（计算机软件与理论专业论文）基于wlan的数据加密算法研究.pdf

哈尔滨理_ t 大学工学硕士学位论文 基于w l a n 的数据加密算法研究 摘要 无线局域网( w i r e l e s sl o c a la r e an e t w o r k ) ，w l a n 作为对传统有线网络 的延伸，w l a n 由于具有可移动、安装便捷、使用灵活、经济节约、易于 扩展、可提供高速无线接入等优势，被广泛应用于各行各业。随着无线网络 解决方案的不断推出，“不论您在任何时间、任何地点都可以轻松上网”这 一目标被轻松实现了。 无线局域网采用公共的电磁波作为载体，任何人都有条件窃听或干扰信 息。因此无线局域网的安全问题是决定其发展的一个重要问题，那么研究无 线局域网的信息安全技术显得尤为重要。 无线局域网在信息传输的过程中，大致可以分为身份认证、密钥协商、 数据加密、数据传输几个模块。各信息传输模块中会产生用户身份合法性、 密钥管理、数据机密性和数据完整性等安全问题，而且这些问题相互依赖。 本文首先介绍了无线局域网的安全技术和在这些技术中所使用用的密码 学知识。然后深入分析无线局域网中使用加密算法的机制以及加密算法本身 的加密解密原理，对其中的安全缺陷进行改进，并以形式化分析方法为理论 依据，对所做的改进进行分析和仿真。 经过b a n 逻辑模型的仿真分析，证明本文的方法比较妥善的解决了无 线局域网中的数据安全问题。 关键词无线局域网；密钥协商；加密算法 哈尔滨理工大学工学硕士学位论文 r e s e a r c ho fd a t ae n c r y p t i o na l g o r i t h mb a s e do n w l a n a b s t r a c t w l a n ，a ne x t e n s i o no ft h et r a d i t i o n a lw i r en e t w o r k ，w i t ht h ea d v a n t a g e so f p o r t a b i l i t y , c o n v e n i e n tt ou s e ，e c o n o m i c ，e a s yt oe x t e n d ，c a np r o v i d eh i g hs p e e d w i r e l e s sa c c e s s ，i sw i d e l yu s e di nv a r i o u sf i e l d s w i t ht h eo c c u r r e n c eo fw i r e l e s s n e t w o r ks o l v i n gs c h e m e s ，t h et a r g e to fs u r f i n gt h ei n t e r n e ta n y t i m ea ta n y p l a c e h a sb e e ne a s i l yr e a c h e d w l a na d o p t sp u b l i ce l e c t r o m a g n e t i cw a v ea si t sc a r r i e rs ot h a ta n y b o d yi s a b l et oe a v e s d r o po ri n t e r f e r et h ei n f o r m a t i o n t h e r e f o r e t h e s e c u r i t yo ft h e w l a ni st h em o s ti m p o r t a n tm a t t e r r e s e a r c h e si n t ot h ed a t as e c u r i t yt e c h n i q u e s a r ea l li m p o r t a n t t h ep r o c e s so fw l a nd a t at r a n s m i s s i o nc a nb ed i v i d e di n t os e v e r a l m o d u l e s ，s u c ha si d e n t i t ya u t h e n t i c a t i o n ，k e ya g r e e m e n t ，d a t ae n c r y p t i o n ，a n d d a t at r a n s m i s s i o n e a c hd a t at r a n s m i s s i o nm o d u l eh a ss e c u r i t yp r o b l e m ss u c ha s u s e ri dl e g i t i m a c y , k e ym a n a g e m e n t ，d a t ac o n f i d e n t i a l i t y , a n dd a t a i n t e g r i t y , w h i c ha r ea l w a y