（计算机应用技术专业论文）网络安全中加密算法的研究.pdf

柯京邮电人学硕十研究，上论文摘要 摘要 随着计算机技术的发展和i n t e m e t 的广泛应用，人类生活越来越密切地依赖于网络，与此 同时，各种网络安全问题层出不穷。如何防范来自网络的威胁，成为人们关注的焦点。在各 种网络安全技术中，加密技术是最核心的一种技术，是解决网络信息安全最直接、最有效和 最重要的途径。 论文在研究网络安全问题的基础上，对加密技术进行了深入的探讨。首先，研究了目前 的两种加密体制( 对称加密和公钥加密) 各自的代表d e s 算法和椭圆曲线加密( e c c ) 算法，分 别对其思想、特点和安全性进行了讨论；其次，详细研究了基于素数域c 上的椭圆曲线密码 算法的具体实现问题，特别是重点讨论了椭圆曲线上点乘运算，在已有算法的基础上，给出 了另一种改进的m 进制算法，同时进一步地改进了现有滑动窗口算法的滑动方式，提出了一 种新的基于滑动窗口的点乘算法，使得算法更加灵活；最后，结合混合加密思想，设计了基 于三重d e s ( 3 d e s ) 算法和e c c 算法的混合加密系统，并且仿真实现了该系统。此外，通过对 混合加密系统进行效率、复杂度和安全性的分析，论证了混合加密的合理性和可行性。 本文的创新点在于：1 ) 对e c c 算法点乘运算中m 进制算法作了进一步改进，在一定程度 提高算法效率的同时，大大降低了算法的预计算量以及存储量，使算法能够适应如智能仁等 内存受限的环境：2 ) 进一步地改进了现有滑动窗口算法的滑动方式，提出了一种新的基于滑 动窗口的点乘算法，使得算法更加灵活，对于各种应用环境具有更好的适应性；3 ) 采用了3 d e s 以及e c c 算法来设计混合加密系统。 关键词：对称密码，公钥密码，d e s ，e c c ，混合加密 a b s t r a c t ! 塑垒! ! ! ! ! 生叁：! ：! 堕婴窒尘笙茎一 a b s t r a c t b a s e 。fk n o w n a r i t h m e t i c , s i m u l t t a n e i t y 。w 州ea p f t e r r o p o s t u s e d d y i n ag n a l l e w d s a n c a a l l a y z i rm n u g l t i i t p s l i s c l a i d t i i o n g n a m l g 。o d r i e t 。h l m a s s t w l y ，h i w c h e i m p r o v e d o ns l i d i n g w i n d o w s e c h n 。o 。l 竺= 鲫l d 竺y = 芸盖；锄饥二m e d e s i g n e dt h es y s t e mo fm i x e 叭哨伊a ：= i 啪n i n g3 鲫d e s ：= i r a t i o n a l i t ya n d m i x e dc r y p t o g r a ma r i t h m e t i cb yt h ei d e a l 0 加卵的粤瞄| ：二s 枷y 哕b i l i t y o fm i x c r y p t o g r a m w e r ep r o v e db ya n a l y z i n g t h e 咖e f i 恹c l e 蹦n c y , c o m ，w p l e e 三二恤二a y ft h i 下h ei n n o v a t i o n so sd i s s e r t a t i o nc o n s i s to f t h r e ep o i n t s r n m a c y ，w 1 p l u 佰一 。 a 印r t m m ：) f s c a a rm u l t i p l i c a t i o na b o u te c c , n o t o n l y i n c r s e e a 硒s e 。n t h e d ew e f i f i 也c i s e 。n m c y e , e b 州u t 的a l n s o m r e e n d 。u 。c 撤e e t h 。c e c a l c u l a t o ri na d v a n c ea n d t h es t o r a g e , w h i c hm a d e i tc a n b e s e a 3 ：) n c _ ，一1 1 _ 二= ：，、，。一n nr ，i d j n - - - - 证7 a n ds oo n s e c o n d l y , w ep r o p o s e da n e w s c a l v z a r i n m u i l t s t i p s l l i i c d i a t n g i o n m o a l g d o e n ，m w h m i c w h m m t a ；u d e , - t h p e a 1 9 。r i 幽m 。