蓝牙技术基础_教学课件 喻宗泉 第5章 蓝牙信息安全技术

在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 普通高等教育规划教材 蓝牙技术基础 主 编 喻宗泉 参 编 张有生 喻 晗 策划编辑 刘丽敏 机械工业出版社 普通高等教育规划教材 蓝牙技术基础ppt文档 电子教案策划：刘丽敏 电子教案制作：喻宗泉 容 音 机械工业出版社 第5章 蓝牙信息安全技术 本章介绍蓝牙信息安全知识 本章内容 n5.1 信息安全技术概述 l5.1.1 威胁信息安全的主要因素 l5.1.2 密码学基本概念 l5.1.3 分组密码和流密码 l5.1.4 DES加密原理 n5.2蓝牙信息安全 l5.2.1 蓝牙信息安全模式 l5.2.2 应用层安全保护 l5.2.3 链路层安全保护 l5.2.4 认证 n5.3 小结 序言 n蓝牙数据是一种无线传输的信息，它在传播 过程中，安全性是极为重要的一个问题。蓝 牙信息安全包括两个方面的含义：一个是蓝 牙数据的安全，一个是蓝牙设备的安全。本 章主要讨论前者，在叙述信息安全技术的一 般性原理基础上，着重讨论蓝牙信息安全所 采取的一些相应措施。蓝牙信息安全的一些 基本内容，已经包含在蓝牙基带标准中。 5.1 信息安全技术概述 n信息安全的首要任务是确保信息不受到外界的威胁 和攻击。为此，信息安全应当实现两个目的：一个 是防止信息泄露；另一个是防止信息遭到破坏。 n 相对有线通信而言，蓝牙数据的传输是相当脆弱 的，首先它用的是无线传输，无线电波从发射天线 向周围散射开，也就是说，它的发射过程就是一个 泄露的过程。但是对付这种“泄露”，在蓝牙网内使用 跳频就能有效地清除掉，被呼叫的从节点将对主节 点的呼叫做出响应；不被呼叫的从节点虽然也在无 线网的电场中，由于不是使用它们的地址，因此它 们继续无动于衷。 n 至于信息遭到破坏，其原因多为干扰引起，干扰 源既可能是环境因素，也可能是人为因素。对于干 扰源的干扰，蓝牙数据自身无能为力去克服，必须 采取相应的措施。 5.1.1 威胁信息安全的主要因 素 n在探讨威胁信息安全的主要因素之前 ，有必要先讨论信息的基本特征与功 能。只有首先了解什么是信息，它的 主要特征和作用是什么，随后才能清 楚地分析在哪些场合、在什么环境下 信息最容易受到攻击，从而才能寻找 到有效解除威胁、确保信息安全的措 施。 1.信息的基本概念(1) n迄今为止有关信息的定义多达100多种，每种说法都 试图从不同的角度、以不同的方法揭示“信息”的实质 内涵，但同时也或多或少带有某些局限性。目前比 较认可的一般意义上的定义是：信息是事物运动的 状态和状态变化的方式。这个定义给出了二个方面 的含义。 n 第一个方面，信息是一种状态，它与消息、信号 、数据、情报和知识既有联系又有区别。消息是信 息的粗略概念，信息是消息的精确描述。信号是信 息的载体，信息是信号荷载的内容。数据是信息的 记录形式，信息是形成数据的源泉。情报是信息的 一种，是一种秘密的特殊信息。知识是信息经过抽 象提炼、带有普遍性和概括性的产物，知识就是信 息，但所有的信息并不完全是知识。 1.信息的基本概念(2) n第二个方面，信息是一种变化方式，信息并不是固 定的、一成不变的，而是随着事物的运动状态改变 而发生变化。信息变化的方式是可测度的，而不是 杂乱无章地变化，因此，从信息的产生、到信息的 传递、再到信息的储存、直至信息的处理都有章可 循。相应地，人们创立并发展了信息技术，探讨信 息变化方式的规律。这些技术分别是： n传感器技术研究信息的产生； n通信技术研究信息的传递； n存储技术研究信息的存储； n计算机技术研究信息的处理。 n在信息变化方式的上述4个环节中，每一个环节都存 在信息安全问题。 2.信息的基本特征(1) n(1)依赖特征 n 信息来自于事物的运动，因此它必然依赖于事物 的发展。无论是客观事物的运动，还是主观世界的 思维过程，都能产生信息，所产生的信息都能被纪 录并保存。 n (2)认识特征 n 信息既然是事物运动的状态和状态变化的方式， 必然能够被人们认识。人们在认识信息的过程中有 时效性和相对性。所谓时效性就是信息具有时间特 征，这是因为信息会随时间发生变化，在一段时间 内成为信息的内涵，有可能在另一段时间里因事物 的运动不再成为信息。相对性是指观察者从不同的 角度，去观察同一件事物的状态变化，完全可能得 到不同的信息。但是无论人们是否能够在今天认识 到信息，还是认识到信息的不同表现，都不妨碍信 息的认识特征。这一特征决定了信息能够被人们或 机器感知、获取、识别、传送、存储、变换、显示 、检索、复制和共享。 2.信息的基本特征(2) n(3)动态特征 n 随着事物的变化，信息也会发生变化，变 化过程需要能量支撑。由于信息脱离事物并 能由媒介物质加载，因此信息能传播及复制 。信息的传播是最重要的动态特征，它能在 时间或空间上从一处传送到另一处。在传播 的过程中能够发生变换或转化。信息变换是 指使用不同的载体和不同的传播方式。例如 无线电波的传送，在空气中以电磁波的形式 存在，传播媒介是空气；到了接收天线以后 ，在接收机内以交流正弦电流的形式存在， 传播媒介是导线。 n 信息安全的最大威胁发生在传播过程中。 