（信号与信息处理专业论文）可伸缩性编码多媒体的单密钥、细粒度控制的drm系统.pdf

摘要 摘要 随着数字技术和互联网工业的快速发展，越来越多的多媒体内容能够通过 网络进行发布和传输。许多类型的多媒体数据采用了可伸缩性编码把原始内 容根据不同的准则编码成在质量、空间、时间上渐进的形式，从而能够有选择 地丢弃码流中的部分数据来适应当前的带宽条件以及设备的处理和显示能力。 另一方面，数字内容极容易复制的特性使得多媒体内容的盗版成为非常严重的 问题，由此产生的d r m 系统是管理数字内容的授权许可和访问控制的一整套 技术。 本文以j p e g2 0 0 0 和m o t i o nj p e g2 0 0 0 为实例，为可伸缩性编码的多媒体 内容设计了一个“所见即所购”的d r m 原型系统。 首先，我们提出了一种与原码流语法兼容、并保持其可伸缩性的加密方案。 语法兼容使普通的播放器也可以对加密码流正常解码而不会造成崩溃：如果合 理选择加密范围就可以为免费用户提供原始内容的预览。在加密码流中保持原 码流的所有可伸缩性使得网络传输路径上的某些处理结点能够根据需要直接 对加密码流进行转码，得到适合实际需要的子码流，这个过程既不需要解密密 钥，也不要求网络结点是受信任的。这种特性可以称为“一次加密，多种方式 解密”。和其它一些有代表性的方案相比，我们的加密方案具有精细的可伸缩 性粒度支持，优越的运算速度，良好的比特错误弹性，以及可以忽略的存储空 间开销。 然后，我们提出了一种通用、灵活而便捷的密钥管理方案。我们把所有可 伸缩性划分为两大类，分别用全序集和偏序集表示。整个多媒体内容就表示为 所有全序集和偏序集的笛卡尔积，它仍然为一个偏序集，可以用具有单个根顶 点的h a s s e 图表示。对可伸缩性多媒体的访问控制就等价于对这个偏序集的访 问控制。借助一种基于散列函数的密钥推导方法，每个顶点的访问密钥可以由 它的父顶点密钥和一些公开辅助信息生成，而散列函数的单向性保证了从所有 子顶点密钥也无法得到父顶点密钥。这样，原始码流只需要被加密一次，用户 可以自由选择不同可伸缩性参数组合对应的定制版本，每个版本只需要一个子 根顶点密钥和相关的公开辅助信息就可以推导出所有数据结点的解密密钥。这 种特性可以称为“一次保护，多种方式访问”。 最后，综合上述的加密方案和密钥管理方案，我们基于微软的w m r m 框 架实现了自己的d r m 原型系统。其中，用户根据定制版本“按需。支付费用， 对于用户的每次访问请求，d r m 服务器只要发送一个访问密钥，其它密钥都可 以由用户端d r m 模块使用一些公开辅助信息生成。d 刚服务器不要求有很强 的存储和处理能力，大大提高了它的稳定性和可访问性。 关键词：加密算法，密钥管理，访问控制，数字权限管理系统，可伸缩性编码 多媒体，j p e g2 0 0 0 ，m o t i o nj p e g2 0 0 0 a b s t r a c t a b s t r a c t w i t hr 印i da d v a n c e so fd i g i t a lt e c h n o l o g i e sa n dt h ei n t e m e ti n d u s t r y ，m o r ea n d m o r em u l t i m e d i ac o n t e n t sa r er e l e a s e da n dd i s t r i b u t e do v e rt h ei n t e m e t m a n yt y p e so f i 腓1 t i m e d i ad a t aa r ee n c o d e di nas c a l a b l em a n n e r i e ，t h eo r 罾n a lc o n t e n t sa r ee n c o d e d w i t hr e s p e c tt ov a r i o u sc r i t e r i o n si n t 0ap r o g r e s s i v em a n n e ri nq u a l i t y s p a c e ，0 rt i m e n i sa l l o w sp a r to ft b ec o d e s 骶a mt ob ed i s c a r d e d of i ti n t ot h ec u i t e n tc h a n n e lb a n d - w i d t ho rm ed e v i c e sp r o c e s s i n ga n dd i s p l a yc a p a b i l i 哆0 nt h eo m e rs i d e ，t h ef a c tt h a t d i g i t a lc o n c e n t sa r ev e d re a s yt 0c o p