信息安全课件

信息安全概述

何谓信息?数据(data)：表征现实世界中实体属性的物理符号（数字、符号、声音、图像、文字等）称为数据信息(information)：信息是经过加工(获取、推理、分析、计算、存储等)的特定形式数据。知识(knowledge)：许多相关信息集合起来，就形成了知识信息的特点是什么？时效性新知性不确定性总结：信息是有价值的关于信息化信息革命是人类第三次生产力的革命四个现代化，那一化也离不开信息化。——江泽民信息化电脑的不断普及露天电影——家庭影院银行业务电话的改变邮局业务——电子邮件——电子商务……信息化出现的新问题互联网经营模式的问题网上信息可信度差垃圾电子邮件安全病毒攻击……什么是安全安全（safety）：侧重于非恶意的安全（security）：侧重于恶意的信息安全的范畴硬件安全及操作系统安全计算机安全网络安全……信息安全形势严峻2004年病毒增长高达50%2005年网络安全不容乐观2000年问题总算平安过渡黑客攻击搅得全球不安计算机病毒两年来网上肆虐白领犯罪造成巨大商业损失数字化能力的差距造成世界上不平等竞争信息战阴影威胁数字化和平信息安全事件统计美国计算机安全专业机构

CERT有关安全事件的统计年份事件报道数目198861989132199025219914061992773199313341994234019952412199625731997213419983734199998592000200120022003217565265882094137529InformationandNetworkSecurityWewilldemonstratethat62%ofallsystemscanbepenetratedinlessthan30minutes.MorethanhalfofallattackswillcomefrominsideyourownorganizationfromTNN.com信息化与国家安全——政治由于信息网络化的发展，已经形成了一个新的思想文化阵地和思想政治斗争的战场。以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。美国国务卿奥尔布来特曾在国会讲：“中国为了发展经济，不得不连入互联网。互联网在中国的发展，使得中国的民主，真正的到来了。”带有政治性的网上攻击有较大增加过去两年，我国的一些政府网站，遭受了四次大的黑客攻击事件。第一次在99年1月份左右，但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，世界上各个国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。第二次，99年7月份，台湾李登辉提出了两国论。第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次在2001年4月到5月，美机撞毁王伟战机侵入我海南机场（中美黑客大战）信息化与国家安全——经济一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪97年20几起，98年142起，99年908起，2000年上半年1420起，近两年增长率超过30%。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起。涉及的金额几个亿。黑客攻击事件造成经济损失根据FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部，只有17%的公司愿意报告黑客入侵，其它机构由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织由于网络入侵事件造成的直接经济损失达

＄402,000。

信息化与国家安全——社会稳定互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。2002年我国公安机关共受理各类信息网络违法犯罪案件6633起，与2001年相比增长45．9％，其中利用计算机实施的违法犯罪5301起，占案件总数的79．9％。2004年底，工商银行、建设银行的网站被仿冒，用于骗取银行卡账号及密码。对社会的影响针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序网上不良信息腐蚀人们灵魂色情资讯业日益猖獗网上赌博盛行信息化与国家安全——信息战“谁掌握了信息，控制了网络，谁将拥有整个世界。”

（美国著名未来学家阿尔温托尔勒）“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”

（美国总统克林顿）“信息时代的出现，将从根本上改变战争的进行方式。”

（美国前陆军参谋长沙利文上将）信息时代的国际形势在信息时代，世界的格局是：一个信息霸权国家，十几个信息主权国家，多数信息殖民地国家。在这样的一个格局中，只有一个定位：反对信息霸权，保卫信息主权。安全威胁来自哪里外因内因人们的认识能力和实践能力的局限性系统规模Windows3.1——300万行代码Windows2000——5000万行代码信息安全的目标(属性)机密性Confidentiality信息的机密性，对于未授权的个体而言，信息不可用完整性Integrity信息的完整性、一致性，分为数据完整性，未被未授权篡改或者损坏系统完整性，系统未被非法操纵，按既定的目标运行抗否认性可用性Availability服务连续性常用的网络攻击技术网络扫描与侦听网络攻击的前期准备过程，目的是收集目标网络系统安全漏洞常用命令：ping,finger,traceroute,netstat,ipconfig…计算机病毒一组计算机指令或程序代码，是一种可存储、可执行的特殊程序，具有传染性、隐蔽性、破坏性。拒绝服务（DenialofService）通过消耗资源，破坏系统的可用性(availability)

典型DoS攻击：蠕虫病毒，SYNFlood，PingofDeath，smurf…缓冲区溢出一个非常普遍和严重的程序设计漏洞目的一般在于取得系统超级访问权限Smurf攻击示意图分布式拒绝服务攻击(DDoS)如何保证信息安全网络的安全程度是动态变化的监控、检测、响应、防护应协调运作P2DR防护（Protection）采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。检测（Detection）利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。响应（Response）对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。信息安全的研究内容信息安全基础研究密码理论安全理论信息安全应用研究安全技术平台安全信息安全管理研究安全策略研究安全标准研究安全测评研究信息安全管理体系安全是一个过程，而不是静止的产品信息安全的发展经典信息安全简单加密物理安全现代信息安全现代密码理论计算机安全网络安全信息保障发展中的信息安全信息安全法规数字化生存需要什么样的法规信息内容安全网上交易安全电子信息权利如何规制信息内容如何规制网上行为国际立法情况美国1)信息自由法2）个人隐私法3）反腐败行径法4）伪造访问设备和计算机欺骗滥用法5）电子通信隐私法6)

计算机欺骗滥用法7)

计算机安全法8)

正当通信法（一度确立，后又推翻）9)

