网络信息安全员(高级)-02网络信息安全技术课件

网络信息安全管理员高级网络安全员培训第二讲网络信息安全技术网络信息安全管理员高级网络安全员培训第二讲网络信息安全技术网络信息安全技术加密技术认证技术入侵检测网络信息安全技术加密技术

加密技术认证技术入侵检测网络信息安全技术加密技术网络信息安全技术加密技术

基本概念对称密码技术非对称密码技术加密技术基本概念加密技术经典密码：古埃及人用以保密传递的消息；

单表置换密码，凯撒密码，

多表置换密码，Vigenere密码等等近代密码：DES数据加密标准，70年代Diffie,Hellman

的开创性工作——公钥体制的提出密码应用：电子数据，军事目的，经济目的。应用形式：数据的保密性、真实性、完整性。主要内容：数据加密，密码分析，数字签名，信息

鉴别，零泄密认证，秘密共享等等。信息攻击：主动攻击——对数据的恶意删除、篡改等

被动攻击——从信道上截取、偷窃、拷贝

信息。

无意攻击——错误操作、机器故障等。加密技术经典密码：古埃及人用以保密传递的消息；

密码体制基本术语：信源——消息的发送处

信宿——消息的目的地

明文——没有加密的消息

密文——加密后的消息

信道——传递消息的通道通信模型：经典的通信模型如图所示：密码体制基本术语：信源——消息的发送处

密码体制：可能的明文集合P——称为明文空间

可能的密文集合C——称为密文空间

可能的密钥集合K——称为密钥空间

一组加密变换：

一组解密变换：满足：则五元组（P，C，K，Ek，Dk）称为一个密码体制。基本要求：(1)对所有密钥，加、解密算法迅速有效,

(2)体制的安全性不依赖于算法的保密，

只依赖于密钥的保密—Kerchohoff原则。密码体制：可能的明文集合P——称为明文空间

经典的密码体制中，加密密钥与解密密钥是相同的，或者可以简单相互推导，也就是说：知道了加密密钥，也就知道了解密密钥；知道了解密密钥，也就知道了加密密钥。所以，加、解密密钥必须同时保密。这种密码体制称为对称（也称单钥）密码体制。最典型的是DES数据加密标准，应该说数据加密标准DES是单钥体制的最成功的例子。经典的密码体制中，加密密钥与解密密钥是相同的，或者可以简单相现代密码学修正了密钥的对称性，1976年，Diffie，Hellmann提出了公开密钥密码体制（简称公钥体制），它的加密、解密密钥是不同的，也是不能（在有效的时间内）相互推导。所以，它可称为双钥密码体制。它的产生，是密码学革命性的发展，它一方面，为数据的保密性、完整性、真实性提供了有效方便的技术。另一方面，科学地解决了密码技术的瓶颈──密钥的分配问题。现代密码学修正了密钥的对称性，1976年，Diffie，He第一个公钥体制是1977年由Rivest，Shamir，Adleman提出的，称为RSA公钥体制，其安全性是基于整数的因子分解的困难性。RSA公钥体制已得到了广泛的应用。其后，诸如基于背包问题的Merkle-Hellman背包公钥体制，基于有限域上离散对数问题的EIGamal公钥体制，基于椭圆曲线的密码体制等等公钥体制不断出现，使密码学得到了蓬勃的发展，第一个公钥体制是1977年由Rivest，Shamir，Ad公钥体制用于数据加密时：用户将自己的公开（加密）密钥登记在一个公开密钥库或实时公开，秘密密钥则被严格保密。信源为了向信宿发送信息，去公开密钥库查找对方的公开密钥，或临时向对方索取公钥，将要发送的信息用这个公钥加密后在公开信道上发送给对方，对方收到信息（密文）后，则用自己的秘密（解密）密钥解密密文，从而，读取信息。可见，这里省去了从秘密信道传递密钥的过程。这是公钥体制的一大优点。公钥体制用于数据加密时：E(m)Kb1AKa1BD(E(m))Kb2mmRSA的加解密过程公开信道E(m)Kb1AKa1BD(E(m))Kb2mmRSA的加解公钥体制用于数字签名时：信源为了他人能够验证自己发送的消息确实来自本人，他将自己的秘密（解密）密钥公布，而将公开（加密）密钥严格保密。与别人通信时，则用自己的加密密钥对消息加密──称为签名，将原消息与签名后的消息一起发送.对方收到消息后，为了确定信源的真实性，用对方的解密密钥解密签名消息──称为（签名）验证，如果解密后的消息与原消息一致，则说明信源是真实的，可以接受，否则，拒绝接受。公钥体制用于数字签名时：密码分析方法分类：穷举法、统计法、系统分析法

穷举法——对可能的密钥或明文的穷举；

统计法——根据明文、密文、密钥的统计特性达到破译密码的方法；

系统分析法——根据掌握的明文、密文的有关信息，应用加、解密算法求解密钥、明文的方法。密码分析方法分类：穷举法、统计法、系统分析法

穷计算安全性：理论上，除一文一密外，没有绝对安全的密码体制，通常，称一个密码体制是安全的是指计算上安全的，即：密码分析者为了破译密码，穷尽其时间、存储资源仍不可得，或破译所耗资材已超出因破译而获得的获益。计算安全性：1、唯密文攻击：仅根据密文进行的密码攻击；2、已知明文攻击：根据一些相应的明、密文对进行的密码攻击。3、选择明文攻击：可以选择一些明文，并获取相应的密文，这是密码分析者最理想的情形。例如，在公钥体制中。根据密码分析者掌握明、密文的程度密码分析可分类为：1、唯密文攻击：仅根据密文进行的密码攻击；根据密码分析者掌握加密技术基本概念

对称密码技术非对称密码技术加密技术基本概念序列密码通过有限状态机产生性能优良的伪随机序列，使用该序列逐比特加密信息流得到密文序列产生伪随机序列：反馈移位寄存器，前馈序列，钟控序列，组合网络，混沌理论……序列密码通过有限状态机产生性能优良的伪随机序列，使用该序分组密码将明文分成固定长度的组（块）DESIDEAAES分组密码将明文分成固定长度的组（块）分组密码DESIDEAAES分组密码DES1973.5.15：美国国家标准局（NSA）公开征求密码体制的联邦注册；1975.3.17：DES首次在《联邦记事》公开，它由IBM开发，它是LUCIFER的改进；1977.2.15：DES被采用作为非国家机关使用的数据加密标准，此后，大约每五年对DES进行依次审查，1992年是最后一次审查，美国政府已声明，1998年后对DES不再审查了；1977.2.15：《联邦信息处理》标准版46（FIPSPUB46）给出了DES的完整描述。1973.5.15：美国国家标准局（NSA）公开征求密码体DES密码体制：它是应用56位密钥，加密64比特明文分组的分组秘钥密码体制DES加密算法：