ym a k e sp i r a c ya c r o s st h ei n t e r n e tav i t a lp r o b l e m t h i sg i v e sb i r t ht om ed r m s y s t e m ，as u i t eo ft e c h n o l o g i e st h a tm a n 鸠e sl i c e n s i n ga n d a c c e s sc o n t r o l0 fd i g i t a lc o n t e n t s i nt h i sp a p e rw e d e s i g na “w h a t y b us e ei sw h a ty | o ubu y ”d r m p r o t o t y p es y s t e m f b rs c a i a b i em u l t i m e d i ac o n t e n t s ，e x e m p l i f i e db yj p e g2 0 0 0a n dm o t i o nj p e g2 0 0 0 w ef i r s tp r o p o s eas y n t a x c o m p i i a n te n c r y p t i o ns c h e m em a tf u l l yp r e s e r v e st h e s c a l a b i l i t i e so ft h eo r i g i n a lm u l t i m e d i ac o n t e n t s y n t a xc o m p l i a n c ea l l o w san o 咖a l p l a y e rt os u c c e s s f u l l yd e c o d et h ec i p h e r s t r e a m ，e s p e c i a l l yw i t h o u tb e i n gc r a s h e d i f s e l e c t e dp a n so ft h ec o d e s t r e a mg e tp r o p e r l ye n c d ，p t e d ，u s e r sm a yb ea b l et og e taf r e e p r e v i e wo f t h eo r i g i n a lc o n t e n t w i t ha 1 1s c a l a b i l i t i e s p r e s e r v e d ，t h ec i p h e r s t r e a mc a i lb e d i r e c t l yt 豫n s c o d e db ys o m ei n t e 咖e d i a t ep r o c e s s i n gn o d ea l o n gm et i a n s m i s s i o np a t h w i mn on e e do ft h ed e c r y p t i o nk e y t h en o d ee v e nd o e s n th a v et 0b et r u s t e d t h i s i sc a l l e d “e n c 巧p to n c e ，d e c 叫p tm a n yw a y s ”c o m p a r e dw i t ho t h e rt y p i c a le n c r ) ，p t i o n s c h e m e s ，o u rm e t h o df e a m r e sf i n eg r a n u l a r i t yo fs c a l a b i l i t y ，s u p e r i o rp r o c e s s i n gs p e e d ， e x c e u e n tb i t e r r o rr e s i l i e n c e ，a n dn e g l i g i b l ef i l e s i z eo v e r h e a d t h e nw ep r o p o s ea g e n e r a lk e ym a n a g e m e n ts c h e m em a t i sf l e x i b l ea n dc o n v e n i e n t a 1 1k i n d s0 fs c a l a b i l j t i e sa r e2 l s s o r t e di n t ot w oc o m m o nt y p e s ，r e p r e s e n t e db yt o s e ta n d p o s e t ，r e s p e c t i v e l y t h ee n t i r em