电讯法美国关于密码的法规加密本土可以使用强密码（密钥托管、密钥恢复、TTP）视为武器而禁止出口可以出口密钥长度不超过40位的产品后来表示可以放宽到128位认证出口限制相对加密宽松2000年通过了数字签名法。我国立法情况基本精神适用于数字空间的国家大法中华人民共和国宪法中华人民共和国商标法（1982年8月23日）中华人民共和国专利法（1984年3月12日）中华人民共和国保守国家秘密法（1988年9月５日）中华人民共和国反不正当竞争法（1993年9月2日）初步修订增加了条款的国家法律中华人民共和国刑法为了加强对计算机犯罪的打击力度，在1997年对刑罚进行重新修订时，加进了以下计算机犯罪的条款：第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。国家条例和管理办法计算机软件保护条例（1991年6月4日）中华人民共和国计算机信息系统安全保护条例（1994年2月18日）商用密码管理条例（1999年10月7日）互联网信息服务管理办法（2000年9月20日）中华人民共和国电信条例（2000年9月25日）全国人大常委会关于网络安全和信息安全的决定（2000年12月29日）何为破坏互联网的运行安全1．侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；2．故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；3．违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。我国的信息安全法规急需完善配套许多规范需要完善并升级为国家法律部门条例存在矛盾和权威性不足许多信息化社会应用需要法律支持电子商务电子支付数字签名信息化环境的执法需要高技术的支撑学习体会信息安全内容广阔密码学网络安全系统安全安全的信息系统涉及到许多其它领域的知识实践性强学习方法阅读一些系统性较强的教材找到经典的论文案例研究本课程的目的提高安全意识掌握网络攻防技术的原理、方法和工具信息系统的安全解决方案掌握Internet的安全性课程基础知识密码学计算机网络(TCP/IP)操作系统(UNIX和Windows)程序设计考核办法平时成绩30%考试70%参考书籍WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,SecondEdition网络安全实用教程（第二版）EricMaiwald其他准备知识的书籍TCP/IPOS密码发展概述自人类社会出现战争便产生了密码JuliusCaesar发明了凯撒密码二战时德国使用Enigma机器加密美国军事部门使用纳瓦霍语(Navaho)通信员密码由军事走向生活电子邮件自动提款机电话卡 Phaistos圆盘，一种直径约为160mm的Cretan-Mnoan粘土圆盘，始于公元前17世纪。表面有明显字间空格的字母，至今还没有破解。二战中美国陆军和海军使用的条形密码设备M-138-T4。根据1914年ParkerHitt的提议而设计。25个可选取的纸条按照预先编排的顺序编号和使用，主要用于低级的军事通信。Kryha密码机大约在1926年由AlexandervoKryha发明。这是一个多表加密设备，密钥长度为442，周期固定。一个由数量不等的齿的轮子引导密文轮不规则运动。哈格林（Hagelin）密码机C-36，由AktiebolagetCryptoeknidStockholm于1936年制造,密钥周期长度为3,900,255。M-209是哈格林对C-36改进后的产品，由Smith-Corna负责为美国陆军生产。它的密码周期达到了101,105,950。转轮密码机ENIGMA，由ArthurScherbius于1919年发明，面板前有灯泡和插接板；4轮ENIGMA在1944年装备德国海军，英国从1942年2月到12月都没能解读德国潜艇的信号。英国的TYPEX打字密码机，是德国3轮ENIGMA的改进型密码机。它在英国通信中使用广泛，且在破译密钥后帮助破解德国信号。在线密码电传机LorenzSZ42，大约在1943年由LorenzA.G制造。英国人称其为“tunny”，用于德国战略级陆军司令部。SZ40/SZ42加密因为德国人的加密错误而被英国人破解，此后英国人一直使用电子COLOSSUS机器解读德国信号。信息加密信息加密的目的保护网内的数据、文件、口令和控制信息保护网上传输的数据信息加密的分类文件加密通信加密2.1密码学基本概念研究密码编制的科学叫密码编制学（Cryptography）研究密码破译的科学称为密码分析学（Cryptanalysis）共同组成密码学基本概念 密码技术的基本思想是伪装信息，伪装就是对数据施加一种可逆的数学变换，伪装前的数据称为明文，伪装后的数据称为密文，伪装的过程称为加密，去掉伪装恢复明文的过程称为解密。加密和解密的过程要在密钥的控制下进行。密码体制(密码系统)一个密码系统，通常简称为密码体制，由5部分组成：明文空间M全体明文的集合密文空间C全体密文的集合密钥空间K全体密钥的集合加密算法E一组由M到C的加密变换解密算法D一组由C到M的解密变换数据安全基于密钥而不是算法的保密加密:C=E(M,Ke)MCEKeCMKdD解密:M=D(C,Kd)M------明文C------密文Ke-----加密密钥Kd-----解密密钥E-------加密算法D------解密算法明文加密算法加密密钥K1网络信道解密算法明文解密密钥K2密文用户A用户B传送给B的信息B收到信息窃听者CC窃听到的信息!@#$%^密码体制分类根据密钥分类秘密钥密码体制（对称密码体制、单钥密码体制）公钥密码体制（非对称密码体制、双钥密码体制）根据密文处理方式不同分组密码体制序列密码体制根据算法使用过程中是否变化固定算法密码体制变化算法密码体制秘密钥密码体制（对称密码体制、单钥密码体制）Kd=Ke，或者由其中一个很容易推出另一个特点：发送者和接收者之间密钥必须安全传送。代表密码：DES,IDEA公钥密码体制（非对称密码体制、双钥密码体制）计算上Kd无法由Ke推出，则公开Ke1976年由W.Differ和N.E.Hellman提出，是密码发展史上一个里程碑。解决了密钥管理的难题。代表密码：RSA,ESIGN,椭圆密码分组密码体制设M为明文，分组密码将M划分为一系列明文块Mi，通常每块包含若干字符，并且对每一块Mi都用同一个密钥Ke进行加密。即：

M=(M1,M2,…Mn,)C=(C1,C2…Cn,) 其中Ci=E(Mi,Ke)i=1,2…n序列密码体制将明文和密钥都划分为位(bit)或字符的序列，并且对明文序列中的每一位或字符都用密钥序列中对应的分量来加密，即：M=(m1,m2,…mn)Ke=(ke1,ke2…ke1)C=(c1,c2…cn)其中ci=E(mi,kei)i=1,2…n 分组密码每次加密一个明文块，序列密码每次加密一个比特位或一个字符固定算法密码体制设E为加密算法，K0,K1…Kn,为密钥，M0,M1…Mn为明文，C为密文，如果把明文加密成密文的过程中加密算法固定不变，则称其为固定算法密码体制：

C0=E(M0,K0)C1=E(M1,K1)Cn=E(Mn,Kn)变化算法密码体制设E为加密算法，K0,K1…Kn,为密钥，M0,M1…Mn为明文，C为密文，如果把明文加密成密文的过程中加密算法不断变化，则称其为变化算法密码体制.

