《物联网信息安全》(桂小林版)(第3章)-数据安全

1、桂小林桂小林西安交通大学电子与信息工程学院西安交通大学电子与信息工程学院计算机科学与技术系计算机科学与技术系2012014 4.9.13.9.13第第3章章 数据安全数据安全桂小林西安交通大学2014-09-133.1 基本概念基本概念简单介绍密码学的知识3.1 密码学的基本概念密码学的基本概念密码学（Cryptology）是一门古老的科学，大概自人类社会出现战争便产生了密码，以后逐渐形成一门独立的学科。第二次世界大战的爆发促进了密码学的飞速发展，在战争期间德国人共生产了大约10多万部“ENIGMA”密码机。密码学的发展历史大致可以分为三个阶段：1）在1949年之前，是密码发展的第一阶段古典密

2、码体制。 古典密码体制是通过某种方式的文字置换进行，这种置换一般是通过某种古典密码体制是通过某种方式的文字置换进行，这种置换一般是通过某种手工或机械变换方式进行转换，同时简单地使用了数学运算。虽然在古代手工或机械变换方式进行转换，同时简单地使用了数学运算。虽然在古代加密方法中已体现了密码学的若干要素，但它只是一门艺术，而不是一门加密方法中已体现了密码学的若干要素，但它只是一门艺术，而不是一门科学。科学。2）从1949年到1975年，是密码学发展的第二阶段。 19491949年年ShannonShannon发表了题为发表了题为保密通信的信息理论保密通信的信息理论的著名论文，把密的著名论文，把密码

3、学置于坚实的数学基础之上，标志着密码学作为一门学科的形成，这是码学置于坚实的数学基础之上，标志着密码学作为一门学科的形成，这是密码学的第一次飞跃密码学的第一次飞跃3）1976年至今，WDiffie和MHellman在密码编码学新方向一文中提出了公开密钥的思想，这是密码学的第二次飞跃。 19771977年美国数据加密标准（年美国数据加密标准（DESDES）的公布使密码学的研究公开，密码学）的公布使密码学的研究公开，密码学得到了迅速地发展。得到了迅速地发展。19941994年美国联邦政府颁布的密钥托管加密标准（年美国联邦政府颁布的密钥托管加密标准（EESEES）和数字签名标准（）和数字签名标准（D

4、SSDSS）以及）以及20012001年颁布的高级数据加密标准（年颁布的高级数据加密标准（AESAES），都是密码学发展史上一个个重要的里程碑。），都是密码学发展史上一个个重要的里程碑。3.2 密码模型密码模型 3.3 经典密码体制经典密码体制 经典密码体制（或称古典密码体制）采用手工或者机械操作实现加解密，相对简单。回顾和研究这些密码体制的原理和技术，对于理解、设计和分析现代密码学仍然有借鉴意义。变换和置换（transposition and substitution ciphers）是两种主要的古典数据编码方法，是组成简单密码的基础。1）基于变换的加密方法）基于变换的加密方法变换密码是将明

5、文字母互相换位，明文的字母保持相同，但顺序被打乱了。2）基于置换的加密方法）基于置换的加密方法 置换密码就是明文中每一个字符被替换成密文中的另外一个字符，代替后的各字母保持原来位置。对密文进行逆替换就可恢复出明文。有四种类型的置换密码：1）单表置换密码：就是明文的一个字符用相应的一个密文字符代替。加密过程中是从明文字母表到密文字母表的一一映射。2）同音置换密码：它与简单置换密码系统相似，唯一的不同是单个字符明文可以映射成密文的几个字符之一，例如A可能对应于5、13、25或56，“B”可能对应于7、19、31或42，所以，同音代替的密文并不唯一。3）多字母组置换密码：字符块被成组加密，例如“AB

6、A”可能对应于“RTQ”，ABB可能对应于“SLL”等。多字母置换密码是字母成组加密，在第一次世界大战中英国人就采用这种密码。4）多表置换密码：由多个简单的置换密码构成，例如，可能有5个被使用的不同的简单置换密码，单独的一个字符用来改变明文的每个字符的位置。在置换密码中，数据本身并没有改变，它只是被安排成另一种不同的格式，有许多种不同的置换密码，有一种是用凯撒大帝的名字Julias Caesar命名的，即凯撒密码。它的原理是每一个字母都用其前面的第三个字母代替，如果到了最后那个字母，则又从头开始算。字母可以被在它前面的第n个字母所代替，在凯撒的密码中n就是3。例如： 明文：明文：meet me