si n t e r d e p e n d e n t t h i sp a p e rf i r s t l yi n t r o d u c e st h es e c u r i t y t e c h n i q u e so fw l a na n dt h e c r y p t o g r a p h yk n o w l e d g ew h i c hw i l lb ea p p l i e d ，t h e nt h ea u t h o ra n a l y z e s e n c r y p t i o na l g o r i t h mm e c h a n i s m sa n d e n c r y p t i o n ，d e c r y p t i o np r i n c i p l e s m e a n w h i l e ，t h ea u t h o ra l s oi m p r o v e st h es e c u r i t ) ，d e f e c t s ，a n a l y z e sa n ds i m u l a t e s t h ei m p r o v e m e n t ，o nt h eb a s i so ff o r m a l i z a t i o na n a l y s i sm e t h o d s t h r o u g ht h es i m u l a t i o na n a l y s i so fb a nl o g i cm o d u l e ，t h em e t h o d so ft h i s p a p e rp r o v ea p p r o p r i a t et os o l v et h ed a t as e c u r i t yp r o b l e m so fw l a n k e y w o r d sw l a n ，k e ya g r e e m e n t ，e n c r y p t i o na l g o r i t h m i i 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于w i , a n 的数据加密算 法研究，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间独立进行 研究工作所取得的成果。据本人所知，论文中除已注明部分外不包含他人已发 表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均已在文中 以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名：捌弓；次 日期：2 0 0 8 年3 月1 5日 哈尔滨理工大学硕士学位论文使用授权书 基于w i , a n 的数据加密算法研究系本人在哈尔滨理工大学攻读硕士学 位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大 学所有，本论文的研究内容不得以其它单位的名义发表。本人完全了解哈尔滨 理工大学关于保存、使用学位论文的规定，同意学校保留并向有关部门提交论 文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影 印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密日。 ( 请在以上相应方框内打4 ) 作者签名：嘲弓彼 日期：2 0 0 8 年3 月1 5 日 导师签名：日期：2 0 0 8 年3 月1 5 日 哈尔滨理工大学工学硕士学位论文 1 1 课题简介 第1 章绪论 1 1 1 课题来源 本课题来源于黑龙江省研究生创新科研资金项目 y j s c x 2 0 0 5 2 5 0 h l j 。 1 1 2 课题意义 与被广泛应用的有线网络相比，w l a n 由于具有可移动、安装便捷、使用 灵活、经济节约、易于扩展、可提供高速无线接入等优势。越来越多的企 业、组织和个人用户开始在各领域使用w l a n 技术。但是因为w l a n 的信息 传输媒介是电磁波，这一传输介质的开放性就导致了它比有线介质( 双绞线、 光纤) 更容易受到干扰、窃取和破坏。所以w l a n 的数据安全问题是w l a n 发展的一个重要问题，也是专家和用户非常关心的问题。 1 2w l a n 的历史 说到无线局域网的历史起源，可能大家都会认为是最近才出现的一项新兴 技术，但它的出现实际上比想象的还要早。无线局域网的初步应用，可以追朔到 五十年前的第二次世界大战期间，当时美国陆军就采用了无线电信号做资料的 传输，他们研发出了一套无线电传输技术，并且采用非常高的加密技术。1 9 7 1 年，夏威夷大学( u n i v e r s i t yo fh a w a i i ) 的研究人员创造了第一个基于封包式技术 的无线电通讯网络，被称为a l o h n e t 网络，是最早的无线局域网络。