3.信息的基本功能 n信息的基本功能是有序功能。所谓“有 序性”是指事物在按照自身的运动规律 发展和变化过程中，人们能够通过对 信息的了解和掌握认识并影响事物的 发展变化。信息的有序功能能够消除 事物运动过程中的不定因素，避免出 现混乱。对信息的最大攻击，在于破 坏信息的有序性，使事物发展从有序 状态变为无序状态。 4.信息安全(1) n“安全”一词被定义成“远离危险的状态或特征 ”，或者被描述成“主观上不存在威胁，客观 上不存在恐惧”。安全是一个普遍存在的问 题，在社会生产和社会生活的各个领域都存 在安全问题。从某种意义上讲，安全是一个 永恒的话题。但是另一个方面，在不同的地 方、不同的环节上，“安全”的重要程度是有 差别的，例如煤矿生产的安全比制衣车间的 安全就要紧急得多。 n信息同样存在着安全问题，信息在产生、传 送、储存和处理等诸多环节中都存在安全问 题。同样地，在某些环节上的安全问题要突 出得多。 4.信息安全(2) n信息过程中，虽然处处都存在不安全因素， 但最大的隐患出现在通信中。因为其他的各 个环节，都可以就地处置不安全隐患，唯独 通信不行，信息要从一个地方转移到另一个 地方，信息安全问题就显得格外突出。 n信息过程离不开人们的认知过程。人们对世 界的认识与改造，就是不断地获取外界信息 、并对信息进行一系列的加工处理，如变换 、传送、比较、分析、判断、输出等，最终 做出决定运用于外界。这一过程如图5-2所 示。在这个认知的过程中，如果信息遭到破 坏，从一开始人们获得错误的信息，那么最 后的决策也必然是错误的。信息安全在获取 之前极为重要。 4.信息安全(3) n信息安全有5个基本属性： n(1)完整性 n信息在传输过程中如果未经授权，应保持不 变。保持不变意味着数据要完整无缺，不被 破坏或改写。 n(2)保密性 n信息不能泄露给未经授权的非法用户。 n(3)不可否认性 n参与信息交换的双方都不得否认自己从事的 操作并兑现承诺。发送方不能否认自己发送 信息，接收方不能否认自己已收到信息。 4.信息安全(4) n(4)可控性 n信息的传播应当是可以控制的，不是 无序、失控的。控制机构对信息的安 全全程监控。 n(5)共享性 n合法用户能使用或享受信息与资源， 不应被无理拒绝。 n信息安全的根本任务就是实现并维持 这5个基本属性；对信息安全的威胁 就是力图让信息离开上述5个基本属 性。 5.信息安全的威胁因素(1) n(1)主观因素 n主观因素是指人为因素，主要有如下 一些表现： n授权攻击 n被授权使用系统或资源的客户，将此 权限用于其他非授权目的，实施对信 息的人为攻击。这种攻击来自系统内 部，难于防范。 n非授权访问 n非授权的人或非授权的方式使用资源 。 5.信息安全的威胁因素(2) n入侵 n入侵有窃听、假冒、攻击、设置陷阱等，无 论是哪一种，都以损害信息安全的基本属性 为主要目的。所谓窃听是指用合法或非法的 手段窃取信息资源，如通信中的搭线监听、 利用电磁泄露进行截取等。“假冒”是指非法 用户冒充合法用户，小特权用户冒充大特权 用户（黑客的惯用手法就是假冒攻击）。攻 击是指攻击者针对系统安全缺陷或薄弱环节 采用非法手段突破防线，进入到系统内部。 设置陷阱是指在系统中或程序中设置陷阱机 关，一旦满足条件便发作。 n主观因素的共同特点是带有人为的痕迹，处 处都留下人为思考的烙印。 5.信息安全的威胁因素(3) n(2)客观因素 n客观因素主要指环境因素，信息并不是生存在真空 中，而是与具体的物理环境、通信链路、网络配置 、操作管理密切相关。 n物理环境是指设备是否安全。各种自然灾害将毁灭 设备，从而也毁灭存在于设备中的信息。电源故障 可能引起数据丢失。通道屏障不好，将引起干扰。 设备失窃将同时丢失信息。废弃的磁盘也必须销毁 ，仅仅删除文件还保障不了安全。电磁辐射直接泄 露了信息。通信链路上要防止窃听，要有抗干扰措 施。操作管理要避免操作不当造成信息泄露。 n由于威胁信息安全的主要因素是一种客观存在，安 全是相对的，不安全是绝对的，无论采取什么样的 防范措施，都不可能保证通信系统的绝对安全，因 此人们努力的方向是把通信系统的不安全，尽量控 制在一定的范围内。 5.1.2 密码学基本概念 n1.信息安全技术 n针对信息安全面临的威胁，人们设计 了相应的安全机制。这些安全机制在 不同的场合，有不同的使用办法。在 有的场合单独使用，在有的场合组合 使用。信息安全机制由相应的技术措 施作支撑，这些技术措施形成了一门 完整的科学分支，这就是信息安全技 术。信息安全技术所提供的技术措施 有3个方面的内容，分别是技术安全 、管理安全和政策法规的保障。 1.信息安全技术 n信息安全技术有若干技术组成，其中最主要 的技术是： l为了保障信息传输的安全，必须使用数据加密技 术和完整性鉴别技术； l为了保障信息储存的安全，必须使用数据库安全 技术； l为了保障信息处理的安全，必须使用反病毒技术 。 n有效地配合使用各类相关技术，能够用最小 的投入，更有效地降低安全风险。而在各类 相关技术中，加密技术是最基本的内容，是 保障信息安全的核心措施。信息加密是指把 有用的信息经过技术处理后，外人看上去是 一堆杂乱无章的乱码，蓄意攻击者无法读懂 信息、从而无法窃取信息。 