪崩效应（5 5）S S盒子盒子n(1)把E函数的输出结果写成连续的8个6位串, B=B1B2B3B4B5B6B7B8n(2)使用8个S盒，每个

11、Sj是一个固定的416矩阵，它的元素取015的整数。给定长度为6的比特串，如Bj=b1b2b3b4b5b6计算Sj(Bj)如下：nb1b6两个比特确定了Sj的行数, r(0=r=3); nb2b3b4b5四个比特确定了Sj的列数c（0=c=15）。n最后Sj(Bj)的值为S-盒矩阵Sj中r行c列的元素（r,c）, 得Cj=Sj(Bj)。S-box-11234567891011121314151611441312151183106125907201574142131106121195383411481362111512973105041512824917511314100613 0 1 2 3

12、4 5 6 7 8 9 10 11 12 13 14 150 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 71 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 82 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 03 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13S11 0 1 1 0 0 1020 0 1 0输入6位输出4位使用使用S1的例子的例子盒函数方案nDES的核心是S盒，除此之外的计算都是线性的。S盒作为该密码体制的非线性组件对安全性至关重要。n1976年美国NSA提出了下列几条

13、S盒的设计准则：n S盒的每一行是整数0，15的一个置换n 没有一个S盒是它输入变量的线性函数n改变S盒的一个输入位至少要引起两位的输出改变n对任何一个S盒和任何一个输入X，S（X）和S(X001100）至少有两个比特不同n对任何一个S盒，对任何一个输入对e,f属于0,1,S(X) S(X11ef00)n对任何一个S盒，如果固定一个输入比特，来看一个固定输出比特的值，这个输出比特为0的输入数目将接近于这个输出比特为1的输入数目。K是长度为64的位串，其中56位是密钥，8位是奇偶校验（为了检错），在密钥编排的计算中，这些校验位可略去。 给定64位的密钥K，放弃奇偶校验位（8，16，64）并根据固

14、定置换PC-1来排列K中剩下的位。 PC-1(K)=C0D0其中C0由PC-1（K）的前28位组成；D0由后28位组成。对1=i=16，计算Ci=LSi(Ci-1) Di=LSi(Di-1)LSi表示循环左移2或1个位置，取决于i的值。i=1,2,9和16 时移1个位置，否则移2位置。Ki=PC-2(CiDi), PC-2为固定置换（6 6）从密钥）从密钥K K计算子密钥计算子密钥轮密钥编排轮密钥编排KPC-1C0 D0LS1LS1C1 D1LS2LS2LS16LS16C16 D16PC-2PC-2K1K16 循环左移：1 1 9 12 1 10 23 2 11 24 2 12 25 2 13

15、 26 2 14 27 2 15 28 2 16 1密钥置换1：PC157, 49, 41, 33, 25, 17, 9, C Half 1, 58, 50, 42, 34, 26, 18, 10, 2, 59, 51, 43, 35, 27, 19, 11, 3, 60, 52, 44, 36, 63, 55, 47, 39, 31, 23, 15, D Half 7, 62, 54, 46, 38, 30, 22, 14, 6, 61, 53, 45, 37, 29, 21, 13, 5, 28, 20, 12, 4 14, 17, 11, 24, 1, 5, C half 14, 17,

16、 11, 24, 1, 5, C half 3, 28, 15, 6, 21, 10, (bits 1-28) 3, 28, 15, 6, 21, 10, (bits 1-28) 23, 19, 12, 4, 26, 8, 23, 19, 12, 4, 26, 8, 16, 7, 27, 20, 13, 2,16, 7, 27, 20, 13, 2, 41, 52, 31, 37, 47, 55, D half 41, 52, 31, 37, 47, 55, D half 30, 40, 51, 45, 33, 48, (bits 29-56) 30, 40, 51, 45, 33, 48,