（一）初始置换：x0=L0R0=IP(x)；

（二）16次迭代：xi-1=Li-1Ri-1，

Li=Ri，Ri=Li

f(Ri-1,ki)

i=1,2,…,16；

（三）逆置换：x16=L16R16，y=IP-1(x16)。密钥生成器：密钥ki是由56位系统密钥k生成的32位子密钥。函数f及S盒：f(Ri-1,ki)=P(S(E(Ri-1)ki))DES密码体制：它是应用56位密钥，加密64比特明文分组的分

其中E，P是两个置换，表示比特的“异或”，S是一组八个变换S1，S2，S3，…，S8，称为S盒，每个盒以6位输入，4位输出，S盒构成了DES安全的核心。DES算法流程图其中E，P是两个置换，表示比特的“异或”，S是一组函数f及S盒的示意图DES解密：DES的解密过程与加密过程相同，只不过

子密钥的使用相反，即，首先使用k16，再使用k15，

…，最后使用k1。函数f及S盒的示意图DES解密：DES的解密过程与加密过程相关于DES的讨论S盒是唯一非线性组件：有人认为其中可能含有某种“陷门”，国家安全机关可以解密。DES的密钥量太小：密钥量为2561977年：Diffie.Hellman提出制造一个每秒测试106的VLSI芯片，则一天就可以搜索完整个密钥空间，当时造价2千万美圆。CRYPTO’93：R.Session，M.Wiener提出并行密钥搜索芯片，每秒测试5x107个密钥，5760片这种芯片，造价10万美圆，平均一天即可找到密钥。关于DES的讨论S盒是唯一非线性组件：有人认为其中可能含有某Internet的超级计算能力：1997年1月28日，美国RSA数据安全公司在Internet上开展了一项“秘密密钥挑战”的竞赛，悬赏一万美圆，破解一段DES密文。计划公布后，得到了许多网络用户的强力相应。科罗拉州的程序员R.Verser设计了一个可以通过互联网分段运行的密钥搜索程序，组织了一个称为DESCHALL的搜索行动，成千上万的的志愿者加入到计划中。网络信息安全员(高级)——02网络信息安全技术第96天，即竞赛公布后的第140天，1997年6月17日晚上10点39分，美国盐湖城Inetz公司职员M.Sanders成功地找到了密钥，解密出明文：TheunknownMessageis：“Strongcryptographymakesthewordasaferplace”(高强度密码技术使世界更安全)。Internet仅仅利用闲散资源，毫无代价就破译了DES密码，这是对密码方法的挑战，是Internet超级计算能力的显示.网络信息安全员(高级)——02网络信息安全技术差分分析法：除去穷举搜索密钥外，还有其他形式的攻击方法，最著名的有Biham，Shamir的差分分析法。这是一个选择明文攻击方法。虽然对16轮DES没有攻破，但是，如果迭代的轮数降低，则它可成功地被攻破。例如，8轮DES在一个个人计算机上只需要2分钟即可被攻破。网络信息安全员(高级)——02网络信息安全技术分组密码DESIDEAAES分组密码DESIDEAIDEA(InternationdataencryptionAlgorithm国际数据加密算法)是瑞士联邦技术学院开发的一种分组秘钥加密算法。可以说，它是DES的替代算法，它针对DES的64位短密钥使用128位密钥，每次加密64位明文。通过密钥的加长，提高了IDEA的抵御强力穷举密钥的攻击，通过算法的改进，有效地阻止了差分密码分析。IDEA加密效率很高，可以在177MB/s的芯片上实现加密。对IDEA的攻击：还没有人攻击成功IDEA，攻击IDEA的困难性如同分解3000比特的整数。IDEAIDEA(InternationdataencIDEA工作原理

1、分解64比特明文成为4个16比特的子块；

2、执行8轮迭代：

A.由128比特密钥生成器生成6个子密钥；

B.在每一轮迭代中，使用加法、乘法把4个子密

钥和4个子块结合起来，并保存以待后用；

C.将B中两对子块（共4块）做XOR，得2个16

比特子块，并将其与两个子密钥结合，所得结

果与B中4个子块结合。

D.如此进行8轮。IDEA的解密：IDEA的加、解密过程类似于DES，但，解密子密钥是加密子密钥的加法或乘法逆，且顺序相反。IDEA工作原理

1、分解64比特明文成为4个16比特的子块IDEA算法流程图

IDEA算法流程图

IDEA迭代运算流程图

IDEA迭代运算流程图

分组密码DESIDEAAES分组密码DES美国高级数据加密标准AES一、Rijndael的数学基础二、Rijndael密码算法三、Rijndael设计准则四、Rijndael密钥生成器美国高级数据加密标准AES一、Rijndael的数学基础二、2000年10月2日，Rijndael算法被推荐为美国非国家机关数据加密标准AES，接受90天的公众评论。2001年2月29日，Rijndael算法被正式确定为美国非国家机关数据加密标准AES。美国高级数据加密标准AES2000年10月2日，Rijndael算法被推荐为美国非国家一、Rijndael数学基础Rijndael支持：128比特，192比特，256比特密钥，128比特，

192比特，256比特明文的混合长度加密的分组密码算法Rijndael的运算：字节运算——有限域GF(28)上的运算、字

运算—有限域GF(28)上多项式的运算。有限域GF(28)：看成是系数取0，1的次数最多是7的全体多项

式集合，即：GF(28)={b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0|bk=0,1}，

或GF(28)={(b7,b6,b5,b4,b3,b2,b1,b0)|bk=0,1}加法定义为：普通多项式加法，但是其系数加法是比特异或,例如：(10110110)+(11001101)=(01111011)乘法定义为：普通多项式的乘法除多项式：

m(x)=x8+x4+x3+x+1

取余。

一、Rijndael数学基础Rijndael支持：128比特例如：(01010111)(10000011)