C0=E(M0,K0)C1=E1(M1,K1)Cn=En(Mn,Kn)由于加密算法在加密过程中可受密钥控制不断变化，则可以极大提高密码的强度，若能使加密算法朝着越来越好的方向演化，那密码就成为一种自发展的、渐强的密码，成为演化密码2.2经典密码体制单表代换密码多表代换密码多字母代换密码最简单的代换密码例子 明文中的字母重新排列,字母本身不变，但是位置改变了例如：明晨五点发动反攻明文：MINGCHENWUDIANFADONGFANGONG密文：GNOGNAFGNODAFNAIDUWNEHCGNIM单表代换密码 构造一个或者多个密文字母表，然后用它来代替明文字母或字母组。明文：MINGCHENWUDIANFADONGFANGONG密文：PLQJFKHQZXGLDQIDGRQJIDQJRQJ凯撒密码：将每个字母后面的第三个字母替换古典密码的统计分析语言的统计特性字母E出现的频率最高英文单词以E,S,D,T为结尾的超过一半英文单词以T,A,S,W为起始字母的约为一半…极高频率字母组E次高频率字母组TAOINSHR中等频率字母组DL低频率字母组CUMWFGYPB甚低频率字母组VKJXQZ英文字母频率分布2.3密码分析假设破译者是在已知密码体制的前提下来破译使用的密钥。最常见的破解类型如下：仅知密文攻击：破译者具有密文串C.已知明文攻击:破译者具有明文串M和相应的密文C.选择明文攻击：破译者可获得对加密机的暂时访问，因此他能选择明文串M并构造出相应的密文串C。选择密文攻击:破译者可暂时接近密码机,可选择密文串C，并构造出相应的明文M.这一切的目的在于破译出密钥或密文密码算法的安全性无条件安全（Unconditionallysecure）