17、(bits 29-56) 44, 49, 39, 56, 34, 53, 44, 49, 39, 56, 34, 53, 46, 42, 50, 36, 29, 3246, 42, 50, 36, 29, 32 密钥置换2： PC26）DES操作过程的总结n预置初始值n外部提供64比特密钥n构造16个密钥向量n外部提供64比特明文n从X求出 L(0),R(0)n置迭代计数器i=1，迭代in求扩展函数E，从R(i-1)得出E(R(i-1) n加密用K(i),解密用K(17-i).n将上两步结果模二加，结果为48比特An构成S盒，得出32比特向量Bn利用置换函数P置换B ，导出P(B)nP(B)与

18、L(i-1)相加，得出R(i)n定义L(i)=R(i-1)n迭代计数器i+1n计数器=16,迭代，否则产生输出。7） DES 解密nDES的设计使得解密就是重复加密的步骤n以相反的顺序使用各轮加密密钥 n(K16 , K15 K1)n注意开始和最后的置换3 DES安全性和面临的攻击n互补性互补性n弱密钥弱密钥n攻击攻击n差分密码分析差分密码分析n相关密钥密码分析相关密钥密码分析n线性密码分析线性密码分析n强力攻击强力攻击互补性若 y=E(k,x)，则有：y=E(k,x)逐位互补n互补性由DES中两次以获运算配置决定n使DES在选择明文破译下所需工作量减半弱密钥和半弱密钥nDES算法数学上的复杂

19、度也就是它的密钥强度。n弱密钥: k(1)=k(2)=k(16) 存在4种：64bit 0101010101010101 1F1F1F1F1F1F1F1F E0E0E0E0E0E0E0E0 FEFEFEFEFEFEFEFE 半弱密钥n只产生两种不同的内部密钥，每种出现8次。n条件：1）寄存器C（或D）：01010101 或 10101010 2）另一寄存器D（或C）：00000000，11111111，01010101，或10101010 n说明： 弱密钥和半弱密钥并不构成对算法保密性的威胁。 差分密码分析差分密码分析考查那些有特定差分的明文对，分析通过DES的论扩散时差分的演变。（选择明文）

20、对较少轮DES有效的分析方法是由E.Biham和A.Shamir提出的。见Differential Cryptanalysis of DES-like Cryptosystems. E.Biham A.Shamir 1990 The Weizmann Institute of Science Department of Aplied Mathematics 该文给出选择性明文攻击，是一个很有效的方法。对于攻击8轮DES，在486那样的计算机上，只需2分钟可攻破。 相关密钥密码分析相关密钥密码分析考查不同密钥间的差分数据用两个密钥加密DES密钥的环移位数：除在1、2、9、16轮后左移1位外，其余

21、都是左移2位。若修改为每轮后左移2位，则安全性就会降低意义：该攻击方法与轮数无关第一个攻击子密钥产生算法的密码分析方法n使用线性近似值来描述DES的操作n把明文的一些位和密文的一些位分别进行异或运算，然后将这两个结果异或，得到的位是密钥的一些位的异或结果nMatsui. M, Linear Cryptanalytic Method for DES Cipher,Advances in Cryptology-Eurocrypt93,Springer-Verlag, PP.398-409, 1994.线性密码分析线性密码分析DES的强度强力攻击：255次尝试差分密码分析法：247次尝试（选择明文）

22、q已知明文攻击需255.1次尝试线性密码分析法：243次尝试DES 密钥长度n56-bit 密钥有 256 = 7.2 x 1016 可能值n穷举攻击比较难,一些记录：n1997 在Internet 上是几个月 n1998 在专门的硬件上是几天 n1999以上二者联合是22小时对DES攻击结果及其启示n1997年1月28日美国RSA数据安全公司悬赏“秘密密钥挑战”竞赛n1997年3月13日Rocke Verser设计一个攻击程序（DESCHALL），参加的志愿者有78516个，第96天（6月17日晚10：39）Michael Sanders破译成功，获1万美圆奖金。搜索量为24.6%。n199