7、 after the toga partymeet me after the toga party 密文：密文：PHHW PH DIWHU WKH WRJD SDUWBPHHW PH DIWHU WKH WRJD SDUWB如果已知某给定密文是Caesar密码，穷举攻击是很容易实现的，因为只要简单地测试所有25种可能的密钥即可。2020世纪早期密码机世纪早期密码机3.4 现代密码学现代密码学 现代密码技术的主要是指用电子技术、计算机技术等实现。现代密码学的最重要的原则之一是“一切秘密寓于密钥之中”，也就是说算法和其他所有参数都是可以公开的，只有密钥匙保密的。一个好的密码体制只通过保密密钥就能保

8、证加密消息的安全。加密完成后，只有知道密钥的人才能正解密。任何人只要能够获得密钥就能解密消息，隐私密钥对于密码系统至关重要。密钥的传递必须通过安全的信道进行。1）流密码）流密码流密码（Stream Cipher）也称序列密码，是对称密码算法的一种。流密码具有实现简单、便于硬件实施、加解密处理速度快、没有或只有有限的错误传播等特点，因此在实际应用中，特别是专用或机密机构中保持着优势，典型的应用领域包括无线通信、外交通信。 密钥流密钥流产生器产生器密钥密钥k明文明文m密文密文c异或运算2）分组密码）分组密码 分组密码就是数据在密钥的作用下,一组一组等长地被处理,且通常情况是明、密文等长。这样做的好

9、处是处理速度快，节约了存储，避免了带宽的浪费。因此，其也成为许多密码组件的基础。另外，由于其固有的特点（高强度、高速率、便于软硬件实现）而成为标准化进程的首选体制。分组密码又可分为三类：置换密码、替换密码和乘积密码。 DES算法算法 数据加密标准DES（Data Encryption Standard） DES是一个分组加密算法，它以64位为分组对数据加密。同时DES也是一个对称算法，即加密和解密用的是同一个算法。它的密钥长度是56位（因为每个分组第8位都用作奇偶校验），可以是任意的56位的数，而且可以任意时候改变。DES的描述的描述DES利用56比特串长度的密钥K来加密长度为64位的明文，得

10、到长度为64位的密文输入输入64比特明文数据比特明文数据初始置换初始置换IP在密钥控制下在密钥控制下16轮迭代轮迭代初始逆置换初始逆置换IP-1输出输出64比特密文数据比特密文数据DES算法框图算法框图交换左右交换左右32比特比特 DES算法：置换算法：置换初始置换初始置换IP和初始逆置换和初始逆置换IP1 Li-1（32比特）比特）Ri-1（32比特）比特）Li（32比特）比特）48比特寄存器比特寄存器扩充扩充/置换运算置换运算48比特寄存器比特寄存器子密钥子密钥Ki（48比特）比特）32比特寄存器比特寄存器代换代换/选择运算选择运算置换运算置换运算PRi（32比特）比特）Li=Ri-1DE

11、S的一轮迭代的一轮迭代轮函数轮函数FDES算法：轮函数算法：轮函数FE盒（3248bits）S盒（4832bits）P盒置换 DES算法：轮函数算法：轮函数F第二步：将第一步输出结果的48位二进制数据与48位子密钥Ki按位作异或运算，结果自然为48位。然后将运算结果的48位二进制数据自左到右6位分为一组，共分8组。第三步：将8组6位的二进制数据分别进入8个不同的S盒，每个S盒输入6位数据，输出4位数据（S盒相对复杂，后面单独阐述），然后再将8个S盒输出的8组4位数据，依次连接，重新合并为32位数据。DES算法：轮函数算法：轮函数F S1-S8盒盒S10123456789101112131415