模m(x)：(x13+x11+x9+x8+x6+x5+x4+x3+1)mod(x8+x4+x3+x+1)=(10101101111001)mod(100011011)

++=(x6+x4+x2+x+1)(x7+x+1)=x13+x11+x9+x8+2x7+x6+x5+x4+x3+2x2+2x+1=x13+x11+x9+x8+x6+x5+x4+x3+1=(x5+x3)(x8+x4+x3+x+1)+x7+x6+1≡x7+x6+1modm(x)=(11000001)10101101111001

100011011100000011

10001101111000001例如：(01010111)(10000011)模m(x)：(逆元：对GF(28)中两个个元a,b,如果ab≡1modm(x)，则称b

是a的逆元，也称a是b的逆元，记为：b=a-1，a=b-1。逆元存在性：有结论告诉我们，因为多项式

m(x)=x8+x4+x3+x+1

不可分解因式，所以除元0外，所有元都有逆元。逆元的求法：应用Euclid算法。字运算：系数在GF(28)上多项式模x4+1乘法。设：a(x)=a3x3+a2x2+a1x+a0，b(x)=b3x3+b2x2+b1x+b0，

c(x)=a(x)b(x)=c6x6+c5x5+c4x4+c3x3+c2x2+c1x+c0，那么，c0=a0b0，c1=a1b0+a0b1，c2=a2b0+a1b1+a0b2，c3=a3b0+a2b1+a1b2+a0b3，c4=a3b1+a2b2+a1b3，c5=a3b2+a2b3，c6=a3b3，

逆元：对GF(28)中两个个元a,b,如果ab≡1mod模x4+1：因为：x4k+s=(x4)kxs=(x4+1+1)kxs=P(x)(x4+1)xs+xs所以：xtmodx4+1=xtmod4。例如：x5modx4+1=x1，x6modx4+1=x2，….所以：c(x)=d3x3+d2x2+d1x+d0

d0=a0b0+a3b1+a2b2+a1b3

d1=a1b0+a0b1+a3b2+a2b3

d2=a2b0+a1b1+a0b2+a3b3

d3=a3b0+a2b1+a1b3+a0b3写成好记的形式为：

d0

a0a3a2a1b0d1

a1a0a3a2b1d2

a2a1a0a3b2d3

a3a2a1a0b3

=模x4+1：因为：x4k+s=(x4)kxs=(x4+1+注：这里的aibj所是GF(28)中的乘法，

a0b0+a3b1

是GF(28)中的加法。#注：这里的aibj所是GF(28)中的乘法，二、Rijndael密码算法密钥Key密钥扩展初始轮的处理r=1密文输出最后轮FinalRound(state,RoundKey)Nr<Nrr=r+1Round(State,RoundKey)Y明文M二、Rijndael密码算法密钥Key密钥扩展初始轮的处5、Rijndael解密算法1、解密算法：解密算法与加密算法完全相同。2、解密子密钥如果加密子密钥记为：k0,k1,k2,……,kN,则接密子密钥为：kN,HM–1(kN-1),……,HM–1(k2),HM–1(k1),k0。5、Rijndael解密算法1、解密算法：2、解密子密钥不存在类DES的对称性，弱密钥，半弱密钥，等价密钥：

差分分析问题：

已证明，4轮Rijndael的差分传播预测率在2-150以下，8轮Rijndael的差分传播预测率在2-300以下。线性分析问题：已证明，4轮Rijndael的输入—输出相关性系数在2-75以下，8轮Rijndael的相关性系数在2-150以下。截断差分分析问题：已证明，对6轮及以上Rijndael算法，截断差分分析不比强力攻击快。方块攻击问题：

Rijndael算法没有采用典型的Feistel结构，而采用了Square结构，对Square结构有一种称为Square攻击的方法，但是研究证明，对7轮及以上Rijndael算法方块攻击不比强力攻击快。不存在类DES的对称性，弱密钥，半弱密钥，等价密钥：

理论上讲，如果有一台每秒可以尝试255个密钥的计算机，1秒内可以破译DES，但是，它破译Rejndael需要145万亿年，这个数字比宇宙年龄还要大。#

与DES比较：理论上讲，如果有一台每秒可以尝试255个密钥的计算机，1秒内加密技术基本概念对称密码技术非对称密码技术加密技术基本概念非对称密码技术RSA公钥密码算法Diffie-Hellman密钥交换协议量子密码技术其他公钥体制非对称密码技术RSA公钥密码算法非对称密码技术

RSA公钥密码算法Diffie-Hellman密钥交换协议量子密码技术其他公钥体制非对称密码技术RSA公钥密码算法RSA1976年：Diffie，Hellman在“NewDirectioninCryptography”(密码学新方向)一文中首次提出公开密钥密码体制的思想。1977年：Rivest,Shamir,Adleman第一次实现了公开密钥密码体制，现称为RSA公钥体制。基本算法：

选取合数n=pq，p,q是素数；

选取ab≡1mod(n)，

a保密——解密密钥，b公开——加密密钥；

加密算法：ek(x)≡xb

modn，

解密算法：dk(x)≡ya

modn；RSA1976年：Diffie，Hellman在“NewRSA示例设p=101，q=113，n=pq=11413，

(n)=(p-1)(q-1)=100×112=11200，a=6597，b=3533，x=9726。

加密：y=xb=97263533=5761mod11413；解密：x=ya=57616597=9726mod11413。RSA示例设p=101，q=113，n=pq=11413，算法分析：该体制的数学依据是Euler定理及大数分解的困难性，体制中使用的是Zn中的计算。设是两个不同奇素数p,q的乘积，对于这样的正整数，其Euler函数值是容易计算的，它是(n)=(p-1)(q-1)。对于给定的明文x<n，选定一个正整数b，称为加密密钥。算法分析：作Zn中的指数运算，将明文以指数形式xb表示出来，即以指数形式将明文隐藏起来。即使知道一个明、密文对(x,y)，y=xbmodn,要得到密钥b，必须求解离散对数问题：b=logxy，在Zn中这也是一个困难问题。可见这种加密思想是简单、明确的。作Zn中的指数运算，将明文以指数形式xb表示出来，即以指数形RSA安全性说明