23、8年7月17日，电子边境协会（ Electronic Frontier Foundation (EFF) ）使用一台价值25万美元的 电脑在56小时破解了56bit的DESn1999年，22小时15分密钥长度(bit)穷举时间4078秒485 小时5659天6441年7210，696年802，738，199年88700，978，948年96179，450，610，898年11211，760，475，235，863，837年128770，734，505，057，572，442，069年DES CHALL搜索速度估算搜索速度估算对DES算法的思考16轮的DES可抗差分密码分析;为了获得差分分析所不

24、可少的数据，需对选择明文的速度为1.5M/秒的数据序列加密达3年;对已知明文攻击，需255.1次运算S-盒子的设计对抗差分分析是最优的，任何修改都会减弱其安全性S-盒子的设计对抗线性分析不是最优的，但盲目地修改同样会减弱其安全性4. 其他对称分组加密算法一种是对DES进行复合，强化它的抗攻击能力；一种是开辟新的方法，既象DES那样加解密速度快，又具有抗差分攻击和其他方式攻击的能力。1） Triple DES2） IDEA3） RC54） RC6双重DES (Double DES) nC = EK2(EK1(P) P = DK1(DK2(C)双重DES的讨论n假设对于 DES和所有56比特密钥，

25、给定任意两个密钥K1和K2，都能找到一个密钥K3使得EK2(EK1(P) = EK3 (P) 。如果这个假设是事实，则DES的两重加密或者多重加密都将等价于用一个56比特密钥的一次加密。 n从直观上看，上面的假设不可能为真。因为DES的加密事实上就是做一个从64比特分组到一个64分组的置换， 而64比特分组共有264可能的状态，因而可能的置换个数为n另一方面， DES的每个密钥确定了一个置换，因而总的置换个数为 。n直到1992年才有人证明了这个结果。17561022010000000000003473800000641010!2中间相遇攻击C = EK2(EK1(P) X = EK1(P)

26、= DK2(C)给定明文密文对(P,C) 对所有256个密钥,加密P,对结果排序 对所有256个密钥,解密C,对结果排序 逐个比较,找出K1,K2使得EK1(P) = DK2(C)密钥长度知识n如果一个茶匙足够容纳所有可能的 40 位的密钥组合，那么所有 56 位的密钥组合需要一个游泳池来容纳，而容纳所有可能的 128 位的密钥组合的体积将会粗略地与地球的体积相当。一个用十进制表示的 128 位的值大概是 3.4E38Triple-DES的四种模型nDES-EEE3：三个不同密钥，顺序使用三次加密算法nDES-EDE3：三个不同密钥，依次使用加密-解密-加密算法nDES-EEE2：K1=K3，

27、同上nDES-EDE2：K1=K3，同上双密钥的三重DESnC=EK1(DK2(EK1(P) P=DK1(EK2( DK1(C)对双密钥的三重DES的分析n该模式由IBM设计, 可与常规加密算法兼容n这种替代DES的加密较为流行并且已被采纳用于密钥管理标准（ANSX9.17和ISO8732).n到目前为止，还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索，那么由于空间太大为2112=51033，这实际上是不可行的。若用差分攻击的方法，相对于单一DES来说复杂性以指数形式增长，要超过1052。2)国际数据加密IDEA（International Data Encryption

28、 Algorithm)n1990年瑞士联邦技术学院的来学嘉和Massey提出，PES，91年修订，92公布细节设计目标从两个方面考虑n加密强度n易实现性n强化了抗差分分析的能力， PGPIDEA算法特点64位分组,128位密钥运算: XOR ,模216（65536）加 ,模 (216+1)（65537）乘 三种运算均不满足分配律与结合律有大量弱密钥难以直接扩展到128位块3)RC5n作者为Ron Rivest 1994设计、1995公开1. 适用于软件或者硬件实现2. 运算速度快3. 能适应于不同字长的程序（一个字的bit数是RC5的一个参数；）n加密的轮数可变（轮数是RC5的第二个参数）n密