12、014413121511831061259071015741421311061211953824114813621115129731050315128249175113141006131）S盒是DES的核心部分。通过S盒定义的非线性替换，DES实现了明文消息在密文消息空间上的随机非线性分布。2）S盒的非线性替换特征意味着，给定一组输入-输出值，很难预计所有S盒的输出。3）共有8种不同的S盒，每个S盒将接收的6位数据输入，通过定义的非线性映射变换为4位的输出。4）一个S盒有一个16列4行数表，它的每个元素是一个四位二进制数，通常为表示为十进制数0-15。5）S1盒如表所示，S盒与P盒的设计准则，

13、IBM公司已经公布，感兴趣的同学可以查阅相关资料。S-Box-iS-box: 6 4（压缩）（压缩）S-Box-ii S-Box对每个盒，6比特输入中的第1和第6比特组成的二进制数确定的行，中间4位二进制数用来确定的列。相应行、列位置的十进制数的4位二进制数表示作为输出。例如S2的输入为1 0100 1，则行数和列数的二进制表示分别是11和0100，即第3行和第4列，的第3行和第4列的十进制数为3，用4位二进制数表示为0011，所以的输出为0011。 子密钥的产生子密钥的产生 k1 （ 56位） (48位 ) ki （ 56位） （ 48位） 64位密钥置换选择1 C0（ 28位） D0（ 2

14、8位） 循环左移循环左移 C1（ 28位） D1（ 28位） 循环左移循环左移 Ci（ 28位） Di（ 28位）置换选择2置换选择2密钥表的计算逻辑循环左移：1 1 9 12 1 10 23 2 11 24 2 12 25 2 13 26 2 14 27 2 15 28 2 16 1置换选择置换选择1( (PC-1)和置换选择和置换选择2(PC-2) 总结总结DES示意图示意图DES的安全性分析的安全性分析 DES的安全性完全依赖于密钥，与算法本身没有关系。 主要研究内容：密钥的互补性；密钥的互补性；弱密钥与半弱密钥；弱密钥与半弱密钥；密文密文- -明文相关性；明文相关性；密文密文- -密钥

15、相关性；密钥相关性；S-S-盒的设计；盒的设计；密钥搜索。密钥搜索。 弱密钥弱密钥弱密钥：由密钥 k 确定的加密函数与解密函数相同 ，即 。DES的弱密钥： 如果各轮产生的子密钥一样，则加密函数与解密函数相同。 DES至少有4个弱密钥 ：010101010101010101010101010101011f1f1f1f0e0e0e0e1f1f1f1f0e0e0e0ee0e0e0e0f1f1f1f1e0e0e0e0f1f1f1f1fefefefefefefefefefefefefefefefe)()(1kkDESDES半弱密钥半弱密钥 半弱密钥：对于密钥 k ，存在一个不同的密钥 ，满足 。 DE

16、S的半弱密钥：子密钥生成过程中只能产生两个不同的子密钥或四个不同的子密钥，互为对合。 DES至少有12个半弱密钥。 *k)()(*kkDESDESS -盒的设计原则盒的设计原则 S -盒的设计原理没有公开，一些原则如下：所有S-盒的每一行是0,1,15的一个置换；所有S-盒的输出都不是输入的线性函数或仿射函数；S-盒的输入改变任意一位都会引起输出中至少两位发生变化；对于任何输入x（6位），S(x)与S(x 001100)至少有两位不同；对于任何输入x（6位），S(x)与S(x 00ef00)不相等，e, f取0或1；对于任意一个输入位保持不变而其他五位变化时，输出中0和1的数目几乎相等。 针对针对DES的攻击方法的攻击方法攻击DES的方法主要有： 密钥穷搜索攻击，密钥穷搜索攻击，DESDES算法总的密钥量为算法总的密钥量为 ，19981998年使用高级计算机的情况下，破译年使用高级计算机的情况下，破译DESDES只需只需5656小时小时； 差分攻击；差分攻击； 线性攻击，较有效的方法；线性攻击，较有效的方法； 相关密钥攻击等。相关密钥攻击等。1756102DES的破译的破译1990年，以色列密码学家Eli Biham和Adi Shamir提出了差分密码分析法，可对DES进行选择明文攻击。线性密码分析比差分密码分析更有效 RSA算