2.密码学概述(1) n信息安全既要求保密，又要求完整。前一要 求是防止非法用户窃取数据；后一要求是防 止非法修改数据。解决这一问题的基础是密 码学。 n (1)密码学中的几个基本术语 n 现以图5-3信息传输过程示意图来说明明 文、密文、密钥、密钥空间、主动窃听、被 动窃听等基本术语。 2.密码学概述(2) n图5-3 信息用密文传输过程 2.密码学概述(3) n明文：是发送方发送的有用信息，这种信息 是任何人都能看懂的，是信息安全需要保护 的对象。 n密文：如果用明文在信道上发送，必然不安 全，容易失密，于是改用密文在信道上传送 。所谓密文就是仅仅只有发送方和接收方能 看懂，第三方则看不懂的载有明文的信息。 n加密：将明文变为密文的过程，变化过程依 据密钥进行。 n密钥：加密过程的依据，作用象一把钥匙， 如果把密文传输过程看作一把秘密锁，打开 这把锁的工具就是密钥。 2.密码学概述(4) n密文是公开发布的，有了密钥，才能将密文还原成 明文。因此密钥又能理解成将密文还原成明文的一 把钥匙。 n主动窃听：就是非法修改信道上传输的报文或分组 。修改的方法有多种，例如修改一条报文、删去一 条报文、重复发一条报文、插入一条报文等。 n被动窃听：就是非法在信道上搭线截获传输的信息 ，实施密码分析，破译密码-从密文中找到密钥、 最后还原成明文。 n在信息传输过程中使用到的计算机系统，同样存在 着信息安全受到威胁的问题。从某种程度上讲，计 算机系统受到的攻击不亚于信道上的安全威胁。图5- 5是计算机系统安全威胁的示意图。 2.密码学概述(5) n图5-5 计算机系统的安全威胁 2.密码学概述(6) n计算机系统的各个设备中，受威胁最大、最严重的 是存储器，存储器存放着管理程序、用户程序和数 据，迄今为止对计算机系统的有力攻击莫过于修改 存储单元的内容。 n修改存储单元内容的方法有多种，插入一个字节或 一个字、删除一个字节或一个字仅仅是其中的几种 手法。病毒程序是一种条件转移指令编制成的程序 ，在满足条件的时候将程序转移到死循环或用户不 知道的存储区间。浏览是指搜索存储单元内容非法 获取数据。推理是指经过对若干个数据的分析获得 保密数据。泄密则是非法用户入侵后，因保密系统 不严密致使保密数据丢失。 n计算机系统的安全，重点在数据存取的安全，在数 据库的安全。 2.密码学概述(7) n(2)传统密码 n现代密码学从古典密码学发展而来， 因此有必要这里介绍古典密码的编排 方法，先以“凯撒密码”为例来说明。 大约在公元前50年，罗马皇帝朱利叶 斯凯撒发明了一种密码，就是选用明 文字母的后面第3个字母为密钥，来 形成密文。 2.密码学概述(8) n如果用表示密文字母表中的元素，表示明文字母 表中的元素，那么凯撒密码的密钥可以写成： n3（mod 26） n式中（mod26）表示“模26运算”，26个字母的最后 一个字母后面，是字母。有时候，在不至于发 生混淆时，也可以把上式中的叫密钥。 n事实上，密钥不一定是3。由于有26个字母，因此可 选择的范围是025。需要注意的是，选择“”时， 将出现密文字母就是明文字母，没有意义，所以实 际选择范围是125，记为： n=（mod26） n式中，。是密钥的集 合，称为密钥空间。 2.密码学概述(9) n还有一种密码叫“铁轨”密码，密钥就像两条永不相交的铁 轨线。从明文生成密文的方法是先将明文按字符拆成两行 ，如明文 分成两行： n得密文： n解密的方法是将密文分成两行，依次写出明文。 n铁轨密码曾在美国独立战争期间（1861年1865年）使用 过，这种密码对拼音字母有一定的效果（也容易被破译） ，但对像汉字这样的方块字则不太管用。例如有密文： n子 寅 辰 午 申 戌 丑 卯 巳 未 酉 亥 n很容易破译出地支十二支： n子 丑 寅 卯 辰 巳 午 未 申 酉 戌 亥 2.密码学概述(10) n有一种网格编码适合于汉字。发送方 和接收方都使用相同的网格密钥，发 送方发送出一封很普通的信件，同时 把真实含义设置在网格内。接收方也 使用网格，就能收到发送方想要表达 的真实信息，这个信息与信件的内容 完全不同。图5-7就是这样的一个例 子。 图-7 网格密码 2.密码学概述(11) n还有一种密码是将文字的组成颠倒过 来，例如 n n上行字母就是发送的密文，倒过来成 了明文： n n当然有一些词语不适于用这种方法加 密，如 nlevel 2.密码学概述(12) n(3)密码编制和密码分析 n密码学成为一门科学，与数学和计算 机科学的发展紧密相关。今天，人们 已经认识到：密码学是研究密文如何 书写以及明文如何获取的一门科学。 密文如何书写属于编制密码，目的在 于编制好的密文不会被与通信无关的 第三方破译。明文如何获取属于破解 密码，又称之为密码分析，目的在于 恢复加密前的信息内容。密码编制学 和密码分析学构成了密码学的全部内 容。 2.密码学概述(13) n无论是密码编制，还是密码分析，都 离不开密钥。以凯撒密码为例，明文 符号和密文字母表之间的关系 n=+3（mod 26） n称为算法。算法是密文和明文之间的 函数关系，在这个函数关系内，密钥 3是算法中不可缺少的至关重要的参 数，对于要想窃取秘密的第三方来讲 ，算法是不可能保密的，只有密钥， 才是绝密的内容。 