u l t i m e d i ac o n t e n ti sm o d e l e da st h ec a r t e s i a np r o d u c t o fa l l t o s e t sa n dp o s e t s ，w h i c hi sap o s e ti t s e l fa n dc a nb er e p r e s e n t e db yah a s s ed i a g r a m a c c e s sc o n 呐lo ft h es c a l a b l em u l t i m e d i ac o n t e n ti se q u i v a l e n tt oa c c e s sc o n t r o lo ft h e v p r o d u c tp o s e t w i t ht h eh e l po fah a s h - b a s e dk e i yd e r i v a t i o nm e t h o d ，t h ed e c r y p t i o n k e yf o re a c hv e r t e xc a n b ec a l c u l a t e df r o mm ek e yo fi t sp a r e n tv e r t e xa n ds o m ep u b l i c a u x i l i a r ) ri n f o r m a t i o n t h eo n e w a y n e s so ft h eh a s hf u n c t i o ne n s u r e sk e yd e r i v a t i o n c a n tb ei n v e r t e d u s e r sc a nf r e e l yc h o o s ea n dc o m b i n et h es c a l a b i i i t yp a r a m e t e r st 0 g e tac u s t o mv e r s i o no ft h eo r i g i n a lc o n t e n t f o re a c hv e r s i o nas i n g l es u b r o o tk e yi s r e q u i r e dt od e r i v ea 1 1c h i l dk e y s t h i si sc a l l e d “p r o t e c to n c e ，a c c e s sm a n yw a y s ” l a s t l y 。w ec o m b i n et h ee n c 巧p t i o ns c h e m ea n dt h ek e ys c h e m e t oi m p l e m e n to u r d r m p r o t o t y p es y s t e mo nt o po fm i c r o s o f c sw m r m d r mf r a m e w o r k au s e fo n l y h a st 0p a yf o rw h a th ew o u l d1 i l ( et oa c c e s s f 0 re a c ha c c e s sr e q u e s tf 两mt h eu s e r t h ed i 蝴l i c e n s es e r v e ro n l yh a st oc a l c u l a t ea n ds e n da ：；i n 9 1 ea c c e s sk e y a l lk e y sf o r c h i l dv e r t i c e sc 鲫b ed e r i v e df r o mt h ea c c e s sk e ya n ds o m ep u b l i ca u x i l i a r yi n f 6 肌a t i o n t h ed r ms e r 、，e rd o e s n tn e e d1 a 唱es t o r a g eo rp o w e r u lp r o c e s s i n gc a p a b i l i t y w h i c hi n r e t u me n h a j l c e si t sr e l i a b i l i t ya n da v a i l a b i l i t y k e yw o r d s ：e n c r y p t i o na l g o r i t h m ，k e ym a n a g e m e n t ，a c c e s sc o n t r o l ，d r ms y s t e m ， s c a l a b l em u l t i m e d i a ，j p e g2 0 