29、钥长度是可变的（密钥长度是RC5的第三个参数）6. 对内存要求低7. 依赖于数据的循环移位（增强抗攻击能力）RC5参数三个参数参数w：表示字长，RC5加密两字长分组，可用值为16、32、64参数r：表示轮数，可用值0,1,255参数b：表示密钥K的字节数，可用值0,1,255RC5版本：RC5-w/r/b算法作者建议标定版本为RC5-32/12/16（明文分组长度64，加密轮数12，密钥长度128 bits)4)RC6n被选为21世纪加密标准算法。RC6是RC5的进一步改进。像RC5那样，RC6实际上是利用数据的循环移位。nRC5自1995年公布以来，尽管至今为止还没有发现实际攻击的有效手段，

30、然而一些理论攻击的文章先后也分析出RC5的一些弱点。nRC6的加密程序：RC6-w/r/bnsimple,fast, and secure.其它加密算法nCAST-128nCarlisle Adams & Stafford Tavares 1997（加拿大）nBLOWFISHnBruce Schneier 1995发表nRC2nRon Rivest1997开发5. 分组密码的一般设计原理n针对安全性的一般原则:n混乱n扩散n重要的设计原理:必须能抵抗现有的攻击方法n针对实现的原则n软件n硬件1）分组密码设计原理n循环次数循环次数越多进行密码分析的难度就越大nF的设计准则(S盒子的设计准

31、则)n非线性的且线性近似很难nSAC（Strict Avalanche Criterion）严格雪崩准则即一个输入比特的变化应该在多个输出比特中体现nBIC（Bit Independence Criterion）比特独立准则即一个输入比特的变化时。两个输出比特的变化是独立的n密钥调度（密钥的SAC和BIC）2）分组密码的整体结构nSP网络nFeistel 网络Shannon 与代换置换密码n1949 Claude Shannon 提出了代换置换的思想，现代代换-移位乘积密码的基础nS-P 基于两个经典密码技术: n代换(S-box)n置换 (P-box)n消息的混乱和扩散 加密的两个基本要素n

32、代换/替代Substitution: 制造混乱(confusion)，使得确定消息和密钥是怎样转换成密文的尝试变得困难。n置换Transposition:重新排列消息中的字母，将消息或密钥外的信息扩散(diffusion)到整个密文，从而打破密文的结构特性。 多阶段混合使用替代和置换加密能够产生使密码分析极为困难的算法。混乱和扩散n需要密码完全掩盖原始消息的统计特性n一次一密钥的密码本掩盖了统计特性n实际上 Shannon建议综合使用各种技术和原理以实现 :n扩散扩散 在大量的密文中消除明文的统计结构n混乱混乱 使密文与密钥的关系尽可能复杂化S盒的设计准则nS-盒首次出现在Lucifer算法中

33、,因DES的使用而流行.nS-盒是许多密码算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度.n提供了密码算法所必须的混乱作用.n如何全面准确地度量S-盒的密码强度和设计有效的S-盒是分组密码设计和分析中的难题.n非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门P置换的设计准则nP置换的目的是提供雪崩效应（明文或密钥的一点小的变动都引起密文的较大变化）轮函数的设计准则n安全性n速度n灵活性：能在多种平台实现轮函数的构造n加法、减法和异或n固定循环/移位n数据依赖循环n乘法密钥扩展算法的设计n子密钥的统计独立性和灵活性n实现简单n速度n不存在简单关系：( 给定两个有某种关系的种