r e w i n d o w st e c h n o l o g ya f t e rs t u d y i n ga n d a n a l y z l n g1 【s 驯1 1 塔1 1 哳”“一 。 k e y w 。r d s ： s y t n m 哪c r y p t 0 留哪，p u b l i c k e yc r y p t 。乎孤。a 住e n c r y p t i o ns a n 硼 e 1 1 i p t i cc u r v e sc r y p t o g r a p h y ，m i x e dc r y p t o 蓼锄 博 m m 曲 脚耐哪d 鼍| 唧 漱 哪 姒 似 m 础一础一 = = 一 勰肿础岫 一一一一 叭- 鲎 肌 赡衙 删星岖一 删砌= 盂 = = 一 似 m 洲池 m 一一舭一 一一一一一 酊m 小 姗础 l 蓦= 啦 叩 代 m 孙o 一一一一一 妣 肌 僦 一 = = 帆 8 一 妣 舳 南京邮电人学硕士研究生论文缩略i 可农 d e s d s a e c c i d e a i s o a e s t d e a n i s t s e t e c d l p m i p s 3 d e s t e a 缩略词表 d a t ae n c r y p t i o ns t a n d a r d 数字加密标准 d i g i t a ls i g n a t u r ea l g o r i t h m 数字签名算法 e l l i p t i cc u r v e sc r y p t o g r a p h y 椭圆曲线公钥密码 i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m 国际数据加密算法 i n t e r n a t i o n a lo r g a n i z a t i o nf o rs t a n d a r d i z a t i o n 国际标准化组织 a d v a n c e de n c r y p t i o ns t a n d a r d 高级加密标准 t r i p l ed a t ae n c r y p t i o na l g o r i t h m 三重数据加密算法 n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y 美国国家标准技术研究所 s e c u r ee l e c t r o i n ct r a n s a c t i o n s 安全电了商务协议 e l l i p t i cc u r v ed i s c r e t el o g a r i t h mp r o b l e m 椭圆曲线离散对数问题 m i l l i o ni n s t r u c t i o np e rs e c o n d 每秒百万条指令 t r i p l ed a t ae n c r y p t i o ns t a n d a r d 三重数字加密标准 t i n ye n c r y p t i o na l g o r i t h m 极小型加密算法 v 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：焘踅组日期：龇龟 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：盘邀 导师签名：研究生签名：农：协导师签名： 向京邮电人。硕十研究，上论文 第带绪论 1 1 论文的背景及意义 第一章绪论 随着计算机技术的发展和i n t e m e t 的广泛应用，计算机信息系统和公众瓦联网已经渗入了 生活的各个领域，基于i n t e m e t 的电子商务、电子政务的蓬勃发展，更引起了人类牛活方式的 全面改观我们己经进入了网络时代和信息时代。但是，随着互联网络进一步国际化、社 会化、开放化和个性化，网络在给人们带来“技术共享”、“信息共享”等方便的同时，也 带来了一些不安全的阴影。由于计算机网络和信息系统的开放性和脆弱性，其信息资源和软、 硬件资源客观的存在着已知的或潜在的各种威胁。例如，在银行、保险公司、证券公司等金 融机构，国内外有关网络犯罪的报道屡见不鲜；各企事业单位内部的商业秘密不胫而走；计 算机网络病毒的泛滥与侵扰等等。因此，网络安全问题显得越来越重要。 网络安全是涉及面很广的问题，不仅涉及到计算机科学一门学科，也涉及到数学、饩：理、 法律等学科，主要包括数据保密、访问控制、身份认证、不可否认和信息完整性等问题。其 中首要的是数据保密，要保证被保密处理的数据不能被非法用户获取以及解密从而得到相关 信息。而访问控制，是指系统对用户和资源分配不同的权限，根据各自的权限，系统可以分 配用户资源，可以控制用户对资源的访问。身份认证是在网络中实现对对方身份的数据核实。 数字签名则是用来防止签署方否认或抵赖。完整性则是指用户获取的数据没有被非法篡改过。 信息加密技术是保障信息安全最基本、最核心的技术措施。信息加密丰要是通过对数据 的加密和数字签名来实现的，其中对数据的加密处理主要是为了防止数据不会被窃听。