0 0 ，m o t i o nj p e g2 0 0 0 v i 插图目录 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 1 1 0 1 1 l 1 1 2 1 1 3 1 1 4 1 1 5 1 1 6 1 1 7 1 1 8 1 1 9 2 1 2 2 2 3 2 4 2 5 2 6 插图目录 不同方式编码的视频信号在不同信道带宽下的接收质量 密码系统 数字签名 块加密算法的c b c 模式 散列函数 h m a c 结构 j p e g2 0 0 0 的质量渐进 腰e g2 0 0 0 的分辨率渐进 j p e g2 0 0 0 的分量渐进 一次压缩，多种方式解压缩 j p e g2 0 0 0 的编码过程 小波变换的分辨率级 编码块对质量层的贡献 子带划分为分区和编码块， j p e g2 0 0 0 的数据包结构。 腰e g2 0 0 0 的码流结构 j p e g2 0 0 0 的拼接块划分 j p e g2 0 0 0 码流 j p e g2 0 0 0 的主标头和拼接块标头 网络结点直接转码j p e g2 0 0 0 加密码流 g r o s b o i s 等人的层渐进加密方案 w e e 等人的j p e g2 0 0 0 加密算法中s s s 包的形成 w a t a n a b e 等人的j p e g2 0 0 0 部分加密算法 c s e 算法流程 测试c s e 算法的实验程序界面 x i 3 6 7 9 l 2 6 6 6 7 8 o 2 2 3 4 4 5 6 2 4 7 2 o 6 1 1 1 l l l 1 2 2 2 2 2 2 2 2 3 3 3 4 5 5 2 7 语法兼容、保持可伸缩性的加密、转码、解密过程 2 8 部分质量层加密 2 9 部分分辨率级加密 2 1 0 不同明文长度下被替换的不重叠数据段的长度 2 1 l 不同明文长度下替换发生的次数 2 - 1 2c s e 和其它算法的运行速度比较 2 1 3 错误弹性对比 3 1 传统的d r m 系统的内容访问过程 3 2 使用超分发的d r m 系统的内容访问过程 3 3 m e r k l e 散列树 3 4j p e g2 0 0 0 的m e r k l e 树表示 3 5j p e g2 0 0 0 的优化的m e r k l e 树表示， 3 6s a n d h u 树 3 7 基于m e r k i e 散列树的j p e g2 0 0 0 密钥管理方案 3 8 基于一维散列链的j p e g2 0 0 0 密钥管理方案 3 9 基于多维散列链的j p e g2 0 0 0 密钥管理方案 3 1 0 主密钥平分成半密钥、， 3 1 1 全序集与偏序集的h a s s e 图表示 3 1 2 对应于某个可伸缩性参数组合的h a s s e 图 3 1 3 基于散列函数的密钥推导方法 3 1 4 卵e g2 0 0 0 的拼接块划分( 同图1 1 7 ) 3 1 5 扩展的拼接块划分 3 1 6 使用画布坐标的拼接块的不变表示 3 1 71 6 ：9 的j p e g2 0 0 0 加密码流直接剪切为4 ：3 4 i 微软w m 踟系统的运行过程 4 2 客户端内容播放流程 4 3d r m 服务器的密钥生成流程 4 4 x m l 许可文件实例 4 5 本地播放器程序界面 4 6f o r e m a i l 在不同分辨率和质量层的显示 卯鼹 鼹钞 印n 甜舒卯卯铝 鼹凹 加 刀饥 引 跎 眩 辨 盯虬s!舛鳄 中国科学技术大学学位论文原创性和授权使用声明 中国科学技术大学学位论文原创性和授权使用声明 本人声明所呈交的学位论文，是本人在导师指导下进行研究工作所取得的 成果。除已特别加以标注和致谢的地方外，论文中不包含任何他人已经发表或 撰写过的研究成果。与我一同工作的同志对本研究所做的贡献均已在论文中作 了明确的说明。 本人授权中国科学技术大学拥有学位论文的部分使用权，即：学校有权按 有关规定向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅，可以将学位论文编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存、汇编学位论文。保密的学位论文在解密后也遵守此规定。 第l 章绪论 第l 章绪论 本章从可伸缩性编码的多媒体内容的特点和网络盗版的问题开始，引出对 网络多媒体内容进行保护和访问控制的需要，然后介绍了后文将会用到的计算 机密码学和肫g2 0 0 0 的背景知识，最后总结了本文的主要贡献和结构安排。 1 1引言 近二十年来，电子计算机和通信行业经历了飞速发展。远程通信从以往的 模拟形式逐渐转向数字形式，造就了今天繁荣而强大的国际互联网工业。