这个 w l a n 包括了7 台计算机，采用双向星型拓扑( b i d i r e c t i o n a ls t a rt o p o l o g y ) 横跨 四座夏威夷的岛屿，中心计算机放置在瓦胡岛( o a h ui s l a n d ) 上。从这时开始， 无线局域网可以说是正式诞生了。 随着个人计算机诞生并初步发展，真正现代意义上的无线局域网在上世纪 8 0 年代末期才开始出现，当时摩托罗拉公司开发出了第一代商用无线局域网。 哈尔滨理工大学1 = 学硕士学位论文 1 9 9 0 年，i e e e 启动了8 0 2 1 1 项目，正式开始了无线局域网的标准化工作； 1 9 9 7 年，i e e e 改进了8 0 2 1 1 协议的国际互通标准；1 9 9 9 年，i e e e 批准了 8 0 2 1 1 b 和8 0 2 1 l a 两个无线网络的通信标准；2 0 0 1 年，i e e e 对q o s 和无线局 域网安全性草案作出了明确表述；2 0 0 2 年，已经有超过1 3 0 家参与公司成为标 准投票成员。 1 3w l a n 的研究现状 1 3 1w l a n 的安全技术 无线局域网( w i r e l e s sl o c a la r e an e t w o r k ，w l a n ) 具有可移动性、安装简 单、高灵活性和扩展能力，作为对传统有线网络的延伸，在许多特殊环境中得 到了广泛的应用。随着无线数据网络解决方案的不断推出，“不论您在任何时 间、任何地点都可以轻松上网”这一目标被轻松实现了。 由于无线局域网采用公共的电磁波作为载体，任何人都有条件窃听或干扰 信息，因此对越权存取和窃听的行为也更不容易防备。在2 0 0 1 年拉斯维加斯 的黑客会议上，安全专家就指出，无线网络将成为黑客攻击的另一块热土。一 般黑客的工具盒包括一个带有无线网卡的微机和一片无线网络探测卡软件，被 称为n e t s t u m b l e r ( 下载) 。因此，我们在一开始应用无线网络时，就应该充分考 虑其安全性。常见的无线网络安全技术有以下几种： 1 服务集标识符( s s i d ) 通过对多个无线接入点a p ( a c c e s sp o i n t ) 设置 不同的s s i d ，并要求无线工作站出示正确的s s i d 才能访问a p ，这样就可以 允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为 s s i d 是一个简单的口令，从而提供一定的安全，但如果配置a p 向外广播其 s s i d ，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统， 所以很多人都知道该s s i d ，很容易共享给非法用户。目前有的厂家支持”任何 ( a n y ) ”s s i d 方式，只要无线工作站在任何a p 范围内，客户端都会自动连接 到a p ，这将跳过s s i d 安全功能。 2 物理地址过滤( m a c ) 由于每个无线工作站的网卡都有唯一的物理地 址，因此可以在a p 中手工维护一组允许访问的m a c 地址列表，实现物理地 址过滤。这个方案要求a p 中的m a c 地址列表必需随时更新，可扩展性差； 而且m a c 地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地 址过滤属于硬件认证，而不是用户认证。这种方式要求a p 中的m a c 地址列 2 哈尔滨理工大学工学硕士学位论文 只适合于小型网络规模。 3 连线对等保密( w e p ) 在链路层采用r c 4 对称加密技术，用户的加 密密钥必须与a p 的密钥相同时才能获准存取网络的资源，从而防止非授权用 户的监听以及非法用户的访问【2 1 。w e p 提供了4 0 位( 有时也称为“位) 和 1 2 8 位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有 用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且4 0 位 的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。为了 提高安全性，建议采用1 2 8 位加密钥匙。 4 w i f i 保护接入( w p a ) w p a ( w i f ip r o t e c t e da c c e s s ) 是继承了w i s p 基本原理而又解决了w e p 缺点的一种新技术。由于加强了生成加密密钥的算 法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。 其原理为根据通用密钥，配合表示电脑m a c 地址和分组信息顺序号的编号， 分别为每个分组信息生成不同的密钥。