无论破译者有多少密文,他也无法解出对应的明文,即使他解出了,他也无法验证结果的正确性.计算上安全（Computationallysecure）破译的成本超出被加密信息本身的价值破译的时间超出了被加密信息的有效期.一次性便条(One-timepad)使用一组完全无序的数字对消息编码,而且只使用一次例如:明文:密文:HELP字母被更改为相应的数字:25920一次性便条:每个字母对应一个随机的数字计算上安全目前运算速度最快的超级计算机”地球模拟器”(日本)理论上可以达到每秒41万亿次的浮点运算能力232一年有365*24*3600秒=31536000约为225一个数量级概念赢得彩票头等奖并在同一天被闪电杀死的可能性1/255用对称密钥加密的特点密钥必须秘密地分配如果密钥被损害了，攻击者就能解密所有消息，并可以假装是其中一方。假设网络中每对用户使用不同的密钥，那么密钥总数随着用户的增加而迅速增加。n个用户需要的密钥总数=n(n-1)/210个用户需要45个密钥100个用户需要4950个不同的密钥分组密码和序列密码的区别分组密码每次加密一个明文块，序列密码每次加密一个比特位或一个字符序列密码的密钥有多个，组成一个密钥序列3.1.1分组密码设计原理分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列实际上是对长度为n的数字序列进行置换实现的设计原则1分组长度足够大但是要考虑分组长度大带来的缺点密钥空间足够大目前认为128位足够安全由密钥确定的算法足够复杂实现的设计原则2软件实现的要求：使用子块和简单的运算。密码运算在子块上进行，要求子块的长度能自然地适应软件编程，如8、16、32比特等。在子块上所进行的密码运算尽量采用易于软件实现的运算。最好是用处理器的基本运算，如加法、乘法、移位等。硬件实现的要求：加密和解密的相似性，即加密和解密过程的不同应仅仅在密钥使用方式上，以便采用同样的器件来实现加密和解密，以节省费用和体积。尽量采用标准的组件结构，以便能适应于在超大规模集成电路中实现。两个基本设计方法 Shannon称之为理想密码系统中，密文的所有统计特性都与所使用的密钥独立混乱(confusion)：使得密文的统计特性与密钥的取值之间的关系尽量复杂，也就是，当明文中的字符变化时，截取者不能预知密文有什么变化例如：凯撒密码的混乱性并不好，因为只要推断出几个字母的转换方式，不需要更多信息就能预测出其他字母的转换方式扩散（Diffusion):明文的统计结构被扩散消失到密文的长程统计特性,使得明文和密文之间的统计关系尽量复杂也就是明文的小小变化会影响到密文的很多部分。Li-1Ri-1一个分组3.1.2分组密码的一般结构Feistel网络结构LiRiFKi3.2数据加密标准(DES)1973年5月15日,NBS开始公开征集标准加密算法,并公布了它的设计要求:(1)算法必须提供高度的安全性(2)算法必须有详细的说明,并易于理解(3)算法的安全性取决于密钥,不依赖于算法(4)算法适用于所有用户(5)算法适用于不同应用场合(6)算法必须高效、经济(7)算法必须能被证实有效(8)算法必须是可出口的DES的产生1974年8月27日,NBS开始第二次征集,IBM提交了算法LUCIFER，该算法由IBM的工程师在1971~1972年研制1977年1月15日,“数据加密标准”FIPSPUB46发布该标准规定每五年审查一次，计划十年后采用新标准最近的一次评估是在1994年1月，已决定1998年12月以后，DES将不再作为联邦加密标准。武汉工业学院计算机与信息工程系DES特点设计目标：用于加密保护静态储存和传输信道中的数据，安全使用10-15年综合应用了置换、代替、代数等多种密码技术分组密码。明文、密文、密钥的分组长度为64位,采用feistel结构面向二进制的密码算法。加密解密共用一个算法。武汉工业学院计算机与信息工程系DES的加密解密原理64位密钥经子密钥产生算法产生出64个子密钥:K1K2…K16,分别供第一次、第二次…第十六次加密使用64位明文首先经过初始置换IP(InitialPermutation),将数据打乱重新排列并分成左右两半。左边32位构成L0，右边32位构成R0由加密函数f实现子密钥K1对R0的加密，结果得32位的数据组f(R0,K1)。f(R0,K1)再与L0模2相加，又得到一个32位的数据组作为第二次加密迭代的R1，以R0作为第二次加密迭代的L1。至此，第一次加密迭代结束。第二次加密迭代至第十六次迭代分别用子密钥K2…K16进行，过程与第一次相同。第十六次加密迭代结束后，产生一个64位的数据组。左边32位作为R16,右边32位作为L16,两者合并在经过逆初始置换IP-1,将数据重新排列，得到64位密文。加密过程全部结束DES利用56比特串长度的密钥K来加密长度为64位的明文，得到长度为64位的密文输入64比特明文数据初始置换IP在密钥控制下16轮迭代初始逆置换IP-1输出64比特密文数据产生16个密钥Feistel结构DES的算法细节初始置换IP，初始逆置换DES的算法细节加密函数选择运算E：输入32位，输出48位与子密钥模2相加S盒运算：6位输入，4位输出置换函数p运算FKiDES的解密过程对合运算：加密和解密共用一个运算，子密钥使用的顺序不同DES存在的安全弱点密钥较短：56位F函数设计原理未知存在弱密钥子密钥有相重DES的历史回顾关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有256个早在1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要2000万美元。