如果 使用非对称加密算法，它还可以保证发送方和接收方身份的确认。而数字签名实际上是由牛 成摘要和牛成数字签名两部分构成。其中摘要可以防止文件被篡改，从而保证信息的完整性； 而数字签名则是为了保障数据的不可否认性，从而使数据具有法律上的意义。对数据进行加 密和数字签名的理论基础是加密算法，对加密算法的研究由来已久，它的基本思想是对原始 数据进行复杂的变换，以使非法接收者很难从中破译出原始的信息，而合法用户则可以利用 密钥解密密文。 南京邮电人学硕十研究生论文 第节绪论 1 2 密码学的发展 信息加密作为一种保障数据安全的技术源远流长，可以追溯到几千年前。在密码学的发 展中，曾出现过一些加密技术的经典的应用，比如j u l i a sc a e s a r ( 恺撒大帝) 用于战争的恺撒密 码。以往关于密码的应用基本上都是出现于战争中，包括美国独立战争，美国内战和两次世 界大战。最广为人知的是二战期间德国人用来加密信息的编码机器g e r m a ne n i g m a 机。当初 计算机的研究就是为了破解德国人的密码，人们并没有想到计算机的发展给今天所带来翻天 覆地的变化。 1 9 4 9 年，现代信息论的创始人香农( s h a n n o n ) 在“保密系统通信理论”一文中，提出了一 整套如今被称为是信息论的基础理论的概念和方法，并且用来度量密码体制的保密性。他首 次用概率统计的观点对信息源、密钥源、接收和截获得密文进行了数学描述和定量分析，用 不确定性和唯一解距离度量密码体制的保密性，阐明了密码系统、完善保密性、纯密码、理 论保密性和实际保密性等重要概念，标志着密码学研究开始走上了科学的轨道。 香农密码体制表示如图1 1 所示。 图1 - 1s h a n n o n 保密系统的简化模型 上世纪六十年代，由于计算机的广泛应用，促使人们提出了对私人机密和数字化数据进 行保护的迫切要求。由i b m 公司在七十年代发起，最终成为美国联邦信息处理标准d e s ( d a t a e n c r y p t i o ns t a n d a r d ) 力f l 密算法是当时世界上著名的对称加密算法。 美国国家标准局即现在的国家标准技术研究所( n i s t ) 在1 9 9 9 年发布了一个新版本的d e s 标准( f i p s pu b4 6 3 ) ，该标准指出d e s 仅能用于遗留的系统，同时3 d e s 将取代d e s 成为新 的标准。3 d e s 有两个显著的优点，确保了其能在未来得到广泛的应用。首先它的密钥长度是 1 6 8 位，故能克服d e s 所面临的穷举攻击问题。其次，3 d e s 的底层加密算法与d e s 的加密 算法相同，该加密算法比任何其他加密算法比任何其他加密算法受到分析的时间长得多，也 未能发现有比穷举攻击更有效的、基于算法本身的密码分析攻击方法。相应地，3 d e s 对密码 分析攻击有很强的免疫力。如果仅考虑算法安全，3 d e s 能成为未来数十年加密算法标准的合 2 白束邮也人学硕十研究，上论文第。章绪论 适选择。 1 9 7 6 年d i f f i e 和h e l l m a n n 的“密码学的新方向”一文【2 】导致了密码学上的一场革命。他 们首次证明了在发送端和接收端无密钥传输的保密通信是可能的，从而开创了非对称密码学 的新纪元。非对称密码学的诞生，使密码学发生了历史上而且也许是唯一真正的革命。在过 玄4 0 0 0 年间几乎所有密码编码系统都建立在替代和置换等机制的基础上。公开密钥密码编码 学则与以前的所有方法都截然不同：一方面它基于数学函数，另一方面它用到两个不同的密 钥，而非对称常规加密的一个密钥。 1 9 7 7 印由麻省理工学院的r i v e s t 、s h a m i r 和a d l e m a n 提出了第一个比较完善的非对称密 码算法，即著名的r s a 算法【3 】，从此r s a 方案作为唯一被广泛接受并实现的通用公开密钥加 密方式而受到推崇。此后，人们基于不同的计算问题，提出了大量的非对称密码算法。 目前比较流行的公钥密码体制主要有三大类【4 】：一类是基于大整数因了分解问题，其中最 典型的代表是r s a 体制；另一类是基于离散对数问趔5 1 ，如e i g a m a l 公钥密码体制和d s a ( d i s t a ls i g n a t u r ea l g o r i t h m ) 公钥密码体制；还有一类是基于椭圆曲线上的离散对数问题，它较 通常的离散对数问题更为困难，称为椭圆曲线公钥密码体制。椭圆曲线加密算法自从诞牛之 日起，它的安全性和实现效率就被众多的数学家和密码学家所广泛研究。所得的结果表明， 较之r s a 算法，椭圆曲线加密算法具有更大的优越性，因此它有望取代r s a ，成为通用的公 钥加密算法。