然后与w i s p 一样将此密钥用于r c 4 加 密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相 同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥 几乎是不可能的。w p a 还追加了防止数据中途被篡改的功能和认证功能。由 于具备这些功能，w e p 中此前倍受指责的缺点得以全部解决。w p a 不仅是一 种比w e p 更为强大的加密方法，而且有更为丰富的内涵。作为8 0 2 1 l i 标准的 子集，w p a 包含了认证、加密和数据完整性校验三个组成部分，是一个完整 的安全性方案【3 i f 4 1 。 5 国家标准w a p i ( w l a n a u t h e n t i c a t i o n a n dp r i v a c yi n f r a s t r u c t u r e ) ，即无 线局域网鉴别与保密基础结构，它是针对i e e e 8 0 2 1 1 中w e p 协议安全问题， 在中国无线局域网国家标准g b l 5 6 2 9 1 1 中提出的w l a n 安全解决方案。同时 本方案已由i s o b e c 授权的机构i e e er e g i s t r a t i o na u t h o r i t y 审查并获得认可。 它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端( m t ) 与无线接入点o 廿) 间双向鉴别。用户只要安装一张证书就可在覆盖w l a n 的 不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计 费、按流量计费、包月等多种计费方式。a p 设置好证书后，无须再对后台的 a a a 服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运 营商等多种应用模式。 6 端口访问控制技术( 8 0 2 1 x ) 该技术也是用于无线局域网的一种增强 性网络安全解决方案。当无线工作站s t a 与无线访问点a p 关联后，是否可以 使用a p 的服务要取决于8 0 2 1 x 的认证结果。如果认证通过，则a p 为s t a 打 3 哈尔滨理工大学工学硕士学位论文 开这个逻辑端口，否则不允许用户上网。8 0 2 1 x 要求无线工作站安装8 0 2 1 x 客 户端软件，无线访问点要内嵌8 0 2 1 x 认证代理，同时它还作为r a d i u s 客户 端，将用户的认证信息转发给r a d i u s 服务器。8 0 2 1 x 除提供端口访问控制能 力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方 案。 7 虚拟专用网络( v p n ) 虚拟专用网是指在一个公共口网络平台上通 过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已 经采用v p n 技术。v p n 可以替代连线对等加密解决方案以及物理地址过滤解 决方案。采用v p n 技术的另外一个好处是可以提供基于r a d i u s 的用户认证以 及计费。v p n 技术不属于8 0 2 1 1 标准定义，因此它是一种增强性网络解决方 案。 无线局域网的应用范围非常广泛，如果其应用划分为室内和室外的话，室 内应用包括大型办公室、车间、智能仓库、临时办公室、会议室、证券市场； 室外应用包括城市建筑群间通信、学校校园网络、工矿企业厂区自动化控制与 管理网络、银行金融证券城区网、矿山、水利、油田、港口、码头、江河湖坝 区、野外勘测实验、军事流动网、公安流动网等。 1 石油工业油矿的地形起伏不平，敷设电缆后不易传导，而且电缆穿过 炼油厂可能是潜在的危险。无线网连接可提供从钻井台到压缩机房的数据链路 以便显示和输入由钻井获取的重要数据。海上钻井平台由于宽大的水域阻隔， 数据和资料的传输比较困难。敷设光缆费用又很高，施工难度很大。使用无线 网技术，费用不及敷设光缆的十分之一，效率高，质量好。 2 运输行业铁路运输货场和码头货场，由于大型吊车，运输道路和货物 通道不能敷设电缆，使用步话机报告货位和货号极易产生差错，无线计算机网 络可以把货物情况和资料直接传输到计算机中进行处理，大大提高了工作效率 和服务质量，避免了不必要的差错。 3 医疗行业现在很多医院都有了计算机管理系统、大量的计算机病人监 护设备、计算机控制的医疗装置和药品等库存计算机管理系统。无线网络可以 使医疗专家和管理者在医院内的任何地方使用移动和手持计算机设备方便地存 取这些信息。利用无线网，医生和护士在设置计算机专线的病房、诊室或急救 中进行汇诊、查房、手术时可以不必带着沉重的病例，而使用笔记本电脑实时 4 哈尔滨理工大学工学硕士学位论文 记录医嘱，并传递处置意见，查询病人病历和检索药品，还可以访问中央专家 系统以帮助诊断或预测药物的相互作用和反应。 4 制造行业制造工厂往往不能敷设连到计算机的电缆，在加固混凝土的 地板下面也无法敷设计算机电缆，空中起重机使人很难在空中布线，零备件及 货物运输通道使得也不便在地面布线。