2.密码学概述(14) n密文符号空间、明文符号空间、算法和密钥空间构 成了一个完整的密码系统。在这个系统内，密文符 号空间、明文符号空间和算法相对稳定，密钥则是 一个需要经常变化的变量。只有经常变更密钥，才 能保证密码系统的安全。 n明文符号空间和算法本来也属于需要保密的范畴， 因为把明文符号空间泄露出去会使第三方缩小侦查 范围，对算法也是如此。但是事实上，要将明文符 号空间和算法保密往往是难于做到的，经常更换算 法也并不明智，将使通信双方在硬件电路和软件程 序上花费过高的代价。为此，现代密码学通常假定 算法是公开的，密钥才是通信双方和第三方争夺的 焦点。 2.密码学概述(15) n(4)一次系统（one-time system） n理论上不能被第三方经过密码分析实现解密 的系统，叫做一次系统。 n这个系统具有以下特征： n使用凯撒算法由明文生成密文，即=+K ； n密钥不是125，而是随机序列，即K随机 生成且K=（K0、K1、Kn1）； n随机生成的密钥位数等于明文的位数； n密钥只使用一次。 2.密码学概述(16) n用数学式来表示一次系统，就是设： nA=（a0、a1、a2、an1） n是明文（有n个元素），凯撒算法确定的密文为： nB=A+K（mod 26）=（a0+K0、a1+K1、a n1+K n 1） n其中，K=（K0、K1、K2、Kn1）是密钥，且随机 生成。例如发送方想把明文 nh a p h a z a r d l y n发送出去，首先发送方写出它的数字表示： nA=7，0，15，7，0，25，0，17，3，11，24 n式中26个英文字母az025阿拉伯数字，密钥K随机 生成为： nK=9，6，5，25，4，13，8，24，6，0，2 n由算法B=A+K得密文数字表示： nB=16，6，20，6，4，12，8，15，9，11，0=q，g，u， g，e，m，i，p，j，l，a 2.密码学概述(17) n在信道上传送的密文将是qgugemipjla。到了接收方 ，依靠密钥K便可以还原成发送方的明文。显然，仅 仅知道密文不是不能推导出明文，而是难度太大。 密钥有11个数，每个数的可能性是025，可能的密 钥系列共有2611个，这是一个天文数字，即便是用 穷尽搜索的方法，使用每秒计算100万次的计算机， 昼夜不停地计算，全部搜索、攻破密码系统所需要 的时间是 n在100多年后，攻破了这次随机生成的11个数字密钥 的密码系统，已经失去了任何实际的意义。如果明 文和密钥的长度都是12位，则需时： 2.密码学概述(18) n一次系统虽然不可攻破，并且在理论上也只有这一 系统不可攻破，但是在实际运用中确不适用。问题 就出在密钥的随机生成上。要想通信双方产生同样 的随机数，那么只能共用一个随机序列发生器。如 果发送方用一个，接收方用一个，两方产生的随机 数不可能相等，发送方发送的密文就失去了任何意 义，因为信息到了接收方，接收方无法将其解密。 所以通信双方只能共用一个随机序列发生器。从加 密生成密文的角度考虑，产生随机序列密钥的电路 位于发送方一侧为好。这样带来一个不安全的问题 ：密钥要随同密文一起从发送方发往接收方。 n密钥在信道上传送，无异于多此一举，不如不要加 密，直接传送明文。密钥的安全不能得到保证，导 致一次系统仅有理论上的意义。但是这一设计理论 却给人们开阔了设计密码系统的思路。 3.传统密码算法(1) n(1)换位算法 n这种算法生成密文的思路是把明文字母按一 定的规则重新排列。换位既可以是行、列换 位，也可以是周期换位。 n现以列换位为例说明，设选用的密钥是“青 春之歌”，按笔画从少到多排序为2341，要 传送的明文是persistence means。加密时 将明文每行4个排好： 3.传统密码算法(2) n换位后，按 排序列换位 生成的密文 为： nrtea_pinms esce_se_n_ n密文中的下 字符“_”表示 空格。 3.传统密码算法(3) n现在再看周期换位的例子。所谓周期换位是 指每次换的位数相同，例如设周期=4，依 次将明文persistence means每4位分成一组 。每一组的各位从明文到密文由密钥决定。 假设密钥=2431，则有换位前： 3.传统密码算法(4) n换位后： n在信道上传送的将是 esrpseti_enenam_ _ _s 3.传统密码算法(5) n(2)替代算法 n替代算法的要点是将明文中的每个字母改用 密文中的对应字母替代，这种对应关系又称 为映射。映射关系有一一映射、一多映射、 多多映射的等几种。按照映射关系的不同， 替代算法也有单表替代、同音替代、多表替 代等几种。 n单表替代算法的内容是一个明文符号用一个 密文符号替代，凯撒密码就是这种替代的典 型例子。 n同音替代算法的内容是一个明文符号用若干 个密文符号代替，若干个密文符号被称为同 音字母。当把明文翻译成密文时，用任何一 个密文符号都可以代替明文符号。 3.传统密码算法(6) n例如某一同音替代算法的密玥为： n那么，明文abc的密文可能是1 28 107 n也可能是 79 28 81 n或者是 53 109 29 3.