加密密钥b是公开的，从而，要求从b不能有效地推导出a，解已知b，求解ab≡1mod(n)是计算上不可能的。(n)是n的Euler函数，如果已知(n)，则可以应用展转相除法求得b的逆元a，从而(n)的保密是安全的关键，而(n)的有效计算则依赖于n的素因子分解，从而，RSA的安全性与n的素因子分解等价。体制的安全性机理是大数分解的困难性。

RSA安全性说明大数分解是一个NP问题，目前已知的最好的算法需要进行ex次算术运算。假设我们用一台每秒运算（即：一亿）次的计算机来分解一个200位十进制的数

要分解一个200位十进制的数，需要3.8×107年，类似地，可算出要分解一个300位的十进制整数，则需要年4.86×1013。可见，增加的位数，将大大地提高体制的安全性。由以上分析可见，从直接分解大数来破译RSA是计算上不可能的，那么是否存在一种破译方法不依赖于的分解呢？虽然现在还没有发现，但是也没有严格的论证。大数分解是一个NP问题，目前已知的最好的算法需要进行ex次算直接分解一个大素数的强力攻击的一个实例是：1994年4月分解的RSA密钥RSA-129，即分解了一个129位十进制，425比特的大素数。分解时启用了1600台计算机，耗时8个月，处理了4600MIPS年的数据。1MIPS年是1MIPS的机器一年所能处理数据量。Pentium100大约是125MIPS，它分解RSA-129需要37年。100台Pentium100需要4个月。

直接分解一个大素数的强力攻击的一个实例是：1994年4月分解硬件实现时，RSA比DES要慢大约1000倍，软件实现时，RSA比DES要慢大约100倍。可见，用RSA直接加密信息有诸多不便，所以，很多实际系统中，只用RSA来交换DES的密钥，而用DES来加密主体信息。

硬件实现时，RSA比DES要慢大约1000倍，软件实现时，R非对称密码技术RSA公钥密码算法

Diffie-Hellman密钥交换协议量子密码技术其他公钥体制非对称密码技术RSA公钥密码算法p为512比特以上大素数，g<p,p和g公开1)A随机选择x<p，发送gxmodp给B2)B随机选择y<p，发送gymodp给A3)A通过自己的x秘密计算(gy)xmodp=gxymodp4)B通过自己的y秘密计算(gx)ymodp=gxymodp5)A与B拥有相同的数据gxymodp作为密钥进行通信

Diffie-Hellman密钥交换协议p为512比特以上大素数，g<p,p和g公开Diffie-以前：基于数学问题的困难，或对数学问题的无知量子密码：基于Hesenberg测不准定律通过对量子态的适当编码，随机发送和接收一定长度量子序列，再由公开信道确认接收装置的正确状态，最后协商出共享密钥序列可以发现窃听行为缺点：信号的衰减和不可增强性，而中继不可信赖量子通信的极限距离100KM，目前日本到87KM量子密码技术以前：基于数学问题的困难，或对数学问题的无知量子密码技术背包体制Rabin算法Elgamal密码体制ECC体制其他公钥体制背包体制其他公钥体制网络信息安全技术加密技术

认证技术入侵检测网络信息安全技术加密技术认证技术数字签名身份认证认证技术数字签名数字签名数字签名最早被建议用来对禁止核试验条律的验证。禁止核试验条律的缔约国为了检测对方的核试验，需要把地震测试仪放在对方的地下，而把测试的数据送回，自然这里有一个矛盾：东道主需要检查发送的数据是否仅为所需测试的数据；检测方需要送回的数据是真实的检测数据，东道主没有篡改。数字签名数字签名最早被建议用来对禁止核试验条律的验证。基本要求：

1、签名不能伪造：签名是签名者对文件内容合法性的认同、证明、和标记，其他人的签名无效；

2、签名不可抵赖：这是对签名者的约束，签名者的认同、证明、标记是不可否认的；

3、签名不可改变：文件签名后是不可改变的，这保证了签名的真实性、可靠性；

4、签名不可重复使用：签名需要时间标记，这样可以保证签名不可重复使用。

5、签名容易验证：对于签名的文件，一旦发生纠纷，任何第三方都可以准确、有效地进行验证。基本要求：

1、签名不能伪造：签名是签名者对文件内容合法数字签名的基本原理：应用一对不可互相推导的密钥，一个用于签名（加密），一个用于验证（解密），颠倒使用加解密过程。公钥签名原理：这种签名就是加密过程的简单颠倒使用，签名者用加密密钥（保密）签名（加密）文件，验证者用（公开的）解密密钥解密文件，确定文件的真伪。数字签名的基本原理：应用一对不可互相推导的密钥，一个用于签散列函数：散列函数是数字签名的一个重要辅助工具，

应用散列函数可以生成一个文件的，具有固定长度的文件摘要，从而使数字签名可以迅速有效地签名一个任意长度的文件。一般地，对文件的任意小改动，都会改变文件的散列值，从而，秘密的散列函数可以用来检测病毒等对文件的破坏。对签名的攻击：对数字签名有各种各样的欺骗存在，

重复使用是一个典型欺骗，如电子支票，重复的使用具有可怕后果，阻止这种欺骗的有效方法是签名中包含时间日期标志。散列函数：散列函数是数字签名的一个重要辅助工具，

应用散数字签名方案数字签名与传统签名的本质差别：消息与载体的分割。传统签名中，签名与文件是一个物理整体，具有共同的物理载体，物理的不可分割性、不可复制的特性带来了签名与文件的不可分割、重复使用的特性；在数字签名中，由于签名与文件是电子形式，没有固定的物理载体，即签名及文件的物理形式和消息已经分开，而电子载体是可以任意分割、复制的，从而数字签名有可能与文件分割，被重复使用。

数字签名方案数字签名与传统签名的本质差别：消息与载体的分割。另一方面，传统签名的验证是通过与存档手迹对照来确定真伪的，它是主观的、模糊的、容易伪造的，从而也是不安全的。而数字签名则是用密码，通过公开算法可以检验的，是客观的、精确的，在计算上是安全的。