这种情况使用数字化制造设备、数字采 集装置、机器人设备时应用无线网络是很合适的。工程师和技术人员在进行检 修，更改产品设计，讨论工程方案以及其他技术处理时，可以利用无线网在工 厂车间或厂区的任何地方查阅技术档案、工程工艺和过程图，发出技术指令， 请求技术求援，甚至和厂外专家讨论问题。 5 零售业仓库零备件和货物的发送和贮存注册可以使用无线链路直接为 条形码阅览器、笔记本电脑和中央处理计算机进行连接，进行清查货物，更新 存储记录和出据清单。流动的工作人员直接使用手持设备就可以进行库存管理 和数据采集加工。 6 金融服务行业银行和证券、期货交易业务都需要无线网络的支持，把 一个城市的银行与其分布在城市各处的下属机构相连。即使已经有了有线计算 机网，为了避免由于线路等出现的故障，仍可使用无线计算机网做备份。在证 券和期货交易业务中，价格以”买”和卖的信息变化极为迅速、频繁，利用手 持通信器输入信息，通过无线网络迅速传递到计算机、报价服务系统和交易大 厅的显示屏，管理员、经纪人和交易者可以迅速利用信息进行管理和手持通信 器进行交易。避免了用手势、送话器和人工录入及报价而产生的不准确和时间 延误而造成的损失。 7 饮食、交通旅游服务行业很多餐厅的服务员已经使用步话机或寻呼技 术把餐厅中顾客需要的菜通知厨房，厨房也用同样的办法通知餐厅，顾客所需 要的菜已经准备好了，这实际只是整个过程中的一部分。无线网络可以进一步 做到，由餐厅中走来走去的点菜服务员通过手持终端机把顾客的需求送入计算 机，把菜单立即打印给厨房并且把做好的菜立即通知给服务员，当然也可以在 手持终端机屏幕显示的菜单上直接点菜，结账时可通过同一个系统及时打印结 账单。在酒吧、健身房、娱乐厅或餐厅等都可以通过服务员的手持通信终端来 更新记账系统，而不必等待复杂的核算系统结果。 8 比赛竞技场无线网络可以用来完成比赛场馆进行的各种竞赛记分的处 理、统计、发送和记录存储工作。也适合于一些文艺及其他竞赛的比赛记分系 统，特别是在那些多用途并进行多种比赛的场合。 9 移动办公环境在办公环境中使用无线网络系统，可以使办公用的计算 5 哈尔滨理工大学工学硕士学位论文 机具有移动能力，在网络范围内可实现计算机漫游。各种业务人员、部门负责 人、工程技术专家和管理人员，只要有可移动计算机或笔记本电脑，无论是在 办公室、会议室、洽谈室，甚至在宿舍都可通过无线网络随时查阅资料、获取 信息。 目前，越来越多的无线局域网产品投放市场，价格越来越低、覆盖范围也 不断增大，而依据规范开发网络底层到应用层接口的中间件厂家也将有更多的 应用产品投放市场。无线局域网已作为一种宽带网络解决方案得到了应用，可 以预见，随着网上多媒体技术的日益应用发展，传输速率更高的无线网络设备 将会涌现。所以，对无线局域网设备和服务的投资前景将会非常乐观。总之， 在无线局域网用户和运营商的双重推动下，w l a n 网络的应用将会成为未来网 络的技术主流之一。、 无线局域网信息传输系统的安全需求主要包括四个方面： 身份认证：因为无线网络中用户不用自接连接网络，所以攻击者一更容易 非法登入网络为了有效的防止非法用户登入，需要一定的身份认证机制来验证 用户的合法性。系统所实现的身份认证主要有两个目标：构建安全可靠的身份 认证机制：实现双向身份认证a p ( a c c e s sp o i n t ) 与用户相互认证身份，只有双 方均认证成功，用户方能登入网络； 数据加密：为了确保无线局域网中的传输数据只有合法接受者才能读取， 信息必须具有机密性，为了实现这一点通常使用综合性能良好的加密算法对数 据加密，只有拥有密钥的接收方才能解密，而没有密钥的攻击者即使获得密 文，也无法获知相应的明文。系统实现数据加密主要有三个目标：加密算法的 安全性能够满足无线网络的需要；算法的效率足够高，包括算法的速度以及占 用内存；算法使用灵活，移植性好，能够在未来无线网络的主要设施一智能卡 上较好的实现【5 】； 信息完整性认证：由于在无线局域网中信息容易丢失或被攻击者修改或转 发，因此需要进行信息完整性认证，包括对信息的完整性以及正确性进行验 证，信息认证的速度会影响到加密的速度，采用高效的信息认证是关键； 密钥管理：构建强健的密钥管理对系统的安全起着决定性的作用 6 1 ，根据 无线网络的安全特性，对密钥管理有几个要求：提供动态更新的密钥管理机 制，避免密钥重用；尽可能减少密钥管理中的通信量，提高密钥管理的效率。 6 哈尔滨理工大学工学硕士学位论文 制，避免密钥重用；尽可能减少密钥管理中的通信量，提高密钥管理的效率。 1 4 数据加密算法 1 4 1 数据加密算法的分类 设加密密钥为岛，解密密钥为恕，按照密钥的特点可对密码算法分为两 类： 1 对称( 私钥) 密码算法又称对称密码算法，此时，如同鬼相等，或实 质上等同，即从如易于推出芯。私钥密码体制从加密模式上可分为序列密码 和分组密码两大类。在对称加密系统中，加密和解密采用相同的密钥。因为加 解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信 任对方不会将密钥泄密出去，这样才可以实现数据的机密性和完整性。