国际上制定了椭圆曲线公钥密码标准i e e e p l 3 6 3 ，r s a 等一些公司声称他们已 开发出符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码，另外在公钥密码 的快速实现方面也做了一定的工作，比如在r s a 的快速实现和椭圆曲线公钥密码的快速实现 方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点，包括算法优化和 程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。 1 3 两种密码体制 1 3 1 对称密码体制 对称密码加密也称为常规加密、保密密钥或单密钥加密，它是2 0 实际7 0 年代后期公钥 加密体制出现之前使用的唯一一种加密体制，是现在最常用的两种加密类型之一。这种体制 的特点是：发送方和接收方使用相同的密钥分别进行加密和解密。常规密码体制中，发送方 3 南京邮电人訾硕十研究生论文第节绪论 把明文p ，也就是要传送的文件，利用密钥k 通过规定的加密算法加密为密文c ：而接收方则 利用与发送方相同的密钥足对密文c 进行解密，从而得到原来的明文p 。换而言之，即加密 和解密是瓦为逆变换的关系，具体的变换由变换参数密钥k 控制，密钥k 必须通过于密文信 道不同的保密信道来进行传送。 对称密码体制通常使用的加密算法比较简便高效，密钥简短，数学运算量小，加密与解 密速度极快。另外，对称密码体制的密钥不能与密文一起传送，而必须在另外一个保密的安 全信道里传送。由于系统的安全性依赖于密钥的安全性，泄漏密钥就意味着任何人都能对加 密信息进行解密。所以，在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。 d e s 算法是目前最为典型的对称密钥密码系统算法，除此之外，比较有代表性的算法还有 3 d e s ，i d e a 6 j 算法等。 1 3 2 公钥密码体制 如果一个保密系统能够把加密过程和解密过程分开，并且加密和解密分别使用两个不同 的密钥实现，并且由加密密钥推导出解密密钥在计算上是不可行的，则该系统所采用的就是 公钥密码体制( 非对称密钥密码体制) 【7 1 。采用公钥密码体制的每个用户都有一对选定的密钥： 其中一个是可以公开的，一个由用户自己秘密保存。图1 2 是一般公钥密码的示意图。 其中，图中e ( e 。，m ) 表示使用用户b 的公开密钥对明文m 进行加密，d ( 九，c ) 表示用户 占使用自己保存的秘密密钥以对密文c 进行解密( 有时也使用b 表示给用户口发送秘密消息 时所使用的加密变换，即= e ( e 占，) ，使用见表示用户丑的解密变换，且l j 岛= d ( d 疗，) 。 图1 2 公钥密码体制 公钥密码的加密变换e ( e 岸，所) 与解密变换d ( d 口，c ) 应满足下列要求： ( 1 ) d ( d 何，c ) 是e ( e 曰，m ) 的逆变换，目u 对于任意明文m ，均有 4 卣京邮电人宁硕十研究生论文第章绪论 d ( d 占，c ) = d ( d 占，e ( e 口，肌) ) = m ； ( 2 ) 在己知加密密钥e 。时，e ( e 。，r l , 1 ) 的计算不难；在己知解密密钥d 8 时，d ( 9 8 ，c ) 计算也 不难： ( 3 ) 如果不知道d a ，那么即使知道，具体的加密与解密算法过程以及密文c ，确定明文 的计算是不可行的。 因此，只要妥善保箭好解密密钥d 占，即使把用于加密的加密密钥e 。公开，也能够保证密 码体制的安全性，因为要从加密密钥推出解密密钥d 口在实际上是不可行的。所以加密密钥 可以公开进行分配，这样，在常规密码体制中最为棘手的密钥秘密分配和管理问题在公钥密 码体制中就完全不存在了。 公钥算法相对于对称加密算法有许多优点，通信双方不需要事先交换密钥，保密性好， 在密钥毹；理及分配上有自己的优越性；另外公钥密码可以实现数字签名，保证传输信息的不可 否认性。但是，公钥密码是基于数学难题的，在加、解密运算时，在计算上的开销相对于对 称加密来说是非常巨大的。特别是在消息明文较大的情况下，更是显现出公钥算法的缺陷。 1 4 本文的主要工作 本文在讨论网络安全技术的基础上，着重研究了当前网络安全中的加密技术：系统的研究 分析了对称加密体制的d e s 算法和公钥加密体制的f , c c 算法；利用用对称加密算法来加密要 传输信息的内容，用公钥加密算法来加密会话密钥的混合加密思想设计了基于e c c 和3 d e s 算法的混合加密系统；在此基础上对e c c 算法中点乘运算实现作了部分改进。具体的工作如 下： ( 1 ) 研究了目前各种网络安全技术中的加密技术，特别是研究了目前流行的两类加密体制 的代表一对称加密算法d e s 和公钥加密算法e c c ，对其实现原理和过程进行了详细的描述和 分析； ( 2 ) 本文详细研究了基于大素数域c 上的椭圆曲线密码体制算法，其中包括：椭圆曲线 域参数的选取、有限域f 上的基本运算、椭圆曲线算术运算等算法的实王见问题。 ( 3 ) 本文重点讨论了椭圆曲线上的点乘运算，在已有算法的基础上，给出了本文改进的肌 进制算法，该算法虽然在一定程度上增加了点加运算，但大大减少了预计算量和存储量，同 时进一步地改进了现有滑动窗口算法的滑动方式，提出了一种新的基于窗口的点乘算法，使 5 椅京邮电人学硕十研究，上论文 第章绪论 得窗口算法更加灵活，对于各种应用环境具有更好的适应性。 ( 4 ) 在分析和比较的基础上，针对对称加密中密钥管理的问题和公钥加密中算法过于复杂 的问题，利用混合加密思想，设计了基于3 d e s 和e c c 算法的混合加密系统，并在c + + 平台 下进行仿真实现。 1 5 论文的结构安排 本文的结构安排如下： 第一章：绪论。介绍了本文的研究背景，阐述了目前网络安全中的一些问题，介绍了密 码学的发展，介绍了当前的两种加密体制；综述了研究工作以及论文的组织结构。 第二章：着重对数据加密标准d e s 密码算法进行研究，详细讨论该算法的设计原理，并 对d e s 的安全性进行详尽的比较分析，并且针对d e s 算法密钥短的缺点，讨论了3 d e s 算法。 第二章：对椭圆曲线密码体制e c c 这一非对称加密算法进行探讨，阐述实现该算法的数 学基础及其依赖的数学难题，探讨e c c 加密体制的设计原理，分析e c c 的安全性能。 第四章：对基于大素数域c 上的椭圆曲线密码算法的具体实现展开了较详细的研究，重 点研究讨论了椭圆曲线上的点乘运算，在已有点乘算法的基础上，给出了本文的改进的m 进 制算法，该算法使预计算量以及存储量大为降低，同时给出一种新的基于滑动窗口的点乘算 法，新算法更加灵活，对于各种应用环境具有更好的适应性。 第五章：在讨论混合加密的基础上，设计了基于3 d e s 和e c c 算法的混合加密系统，并 在c 抖平台下进行仿真实现，最后对该系统进行了细致的分析。 第六章：总结。总结了本文的研究工作，对于存在的问题和不足做了总结，提出了进一 步的工作方向。 6 南京邮电人学硕十研究生论文第：章数据加密标准d e s 密码算法 第二章数据加密标准d e s 密码算法 本章的目的在于阐明现代对称密码的基本原理，主要探讨了使用最广泛的对称密码：数 字加密标准( d e s ) ，并分析了其安全性及脆弱性。尽管目前d e s 之后涌现出大量的对称密码， 而且它注定要被高级加密标准代替，f ud e s 依然是一个极其重要的算法，并且仍然在广泛的 应用中。 2 1d e s 密码系统 d e s 密码系统是由i b m 公司的沃尔特塔奇曼( w t u c h m a n ) 和卡尔迈歇尔( c m e y e r ) 于 1 9 7 1 至19 7 2 年研制成功的。该算法于1 9 7 5 年3 月公开发表，于1 9 7 7 年被美国国家标准局( n b s ) 批准作为美国数据加密标准( d a t ae n c r y p t i o ns t a n d a r d ) 【引。d e s 算法完全符合美国国家标准局 提出的数据加密四个要求： ( 1 ) 提供高质量的数据保护，防止数据未经授权的泄漏和未被察觉的修改； ( 2 ) 具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又要便于理解和掌 握： ( 3 ) d e s 密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基 础： ( 4 ) 实现经济，运行有效，并且适用于多种完全不同的应用。 2 2d e s 算法加，解密过程 d e s 算法的分组长度为6 4 b i t ，密钥k 也是6 4 b i t ，但只有5 6 b i t 有效，其他8 位是奇偶校 验位。算法主要包括初始置换、1 6 轮迭代的乘积变换、逆初始置换以及1 6 个子密钥产生。6 4 位一组的明文从算法的一端输入，6 4 位的密文从另一端输出。下面我们给出d e s 加密解密 算法迭代过程的流程图如图2 1 所示： 7 钉京邮电人学硕十研究生论文 第二章数据加密标准d e s 密码算法 图2 1d e s 加密过程 要进7 7 d r l 密的一组数据，先要经过初始置换铲的处理，并且要通过一系列的运算，然后 经过初始置换的逆置换俨一，给出加密结果1 9 1 。 ( 1 ) 初始置换伊：首先对6 4 位的明文按初始置换俨表进行换位。 ( 2 ) 将置换输出的6 4 位数据分成芹右两半，左一半称为厶，右一半称为r ，各3 2 位。 ( 3 ) 计算函数的1 6 次迭代。由加密函数厂实现了密钥k 。对r 的加密，结果为3 2 位数据组 ( r ，k ) ，厂( ，墨) 再与厶模2 相加，又得到一个3 2 位的数据组厶 f ( r o ，k 。) ，以 厶0 f ( r o ，k 。) 作为第二次加密迭代的r l ，以r 作为的二次加密的迭代的l 。，第一次加密迭代 过程结束。第二次迭代至第1 6 次加密迭代分别用予密钥k 2 ，k i 。进行，其过程与第一次加密 迭代相同。 加密过程可用如下数学公式描述： 厶= r 中 墨= 厶一。o ( 墨小k ) ，i = l ，2 ，1 6 f 函数将在后面描述，每个长度为4 8 的比特串k ，k 2 ，k 。是作为密钥髟的函数而计 i 村京邮电人学硕十研究，上论文第：幸数据加密 ，j ：准d e s 密码算法 算出来的，实际上，每一个k ，是k 中比特置换后的选择，k 。，k ，k 。组成了密钥编排。 ( 4 ) 最后一次的迭代厶。放在右边，墨。放在左边。 ( 5 ) 再经逆初始置换俨，把数据打乱重排，产生6 4 位密文。 d e s 在算法结构上采用迭代结构，从而使其结构紧凑，条理清楚，而且算法为对合运算， 便于实现。而且它的解密过程和加密过程完全类似，只不过将1 6 圈的予密钥序列k ，心，k 。 的顺序倒过来，即第一圈用第1 6 个子密钥墨。，第二圈用墨，其余类推。 2 2 1 初始置换ip 初始置换和逆初始置换是简单的移位操作。其中初始置换护在第一轮迭代运算之前进 行，对输入6 4 位分组实施如表2 1 所示的变换。例如，初始置换把明文的第5 8 位换到第1 位 的位置，把第5 0 位换到第2 位的位置，把第4 2 位换到第3 位的位置等等。 逆初始置换俨。1 是初始置换i p 的逆过程，表2 2 列出了该置换。在最后一轮的d e s 迭代 中，寿半部分和右半部分并不交换，而是将足。和。并在一起形成一个分组作为置换伊一的输 入，置换的输出为最终结果。 5 85 0 4 23 42 61 81 02 6 05 24 43 62 8 2 0 1 2 4 6 25 44 6 3 8 3 0 2 21 46 6 45 64 84 03 2 2 41 68 5 7 4 9 4 13 32 51 79l 5 95 14 33 52 7 1 91 13 6 15 34 53 72 92 1 1 35 6 35 54 73 9 3 12 31 57 表2 1 初始置换三p 2 。2 2d e s 子密钥的生成 4 084 81 65 62 46 4 3 2 3 97 4 7 1 55 52 3 6 33 1 3 864 61 45 42 26 2 3 0 3 7 54 51 35 32 16 12 9 3 644 41 25 22 06 0 2 8 3 53 4 31 15 11 95 9 2 7 3 424 21 0 5 01 85 82 6 3 314 194 91 75 7 2 5 衰2 - 2 逆初始置换妒一 在d e s 密码系统的设计中，将6 4 b i t 的密钥中的5 6 b i t 用于加密过程，其余8 b i t ( 在位置 8 ，1 6 ，6 4 上的8 卜b i t ) 用于奇偶校验。在d e s 的每一轮迭代中，经过循环左移和压缩置换， 9 由京邮电人学硕十研究生论文 第二章数据加密标准d e s 密码算法 从5 6 b i t 密钥中产生出不同的1 6 1 f - 4 8 b i t 子密钥k ，k 2 ，k l 。子密钥的生成丰要过程如下： ( 1 ) 首先密钥k 经过如表2 3 的p c 一1 的置换，将初始密钥的8 个奇偶效验位剔除掉，而留 下的5 6 位才是真正的初始密钥： ( 2 ) 将置换后的5 6 b i t 的密钥进行分组，分为左右两部分c o 和d o ，c 0 和d 0 各为2 8 b i t ； ( 3 ) 对分组后的密钥c o 和哦按照表2 - 4 进行循环左移，得到了g 和4 厶起来5 6 b i t 数据； ( 4 ) 每次循环中，c ：一和口一。分别经过表2 4 确定的l 位或2 位的循环左移，这些经过循环的 值作为下一次循环的输入，这样得到1 6 组5 6 b i t 的数据： ( 5 ) 将这1 6 组5 6 b i t 的数据依次经过如表2 5 的p c 一2 的置换，得到1 6 个4 8 b i t 了密钥 k 。，k ：，k 其生成过程如图2 2 ： 图2 2 子密钥的产生 5 7 4 94 13 32 51 79 15 85 0 4 23 4 2 61 8 1 025 95 14 33 5 2 7 1 91 13 6 05 24 43 6 6 3 5 54 7 3 93 12 3 1 5 76 25 4 4 63 8 3 02 2 1 466 15 34 53 72 9 2 11 3 52 8 2 01 24 袁2 3p c 1 置换表 l o 1 41 71 12 415 32 8 156 2 11 0 2 31 91 242 68 1 672 72 01 32 4 15 23 13 7 4 75 5 3 0 4 05 14 5 3 3 4 8 4 4 4 9 3 95 6 3 45 3 4 64 2 5 03 6 2 9 3 2 表2 5p c 一2 置换表 南京邮电人学硕十研究生论文 第。：章数据加密标准d e s 离码算法 迭代顺序 12 345678 9l o1 l1 2 131 4 15 16 左移位数 112 2222212222221 表2 - 4 循环左移表 举例如下：假设c 3 = c c ：c 2 8b = 西以吐。，我们查表可知第四次迭代应该左移循环两 次，则 c 4 = c 3 c 4 c 2 8 c l c 2 ，b = 名d 4 d 2 8 啊以。 2 2 3d e s 算法的厂函数 一加密函数 d e s 算法中最重要的部分是函数，而其中的重点又是s 盒( s u b s t i t u t i o nb o x ) 替代运算。 下图2 3 是函数的计算过程结构。 ( e ： 1， ，、jv i k1 1 r ili s lts 2 i - 3 数的计算过程 函数厂是d e s 的核心部分，它的作用在于在第i 次加密迭代中用子密钥k 对r 一。进 密。在第i 次加密迭代中选择置换运算e ( 表3 6 ) 对3 2 位的r f 一，的各位进行选择和排列， 一个4 8 位的结果，此结果与予密钥k 模2 相加，然后送入选择函数组j 5 - 盒中，结果得到 3 2 位的数据组。此结果再经过置换运算尸( 表3 7 ) ，将其各位打乱重排。置换运算尸的输 为加密函数的输出( r 小墨) 。 7 r 的执行步骤如下： ) 选择置换。首先3 2 位的r 一。经过选择置换e 扩展成长度为4 8 位的比特串，e ( 忍一，) 由 的3 2 个比特以特定方式排列产牛，其中1 6 个比特出现两次： 南京邮电大学硕士研究生论文第二章数据加密标准d e s 密码算法 ( 2 ) 选择置换e 的4 8 b i t 为输出，与k 作二进制加法( 异或操作) ； ( 3 ) 将输出的4 8 b i t 进行分组，作为输入送入选择函数组s 盒中； ( 4 ) 根据输入计算s 盒函数； ( 5 ) 通过s 盒的变换生成3 2 b i t 的输出； ( 6 ) 对s 盒输出的3 2 b i t 的串进行p 变换。 3 2 1234 5 456789 89l o1 11 21 3 1 21 31 41 51 61 7 1 61 71 8192 02 1 2 02 12 2 2 32 42 5 2 4 2 5 2 6 2 72 8 2 9 2 8 2 9 3 03 13 21 1 672 02 1 2 91 22 81 7 1 1 52 32 6 51 83 11 0 282 41 4 3 22 739 1 91 33 06 2 21 l42 5 表2 - 6e 选择置换表表2 7p 置换衷 二选择函数组s 选择函数组由8 个选择函数( 也称s 盒) 组成，8 个选择函数分别记为墨，是，s ，墨，s ， 品和s 。选择函数组输入是一个4 8 位的数据串，从第1 位到第4 8 位依次加到s s 的输入端。 每个选择函数有6 个输入，4 个输出。每个选择函数有一个选择矩阵，规定了其输出与输入的 选择规则。选择矩阵有4 行1 6 列，每行都是0 1 5 这1 6 个数字，但每行的数字的排列都不相同。 而且8 个选择矩阵彼此也不同。每个选择函数的6 位输入组成一个6 位二进制数字串。选择的 规则是：输入二进制数字串中的第1 和第6 两位所组成的二进制数值代表所选中的行号，其余 4 位所组成的二进制数值代表选中的列号，而处在被选中的行和列的交点处的数字便是选择函 数的输出( 以二进制形式输出) 。 举例如下：下面我们仅给出s 表中的s 表，如表2 - 8 所示： o1234567891 01 11 21 31 41 5 o1 441 3 1 21 511 8 3 1 06 1 25 90 7 1o1 5741 421 311 061 21 19538 24l1 48 1 3 62111 51 29731 05o 31 51 282 491751 l31 41 0061 3 表2 - 8 s 表 1 2 i 订京邮电人，誓硕十研究生论文第：章数据加密标准d e s 密码算法 我们假定s 盒的6 个输入端为6 1 6 2 6 3 6 4 良玩，在s 表中找出6 j 6 6 行，6 2 6 3 6 4 良列的元素，该元素就 是s 盒的输出。例如s 的输入为11 0 0 1 0 ，则岛= 1 ，6 6 = o , b # o = ( 1 0 ) ：= 2 ，b , b 3 b a = ( 1 0 0 1 ) ：= 9 ， 由s ，表可以查得s ( 2 ，9 ) = 1 2 ，故s ，的输出为( 1 2 ) 2 = 1 1 0 0 ，依次类推可以查得别的输出。 2 3d e s 安全性分析 2 3 1d e s 算法的安全强度及脆弱性 d e s 算法的设计目标是设计足够复杂的操作，使攻击者不可能找出明文和密文之间、密 钥和密文之间的相互联系。d e s 综合运用了置换、代替等多种密码技术，在算法结构上采用 迭代结构，便于实现，实现效率也高。d e s 使用了初始置换护和逆初始置换炉。| 各一次，置 换p1 6 次。安排使用这二个置换的目的是把数据彻底打乱重排。它们在密码学意义上作用不 大，因为它们与密钥无关，置换关系固定，一旦公开后便无多大密码意义。选择置换e 一方 面把数据打乱重排，另一方面把3 2 位输入扩展为4 8 位。算法中除了选择函数组s 是非线性变 换外，其余变换均为线性变换，所以保密性的关键是选择函数组s 。这个非线性变换的本质 是数据压缩，它把6 位输入压缩成4 位输出。选择函数的输入中任意改变数位，其输出至少变 化2 位。因为算法中使用了1 6 次迭代，从而使得即使是改变明文或者密钥中的1 位，密文都会 发牛约3 2 位的变化，大大提高了保密性。d e s 的子密钥产生与使用上也很有特色，它确保了 原密钥中各位的使用次数基本上相等。实验表明，即使明文之间只有一个比特的差别，加密 后的密文变化却非常大而且是随机的。