传统密码算法(7) n多表替代算法是一种多多映射的算法，映射 的种类很多，其中有一种较为简单的是，把 明文分组，每一组的各位有相同的映射关系 。例如以英文26个字母为例，明文有16个 字母发送：persistence means（不计空格 ）。每4位分为一组，密文和明文之间的变 换公式为：密文=明文+密钥（mod26） n设密玥为3，0，18，4，即每组4个字母分 别移动3，0，18和4个位置。 4.现代密码学的技术特征(1) n传统密码学在应用上存在如下一些缺陷： n密钥分送越来越难 n在通信开始前，发送方必须事先把当前所用的密钥 ，用一条秘密的通道发送到接收方。这种发送本身 就存在泄密的可能。如果不传送密钥，接收方收到 的密文将毫无意义。在用户数量增加的情况下，分 别传送将更加增大泄密的可能性。 n无法解决发送方和接收方对传送内容的不同解释 n发送方传送的如果是合同，那么对合同必须要认证 ，因为合同一旦签订，将具有法律效力。但传统密 码学只能对发送方认证，无法对接收方进行认证。 接收方的解密密钥同于发送方的加密密钥，那么接 收方完全有条件更改接收到的密文，容易导致双方 发生争执。 4.现代密码学的技术特征(2) n在不保密信道上无法传送保密密钥 n密钥在不保密信道上传送，容易失窃。 n针对传统密码学存在的上述三个问题，现代密码学 应运而生，其显著标志是在1976年，由美国学者 Diffie和Hellman提出的公开密钥新型密码体制。其 要点是将加密密钥和解秘密钥分开。 n上世纪70年代，密码学完成了从传统密码学到现代 密码学的过渡。现代密码学有三个基本内容： n继续沿用传统密码的单钥密码体制，即加密密钥同 于解密密钥。这一部分包括两个方面的内容：一个 是流密码（又名序列密码），要点是每次一位对明 文进行操作和运算；一个是分组密码，要点是每次 一组（每组含若干位）对明文进行操作和运算。 n公开密钥新型密码体制。 nDES数据加密标准，由美国国家标准局NBS在1977 年公布。 5.公开密钥新型密码体制(1) n公开密钥密码系统在结构上与传统密码系统 有本质区别。图5-9和图5-10分别画出了两 类系统的基本模型。 图5-9 传统密码系统 5.公开密钥新型密码体制(2) n在传统密码系统中，明文用M表示，密文用C表示的 ，加密转换用E表示，解密转换用D表示，密钥用K 表示。在公开密钥密码系统中，参数符号表示相同 ，仅密钥表示除外，分别用K1和K2表示公开密钥和 秘密密钥。 图5-10 公开密钥密码系统 5.公开密钥新型密码体制(3) n在结构上，传统密码系统使用了一条密钥传 送信道，这条信道在理论上是安全的。而公 开密钥密码系统却没有这条信道，那是因为 这条信道在实际上并不安全。如果它是安全 的话，在传统密码系统中，就没有必要用它 来传送密钥，而是直接用它来传送明文，这 样加密、解密等环节都可以省去，少了麻烦 又降低了成本。由此看出，公开密钥密码系 统丢掉的正是一条理论上安全、实际上不安 全的密钥传送信道。另一方面，发送方和接 收方各用自己的密钥。发送方的密钥称为公 开密钥；接收方的密钥称为秘密密钥，或简 称为公开钥、秘密钥。 5.公开密钥新型密码体制(4) n结构上的不同，导致了公开密钥密码系统有两个系 统特征： n其一，加密钥和解密钥有本质上的不同，知道一个 密钥，不可能推导出另一个密钥，这样，加密钥能 够公开，需要保密的只是接收方的秘密钥。 n其二，不再需要密钥传送信道，因为该信道实质上 不安全。 n建立一个公开密钥密码系统，应当具备两个基本条 件： n加密和解密应该易于计算，易于计算的问题简称为 P类问题； n窃取密码进行分析难于计算，难于计算的问题简称 为NP类问题。 5.公开密钥新型密码体制(5) n为了满足这两个基本条件，公开密钥密码体 制的提出者Diffie和Hellman提出了“陷门单 向函数”的概念，这个函数由单向性和陷门 信息两大块组成，使用函数族 ny=f（x，k） n来描述，其中k是一种参数，对于每一k值， x和f（x，k）一一对应。这个函数的单向性 表现在： n若给定x和k，易于计算f（x，k）；若给定y 和k，难于计算x。 n即正方向计算容易，反方向计算不容易， y=f（x，k）是一个单向函数。这个函数的“ 陷门信息”表现在： 5.公开密钥新型密码体制(6) n存在一个k的函数d（k）；存在一个y 、k的函数g（y，k）。 n使得y=f（x，k）成立时，有 nx=g（y，d （k） n成立；且给出y与k后，易于计算g（y ，d （k）。在这个表现形式中，d （k）就被称之为“陷门信息”，它的功 能正是容易计算f（x，k）的逆。仅仅 只有单向性的函数，只能用来存储文 件、口令等。具有陷门信息的单向函 数才适于建立公开密钥密码系统。 5.公开密钥新型密码体制(7) n公开密钥密码系统有以下一些系统性质： n(1)系统中的每个用户都公开加密密钥（公 开密钥）和加密算法，并把它们放入一个公 开的文件夹中，这个文件夹类似于电话号码 本，或者是用户名称及其加密算法的一个目 录表。 n(2)用户需要保密的是解密密钥和解密算法 ，解密后得到的明文D是发送方加密前的明 文M： nD（E（M）=M n(3)加密算法E对发送方容易计算。 5.公开密钥新型密码体制(8) n(4)解密算法D对接收方容易计算，对第三方 要想计算极为困难。 