托马 斯弗里德曼在世界是平的【l 】一书中，把“互联时代的到来”列为“碾平 世界的十大动力”之一： 是什么让投资者相信对网络和网络相关产品的需求是无限的呢? 简单说就是数字化。一旦个人电脑和w i n d o w s 的出现向世人证明可 以将信息数字化并且在电脑和文字处理器上对它们加以处理。一旦 浏览器让因特网走迸千家万户每个人都希望能将一切数字化，这 样他们就可以更好地利用网络。数字化革命由此拉开序幕，这是一 个将文字、音乐、数据、电影、文件和图片变成比特和字节的神奇 过程。这些比特和字节可以在电脑屏幕上处理，在芯片中存储，或 通过卫星和光纤加以传送。 和模拟信号相比，数字信号的一个显著问题是原始数据要求的存储量很大。 比如，高质量音频信号每秒钟需要大约0 2m b ( 兆字节) 的空间；电视质量的 低分辨率视频，按照每秒三十帧，每帧6 4 0 4 8 0 像素，每个像素2 4 比特来计 算，每秒钟需要的存储空间超过了2 6m b ，这样的一部l 小时长的电影就需要 大约9 5g b ( 吉字节) ；相同分辨率和时长的高清电视( h d t v ) 则需要约5 6 0 g b 的空间。直接存储这样的原始数字信号无疑缺乏效率，考虑到有限的网络 带宽和传输路径上网络条件的差异，通过网络传输这样的数字信号也是非常不 现实的事情。解决的办法就是对这些数据通过编码进行压缩。很多数字信号自 第l 章绪论 身带有很多冗余( r e d u n d a n c y ) ，可以在发送前去除这些冗余来获得不丢失任何 信息而存储空间较小的等价形式，在接收端使用相应的逆向操作解码得到数据 的原始表示。例如，普通的文本文件具有很强的自相关性，选择合适的压缩算 法将其转化为高度随机的表示形式，可以达到1 ：1 0 0 甚至更高的压缩率。另 外，某些类型的数字信号通常并不要求无损压缩，比如图像和视频，利用人类 视觉系统的特性。可以对它们的原始信号经过变换、量化、频域截取后再进行 编码，进一步提高了压缩率，在接收端解码后可以获得感知上较为接近的效果。 香农( c e s h a n n o n ) 1 9 4 8 年发表的通信的数学理论( a 如琥p m 口玎z 刀l p d d ，西 国m m “疗f c 口f f d 疗) 提出了信息的定量表达，由此开创的信息论成为数据编码和压 缩的重要基础。【2 和【3 】是用来学习信息论的经典教材，关于数据压缩技术的 一个很好的读物是 4 】。 尽管网络服务质量逐年提高，也出现了很多优秀的编码压缩方案，但对于 高分辨率视频等高码率多媒体内容而言，网络带宽仍然是一个瓶颈。另外一个 问题是，网络传输路径上的带宽质量随着地域和时间的变化会有很大差别，而 不同的用户终端，比如台式计算机、笔记本电脑、智能手机等，它们进行处理 和显示的能力也有明显的差异。为了更好地适应不同环境的需要，许多类型的 多媒体内容使用了可伸缩性编码( s k 易比c d 讲甩g ) 。原始的多媒体信号按照一 种或多种质量准则进行编码，每种准则把源内容转换成在质量、空间、时间上 渐进的层次形式，最终得到的编码码流就是这些层次的等级结构( h i e r a r c h y ) 。 这样，码流在传输和处理过程中可以有选择地丢弃其中的部分数据来适应当前 的带宽情况和处理能力，获得特定条件下尽可能高质量的内容。 以视频信号的编码为例，如图1 1 所示【5 】。失真率曲线表示给定码率下的理 想质量。三条虚线的阶梯状曲线代表非伸缩性编码的情况，它们按照预设的信 道带宽进行编码。结果是，当实际信道质量低于带宽预设值时，整个码流将被 “数字截断”( d 珥t a lc u t o f ! f ) ，接收端解码出来的显示质量非常差；只有当信道 带宽达到或超过预设值时，整个码流才能正常传输，获得最佳接收效果。两条 实线的阶梯状曲线表示可伸缩性编码的情况。这时，视频信号被编码为两个部 分码流，分别称为基本层( b a s el a y e r ) 和增强层( e n h a n c e m e n tl a y e r ) ，后者是对 前者效果的增强。根据实际的信道条件，传输中可以选择丢弃或者保留增强层， 表现在图中就是阶梯从非可伸缩性编码的一跳变成了两跳。可以想象，如果增 强层按照渐进的形式进行编码，使得先收到的数据对信号质量有最大程度的提 2 第l 章绪论 高，后收到的数据逐渐对其进行改善，就可以增加和细化这样的台阶，能够以 很经济的方式丢弃增强层的部分“后端”数据来适应当前的信道带宽和设备能 力，这种情况对应于图中和失真率曲线大致平行的“编码目标”曲线。这就是 m p e g - 4f g s ( f i n eg r a n u l a r i t ys c a l a b i l i t y ) 6 】的基本原理，它的增强层使用位平 面( b i t p i a n e ) 的方式从最高位到最低位进行编码。 接收j 贝噩j 优 艘非 中 u 钢泓 j ? 