另一方面，传统签名的验证是通过与存档手迹对照来确定真伪的，它通过简单的分析，可见，要使一个数字签名是安全、实用的，应该做到：（1）

使签名与文件成为一个不可分割的整体，从而达到防止签名被分割后替换文件，替换签名等形式的伪造签名。(2)数字签名应该赋予时间特征，防止消息的重复使用。

通过简单的分析，可见，要使一个数字签名是安全、实用的，应该做一个签名方案由两部分组成，即：签名算法，验证算法。签名算法:对于一个消息，应用一个签名密钥，签名算法产生一个签名y=sigk(x)，签名算法是公开的，但是密钥是保密的，验证算法ver也是公开的，它通过ver(x,y)=true或false来验证签名。签名算法与验证算法都应该是时间的多项式函数。

一个签名方案由两部分组成，即：签名算法，验证算法。数字签名方案的定义：

设P是消息的集合，A是签名的集合，K是密钥集。签名算法定义为：

验证算法定义为：

则五元组(P，A，K，Sig，Ver)称为一个签名方案。数字签名方案的定义：

设P是消息的集合，A是签名的集合，数字签名方案是安全的也是指计算上是安全的

因为，对于任意给定的消息x，伪造签名只须对所有可能消息签名y，利用公开验证算法测试

ver(x,y)，直到ver(x,y)=true，则该y就是x的签名，这个y就是伪造签名。数字签名方案是安全的也是指计算上是安全的

因为，对于任意RSA公钥体制既可应用于加密，也可应用于签名，这是其加、解密密钥的不对称特性的应用。公钥签名系统是利用加密系统相反的思想来实现签名的。将公开密钥密码体制中的解密算法作签名算法，密钥保密，而用加密算法作验证算法，密钥公开。

RSA签名方案RSA公钥体制既可应用于加密，也可应用于签名，这是其加、解密RSA签名方案的定义：

设p，q是两个大素数，n=pq，ab≡1mod(n)，

签名算法为：Sigk(x)≡xamodn，

验证算法为：Verk(x,k)=truex≡ybmodn。

p，q，a保密，n，b公开。RSA签名方案的定义：

设p，q是两个大素数，n=pq，签名方案一般地都是对一个较短的消息签名，对一个很长的消息，如果直接处理，则首先要把它分割成较短的段，再进行签名。显然，用这种方法签名一个几兆的文件是不合适的。

解决这一问题的方法：对被签名消息用一个快速散列函数产生一个确定长度的消息摘要，比如：160比特，最后对这个摘要签名。

所谓散列函数是：从一个消息空间到另一个消息空间的一个映射，这是一个多一对应，可能出现不同消息对应于相同散列值的情形，这一现象称为碰撞散列函数签名方案一般地都是对一个较短的消息签名，对无碰撞散列函数：

对应用散列函数的数字签名的一个可能攻击方法是寻找一个碰撞：对给定的签名消息(x,y)，

y=sigk(h(x))，如果找到一个消息x’x，h(x’)=h(x)，则(x’,y)成为一个伪造签名。为了阻止这种攻击，无碰撞散列函数是必须的。无碰撞散列函数：

对应用散列函数的数字签名的一个可能攻击弱无碰撞散列函数：对于给定消息x，如果找到另一个消息x’x，h(x’)=h(x)是计算上不可能的；

强无碰撞散列函数：如果两个消息x’x，

h(x’)=h(x)是计算上不可能的。单向散列函数：

对于给定的一个消息摘要（散列值）z，找到一个消息x，满足h(x)=z是计算上不可能的；强无碰撞性包含弱无碰撞、单向性。弱无碰撞散列函数：对于给定消息x，如果找到另一个消息x’xMD4，MD5散列函数：1990年，Rivest提出了散列函数MD4（MessageDigest），MD4输入任意长度消息，输出128比特消息摘要，它是一个强无碰撞散列函数。1991年Rivest提出改进算法MD5，它比MD4复杂，但思想类似。MD4，MD5散列函数：1990年，Rivest提出了散列函算法MD5首先填充消息成512比特的整数倍，但最后64比特是由文件长度填充的；其次，将个512比特分割成16个32比特子块；

取4个初始向量，从其及第一个子块出发，

作4轮（MD4只有3轮）16次迭代。得128比特输出；以此作为初始向量，对下一个512比特执行同样的操作；

依次下去，直到所有的512比特都处理完毕，输出128比特，此即MD5的输出。算法MD5首先填充消息成512比特的整数倍，但最后64比特是身份认证基于口令的认证基于数字签名的认证CA技术身份的零知识证明基于物理安全的身份认证方法实例：Kerberos身份认证基于口令的认证网络信息安全技术加密技术认证技术入侵检测网络信息安全技术加密技术入侵检测技术见02网络信息安全技术-IDS入侵检测技术见02网络信息安全技术-IDS入侵检测产品选择要点系统的价格特征库升级与维护的费用最大可处理流量是否易被攻击躲避产品的可伸缩性入侵检测产品选择要点系统的价格入侵检测产品选择要点运行与维护系统的开销产品支持的入侵特征数产品有哪些响应方法是否通过国家权威机构的测评入侵检测产品选择要点运行与维护系统的开销Win2KServer的入侵检测配置Win2000服务器经过精心配置以后可以防御90%以上的入侵和渗透这里的入侵检测指的是利用Win2KServer自身的功能及系统管理员自己编写的软件/脚本进行的检测Win2KServer的入侵检测配置Win2000服务器(1)基于80端口入侵的检测IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置配置了IIS，使用W3C扩展的日志格式，并至少记录了时间（Time）、客户端IP（ClientIP）、方法（Method）、URI资源(URIStem)、URI查询(URIQuery)，协议状态（ProtocolStatus）(1)基于80端口入侵的检测IIS自带的日志文件默认存放在启用日志记录在IIS管理器中，展开本地计算机，展开“网站”或“FTP站点”目录，右键单击网站或FTP站点，然后单击“属性”。在“网站”或“FTP站点”选项卡上，选中“启用日志记录”复选框。在“活动日志格式”列表框中，单击选择一种格式。默认格式是“W3C扩展日志文件格式”。注意如果选择ODBC日志记录，请单击“属性”，然后在相应的文本框中键入ODBC数据源名(DSN)和数据库中表的名称。如果访问数据库需要用户名称和密码，请键入必须的凭据，然后单击“确定”。单击“应用”，然后单击“确定”。启用日志记录在IIS管理器中，展开本地计算机，展开“网分析UNICODE漏洞UNICODE漏洞攻击：打开IE，在地址栏输入：/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir打开IIS的日志->打开Ex010318.log（Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期）07:42:58GET/scripts/..\../winnt/system32\cmd.exe/c+dir200这行日志表示在格林威治时间07:42:58（就是北京时间23:42:58），有一个入侵者从的IP在你的机器上利用Unicode漏洞（%c1%1c被解码为"\"，实际的情况会因为Windows语言版本的不同而有略微的差别）运行了cmd.exe，参数是/cdir，运行结果成功（HTTP200代表正确返回）分析UNICODE漏洞UNICODE漏洞攻击：打开IE，在分析日志记录IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件（其实就是文本过滤器）都非常简单，不过考虑到一些实际情况（比如管理员不会写程序，或者服务器上一时找不到日志分析软件），有一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的CMD命令：find"Global.asa"ex010318.log/i分析日志记录IIS的日志动辄数十兆、流量大的网站甚至数十G(2)基于安全日志的检测通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪（如果你处理失当，窥伺者随时会变成入侵者），但是IIS日志不是万能的IIS只有在一个请求完成后才会写入日志；对于非Web的主机，入侵者也可以从其它的服务进入服务器因此，建立一套完整的安全监测系统是非常必要的Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录(2)基于安全日志的检测通过基于IIS日志的入侵监测，我们日志审核打开审核：