在CRYPTO’93上，Session和Wiener给出了一个非常详细的密钥搜索机器的设计方案，这个机器基于并行运算的密钥搜索芯片，所以16次加密能同时完成。此芯片每秒能测试5000万个密钥，用5760个芯片组成的系统需要花费10万美元，它平均用1.5天左右就可找到DES密钥。1997年1月28日，美国的RSA数据安全公司在RSA安全年会上公布了一项“秘密密钥挑战”竞赛，其中包括悬赏1万美元破译密钥长度为56比特的DES。美国克罗拉多洲的程序员Verser从1997年2月18日起，用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES的密钥，赢得了悬赏的1万美元。1998年7月电子前沿基金会（EFF）使用一台25万美圆的电脑在56小时内破译了56比特密钥的DES。1999年1月RSA数据安全会议期间，电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥。DES即将完成它的历史使命，给我们留下了关于商业密码技术和商业密码政策等多方面的深刻启发。几个著名的对称密码体制IDEAIDEA是InternationalDataEncryptionAlgorithm的缩写是1990年由瑞士联邦技术学院来学嘉X.J.Lai和Massey提出的建议标准算法称作PESProposedEncryptionStandardLai和Massey在1992年进行了改进强化了抗差分分析的能力改称为IDEA它也是对64bit大小的数据块加密的分组加密算法密钥长度为128位它基于“相异代数群上的混合运算”设计思想算法用硬件和软件实现都很容易它比DES在实现上快得多AES算法AES算法1997年4月15日美国国家标准和技术研究所NIST发起了征集AES算法的活动并成立了专门的AES工作组目的:为了确定一个非保密的公开披露的全球免费使用的分组密码算法用于保护下一世纪政府的敏感信息并希望成为秘密和公开部门的数据加密标准1997年9月12日在联邦登记处公布了征集AES候选算法的通告AES的基本要求是比三重DES快而且至少和三重DES一样安全.1998年8月20日NIST召开了第一次候选大会并公布了15个候选算法1999年3月22日举行了第二次AES候选会议从中选出5个AES将成为新的公开的联邦信息处理标准入选AES的五种算法是MARSRC6SerpentTwofishRijndael2000年10月2日美国商务部部长NormanY.Mineta宣布经过三年来世界著名密码专家之间的竞争,“Rijndael数据加密算法”最终获胜为此而在全球范围内角逐了数年的激烈竞争宣告结束这一新加密标准的问世将取代DES数据加密标准成为21世纪保护国家敏感信息的高级算法.思考题一个通信游戏两个朋友Alice和Bob想在晚上一起外出，但是他们定不下是去电影院还是歌剧院。于是，他们达成了一个通过掷硬币来决定的协议。Alice拿着硬币对Bob说：“你选择一面，我来抛”Bob选择后，Alice把硬币抛向空中。然后他们都注视硬币，如果Bob选择的那一面朝上，则他可以决定要去的地方，否则由Alice决定。假如两人在电话两端Alice对Bob说：“你选一面，我来抛，然后我告诉你你是否赢了”Bob会同意吗？如何解决？4.1公钥密码体制的基本原理对称密码体制的缺点：密钥分配和管理 传统密钥管理两两分别用一对密钥时，则n个用户需要C(n,2)=n(n-1)/2个密钥，当用户量增大时密钥空间急剧增大如: n=100时C(100,2)=4,995 n=5000时C(5000,2)=12,497,500确证问题数字签名公开钥密码的基本思想加密算法E解密算法D加密密钥Ke解密密钥Kd明文m明文m公开，其他用户可以像查找电话号码一样查到用户选择一对密钥Ke和Kd，分别为公开钥和秘密钥，并构造加密算法Ee和解密算法Ed已知：C=E(M,Ke) M=D(C,Kd)=D(E(M,Ke),Kd)用户公开Ke和Ee若用户A想向用户B传送一条消息M用户A用户BM用户A用户BCKeKd对称密钥加密方法公开密钥加密方法1用户A用户BCKeBKdBA查到B的公开加密钥KeB,用它加密M后得到C,将C发给B，B收到C以后，用自己保密的解密钥KdB解密C,得到明文M查找找到KeB方法1缺点任何人都能够冒充用户A给B发消息，B无法察觉用户A用户BCKeBKdB查找找到KeB用户C此消息对用户A可能不利无法保证信息的真实性公开密钥加密方法2用户A用户BCKdAKeA查找找到KeAA用自己保密的密钥KdA解密M,得到密文C，将C发给B，B收到C以后，查A的公开加密钥KeA,用KeA加密C后得到明文M方法2缺点用户A用户BCKdAKeA查找找到KeA用户C截获密文用户C获取了明文无法保证信息的秘密性公开密钥加密方法3用户A用户BCKeBKdB查找找到KeBKdAKeA查找找到KeAA用自己保密的解密钥KdA解密M,得到中间密文S查到B的公开加密钥KeBA用KeB加密S得到CA发C给BS=D(M,KdA)C=E(S,KeB)用户AB用自己保密的解密钥KdB解密C,得到中间密文SB接收C用KeA加密S得到M查到A的公开加密钥KeA用户BD(C,KdB)=SE(S,KeA)=M保证了数据的秘密性和真实性公开密钥密码应当满足的条件加密算法和解密算法互逆，即对所有明文都有D(E(M,Ke),Kd)=M计算上不能由Ke求出Kd算法E和D都是高效的E(D(M,Kd),Ke)=M单项陷门函数单向陷门函数是满足下列条件的函数f(1)给定x，计算y=f(x)是容易的(2)给定y,计算x使y=f(x)是困难的