n(5)从加密算法E不能推导出解密算法，也不 能推导出解密密钥。 n(6)如果将明文M先解密，然后再加密，其结 果仍然是M： nE（D（M）=M n式中D就是用解密算法获得的结果，E是加 密算法获得的结果。 n满足上述(1)(5)性质的“E”就是“陷门单向 函数”；能同时满足上述(1)(6)性质的E被 称为“陷门单向置换”。性质（6）在数字签 名中起着重要作用。 6.数字签名(1) n数字签名是一种用信息取代人工签字或盖章 的签名方式。数字签名有双重含义。第一重 是数字特性，信息以字母、数字符号串的形 式出现，能够在网络上传播。第二重是签名 特性，签名是签字人独有的、有效的、不可 仿造的、不能抵赖的权力。在通信领域中实 施数字签名有以下具体要求： l数字签名是发送方的签名，由发送方发送，一旦 发送就再也不能否认； l接收方能够收到数字签名并核准是哪个发送方发 送的，但不能伪造或修改发送方的数字签名； l网络中其他用户既不能冒充发送方，也不能冒充 接收方。 6.数字签名(2) n现在举例说明。假设有X和Y两人远距离开 展业务活动，X将一个签了名的信息M发送 给Y，X的数字签名信息必须具备三个条件 才能有效： nY能确认X对信息M的签名； nY伪造不了X的签名，并且除Y以外的任何第 三者也伪造不了X的签名； nX否认不了自己的对信息M的签名，如果否 认，有仲裁机构裁决认定是X的签名。 n公开密钥密码系统在满足E（D（M）= M 的条件下，加密转换E和解密转换D能用于 数字签名。 6.数字签名(3) n设Dx是X私人才知道的解密转换，Ex 是Dx的逆转换。对明文M实施解密算 法得到的Dx（M）就能成为X的个人 签名。 nY在接收到X发送来的信息后，由于 Dx的逆转换Ex是公开的，因此Y能够 确切证实是X的签名。 nY和第三者能否为造出X的签名呢？不 能，因为Y和第三者都不知道Dx。 n同样地，由于Dx仅X一人知道，仲裁 机构在X想否认的情况下，能做出正 确的裁决。 6.数字签名(4) n上述过程用计算机实现的步骤如下： n第一步，X计算出C=Dx（M），完成对M签 名； n第二步，Y查询Ex（C）是否能恢复M，验 证X的签名； n第三步，X、Y之间一旦发生冲突，转入仲 裁程序，按第二步仲裁。 n传统密码学不具备数字签名的必要条件，因 为发送方和接收方使用相同的密钥。这样， 接收方就有条件伪造发送方的签名。当然， 仲裁机构也无法确认数字签名究竟是发送方 发出的，还是接收方伪造的。 5.1.3 分组密码和流密码 n分组密码和流密码都属于单钥密码， 这种密码编制和解密方法属于对称密 码体系，特征是加密密钥与解密密钥 相同，或者虽不相同，但从其中一个 极易推导出另一个，密钥为发送方、 接收方共享。下面分别介绍分组密码 和流密码。 1.分组密码(1) n将需要发送的明文按照固定长度进行分组， 以组为单位使用密钥将其加密成密文的过程 ，称为分组加密过程，相应的密码也被称为 分组密码。解密过程也是以分组为单位用解 密密钥进行。将明文分组后再加密有两个好 处：一个是在数据通信中，信息通常以成组 的形式进行传送，加密前就分好组数，传送 时就格外方便。另一个好处是，如果其中一 个密文组失误，不会影响到其它的密文祖。 在传送到接收方后，即便有一个解密后的明 文组失误，也不会影响到其它的明文组。 1.分组密码(2) n分组加密也有两个不足之处：一个是相同的密文组 来自相同的明文组，一个被击破便是个个被击破。 另一个是加密过程较为简单，既方便了接收方，也 方便了第三者。 n为了在实际中提高系统的保密性能，加密时通常采 用复合加密的办法。这种使用复合加密的密码被称 为分组乘积密码，它的基本形式可以表示成： nC=f1M1，f2M2，fnMn n式中C是生成的密文；f1，f2，fn是n个密钥，可 能是一个换位或替代函数；M1，M2，Mn是明 文经过混合变换后的明文。有效地选择换位或替代 方式，能够防止第三者利用统计分析的方法将窃取 的密文解密。 1.分组密码(3) n1949年，C.E.Shannon在“秘密系统的通信 理论”一书中提出了密码安全性设计的两个 准则： n混乱（confusion）准则：密文对密钥和明 文的依赖程度很复杂，以至于第三者无法利 用这种依赖性。 n扩散（diffusion）准则：密钥的每一位数字 影响密文的多位数字，明文的每一位数字影 响密文的多位数字，以至于知道密文的第三 者既无法逐段破译密钥，也无法按统计特征 推导出明文。 n分组乘积加密能有效体现上述两个设计准则 。 1.分组密码(4) n下面是一个分组乘积密码加密的实例。第一 次世界大战期间，德军曾经用过ADFGVX乘 积加密法。加密步骤如下： n第1步，加密前建一张66表格，表格内随 机填入10个阿拉伯数字09和26个字母A Z。 n第2步，在表格的行列处对应每格标注 ADFGVX。 n第3步，按照此表写出所要传送明文 的替代字符。比如要传送的明文是 4QV3KE，第1个字符“4”对应行列的 替代字符是XG。其余各字符依样写 出，这次加密得出的仅是中间结果。 1.分组密码(5) n第4步，将中间结果排成两行，便于换位， 每行5个字母，使用的密钥也用5个字母组 成的单词，便于记忆，例如密钥为I LOVE ，写出其密钥字母顺序。 