一 、 j i 2 差 一， l 低 信道带宽 高 图1 1 ：非伸缩性编码和可伸缩编码的视频信号在不同信道带宽下的接收质量 另外，如果一个码流同时支持多种类型的可伸缩性( 跏砌6 f z f 劝，就可以根 据实际需要为其灵活地选择传输模式，比如从低信噪比质量到高信噪比质量的 传输、从低分辨率到高分辨率的传输等等；或者对编码码流直接在压缩域进行 抽取和重组，得到一个符合应用需要的子码流。典型的例子包括m p e g 4f g s 以及后文中主要针对的j p e g2 0 0 0 图像编码标准。 因特网的快速发展和压缩技术的逐渐成熟的确使得越来越多的多媒体内 容，如电影、音乐、图像等，容易在网络上发布和传输，但是数字多媒体极易 复制的特性也使得盗版成为越来越严重的问题。据报道，2 0 0 5 年盗版给全球电 影工业带来的损失达到6 1 亿美元【7 】。由此产生的数字权限管理( d i g i t a l 风g h t ! ； m a i l a g e m e n t ，d 胧) 系统是管理数字多媒体的授权许可( 1 i c e n s i n g ) 和访问控制 ( a c c e s sc o n t r 0 1 ) 的一整套技术，包括版权的描述、识别、保护、追踪等，以 第l 章绪论 保护它们不被非法地享用、拷贝或转换。d r m 系统的核心技术包括加密、密钥 的生成和管理、访问权限描述语言、防止篡改的客户端模块等等。不可否认， d r m 也面临着一些指责的声音，比如操作不便、对授权服务器的依赖、以及文 件格式兼容性等问题，这些问题既成为对现有技术进行反思、扬长避短的动力， 其中的一些也可以通过巧妙的系统设计很好地解决。 本文的主要内容是为可伸缩性编码的多媒体内容设计一个“所见即所购” 的d r m 系统，以满足越来越流行的网络多媒体的发布和授权的需要。我们系统 中的两个要素是语法兼容、保持原码流可伸缩性的加密算法和单密钥、细粒度 控制的密钥管理方案。实验主要将在j p e g2 0 0 0 和m o t i o nj p e g2 0 0 0 上进行。 1 2 计算机密码学背景知识 为了后文叙述方便，本节简单介绍计算机密码学的相关知识。如果对密码 学的整体概貌感兴趣，【8 】和【9 】都是很好的导引性读物。如果需要了解细节， 【1 0 】是计算机密码学的经典指南；【1 l 】以便于查阅的方式整理了计算机密码学 的知识结构；【1 2 】中包含了近年来计算机密码学的发展情况。计算机密码学用 到的数学知识有很多，如数论、组合学、概率论、信息论、复杂度理论等，读 者可以自行查阅相关专著。 1 2 1密码系统 c 仰幻z c ，g y ( 密码学) 一词由希腊词根脚p t 6 s ( 隐藏) 及1 6 9 0 s ( 信息) 组成，指 的是研究利用密码进行秘密通信的学问。密码学分为两个领域： 密码编码学( d 弦f 铅泖砂) 研究如何实现一个不易攻破的密码系统，即着 眼于“立”。 密码分析学( c 卯燃口咖厶) 研究如何攻击或破解已有的密码系统，即着眼 于“破”。对密码系统进行分析的尝试称为攻击似f 细出) 。 有破有立，不破不立，一张一弛，此消彼长，体现了攻守这一对永恒的矛盾。 密码学的历史可谓源远流长。公元前的凯撒密码以字母移位置换为基 础，是密码学的雏形。中世纪欧洲出现的编码字符表成为当时政府外交通信 的主流方法。2 0 世纪初，机械制造业的成熟和电报、无线电的出现促成了转 4 第l 章绪论 轮密码机的发明，齿轮连接的多个转轮可以实现比较复杂的算法，在两次世 界大战中得到广泛使用。香农( c l a u d es h a n n o n ) 1 9 4 9 年发表的保密系统的通 信理论( c 匆m m “甩f c 口f f d ，l 弛p 口，y 巧c 彤谚跏j 陀m j ) ，在3 0 年后成为密码学的理 论基础之一。1 9 7 6 年，d i f f i e 和h e l l m a n 的密码学的新途径( 佬wd i 陀c “d ，l s 伽 c 仰幻g 唧毋) 【1 3 】开辟了公开密钥密码学的新领域，标志着现代密码学的诞生。 随着现代电子计算机和因特网的普及电子商务使得神秘的密码学从军用逐渐 走向商用、民用，为它的发展和应用开拓了更加广阔的天地。 密码系统( d 弦f d 册胞小) 的作用是把信息经由公开信道( p u b l i cc h a n n e l ) 从 发送方s 传送到接收方兄，并使得攻击者f 缸出r ) 无法获知信息的真实内容。 这里的“信息”可以是任何形式，对计算机而言，无论文本、图片、音频、视 频，都可以作为二进制数据统一进行处理。 历史上，很多密码系统的安全性依赖于加密和解密算法不为外人所知。它 的问题是，一旦有一个知情者泄露了算法，整个安全系统就要重建；而隐藏细 节仅为少数人所知，也不利于质量监控和标准化。现代密码学中，为了保证最 大程度的安全性，应该假定攻击者对密码系统有尽可能多的、甚至是完备的知 识。