(所谓计算x=f-1(Y)困难是指计算上相当复杂已无 实际意义)(3)存在k

已知k时,对给定的任何y,若相应的x存在,则计算x使y=f(x)是容易的注:1*.仅满足(1)(2)两条的称为单向函数。第(3)条称为陷门性称为陷门信息。几个典型的公开钥密码系统RSA系统背包系统椭圆曲线密码体制4.2RSA算法RSA公钥算法是由Rivest,ShamirAdleman在1978年提出来的。该算法的数学基础是初等数论中的Euler(欧拉)定理,并建立在大整数因子的困难性之上。素数(PrimeNumbers)一个大于1的整数，如果它的正因数只有1和它本身，就叫做质数（素数），否则就叫做合数。eg.2,3,5,7素数，4,6,8,9,10不是素数在数论中具有重要的地位小于200的素数有: 2357111317192329313741434753596167717379838997101103107109113127131137139149151157163167173179181191193197199素因子分解数n的因子分解是把它写成其它数的乘积n=a×b×c相对于把因子相乘得到一个数，进行一个数的因子分解是困难的。素因子分解是把一个数写成素数的乘积形式

eg.91=7×13;3600=24×32×52RSA的安全性基于大整数分解因子的困难性N为两个大素数p和q的乘积，分解n被认为是非常困难的生成RSA密钥选择两个素数p,q,对外界保密计算n=pq计算Ø(n)=(p-1)(q-1)选择e,使它成为是Ø(n)的一个互质数确定d,使得de=1modØ(n),并且d<Ø(n)数字n应该为200位或者是一个更大的数字。这样，p和q都至少在100位。实际使用中，密钥至少要1024位。对于敏感信息，可以考虑2046位或者以上基本算法C=MemodnM=Cdmodn公钥：{e,n}私钥：{d,n}在等式中,mod表示计算余数，例如12mod10=2例子：选择p=7,q=17N=pq=119,Ø(n)=(p-1)(q-1)=6*16=96选择随机整数e=5，与96互素找出d,使得d*e=1mod96,选择d=77算法C=MemodnM=Cdmodn选择明文19，C=195mod119=66密文66，M=6677mod119=19RSA算法的安全性对RSA算法的攻击实际上等效于对n的乘积分解。由于M=Cdmodn,n公开,则需要求出d有由于de=1modØ(n),e已知需要求出Ø(n)由于Ø(n)=(p-1)(q-1)，所以必须求出p,qn=pq,所以必须对n进行分解PGP安装及使用实验课程PGP来源PGP—PrettyGoodPrivacy，是一个基于RSA公匙加密体系的加密软件它采用了：审慎的密匙管理，一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。

PGP官方网站目前最新版本某些功能需要注册以后才能使用PGP6.5.3安装过程点击安装文件后出现的画面，表明文件版本和安装的注意事项相关的应用工具和帮助文档PGP使用

使用PGP之前，首先需要生成一对密钥，这一对密钥其实是同时生成的，其中的一个我们称为公钥，你可以把它分发给你的朋友们，让他们用这个密钥来加密文件，另一个私钥，这个密钥由你保存，你是用这个密钥来解开加密文件的。产生密钥加密文件数字签名文件解密验证签名并解密安全删除产生密钥密钥产生过程密钥产生过程密钥产生过程产生密钥密钥的发送把你的公用密钥发给你的朋友。用快捷键Ctrl+E或者菜单keys>Emport将你的密钥导出为扩展名为asc或txt的文件，将它发给你的朋友们。（对方则用Ctrl+M，keys>import导入文件加密对文件加密非常简单，只须选中该文件，然后点击右键中PGP的Encrypt，会弹出一个对话框让你选择你要用的密钥，双击使它加到下面的Recipients框中即可。

文件加密选中该文件，然后点击右键中PGP的Encrypt，会弹出一个对话框让你选择你要用的密钥，双击使它加到下面的Recipients框中即可。

文件解密解密时双击扩展名为pgp的文件或选中并点击右键中的PGP>Decrypt，在图中的下框输入密码即可加密的例子6.1密码应用信息加密、认证和签名流程加密保障机密性认证保证完整性签名保证抗否认性消息链接摘要算法签名算法消息摘要签名私钥时间戳消息消息签名加密算法会话密钥密文发送消息签名认证及签名加密、认证和签名流程6.1.2加密位置链路加密底层加密：数据链路层、网络层每经过一个交换机都要解密端—端加密高层加密：会话层、传输层在不同层的加密有不同的协议6.2密钥管理

所有的密码技术都依赖于密钥。密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。密钥生成算法的强度、密钥的长度、保密及安全管理密钥具有生命周期密钥管理的目的目的：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：密钥的泄露秘密密钥或公开密钥的身份的真实性丧失未经授权使用6.2.2密钥的分类基本密钥（BaseKey）又称初始密钥（PrimaryKey)，用户密钥(Userkey)，是由用户选定或由系统分配给用户的，可在较长时间（相对于会话密钥）内由一对用户所专用的密钥。会话密钥（SessionKey）即两个通信终端用户在一次通话或交换数据时使用的密钥。当它用于加密文件时，称为文件密钥(Filekey)，当它用于加密数据时，称为数据加密密钥(DataEncryptingKey)。密钥类型2密钥加密密钥（KeyEncryptingKey）用于对会话密钥进行加密时采用的密钥。又称辅助（二级）密钥(SecondaryKey)或密钥传送密钥(keyTransportkey)。通信网中的每个节点都分配有一个这类密钥。主机主密钥（HostMasterKey）它是对密钥加密密钥进行加密的密钥，存于主机处理器中。6.2.3密钥长度的选择原则原则：既保证系统的安全性，又不至于开销太高。对称密码的密钥长度公钥密码的密钥长度对称密码的密钥长度假设算法的保密强度足够的，除了穷举攻击外，没有更好的攻击方法。穷举攻击是已知明文攻击。穷举攻击的复杂度：密钥长为n位，则有2n种可能的密钥，因此需要2n次计算。密钥长度与