“管理工具”→“本地安全策略”→“本地策略”→“审核策略”

“登录事件”与“帐户管理”是我们最关心的事件，同时打开“成功”和“失败”审核非常必要，其他的审核也要打开失败审核除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具日志审核打开审核：要审核的事件•登录事件•帐户登录事件•对象访问事件•目录服务访问事件•特权使用事件•进程跟踪事件•系统事件•策略更改事件要审核的事件•登录事件•帐户登录事件•对象访问事件•目录服务(3)文件访问日志与关键文件保护

除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对他们的访问。文件访问有很多的选项：访问、修改、执行、新建、属性更改，...，一般来说，关注访问和修改就能起到很大的监视作用。

(3)文件访问日志与关键文件保护除了系统默认的安全审核外(4)进程监控进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的（也有以其他形式存在的木马）。作为系统管理员，了解服务器上运行的每个进程是职责之一（否则不要说安全，连系统优化都没有办法做），做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。(4)进程监控进程监控技术是追踪木马后门的另一个有力武器，(5)注册表校验木马或者后门一般都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（比如Run、Runonce等等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复(5)注册表校验木马或者后门一般都会利用注册表来再次运行自(6)端口监控使用netstat查看服务器的端口状况-A显示任何关联的协议控制块的地址。主要用于调试-a显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字-i显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列-m打印网络存储器的使用情况-n打印实际地址，而不是对地址的解释或者显示主机，网络名之类的符号-r打印路由选择表-faddress-family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止，唯一支持的地址簇是inet-Iinterface只打印给出名字的接口状态-pprotocol-name只打印给出名字的协议的统计数字和协议控制块信息-s打印每个协议的统计数字-t在输出显示中用时间信息代替队列长度信息(6)端口监控使用netstat查看服务器的端口状况netstat-n-ptcp10>>Netstat.log，这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:time/t>>Netstat.logNetstat-n-ptcp10>>Netstat.log这个脚本将会自动记录时间和TCP连接状态(6)端口监控netstat-n-ptcp10>>Netstat(7)终端服务的日志监控微软Win2000服务器版中自带的终端服务TerminalService是一个基于远程桌面协议（RDP）的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件在管理工具中打开远程控制服务配置（TerminalServiceConfigration），点击"连接"，右击你想配置的RDP服务（比如RDP-TCP(MicrosoftRDP5.0)，选中书签“权限”，点击左下角的“高级”，选择“审核”。加入一个Everyone组，这代表所有的用户，然后审核他的“连接”、“断开”、“注销”的成功和“登录”的成功和失败(7)终端服务的日志监控微软Win2000服务器版中自带的建立一个叫做TSLog.bat的bat文件，由其来记录登录者的IP：time/t>>TSLog.lognetstat-n-ptcp|find":3389">>TSLog.logstartExplorer第一行是记录用户登录的时间，time/t的意思是直接返回系统时间（如果不加/t，系统会等待你输入新的时间），然后我们用追加符号“>>”把这个时间记入TSLog.log作为日志的时间字段第二行是记录用户的IP地址，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“：3389”的行，最后我们同样把这个结果重定向到日志文件TSLog.log中去(7)终端服务的日志监控建立一个叫做TSLog.bat的bat文件，由其来记录登录(8)陷阱技术早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着矛和盾的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越象真正的服务，不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助判断入侵者的身份。对于陷阱技术的使用应该慎重，一来从技术人员角度来说，低调行事更符合安全的原则；二来陷阱主机反而成为入侵者跳板的情况也屡见不鲜。(8)陷阱技术早期的陷阱技术只是一个伪装的端口服务用来监测谢

谢谢

谢网络信息安全管理员高级网络安全员培训第二讲网络信息安全技术网络信息安全管理员高级网络安全员培训第二讲网络信息安全技术网络信息安全技术加密技术认证技术入侵检测网络信息安全技术加密技术