尤其地，密码系统的安全性不应该依赖于加密算法自身的秘密性。现代密 码系统的安全性一般基于m d 扩假设： 密码系统的安全性应该完全依赖于解密密钥，而与包括加密和解 密算法在内的其它因素无关。 其中，密钥( 脚) 是一个有非常多种可能取值的数，加密算法和解密算法分别使 用一个密钥作为参数。密钥所有可能的取值范围称为密钥空间( 脚口c p ) ，它的 大小决定了密码系统的强度。在这个意义上，密码系统就是加密解密算法、明 文空间、密文空间、和密钥空间的结合。 如图1 2 所示，发送方s 首先把信息明文( 尸肠讯舰力m 使用加密算法e 和加密密钥琏加密，得到密文( c 勿 p 慨f ) c = ( m ) ，然后经由公开信道 传送到接收方r 。冗使用解密算法d 和解密密钥从e 中解密，恢复出 m = d 耽( c ) 。理想情况下，即使攻击者截获了所有密文，也无法从中解出明 文的任何信息。 由加密和解密的关系可以得到恒等式m = d 玩( ( m ) ) 。根据密钥也和 磁的关系，可以把密码系统划分为两类： 5 第l 章绪论 j一j 发送方s接收方r 图1 2 ：密码系统 私钥密码系统：加密密钥k 和解密密钥甄能够互相推导。典型情况下， 致= k 西，称为对称密钥( s y m m e t r i ck e y ) 密码系统。 公钥密码系统：也和拖之间无法( 或极难) 互相推导。 传统的密码系统都是私钥系统，它要求发送方s 和接收方兄在实现保密通 信前安全地共享一个密钥k 。私钥系统可以实现以下功能： 1 信息的保密性( s p c 陀c y ，o rc d 斫如，l 砌z f l ) ，) ，即只有s 和r 知道信息的内容。 这由密钥的保密性和加密算法的安全性保证。 2 发送方的身份认证( a “f z p n ，f c 口f f d ，1 ) ，即r 可以从收到的信息中判断s 的身 份，攻击者即使可以篡改密文内容，也无法冒充s 身份。一个常见的方法 是r 首先发送一个随机数z 给s ，s 将其加密后发送回r ；r 解密密文和 z 值进行比较。因为只有s 和冗知道密钥k ，就验证了s 的身份。 3 保证信息的完整性沏嘲r f l ) ，) ，即信息没有被攻击者篡改。一个简单的方 法是s 把明文m 作为附件和密文c 一起发给冗：r 解密c 后和m 比较。 如果附带的内容是m 的单向散列值( 见1 2 3 节) ，就同时保证了信息的保 密性。 私钥系统的主要问题在于： 1 密钥分配。s 、r 双方如何获得密钥7 当忽略此问题时，一般假设它们之 间另有一条秘密信道用来传送密钥。 2 密钥管理。在一个死个人的网络中，如果要求两两之间信息的秘密传送， 则每个人要拥有n 一1 个密钥，共计掣个不同的密钥。 二 6 第l 章绪论 3 不具有不可抵赖性( 踟如，l f 幻i z f 钞，o ra b 甩即“d 衙f d ，1 ) 。由于s 、r 共享同一 个密钥，他们都可以对相互间传送的信息作任意更改。s 可以否认自己曾 经发送过任何信息，冗也可以任意捏造或篡改自己收到的信息，使得作为 裁判的第三方无法分辨。 公钥密码系统中，公钥琏和私钥耽相互独立，k 公开，只有接收方 r 知道。这样一来，所有人都可以用挺加密，而只有冗能用耽解密；或者只 有冗能用玩加密，而所有人都可以用放解密。公钥系统可以实现以下功能： 1 信息的保密性。 2 简化密钥的分配和管理。网络上每个人都只需要一个私有密钥和一个公开 密钥，并且可以由其本人产生。 3 具有不可抵赖性。如图1 3 所示，r 用私钥加密明文，则所有人都可以 用公钥蜒解开密文与明文对比验证。因为只有冗拥有私钥，所有其他人 都只能验证，无法伪造。用私钥加密的明文称为r 的数字签名，可以确保 信息的鉴别性似“腑g ，z ，衙秒) 、完整性、不可抵赖性，但是不提供信息的保 密性。 接收方r发送方s 图1 3 ：数字签名 公钥密码系统的主要缺点是算法复杂，运算缓慢。比如，公钥算法r s a 【1 4 】 的硬件实现速度比私钥算法d e s 【1 5 】相差近l 0 0 0 倍。一种常见的折中方案是用 公钥系统解决私钥系统的密钥分配问题，然后用私钥系统实现数据通信的保密 性，称为混合密码系统6 脚c 仰舰筘纪m ) 。下面是一个简单的例子： 7 第l 章绪论 1 s 获得r 的公钥p 6 ，并为私钥系统选择一个密钥k 。 2 s 用k 加密数据，用p t 6 加密k ，一起发送给冗。 3 r 用自己的私钥p m 解出k ，然后用k 解密数据a 4 s 和冗继续用k 通信。 后文中只使用了对称密钥密码系统，并把对称密钥算法当成抽象的功能 模块，不去探究具体的实现细节。对称密钥算法分为两大类：流算法( & 陀n m ，l p 厂) 和块算法( b 胁政c 驴腔厂) 。流算法每次对明文( 或密文) 的一个比特或者 一个字节顺序进行操作，一般是和伪随机数据流的一个比特或字节进行异或， 得到密文( 或明文) 的一个比特或字节。