穷举破译时间和成本估计密钥的搜索速度由计算机资源确定。串行搜索下，由计算机的计算时间决定。并行搜索由空间复杂性和各计算机的计算能力决定。统计的观点某种计算资源破译需要一年时间,在一个月内破译的可能性8%,若穷举需要一个月时间,则一小时内破译的可能性是0.14%破译56位DES的成本单位:美元1.使用网络计算机的空闲时间使用40个工作站的空闲时间在一天内完成了对234个密钥的测试。一个40台计算机的网络，每台每秒执行32000次加密，系统可用1天时间完成40位密钥的穷举攻击。2.使用攻击病毒:软件攻击各种类型数据所需密钥长度1.所保存信息的价值2.信息保密的时间3.信息的攻击者及其使用的设备和资源的情况公开密钥密码体制的密钥长度两种体制密钥长度的对比6.2.4密钥的产生和装入密钥的产生手工/自动化选择密钥方式不当会影响安全性1）使密钥空间减小2）差的选择方式易受字典式攻击攻击者并不按照数字顺序去试所有可能的密钥，首先尝试可能的密钥，例如英文单词、名字等。（DanielKlein使用此法可破译40%的计算机口令），方法如下：用户的姓名、首字母、帐户名等个人信息alice从各种数据库得到的单词salary数据库单词的置换yralas数据库单词的大写置换SALARY对外国人从外国文字试起catlove尝试词组howareyou数字组合19851212好的密钥的特点真正的随机、等概避免使用特定算法的弱密钥双钥系统的密钥必须满足一定的关系选用易记难猜的密钥较长短语的首字母，词组用标点符号分开不同等级的密钥的产生方式不同（1）主机主密钥安全性至关重要，故要保证其完全随机性、不可重复性和不可预测性。可用投硬币、骰子，噪声发生器等方法产生（2）密钥加密密钥数量大(N(N-1)/2),可由机器自动产生,安全算法、伪随机数发生器等产生（3）会话密钥可利用密钥加密密钥及某种算法(加密算法,单向函数等)产生。（4）初始密钥:类似于主密钥或密钥加密密钥的方法产生密钥的装入主机主密钥的装入:可靠的人在可靠的条件下装入主机终端主密钥的装入会话密钥的获取密钥分配基于对称密码体制的密钥分配基于公开密码体制的秘密密钥分配几个密钥分配方案基于对称密码体制的密钥分配利用安全信道实现利用公钥密码体制实现安全信道传送邮递或者信使，安全性取决于信使的忠诚，成本高分层，信使只传送高级密钥将密钥拆成几部分小型网络中密钥共享用户A用户A11.A向B发送请求，和一个一次性随机数N122.B用主密钥（和A共享）对应答的消息进行加密发送33.A用新建立的会话密钥加密F(N2)发送给B大型网络中的密钥共享用户A用户AKDC123454:防止A发出去的消息被人截获5:B确认A收到自己的消息6.2.6公钥密码体制的密钥分配公开发布：例如发布到BBS上公钥动态目录：由某个公钥管理机构承担公钥证书：包括该用户的公钥，身份和时间戳，经过权威部门的认证。6.2.7密钥托管允许授权者在特定的条件下，借助于一个以上持有专用数据恢复密钥的、可信赖的委托方提供的信息来解密密文实质上是备用的解密途径美国政府1993年颁布了EES标准(EscrowEncryptIonStandard),该标准体现了一种新思想,即对密钥实行法定托管代理的机制。如果向法院提供的证据表明,密码使用者是利用密码在进行危及国家安全和违反法律规定的事,经过法院许可,政府可以从托管代理机构取来密钥参数,经过合成运送,就可以直接侦听通信。其后,美国政府进一步改进并提出了密钥托管(KeyEscrow〉政策,希望用这种办法加强政府对密码使用的调控管理。一直存在争议6.3公钥基础设施PKIPKI是一个用公钥概念与技术来实施和提供安全服务的普适性基础设施.PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。PKI基本组件证书库密钥服务器证书颁发机构CA注册认证机构RA1证书颁发机构CA公钥证书的颁发机构证书包含了用户的公开密钥，权威性文档CA对密钥进行公证，证明密钥主人身份与公钥的关系CA用自己的私钥对证书签名。证书颁发机构CA举例公安局发驾驶证驾驶证（公钥证书）确认了驾驶员的身份（用户），表示其开车的能力（公钥）驾驶证上有公安局的印章（CA对证书的签名）任何人只要信任公安局（CA），就可以信任驾驶证（公钥证书）。证书主体身份信息主体的公钥CA名称其他信息CA签名驾驶证驾驶员身份信息执照种类（驾驶能力）公安局名称其他信息公安局盖章验证并标识证书申请者的身份。确保CA用于签名证书的非对称密钥的质量。确保整个签证过程和签名私钥的安全性。证书材料信息（如公钥证书序列号、CA等）的管理。确定并检查证书的有效期限。确保证书主体标识的唯一性，防止重名。发布并维护作废证书表。对整个证书签发过程做日志记录。向申请人发通知。公钥的产生主体自己产生密钥对，并将公钥传送给CACA替主体生成密钥对，并将其安全传送给用户公钥的用途验证签名私钥不备份加密信息私钥备份2注册机构RA接收和验证新注册人的注册信息；代表最终用户生成密钥对；接收和授权密钥备份和恢复请求；接收和授权证书吊销请求；按需分发或恢复硬件设备，如令牌注册认证机构RA3证书库网上公共信息库，用于证书的集中存放，用户可以从此处获得其他用户的证书和公钥。证书库4密钥备份及恢复系统为了防止用户丢失用于脱密数据的密钥以后，密文数据无法被脱密，从而造成数据丢失，PKI应该提供脱密密钥的备份和恢复的机制。脱密密钥的备份和恢复应该由可信机构来完成，如CA。5证书的注销机制由于各种原因，证书需要被注销比如，私钥泄漏、密钥更换、用户变化PKI中注销的方法CA维护一个CRL(CertificateRevocationList)PKI应用接口系统透明性：PKI必须尽可能地向上层应用屏蔽密码实现服务的实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，并且便于单位、企业完全控制其信息资源。可扩展性：满足系统不断发展的需要，证书库和CRL有良好的可扩展性。支持多种用户：提供文件传送、文件存储、电子邮件、电子表单、WEB应用等的安全服务。互操作性：不同企业、不同单位的PKI实现可能是不同的，必须支持多环境、多操作系统的PKI的互操作性。6.3.2公钥证书身份证书属性证书通常需要根据属性进行授权，所以把主体的属性从身份中提取出来6.3.3公钥证书的发放和管理终端用户注册通过互联网注册证书的产生和发放由CA建立证书证书的管理检索验证取消6.3.4PKI的信任模型一个CA显然不能满足用户要求在有多个CA的时候，终端用户如何信任CA？1.CA的严格层次模型层次认证根CA把权力授给多个子CA子CA再授权子CA根CA子CA子CA子CA子CA子CA子CA用户用户用户用户用户2.CA分布式结构把信任分散到两个或者更多地CA上中心CA不是根CA中心CA根CA根CA子CA子CA子CA子CA用户用户用户用户用户子CA3.Web模型依赖于浏览器将一些CA的公钥预装在使用的浏览器上这些CA作为根CA4.以用户为中心的信任用户AA的朋友A的同事A的父亲A的哥哥A哥哥的朋友A父亲的朋友7.1身份认证基础主体的真实身份与其所声称的身份是否符合结果只有两个适用于用户、进程、系统、信息等身份认证的例子hotmail的邮件登录Client与Proxy-Server之间的鉴别Telnet远程登录POP3邮件登录Ftp服务登陆到某台电脑上身份认证的需求和目的需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体。目的：使别的成员（验证者）获得对声称者所声称的事实的信任。7.1.1物理基础用户所知道的(例如口令)简单，但不安全用户所拥有的(例如证件)认证系统相对复杂用户的特征(例如指纹识别)更复杂,而且有时会牵涉到本人意愿设计依据安全水平、系统通过率、用户可接受性、成本等身份认证与消息认证的差别身份认证一般都是实时的，消息认证一般不提供时间性。身份认证只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。声称者验证者身份认证身份认证系统的组成一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trustedthirdparty)，参与调解纠纷。第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。验证者身份认证声称者攻击者无法通过认证仲裁者7.1.2数学基础Alice:“我知道联邦储备系统计算的口令”Bob:“不，你不知道”Alice：我知道Bob：你不知道Alice：我确实知道Bob：请你的证实这一点Alice：好吧，我告诉你。（她悄悄说出了口令）Bob：太有趣了！现在我也知道了。我要告诉《华盛顿邮报》Alice：啊呀！零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。7.1.3协议基础双向认证协议指通信双方相互进行认证单向认证协议指通信双方中只有一方向另一方进行认证针对协议攻击的手法消息重放攻击用户A用户BM用户CM防止重放攻击加入时间要求时间同步提问/应答发送的消息包括一个随机数,要求B传回的消息包括这个随机数第八章访问控制在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制基本目标防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。–非法用户进入系统。–合法用户对系统资源的非法使用。访问控制的作用访问控制对机密性、完整性起直接的作用对于可用性，访问控制通过对以下信息的有效控制来实现：（1）谁可以颁发影响网络可用性的网络管理指令（2）谁能够滥用资源以达到占用资源的目的（3）谁能够获得可以用于拒绝服务攻击的信息主体、客体和授权客体（Object）：规定需要保护的资源，又称作目标（target)。主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。 一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。主客体的关系是相对的。访问控制与其他安全服务的关系模型可以是信息资源,通信资源区别身份认证是确认用户的确是他声称的那个人访问控制是确定这个用户能做什么,不能做什么访问控制策略和机制访问控制策略(AccessControlPolicy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。访问控制机制（AccessControlMechanisms):是访问控制策略的软硬件低层实现。