n第5步，按照密玥字母顺序写出密文。 n密文发出后，按照相反次序便可解密。 n1973年，美国国家标准局NBS征集联邦数 据加密标准方案，IBM公司提供了一种密码 算法。1977年7月5日，NBS正式宣布将此 算法作为联邦信息处理标准46号（Data Encryption Standard ，简称DES，中文译 名“数据加密标准”），供非国防政府部门和 商业使用。DES就是一种分组乘积密码。 2.流密码(1) n流密码又称序列密码，其定义是：将 待加密的明文分成位（bit，又译成比 特）或字符（由若干位组成），用相 应密钥流进行加密后形成的密码。 n流密码与分组密码有两个主要区别。 一个区别是：流密码系统内存在记忆 装置，该装置存在在随机数发生器内 ，而分组密码系统内无记忆装置。第 二个区别是：流密码系统加密依靠密 钥流Ki，而分组密码系统加密依靠密 钥K，无种子密钥和密钥流之分。 2.流密码(2) n按照加密方式的不同，流密码可以分成同步 流密码和自同步流密码两种。密钥流的产生 与信息流（含明文流和密文流）无关的流密 码称为同步流密码，否则就是自同步流密码 。 n同步流密码系统生存的关键问题是：接收方 如何知道接收到的密文流丢失了字符？自同 步流密码系统较好地解决了同步流密码系统 生存的关键问题，这就是定期将发送方、接 收方同步，不管在同步前是否发生了字符丢 失。如果发生了字符丢失，错误也仅仅出现 在两次强行同步之间。 2.流密码(3) n流密码系统设计中的核心问题是如何设计密 钥流发生器。最简单的密钥流发生器由线性 反馈移位寄存器（Linear Feedback Shift Register，简称LFSR）组成。一个n级 LFSR结构如图5-16所示，它由n级移位寄 存器r1，r2，rn和一个反馈环节f（r1， ，rn）组成，其中r1，rn都仅仅只是 二进制数的一位，取值“0”或“1”。在外来控 制信号的作用下，每来一个脉冲，移位寄存 器的所有位便右移一位，最右边的一位移出 后，成为输出密钥流中的一位。反馈环节也 有一位输出进入最左边的一位。在n个脉冲 的驱动，n级移位寄存器右移n位，也产生 了密钥流的n位。 2.流密码(4) n图5-16 n级LFSR 2.流密码(5) n由LFSR构成的密钥流发生器在 使用过程中并不完善，主要原因 是密码窃取者只需掌握少数的明 文密文对，就能推导出全部密钥 流，它们之间的线性关系决定了 推导过程容易实现。为此必须改 用非线性的反馈环节，这样，即 便流密码系统丢失了几对明文密 文对，也不会导致整个密钥流被 破译。 5.1.4 DES加密原理 nDES加密体制属于传统密码学中分组 密码的一种。需要加密的明文是64位 分组数据，加密后的密文有56位。加 密过程如图5-17所示 图5-17 DES加密过程 2.流密码(7) n图中各环节工作原理叙述如下： n明文：需要加密的信息，以64位二进制数 的形式出现。 n移位转换X，又称为“初始重排IP”。将输入 的明文64位二进制数进行移位变换，移位 按以下的规律进行。假设64位二进制数的 各位编号是164，原排列为： 2.流密码(8) n初始重排IP的排列结果是： 2.流密码(9) nIP的规律是原排列中的偶数在上，奇数在下 ；较小的数在左，较大的数在右；按列的顺 序从小到大。这样，原输入的第58位在输 出中占到第1位，第50位占到第2位， 以此类推。排好后，“移位转换X”环节输出 64位。移位转换是一种与密钥无关的重新 排列，仅进行一次。 n乘积转换：与密钥有关的重新排列称为乘积 转换。密钥由“置换选择”部件提供，共有16 个，编号K1K16，每一个都有48位。在 每一个密钥的作用下，乘积转换引起的重新 排列进行一次，这样，重新排列的次数达 16次。完成了16次重排以后，输出的二进 制数位数依旧是64位。 2.流密码(10) n移位转换Y：移位转换Y是移位转换X的逆变 换，记为IP1。既然IP的生成规律是“第58 位占到第1位，第50位占到第2位，”，那 么在原排列中的第58位处写“1”，第50位处 写“2”，第7位处写“64”，可写出IP1的 重排结果： 2.流密码(11) n“移位转换Y”部件的逻辑功能是将 “乘积转换”部件输出的64位二进 制数按上述IP1的重排规律进行 一次与密钥无关的重新排列。它 的输出就是64位密文。 n种子密钥：64位随机序列，由随 机数发生器产生。64位二进制数 中有8位作奇偶校验用，余下56 位送置换选择部件。 2.流密码(12) n置换选择：从56位种子密钥中，每次挑选 48位送乘积转换部件作密钥用，共挑选16 次，形成K1K16。每次挑选的方法相同， 在置换选择中用循环左移的方法并取低48 位作密钥。挑选16次需要循环左移16次， 每次左移的位数如表5-1所示。 5.2蓝牙信息安全 n蓝牙通信是一种点对点的近距离通信 ，信息保护机制需要在通信协议的不 同层内实施。在蓝牙技术标准的最低 层物理层内，由于采用了跳频传输， 在某种程度上，数据的安全性能够得 到保护。因此，蓝牙信息的安全应当 从协议栈内的底层链路层和高层应用 层着手。在链路层上给参加通信的双 方认证并加密，从4个方面提供安全 保障。 