加密技术认证技术入侵检测网络信息安全技术加密技术网络信息安全技术加密技术

基本概念对称密码技术非对称密码技术加密技术基本概念加密技术经典密码：古埃及人用以保密传递的消息；

单表置换密码，凯撒密码，

多表置换密码，Vigenere密码等等近代密码：DES数据加密标准，70年代Diffie,Hellman

的开创性工作——公钥体制的提出密码应用：电子数据，军事目的，经济目的。应用形式：数据的保密性、真实性、完整性。主要内容：数据加密，密码分析，数字签名，信息

鉴别，零泄密认证，秘密共享等等。信息攻击：主动攻击——对数据的恶意删除、篡改等

被动攻击——从信道上截取、偷窃、拷贝

信息。

无意攻击——错误操作、机器故障等。加密技术经典密码：古埃及人用以保密传递的消息；

密码体制基本术语：信源——消息的发送处

信宿——消息的目的地

明文——没有加密的消息

密文——加密后的消息

信道——传递消息的通道通信模型：经典的通信模型如图所示：密码体制基本术语：信源——消息的发送处

密码体制：可能的明文集合P——称为明文空间

可能的密文集合C——称为密文空间

可能的密钥集合K——称为密钥空间

一组加密变换：

一组解密变换：满足：则五元组（P，C，K，Ek，Dk）称为一个密码体制。基本要求：(1)对所有密钥，加、解密算法迅速有效,

(2)体制的安全性不依赖于算法的保密，

只依赖于密钥的保密—Kerchohoff原则。密码体制：可能的明文集合P——称为明文空间

经典的密码体制中，加密密钥与解密密钥是相同的，或者可以简单相互推导，也就是说：知道了加密密钥，也就知道了解密密钥；知道了解密密钥，也就知道了加密密钥。所以，加、解密密钥必须同时保密。这种密码体制称为对称（也称单钥）密码体制。最典型的是DES数据加密标准，应该说数据加密标准DES是单钥体制的最成功的例子。经典的密码体制中，加密密钥与解密密钥是相同的，或者可以简单相现代密码学修正了密钥的对称性，1976年，Diffie，Hellmann提出了公开密钥密码体制（简称公钥体制），它的加密、解密密钥是不同的，也是不能（在有效的时间内）相互推导。所以，它可称为双钥密码体制。它的产生，是密码学革命性的发展，它一方面，为数据的保密性、完整性、真实性提供了有效方便的技术。另一方面，科学地解决了密码技术的瓶颈──密钥的分配问题。现代密码学修正了密钥的对称性，1976年，Diffie，He第一个公钥体制是1977年由Rivest，Shamir，Adleman提出的，称为RSA公钥体制，其安全性是基于整数的因子分解的困难性。RSA公钥体制已得到了广泛的应用。其后，诸如基于背包问题的Merkle-Hellman背包公钥体制，基于有限域上离散对数问题的EIGamal公钥体制，基于椭圆曲线的密码体制等等公钥体制不断出现，使密码学得到了蓬勃的发展，第一个公钥体制是1977年由Rivest，Shamir，Ad公钥体制用于数据加密时：用户将自己的公开（加密）密钥登记在一个公开密钥库或实时公开，秘密密钥则被严格保密。信源为了向信宿发送信息，去公开密钥库查找对方的公开密钥，或临时向对方索取公钥，将要发送的信息用这个公钥加密后在公开信道上发送给对方，对方收到信息（密文）后，则用自己的秘密（解密）密钥解密密文，从而，读取信息。可见，这里省去了从秘密信道传递密钥的过程。这是公钥体制的一大优点。公钥体制用于数据加密时：E(m)Kb1AKa1BD(E(m))Kb2mmRSA的加解密过程公开信道E(m)Kb1AKa1BD(E(m))Kb2mmRSA的加解公钥体制用于数字签名时：信源为了他人能够验证自己发送的消息确实来自本人，他将自己的秘密（解密）密钥公布，而将公开（加密）密钥严格保密。与别人通信时，则用自己的加密密钥对消息加密──称为签名，将原消息与签名后的消息一起发送.对方收到消息后，为了确定信源的真实性，用对方的解密密钥解密签名消息──称为（签名）验证，如果解密后的消息与原消息一致，则说明信源是真实的，可以接受，否则，拒绝接受。公钥体制用于数字签名时：密码分析方法分类：穷举法、统计法、系统分析法

穷举法——对可能的密钥或明文的穷举；

统计法——根据明文、密文、密钥的统计特性达到破译密码的方法；

系统分析法——根据掌握的明文、密文的有关信息，应用加、解密算法求解密钥、明文的方法。密码分析方法分类：穷举法、统计法、系统分析法

穷计算安全性：理论上，除一文一密外，没有绝对安全的密码体制，通常，称一个密码体制是安全的是指计算上安全的，即：密码分析者为了破译密码，穷尽其时间、存储资源仍不可得，或破译所耗资材已超出因破译而获得的获益。计算安全性：1、唯密文攻击：仅根据密文进行的密码攻击；2、已知明文攻击：根据一些相应的明、密文对进行的密码攻击。3、选择明文攻击：可以选择一些明文，并获取相应的密文，这是密码分析者最理想的情形。例如，在公钥体制中。根据密码分析者掌握明、密文的程度密码分析可分类为：1、唯密文攻击：仅根据密文进行的密码攻击；根据密码分析者掌握加密技术基本概念

对称密码技术非对称密码技术加密技术基本概念序列密码通过有限状态机产生性能优良的伪随机序列，使用该序列逐比特加密信息流得到密文序列产生伪随机序列：反馈移位寄存器，前馈序列，钟控序列，组合网络，混沌理论……序列密码通过有限状态机产生性能优良的伪随机序列，使用该序分组密码将明文分成固定长度的组（块）DESIDEAAES分组密码将明文分成固定长度的组（块）分组密码DESIDEAAES分组密码DES1973.5.15：美国国家标准局（NSA）公开征求密码体制的联邦注册；1975.3.17：DES首次在《联邦记事》公开，它由IBM开发，它是LUCIFER的改进；1977.2.15：DES被采用作为非国家机关使用的数据加密标准，此后，大约每五年对DES进行依次审查，1992年是最后一次审查，美国政府已声明，1998年后对DES不再审查了；1977.2.15：《联邦信息处理》标准版46（FIPSPUB46）给出了DES的完整描述。1973.5.15：美国国家标准局（NSA）公开征求密码体DES密码体制：它是应用56位密钥，加密64比特明文分组的分组秘钥密码体制DES加密算法：

（一）初始置换：x0=L0R0=IP(x)；

（二）16次迭代：xi-1=Li-1Ri-1，

Li=Ri，Ri=Li

f(Ri-1,ki)

i=1,2,…,16；

（三）逆置换：x16=L16R16，y=IP-1(x16)。密钥生成器：密钥ki是由56位系统密钥k生成的32位子密钥。函数f及S盒：f(Ri-1,ki)=P(S(E(Ri-1)ki))DES密码体制：它是应用56位密钥，加密64比特明文分组的分

其中E，P是两个置换，表示比特的“异或”，S是一组八个变换S1，S2，S3，…，S8，称为S盒，每个盒以6位输入，4位输出，S盒构成了DES安全的核心。DES算法流程图其中E，P是两个置换，表示比特的“异或”，S是一组函数f及S盒的示意图DES解密：DES的解密过程与加密过程相同，只不过