访问控制机制与策略独立，可允许安全机制的重用。安全策略应根据应用环境灵活使用。如何确定访问权限用户分类资源资源及使用访问规则用户的分类特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配作废的用户：被系统拒绝的用户。资源系统内需要保护的是系统资源：–磁盘与磁带卷标–远程终端–信息管理系统的事务处理及其应用–数据库中的数据–应用资源资源和使用对需要保护的资源定义一个访问控制包（Accesscontrolpacket)，包括：–资源名及拥有者的标识符–缺省访问权–用户、用户组的特权明细表–允许资源的拥有者对其添加新的可用数据的操作–审计数据资源和使用规定了若干条件，在这些条件下，可准许访问一个资源。规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。访问控制的一般策略强制访问策略角色访问策略自主访问策略自主访问控制特点：根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用。缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。强制访问控制特点：取决于能用算法表达的并能在计算机上执行的策略。为所有的主体和客体制定安全级别，不同级别的主体对不同级别的客体的访问在强制安全策略下实现。基于角色的策略用户不是自始自终以同样的注册身份和权限访问系统，而是以一定角色访问不同的角色被赋予不同的访问权限用户角色权限访问控制资源认证分派请求分派访问控制访问第九章安全审计概念：根据一定的策略通过记录分析历史操作事件发现和改进系统性能和安全作用对潜在的攻击者起到震摄或警告对于已经发生的系统破坏行为提供有效的追纠证据为系统管理员提供有价值的系统使用日志从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞安全审计系统的组成系统事件安全事件应用事件网络事件其他事件审计发生器审计发生器审计发生器审计发生器审计发生器日志纪录器日志分析器审计分析报告审计策略和规则日志文件日志的内容应该记录任何必要的事件，以检测已知的攻击模式检测异常的攻击模式应该记录关于系统连续可靠工作的信息应用实例1--NT的安全审计在NT中可以对如下事件进行安全审计登录及注销文件及对象访问用户权力的使用用户及组管理安全性规则更改重新启动关机及系统进程追踪等应用实例2--UNIX的安全审计Unix的日志文件主要目录/etc/etc/security/usr/adm早期版本/var/adm近期版本/var/logUNIX安全审计Unix的日志文件主要文件acctpacct;记录所有用户使用过的文件lastlog;记录最新登录时间成/败message;记录syslog产生的输出到控制台的信息sulog;使用su命令的记录utmp;记录当前登录进系统的用户信息wtmp;提供一份详细每次用户登录和退出的历史信息文件HOME/.shhistory;用户登录进系统后执行的所有命令信息安全的需求保密性（Confidentiality）完整性（Integrity）–数据完整性，未被未授权篡改或者损坏–系统完整性，系统未被非授权操纵，按既定的功能运行可用性（Availability）不可否认性（Non-repudiation）–防止源点或终点的抵赖7.1信息认证保证信息的完整性和抗否认性通过信息认证和数字签名来实现通信系统典型攻击窃听消息篡改内容修改：消息内容被插入、删除、修改。顺序修改：插入、删除或重组消息序列。时间修改：消息延迟或重放。冒充：从一个假冒信息源向网络中插入消息抵赖：接受者否认收到消息；发送者否认发送过消息。消息认证（MessageAuthentication)：是一个证实收到的消息来自可信的源点且未被篡改的过程。（防范第三方攻击）数字签名（DigitalSignature）是一种防止源点或终点抵赖的鉴别技术。（防范通信双方的欺骗）认证的目的认证模型认证函数信息认证认证的目的验证信息的完整性，在传送或存储过程中未被篡改，重放或延迟等。认证系统的组成认证编码器和鉴别译码器可抽象为认证函数。一个安全的认证系统，需满足意定的接收者能够检验和证实消息的合法性、真实性和完整性除了合法的消息发送者，其它人不能伪造合法的消息首先要选好恰当的鉴别函数，该函数产生一个鉴别标识，然后在此基础上，给出合理的认证协议(AuthenticationProtocol)，使接收者完成消息的认证。认证函数可用来做鉴别的函数分为三类：(1)消息加密函数(Messageencryption)用完整信息的密文作为对信息的鉴别。(2)消息认证码MAC(MessageAuthenticationCode)公开函数+密钥产生一个固定长度的值作为鉴别标识(3)散列函数(HashFunction)是一个公开的函数，它将任意长的信息映射成一个固定长度的信息。7.1.1消息加密消息的自身加密可以作为一个鉴别的度量。对称密钥模式和公开密钥模式有所不同对称密码体制加密认证发送者A，接受者B，双方共同拥有密钥A把加密过的信息传送给B攻击者不知道如何改变密文B只要能顺利解出明文，就知道信息在中途没有被人更改过。公钥密码体制加密认证A用私钥对明文的信息加密由于攻击者没有A的私钥，不知道如何改变密文B能用A的公钥解出明文，说明没有被人更改。这种方式既能提供认证，又能够提供数字签名。7.1.2消息认证码使用一个密钥生成一个固定大小的小数据块，附加在消息后，称MAC（MessageAuthenticationCode），或密码校验和（cryptographicchecksum）MAC=FK(M)收到消息后，只需要根据密钥和消息来计算MAC是否等于传过来的MAC。1、接收者可以确信消息M未被改变。2、接收者可以确信消息来自所声称的发送者；MAC函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。只提供认证，不提供保密和数字签名Why?为何要使用消息认证码根本上,信息加密提供的是保密性而非真实性加密代价大(公钥算法代价更大)认证函数与保密函数的分离能提供功能上的灵活性某些信息只需要真实性,不需要保密性广播的信息难以使用加密(信息量大)网络管理信息等只需要真实性政府/权威部门的公告7.2散列函数HashFunctionH(M):输入为任意长度的消息M;输出为一个固定长度的散列值，称为消息摘要(MessageDigest)。这个散列值是消息M的所有位的函数并提供错误检测能力：消息中的任何一位或多位的变化都将导致该散列值的变化。又称为：哈希函数、数字指纹（Digitalfingerprint)、压缩（Compression)函数、紧缩（Contraction）函数、数据鉴别码DAC（Dataauthenticationcode）、篡改检验码h=H(M)H公开，散列值在信源处被附加在消息上接收方通过重新计算散列值来确认消息未被篡改如果要提供保密性，需要对散列值提供另外的加密保护5.2.1散列函数的性质目的：产生文件、报文或其它数据块的“指纹”可以提供保密性、认证、数字签名的作用如果不要求提供保密性，可以采用不对整条报文加密而只对Hash码（也称作报文摘要）加密的方法基本性质能用于任何长度的数据分组对于任何给定的x,H(x)要易于计算对于任何给定的h，寻找x都是不可能的对于任何给定的x，找不到x不等于y,但是H(x)=H(y)寻找任何（x,y),使得H(x)=H(y)在计算上不可行。散列码的不同使用方式使用对称密码体制对附加了散列码的消息进行加密（提供认证及保密性）使用对称密码仅对附加了散列码进行加密（提供认证）使用公钥密码体制，只对散列码进行加密（提供认证及数字签名）发送者将消息M与通信各方共享的一个秘密值S串联后计算出散列值，将此值附在消息后发出去，则攻击者无法产生假消息（提供认证）不同使用方式提供认证A->B:M||H(M||S)提供认证和保密性A->B:E(M||H(M),K)提供认证和数字签名A->B:M||D(H(M),KdA)\提供认证、数字签名和保密性A->B:E(M||D(H(M),KdA),K)几种常用的HASH算法MD5SHA-1RIPEMD-160MD5简介Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年,MD5(RFC1321)developedbyRonRivestatMITMD5把数据分成512-bit块MD5的hash值是128-bit在最近数年之前,MD5是最主要的hash算法现行美国标准SHA-1以MD5的前身MD4为基础2004年8月17日的美国加州圣巴巴拉，正在召开的国际密码学会议（Crypto’2004）。来自山东大学的王小云教授做了破译MD5、HAVAL-12