34、子密钥,能预测它们轮子密钥之间的关系)n种子密钥的所有比特对每个子密钥比特的影响大致相同n从一些子密钥比特获得其他的子密钥比特在计算上是难的n没有弱密钥3）分组密码的分析方法n根据攻击者所掌握的信息,可将分组密码的攻击分为以下几类:唯密文攻击已知明文攻击选择明文攻击攻击的复杂度数据复杂度:实施该攻击所需输入的数据量处理复杂度:处理这些数据所需要的计算量分组密码的典型攻击方法n最可靠的攻击办法:强力攻击n最有效的攻击:差分密码分析,通过分析明文对的差值对密文对的差值的影响来恢复某些密钥比特.n线性密码分析:本质上是一种已知明文攻击方法,通过寻找一个给定密码算法的有效的线性近似表达式来破译密码系统

35、n插值攻击方法n密钥相关攻击强力攻击n穷尽密钥搜索攻击:n唯密文,2kn已知(选择)明文, 2k, k-密钥长度n字典攻击:n明密文对编成字典, 2n,n-分组长度n查表攻击:n选择明文攻击, 给定明文,用所有的2k个密钥,预计算密文, k-密钥长度n时间存储权衡攻击:n选择明文攻击,由穷尽密钥搜索和查表攻击混合而成,它在选择明文攻击中以时间换取空间6. 先进加密标准AESn由于DES安全性一再遭到质疑，需要替代标准n可以使用 Triple-DES ，但是速度很慢nNIST 在 1997年发出征集n1998年6月接受15 候选方案n1999年8月最后候选方案定为5个 n2000年10月最后选定

36、Rijndael 为AESn2001年11月发布标准 FIPS PUB 197AES 成就的最初目标n可供政府和商业使用的功能强大的加密算法 n支持标准密码本方式n要明显比 3DES 有效 n密钥大小可变，这样就可在必要时增加安全性 n以公正和公开的方式进行选择 n可以公开定义 n可以公开评估 1997 年 4 月1) AES 要求n私钥、对称、分组加密 n128-bit 数据, 128/192/256-bit 密钥 n比 T-DES 强壮而且比T-DES快n有效期 20-30 年n提供详细的说明和设计细节 n可用 C 和 Java 实现2) AES 评价标准n初始标准:n安全n成本n算法和实

37、现n最终标准:n常规安全n软件和硬件实现容易n对攻击的抵御n灵活 (in en/decrypt, keying, other factors)3) AES 最后候选方案nin Aug-99: nMARS (IBM) - complex, fast, high security margin nRC6 (USA) - v. simple, v. fast, low security margin nRijndael (Belgium) - clean, fast, good security margin nSerpent (Euro) - slow, clean, v. high securi

38、ty margin nTwofish (USA) - complex, v. fast, high security margin 4) AES加密算法 - Rijndaeln比利时的Rijmen-Daemen设计n可以是128/192/256 bit 密钥, 128 bit 数据 n设计目标:n可以抵抗已知的攻击n在很多CPU上编码和速度很快n设计简单5) Rijndaeln把数据分为4组,每组4字节(信息块)n在每轮加密中信息块经过: nbyte substitutionnshift rowsnmix columnsnadd round keyn所有的加密操作都可以归于异或和查表,所以非常

39、快捷有效高级加密标准AESSP网络结构在这种密码的每一轮中，轮输入首先被一个由子密钥控在这种密码的每一轮中，轮输入首先被一个由子密钥控制的可逆函数制的可逆函数S作用，然后再对所得结果用置换（或可逆作用，然后再对所得结果用置换（或可逆线性变换）线性变换）P作用。作用。S和和P分别被称为混乱层和扩散层，主分别被称为混乱层和扩散层，主要起混乱和扩散作用。要起混乱和扩散作用。 AES算法结构AES算法的轮变换中没有Feistel结构，轮变换是由三个不同的可逆一致变换组成，称之为层， 线性混合层：确保多轮之上的高度扩散。非线性层：S - 盒的并行应用。密钥加层：轮密钥简单地异或到中间状态上AES算法结构Rijndael安全性没有发现弱密钥或补密钥n能有效抵抗目前已知的攻击算法n线性攻击n差分攻击7. 分组密码的操作模式n电子密码