私钥密 码算法的优点是加解密速度快，其缺点是： ( 1 ) 密钥的分发和管理非常复杂、代价高昂。对于具有n 个用户的网络， 需要n ( n 1 ) 2 个密钥，对于大型网络，当用户数目n 很大、分布很广时，密 钥的分配和保存就成了问题。 ( 2 ) 不能用于数字签名。 2 公钥密码算法公钥密码算法又称非对称密钥算法、双钥密码算法。其 思想是由d i f f i e 和h e l l m a n 在1 9 7 6 年提出的，在密码学的发展史上具有划 时代意义。在公钥密码算法中，岛忽，如可以公开，简称公钥；岛必须保 密，简称私钥。从岛很容易推出拓，但从岛很难推出毛。公钥密码算法的这 种单向特性是基于陷门单向函数实现的。陷门单向函数【7 1 是满足下列条件的函 数f ： ( 1 ) 给定x ，计算y = 屈俐是容易的； ( 2 ) 给定y ，计算x 使x = f k 一劬不可行； ( 3 ) 存在k ，当k 已知时，对给定的任何y ，若相应的x 存在，则计算x 使厂f 。劬是容易的。满足( 1 ) ( 2 ) 两条的函数称为单向函数，k 称为陷门信息。 当用陷门函数厂作为加密函数时，可将厂公开，也就相当于公布了加密算法。 第( 2 ) 条性质表明窃听者由截获的密文y = 厂似推测x 是不可行的。 函数f 所具有的单向性是因为：它利用了以下的几个数学难题：( 1 ) 大整 数分解问题( r s a 算法采用) ；( 2 ) 有限域的乘法群上的离散对数问题( e 1 g a m a l 算法采用) ；( 3 ) 椭圆曲线上的离散对数问题( e c c 采用) 。 7 哈尔滨理工大学工学硕士学位论文 特性： ( 1 ) 加密与解密将由不同的密钥完成 加密：x - 】，：y k ( x ) p ( 1 - 1 ) 解密：】，- x ：x i d 弓) 一但b ( x ) ) ( 1 2 ) ( 2 ) 知道加密算法，从加密密钥得到解密密钥在计算上是不可行的。 ( 3 ) 两个密钥中任何一个都可以用作加密而另一个用作解密( 不是必须 的) ，即x - p 酶( k p ( x ”一k p 限。( x ) ) 公钥密码算法的优点是： ( 1 ) 密钥的分配和管理很简单，比如对于具有n 个用户的网络，仅需要2 n 个密钥； ( 2 ) 公开密码算法能够很容易地实现数字签名，适应于电子商务和电子政 务的需要。而且，基于数字签名，还可实现鉴别、数据完整性和防抵赖等安全 目标。 ( 3 ) 密钥交换。基于公钥密码算法，结合d i f f i e h e l l m a n 密钥共识协议可 以很方便地实现密钥交换。 公钥密码算法的缺点是：虽然公钥密码算法也可实现机密性，但算法复 杂，而且加密数据的速率较低。 因此，在实际应用中，公钥密码算法通常被用来加密关键性的、核心的机 密数据( 如会话密钥) ，而对称密码算法通常被用来加密大量的数据。这较好地 解决了运算速度问题和密钥分配管理问题。 1 4 2 数据加密算法的设计原则 理想密码系统中，密文的所有统计特性都与所使用的密钥独立。因此，加 密算法主要基于两个设计原则：扩散性( d i f f u s i o n ) 并- f f 模糊。 生( c o n f u s i o n ) 刚。扩散 性要求加密算法将密文的不同部分进行混合，使任何字符都不在其原来的位 置。模糊性意味着加密算法应隐藏所有局部模式，也就是说，语言的任何识别 字符都应变模糊。加密算法应将可能导致破解密钥的提示性语言特征进行隐 藏。 8 哈尔滨理工大学工学硕士学位论文 第2 章网络安全中数据加密技术的对称密码学研究 2 1 流密码算法 流密码算法又称为序列密码算法。是一个重要的密码体制，也是手工和机 械密码时代的主流。在2 0 世纪5 0 年代，由于数字电子技术的发展，使密钥流 可以方便的利用以移位寄存器为基础的电路来产生，从而促使线性和非线性移 位寄存器理论迅速发展。在加上有效的数学工具，如代数和谱分析理论的引 入，使得流密码理论迅速发展，并逐步走向成熟阶段。同时由于具有实现简 单、速度快、以及错误传播少的优点，使流密码在实际应用中，特别是在专用 和机密机构中仍保持优势。 流密码是将明文划分成字符( 如单个字母) ，或其编码的基本单元( 如0 ，1 数字) ，字符分别与密钥流作用进行加密，解密时以同步产生的同样的密钥流 实现，其基本框图如图2 1 所示： 图2 - 1 流密码原理图 f i g 2 1s t r e a mc i p h e rp r i n c i p l ed i a g r a m 图2 1 中，k g 为密钥流生成器，k i 为初始密钥。流密码强度完全依赖于 密钥流生成器所生成序列的随机性( r a n d o m n e s s ) 和不可预测性 ( u n p r e d i c t a b i l i t y ) 。其核心问题是密钥流生成器的设计。保持收发两端密钥流的 精确同步是实现可靠解密的的关键技术。 明文消息流：mt m a m ，m i ，其中m i e m 。 密文流：c - - - - c l c 2 c 一( n 1 ) g k 2 伽2 ) ( ) ，其中c fe c 。 