经过多年的研究和应用，人们认为d e s 算法的保密 性良好，而且由于可以用硬件实现，其效率也比较高。由于d e s 算法是公开的，因此其安全 性完全取决于密钥本身。同时，人们在研究中也发现了若干d e s 算法的弱点，但这些弱点尚 未严重削弱d e s 算法的有效性。对于d e s 的脆弱性，通常有以下观点： ( 1 ) 弱密钥和半弱密钥 在d e s 算法中，如果1 6 次循环中每次使用的子密钥要都相同的话，将会削弱它的加密强 度。在这种情况下，加密和解密运算不存在差别，也就是说加密操作等效于解密操作。具有 上述特征的密钥我们称为弱密钥。另外，还有一些加密密钥具有类似的特征，它们是成对出 王见的，在每一对这样的加密密码中，子密钥相同，而且是倒序的。因此，用其中一个加密密 钥进行运算，然后再用另外一个加密密钥对上述加密运算的结果进行加密，就能恢复出明文。 南京邮电大学硕士研究生论文第二章数据加密标准d e s 密码算法 这种密钥我们称为半弱密钥。 在d e s 中存在着这样一些脆弱的密钥，因此我们应该避免选择这些密钥。在d e s 中， 存在着4 个弱密钥和1 2 个半弱密钥。因为它的数量小，在选择密钥时可以有意识的避免。真 正对d e s 算法构成威胁的是差分密码分析与线性密码分析。 ( 2 ) d e s 算法采用6 4 b i t 的固定分组，这种短组模式不利于有一定长度的明文块加密，由 于可能造成密文信息的重复组块，从而有利于攻击者采用统计方法来破译。 ( 3 ) 在d e s 算法的设计过程中将一个实际上5 6 b i t 的密钥分解成1 6 个4 8 b i t 子密钥序列， 每个了密钥在一次迭代或循环运算过程中只作为4 8 b i t 的参数参加一次模2 加法，这种机制功 能有限，且过于简单，大大降低了密钥参与运算结果的控制性和有效性。 ( 4 ) 迄今为止，d e s 算法中的5 ，盒8 个选择函数矩阵的设计原理因美国政府方面的干预， 不予公布。从这一方面严格地讲d e s 算法并不是一个真正的公开加密算法。s 盒设计中利用了 重复因了，致使加密或解密变换的密钥具有多值性，造成使用d e s 合法用户的不安全性。而 且，在d e s j n 密算法的所有部件中，s 盒是唯一的具有差分扩散功能的部件( 相对于逐位异或) ， 其它都是简单的位置交换，添加或删减等功能，毫无差分扩散能力。这样，d e s 的安全性几 乎全部依赖于s 盒，攻击者只要集中力量对付s 盒就行了。 ( 5 ) 密钥的长度 人们普遍认为d e s 算法的密钥不够长。随着计算机技术的飞速发展，攻 击者的破译能力也日益增强，用户实际使用的密钥长度为5 6 b i t ，理论上最大加密强度为2 5 6 ， 将难以抵抗穷举攻击。因此，有必要增加算法的密钥长度。 2 3 2d e s 的变形- - 3 d e s 对称加密算法d e s 的加密速度相当快，但是其密钥长度相对太短，只有5 6 b i t 。随着计算 机技术的飞速发展，这么短的密钥已经不再安全。因此，密码学家对其进行了改进。 3 d e s 是d e s 的一个更安全的变形。它以d e s 为基本模块，通过组合分组方法设计出分 组加密算法，其具体实现如下：在加密信息时，先对明文p 使用密钥毛进行d e s 加密，随后 使用密钥k ，对加密的结果进行解密，接着再对解密后的结果使用缸进行第二次加密，最终得 到我们所需的结果密文c 。在此使用了三个密钥，把密钥长度变为原来的二倍。设e ( ) 和皿( ) 代表d e s 算法的加密和解密过程，3 d e s 加密过程可表示为： c = 巨，( 俄( 毛( p ) ) ) ； 1 4 ! i 京邮电人。学硕十研究生论文 第：章数据加密标准d e s 密码算法 其加密过程如图2 4 所示。 明 文c 图2 43 d e s 加密流程图 接下来我们来分析一下3 d e s 算法的解密过程，如图2 5 所示。其解密过程与加密过程恰 恰相反，首先对密文c 使用密钥1 , 3 进行解密，随后对解密结果使用密钥岛进行加密，接着对 加密结果使用密钥k 。进行第二次解密，最终解密出明文p 。3 d e s 解密过程为： p = b ( 气( q ，( c ) ) ) 。 密 文p 图2 53 d e s 解密流程图 k ，足：，坞决定了算法的安全性，若三个密钥互不相同，本质上就相当于用一个长为1 6 8 位 的密钥进行加密，在对付强力攻击时是比较安全的。若数据对安全性要求不那么高，令 k ，= k 3 。在这种情况下，密钥的有效长度为l1 2 位。在本文实现的混合加密系统中，采用的就 是l l2 位密钥的3 d e s 。 2 4 本章小结 本章主要针对基于对称密码体制的数据加密标准d e s 进行了探讨。d e s 是一个分组加密 算法( 即将数据分块) ，它用5 6 位的密钥对6 4 位分组对数据加密，其算法具有相当高的复杂性， 而且密码体制的安全性不依赖于算法的保密，其安全性仅以加密密钥的保密为基础。同时在 此基础上，针对其密钥太短的缺点，研究了它的一种变形3 d e s 算法。d e s 算法运算速度快， 实现简单，作为非机要文件的加密，仍不失为一种好的方案。 南京邮电入学硕十研究生论