块算法每次对固定长度的块( b l o c k ) 数据进行运算，每块数据通常为8 字节、1 6 字节，甚至更长，得到密文或明文 的一个数据块。加密长于一个加密块的数据时，按照每次一块的顺序依次进行 加密。如果结尾不够一个块，还需要使用填充比特补足。 用流算法加密每个比特或字节时依赖于算法内部的状态，同样的比特或字 节得到的加密值是不同的。与此相反，给定密钥下的块算法对相同明文块的输 出都是相同的，它是一个无状态的系统。如果把每块明文加密得到的密文依次 连接作为密文( 称为块算法的e c b ( e l e c t r o n i cc o d e b o o k ) 模式) ，就有可能泄露 明文数据的分布模式( p a t t e m ) 。如果攻击者获得了一些明文块和对应的密文块， 他就可以搜索并解出相同密文流中相同内容的明文块，进而利用它们出现的概 率获取更多的信息。更糟的是，攻击者可以在没有解密密钥的情况下有选择地 替换某些密文块，达到欺骗接收者的目的，称为重放攻击( r 印f 缈a f 纫以) 。 通常的改进办法是在各块之间引入依赖关系。在图1 4 所示的c b c ( c i p h e r - b l o c kc h a i n i n g ) 模式【1 6 】中，每个明文块甄和前一个密文块轨一1 进行异或之后 再进行加密。这样一来，每个密文块就依赖于此前加密过的所有明文块的信息。 第一个明文块z 1 和用户选定的初始化向量沏f f f 口比口f f d ，l 讫c 幻r ) 块进行异或 操作。使得同一个明文经过相同的密钥加密能够对应于不同的密文输出。流密 码算法也可以使用i v ，这时它的作用是改变流算法的内部状态。一般而言，重 设比重设密钥的效率高得多。 记明文为z = 研i i 现”，f f ，密文为芗= 软f j 沈”r j 翰( f i 表示串 接) ，c 和c 一1 分别表示块加密和解密算法，那么c b c 模式的加密、解密过程分 8 第l 章绪论 i v x i l 您 j x 3 j y 2) ，3 图1 4 ：块加密算法的c b c 模式 妇 j 0 中 n 别为： i 珈= i v l 瓠= c ( 鼽一1o 盈) ( i = 1 ，2 ，死) ， j 珈= i z i = 臻一1oc 一1 ( 弘) o = 1 ，2 ，n ) c b c 模式的加密过程无法并行，而解密可以并行。每个密文的比特错误会 导致整个块被错误解密，以及下一块对应比特的错误。同步错误无法恢复。 除了e c b 和c b c 之外，块算法还有很多其它模式，比如o f b ( o u t p u t f e e d b a c k ) 、c f b ( c i p h e rf e e d b a c k ) 、o c b ( 0 f f s e tc o d e b o o k ) 等等，这里不再一一 介绍，感兴趣的读者可以参阅【1 0 】第9 章，【1 1 】第7 2 2 节，或【1 2 】第7 8 节。 1 2 2 安全性 安全性( & 伽r f 秽) 是评判一个密码系统的最高准则，不幸的是，它很难从理 论上证明( 但是容易证伪) 。香农于1 9 4 9 年首先讨论了密码系统的安全性。 1 理论安全( 孤g o 陀f f z & c “一1 ) ，) ，也称为完美安全( & 咖c f & 删h o ，) ，即无论 攻击者有多充足的时间和多强大的计算能力，截获了多少密文进行分析， 难度都和直接猜明文相同。香农证明了理论安全的密码系统的加密密钥的 长度大于或等于明文的长度。一个典型的理论安全系统是一次一密密码 本( d n e 砌g 忍力，即随机产生一段和明文长度相同的加密密钥与之简单 异或得到密文，密钥只用一次，随用随丢。一次一密密码本在实用上极为 不便，密钥的产生、存储、同步、销毁都比较困难，并且无法用作身份认 9 第l 章绪论 l o 证。理论安全的系统通常只用于理论分析，以及要求超高安全性的环境 中。 设加密密钥长度为竹位，可以用它作为伪随机数发生器( n p “如尺口_ ，l 如，l m m 6 9 rg e n p m f d r ) 的种子产生长2 n 位的伪随机数序列，用该序列加密长 度为2 n 的明文，构成流密码系统。这个变形虽然不具有理论安全性，但 如果合理设计伪随机数发生器的算法和密钥长度。也可以获得较高的安全 性。 2 实际安全r 口c f f 阳，& c “，f 钞) 。根据实际情况的需要，如果一个密码系统 在合理的计算能力下无法在合理的时间内破解，就称为实际安全或计算 上安全( c d m 明幻砌n 口f & c “r f 砂) 。香农定义了密码系统的工作特性( 肋心 劬口m s 陀廊f f c ) 来衡量其安全性，即破解此密码系统的最佳方法所需要的 计算量。遗憾的是，所有实际的密码系统的工作特性都无法从理论上求 出，取而代之的是历史工作特性( 王幻r f c 口f 腑