密钥流： 忽) ，f 0 。若它是一个完全随机的非周期序列，则可以实现一次 9 哈尔滨理工大学工学硕士学位论文 一密体制。但这需要有无限存储单元和复杂的输出逻辑函数凡研是第f 时刻密 钥流生成器的内部状态，以存储单元的存数矢量来描述。 有两种常用的密钥流生成器：同步与自同步的。同步生成器所生成的密钥 流与明文流无关。因此，如果在传输是丢失了一个密文字符，密文与密钥流将 不能对齐。要正确还原明文，密钥流必须再次同步。自同步加密法是根据前刀 个密钥字符来生成密钥流的。如果某个密文字符有错，在万个密文字符后，密 钥流可自行同步。 有多种产生同步密钥流生成器的方法。最普遍的是使用一种称为线性反馈 移位寄存器( 1 i n e a rf e e d b a c ks h i f tr e g i s t e r ，l f s r ) 的硬件设备。 2 2 分组密码算法 分组密码及其应用的研究始于2 0 世纪7 0 年代中期，至今已有3 0 多年的 历史。其间，各国学者对分组密码的理论，技术和应用进行了大量的探讨和研 究，提出了众多的分组密码算法，如i d e a 、f e a l 、r c 5 、g o s t 等等，使分 组密码的理论与技术日臻完善，为分组密码的应用开辟了广阔的前景。 在分组密码发展的2 0 多年间，密码分析与密码设计始终是相互竞争和相 互推动的，对分组密码安全性的讨论也越来越多。一些在当时被认为是安全的 算法随着时间的推移和密码攻击方法，能力的提高，已被攻破。例如已广泛使 用了2 0 多年的数据加密标准d e s ，在1 9 9 7 年6 月1 8 日，被美国科罗拉多州 的一个以r o c k ev e r s e r 为首的工作组破译，该破译小组成员利用美国和加拿大 联网于i n t e r n e t 上的数万台个人微机的空闲c p u 时间，采用“穷搜索”技术进 行破译。本次破译成功宣布了d e s 的不安全性，同时促使美国国家标准技术 所( n i s t ) 推出新的高级加密标准( a e s ) 。目前对分组密码安全性的讨论包括差 分分析、线性分析、穷搜索等几个方面。从理论上讲，差分密码分析和线性密 码分析是目前攻击分组密码的最有效方法；而从实际上说，穷搜索等强力攻击 是攻击分组密码的最可靠方法。截止到现在，已有大量文献对分组密码的设计 和测试进行研究，并归纳出许多有价值的设计和安全准则。 2 2 1 分组密码算法的基本理论 分组密码是将明文消息编码表示后的数字序n x o ，x a ，而，划分成长为咒 1 0 哈尔滨理工大学工学硕士学位论文 的组z = ( x o ，而，一1 ) ，各组长为玎的矢量分别在密钥七； o ，白，心一1 ) 的控 制下变换成等长的输出数字序列y 一( y o , y 1 ，一1 ) ( 长为m ) ，如图2 - 2 所示。 明 密钥k = 傅d ，l 【l ，”，k 1 )密钥k = 趣o ，l 【i ，k i ) 图2 - 2 分组密码框图 f i g 2 2b l o c kc i p h e rd i a g r a m 分组密码与流密码的不同之处在于输出的每一位数字不是只与相应时刻输 入明文数字有关，而是与一组长为咒的明文数字有关。在相同密钥下，分组密 码对长为玎的输入明文组所实施的变换是相同的，所以只需研究对任意一组明 文数字的变换规则，这种密码的实质是对字长为1 1 的数字序列的代换密码。 若l l n l ，则为有数据压缩的分组 密码。通常取i i = m ，我们主要讨论二元的情况。z 和y 均为二元数字序列，它 们的分量而，m e f ( 2 ) ，将长为1 7 的二元j 和y 表示成小于2 “的整数，即 n - 1 x - ( x o ，而，- 1 ) 竹2 , x i 2 i = l l x l l ( 2 1 ) i = 0 1 y ；( y o ，y l ，一1 ) 2 y i 2 i = l l y l i ( 2 - 2 ) 则分组密码就是将恻f 0 ，1 ，? - 1 ) 映射为0 yj i e o ，1 ，砂一1 ) ，即为 0 ，】，2 万一1 至l j 其自身的一个置换万，即y 一万0 ) 。 置换的选择有密钥k 决定，所有可能的置换构成一个对称群s y m ( 2 n ) ，其 元素个数为2 n ! ，实用中的各种密码所用的置换都不过是上述置换集中的一个 很小的子集。设计分组密码的主要问题在于找到一种算法，能在密钥控制下从 一个足够大而且足够好的置换子集中简单而迅速的给出一个置换，用来对当前 输入明文数字组进行加密交换。 哈尔滨理工大学工学硕士学位论文 分组密码的数学定义如下： 如果映射e ：卯( 2 ) x s _ o f ( 2 ) 具有如下性质，即对任意k e s ， y e ( x ，k ) 均是g f ( 2 ) 上的双射，则称该映射为一个密钥分组密码。此时称 y e ( x ，k ) 为密钥k 下的加密函数( 有时简记为y - ( x ) ) ，称e 的逆函数 y d ，k ) 为k 下的解密函数( 有时简记为x - o k ( 聊) ，参数n 和k 分别为该 分组密码的分组长度和密钥长度。