子密钥的使用相反，即，首先使用k16，再使用k15，

…，最后使用k1。函数f及S盒的示意图DES解密：DES的解密过程与加密过程相关于DES的讨论S盒是唯一非线性组件：有人认为其中可能含有某种“陷门”，国家安全机关可以解密。DES的密钥量太小：密钥量为2561977年：Diffie.Hellman提出制造一个每秒测试106的VLSI芯片，则一天就可以搜索完整个密钥空间，当时造价2千万美圆。CRYPTO’93：R.Session，M.Wiener提出并行密钥搜索芯片，每秒测试5x107个密钥，5760片这种芯片，造价10万美圆，平均一天即可找到密钥。关于DES的讨论S盒是唯一非线性组件：有人认为其中可能含有某Internet的超级计算能力：1997年1月28日，美国RSA数据安全公司在Internet上开展了一项“秘密密钥挑战”的竞赛，悬赏一万美圆，破解一段DES密文。计划公布后，得到了许多网络用户的强力相应。科罗拉州的程序员R.Verser设计了一个可以通过互联网分段运行的密钥搜索程序，组织了一个称为DESCHALL的搜索行动，成千上万的的志愿者加入到计划中。网络信息安全员(高级)——02网络信息安全技术第96天，即竞赛公布后的第140天，1997年6月17日晚上10点39分，美国盐湖城Inetz公司职员M.Sanders成功地找到了密钥，解密出明文：TheunknownMessageis：“Strongcryptographymakesthewordasaferplace”(高强度密码技术使世界更安全)。Internet仅仅利用闲散资源，毫无代价就破译了DES密码，这是对密码方法的挑战，是Internet超级计算能力的显示.网络信息安全员(高级)——02网络信息安全技术差分分析法：除去穷举搜索密钥外，还有其他形式的攻击方法，最著名的有Biham，Shamir的差分分析法。这是一个选择明文攻击方法。虽然对16轮DES没有攻破，但是，如果迭代的轮数降低，则它可成功地被攻破。例如，8轮DES在一个个人计算机上只需要2分钟即可被攻破。网络信息安全员(高级)——02网络信息安全技术分组密码DESIDEAAES分组密码DESIDEAIDEA(InternationdataencryptionAlgorithm国际数据加密算法)是瑞士联邦技术学院开发的一种分组秘钥加密算法。可以说，它是DES的替代算法，它针对DES的64位短密钥使用128位密钥，每次加密64位明文。通过密钥的加长，提高了IDEA的抵御强力穷举密钥的攻击，通过算法的改进，有效地阻止了差分密码分析。IDEA加密效率很高，可以在177MB/s的芯片上实现加密。对IDEA的攻击：还没有人攻击成功IDEA，攻击IDEA的困难性如同分解3000比特的整数。IDEAIDEA(InternationdataencIDEA工作原理

1、分解64比特明文成为4个16比特的子块；

2、执行8轮迭代：

A.由128比特密钥生成器生成6个子密钥；

B.在每一轮迭代中，使用加法、乘法把4个子密

钥和4个子块结合起来，并保存以待后用；

C.将B中两对子块（共4块）做XOR，得2个16

比特子块，并将其与两个子密钥结合，所得结

果与B中4个子块结合。

D.如此进行8轮。IDEA的解密：IDEA的加、解密过程类似于DES，但，解密子密钥是加密子密钥的加法或乘法逆，且顺序相反。IDEA工作原理

1、分解64比特明文成为4个16比特的子块IDEA算法流程图

IDEA算法流程图

IDEA迭代运算流程图

IDEA迭代运算流程图

分组密码DESIDEAAES分组密码DES美国高级数据加密标准AES一、Rijndael的数学基础二、Rijndael密码算法三、Rijndael设计准则四、Rijndael密钥生成器美国高级数据加密标准AES一、Rijndael的数学基础二、2000年10月2日，Rijndael算法被推荐为美国非国家机关数据加密标准AES，接受90天的公众评论。2001年2月29日，Rijndael算法被正式确定为美国非国家机关数据加密标准AES。美国高级数据加密标准AES2000年10月2日，Rijndael算法被推荐为美国非国家一、Rijndael数学基础Rijndael支持：128比特，192比特，256比特密钥，128比特，

192比特，256比特明文的混合长度加密的分组密码算法Rijndael的运算：字节运算——有限域GF(28)上的运算、字

运算—有限域GF(28)上多项式的运算。有限域GF(28)：看成是系数取0，1的次数最多是7的全体多项

式集合，即：GF(28)={b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0|bk=0,1}，

或GF(28)={(b7,b6,b5,b4,b3,b2,b1,b0)|bk=0,1}加法定义为：普通多项式加法，但是其系数加法是比特异或,例如：(10110110)+(11001101)=(01111011)乘法定义为：普通多项式的乘法除多项式：

m(x)=x8+x4+x3+x+1

取余。

一、Rijndael数学基础Rijndael支持：128比特例如：(01010111)(10000011)

模m(x)：(x13+x11+x9+x8+x6+x5+x4+x3+1)mod(x8+x4+x3+x+1)=(10101101111001)mod(100011011)

++=(x6+x4+x2+x+1)(x7+x+1)=x13+x11+x9+x8+2x7+x6+x5+x4+x3+2x2+2x+1=x13+x11+x9+x8+x6+x5+x4+x3+1=(x5+x3)(x8+x4+x3+x+1)+x7+x6+1≡x7+x6+1modm(x)=(11000001)10101101111001

100011011100000011

10001101111000001例如：(01010111)(10000011)模m(x)：(逆元：对GF(28)中两个个元a,b,如果ab≡1modm(x)，则称b

是a的逆元，也称a是b的逆元，记为：b=a-1，a=b-1。逆元存在性：有结论告诉我们，因为多项式

m(x)=x8+x4+x3+x+1

不可分解因式，所以除元0外，所有元都有逆元。逆元的求法：应用Euclid算法。字运算：系数在GF(28)上多项式模x4+1乘法。设：a(x)=a3x3+a2x2+a1x+a0，b(x)=b3x3+b2x2+b1x+b0，

c(x)=a(x)b(x)=c6x6+c5x5+c4x4+c3x3+c2x2+c1x+c0，那么，c0=a0b0，c1=a1b0+a0b1，