n这4个方面是： n为每个用户提供唯一的48位蓝牙设 备地址； n提供一个128位的链路密钥； n提供一个8128位的加密密钥； n提供一个128位的随机数。在应用层 层面上，加入了安全保护机制。 n蓝牙信息安全是蓝牙基带标准中的一 部分。 5.2.1 蓝牙信息安全模式(1) n蓝牙信息安全在蓝牙技术标准内被分成三个 安全模式： n安全模式1：无安全保护机制。 n安全模式2：应用层配备安全保护机制。 n安全模式3：链路层配备安全保护机制。 n安全模式1是没有任何安全保护的工作模式 ，处于这种模式下工作的蓝牙设备，在通信 协议内除跳频传输外，没有添加任何安全保 护，因此蓝牙数据是不安全的。由于成本低 廉，可在不需要数据安全的场合中使用。 5.2.1 蓝牙信息安全模式(2) n安全模式2和安全模式3分别在应用层和链 路层建立了安全保护机制。安全模式2的安 全保护机制体现在底层L2CAP连接建立起 来以后，由应用层进行验证。安全模式3是 最安全的工作模式，其安全保护机制体现在 L2CAP连接建立起来之前，蓝牙设备所实 施的一系列的安全措施。事实上，通信系统 内部的安全是由各协议层分担的，不同层的 安全保护机制形成了不同等级的信息安全。 是否需要配备安全保护机制、应该在什么层 面上配备，应当依据蓝牙设备所处的工作环 境来决定。 n如果同时在应用层和链路层建立安全保护机 制，使蓝牙数据同时处在安全模式2和安全 模式3下，对于蓝牙信息，无疑是最安全的 。 5.2.2 应用层安全保护 n应用层的安全保护主要指在用户程序 设计中加入安全因素，阻挡一些不该 接触蓝牙数据的设备接近数据。在蓝 牙技术标准内，已经有一些成功设计 的范例。例如手机拨号服务仅提供给 计算机使用，而侦听服务可提供给周 围所有的蓝牙设备，形成这一局面的 是服务程序的设计。还有一些蓝牙设 备，配备了一些特殊功能，例如设备 验证时，如果失误次数达到三次，那 么将在短期内无法再实现连接，这是 应用层对设备使用的一种限制。 5.2.3 链路层安全保护 n链路层的安全保护措施有两个：加密和认证 。加密是密钥生成与使用的过程。认证（或 称为验证、鉴权）是加密中的一些实际操作 。是蓝牙信息安全中的核心内容。认证的重 要性在于两个不同的蓝牙设备初次接触时要 确认对方，不要弄错了通信的对象。只有各 自验准了对方的身份后，才能开始传送密文 。认证的方法并不复杂。每个蓝牙设备都配 有个人识别号码（personal identification number），简称PIN密码，由用户选择，如 同信用卡取款时的密码。在两个蓝牙设备第 一次连接时，用户在两个设备上输入PIN密 码进行认证。PIN密码的长度最大不超过16 字节。 1.密钥生成(1) n当两个蓝牙设备第一次接触时，只要 用户在两个设备上输入相同的PIN密 码，两个设备都会产生一个相同的初 始密钥，该密钥用Kint表示。 n蓝牙基带标准推荐三个认证函数E1、 E2和E3，它们是在蓝牙设备中产生 各种密钥的三个函数。E1用于验证双 方能否接触；E2分成E21和E22两部 分，其中E21函数用于生成链路密钥 ，E22函数用于生成初始密钥；E3用 于加密密钥。 1.密钥生成(2) n两个蓝牙设备在接触试图建立连 接的时候，就进入了初始化的过 程。初始化分为五步实施： l生成初始密钥Kint； l生成链路密钥； l交换链路密钥； l认证； l生成加密密钥（可选）。 1.密钥生成(3) n初始密钥Kint实际上也是一种链路密钥，但 它仅用于初始化开始。当其它链路密钥或蓝 牙设备的加密密钥尚未定义或交换时，或者 在链路密钥发生丢失时就使用初始密钥。 Kint的生成示意图如图5-18所示。E22函数 的输入量有4个： nRAND：128位随机数； nBDADDR：蓝牙设备48位地址； nPIN：个人识别号码，最长不超过16字节 128位； nL：PIN的字节数，当PIN有128位时，L=16 ；当PIN有56位时，L=7。 1.密钥生成(4) n图5-18 初始密钥生成 1.密钥生成(5) n链路密钥是一个128位的随机数，它 在蓝牙信息安全中有三个功能：用于 交换以提高安全性能；用于认证以确 定对方是否真实；用于推导加密密钥 。为了使用上的方便，链路密钥包括 4种不同的类型： l组合密钥KAB； l节点密钥KA； l临时密钥Kmas； l初始密钥Kint。 1.密钥生成(6) n组合密钥KAB是由节点A和节点B的信 息中导出的密钥，在交换链路密钥过 程中始终依赖A、B两个节点。如果两 个节点重新进行一次新的组合，将产 生一个新的组合密钥。 n节点密钥KA是节点A在安装时就生成 的密钥，它源自于节点A的相关信息 ，一般不会改变。它适合于存储空间 小或用户访问量大的节点，它的功能 与组合密钥相同。 1.密钥生成(7) n临时密钥Kmas是临时起作用的密钥。按存 在的时间长短来说，链路密钥有半永久密钥 和临时密钥之分。半永久密钥存储在非易失 存储器中，它用于对若干次连接进行认证。 而临时密钥仅用于一次认证。还有一种情况 发生在一个节点与多个节点的连接中，发送 信息的一个节点是主节点，接收信息的多个 节点是从节点，那么这时就需要一个公用的 加密密钥，在这种特殊情况下定义的链路密