记明文空间g f ( 2 ) 一，密文空间g f ( 2 ) 一，密 钥空间y - d o ，k ) ，加密函数集 k ) ，解密函数集 j d k 分别为p ，c ，k ， e ，d ，则任意分组密码体制均可以用五元组 p ，c ，k ，e ，d 】_ 来刻画。 2 2 2 分组密码算法的工作模式 分组密码是将消息作为数据分组来加密或解密的，而实际应用中大多数消 息的长度是不定的，数据格式也不同，因此，在分组密码的实际应用中，需要 灵活应用分组密码。大于分组长度的消息需要分成几个分组分别进行处理。 另一方面，在实际应用中，分组密码算法也需要采用适当的工作模式来隐 蔽明文的统计性、数据格式、增加分组密码算法的随机性、控制错误传播等， 以提高整体的安全性，降低删除、重放、插入和伪装成功的机会。所采用的运 行模式应当力求简单、有效和易于实现。 本节介绍五个常用的运行模式，即电码本( e c b ) 模式、密码分组链接( c b c ) 模式、输出反馈( o f b ) 模式、密码反馈( c f b ) 模式和计数器( c t r ) 模式。 在描述中，将使用下面的记号： ( ) ：基本分组密码的加密算法。 u ( ) ：基本分组密码的解密算法。 ，l ：基本分组密码算法的消息分组的二进制长度。 墨，p 2 ，p m ：输入到运行模式中明文消息的m 个连续分段。第m 个分段的 1 2 哈尔滨理工大学工学硕士学位论文 长度可能小于其他分段的长度，在这种情况下，可对第m 分段添加，使其与其 他分段长度相同。 q ，c 2 ，q ：从运算模式输出的密文消息的m 个连续分段。 观p ) ，m s b v p ) ：分别是分组b 中最低“位比特和最高 ，位比特，比 如：踢( 1 0 1 0 0 1 1 ) 一1 l m s b s ( i o l 0 0 1 1 ) - 1 0 1 0 0 a 丑：数据分组a 和数据分组b 的链接， 例如： 三呸( 1 0 1 0 0 11 ) 0m s b s ( 1 0 1 0 0 11 ) 一1 11 0 1 0 0 1 电码本模式( e c b ) 这种方式直接利用分组密码算法对消息的各个分组 逐个进行加密或解密。在给定密钥的情况下，每个分组p 可能取值有2 n 种， 对应的密文c 也有2 n 种可能的取值，各个( p ，o 彼此独立，类似于构成一个 巨大的电码本，因此称其为电码本模式( e c b ) 。e c b 模式定义如下： e c b 加密：c - 占( 号) ，f 一1 2 ，所( 2 3 ) e c b 解密：只- 抄( g ) ，f * 1 , 2 ，m( 2 4 ) e c b 模式是确定性的，也就是说，如果在相同的密钥下将日，昱，已加 密两次，那么输出的密文分组也是相同的。在实际应用中，如果明文消息是可 猜测的，那么由确定性加密方案得到的密文就会使攻击者猜测出明文。因此， 通常我们不希望使用确定性密码，因此在大多数应用中不使用e c b 模式。 2 密码分组链接模式( c b c ) 密码分组链接( c b c ) 运行模式是用于一 般数据加密的一种模式。使用c b c 模式，输出是以比特密码分组的一个序 列，这些密码分组链接在一起使得每个密码分组不仅依赖于所对应的原文分 组，而且依赖于所有以前的数据分组。c b c 模式的加密和解密运算如下： c b c 加密输入：，最，昱，己，输出：，c 1 ，c 2 ，c m ； c o - c f ( 只o c 一。) ，i - l 2 ，历 c b c 解密输入：v ，c 1 ，c 2 ，c 肌，输出：墨，p 2 ，p m 1 3 ( 2 5 ) ( 2 6 ) 哈尔滨理工大学工学硕士学位论文 c o _ p i _ t ，( c ) o c 书im l 2 ，历 ( 2 7 ) ( 2 8 ) 第一个密文分组c 1 的计算需要一个特殊的输入分组c 0 ，称之为“初始向 量 ( n 0 。v 是一个随机的n 比特分组，每次会话加密时都要使用一个新的随 机形由于可看作密文分组，因此无需保密，但一定要是不可预知的。由 加密过程我们知道，由于的随机性，第一个密文分组被随机化，同样，依 次后续的输出密文分组都将被前面紧接着的密文分组随机化，因此，c b c 模 式输出的是随机化的密文分组。发送给接受者的密文消息应该包括。因 此，对于m 个分组的明文，c b c 模式将输出m + 1 个密文分组。 4 q 1 ，q 2 ，q m 是对密文分组c o c 1 ，c 2 ，c m 解密得到的数据分组输出， 则由 q i u ( g ) oc f l 一( 弓oc f 1 ) oc f 一1 一号( 2 9 ) 可知，解密正确。图2 3 给出了c b c 模式的图示。 图2 3 密码分组链接运行模式 f i g 2 3c o d eb l o c kl i n km o d e c b c 通过反馈使输出密文与以前的各明文相关，从而实现了隐藏明文图 样的目的。但是c b c 由于反馈的作用而对线路中的差错比较敏感，会出现错 误传播。密文中任何一位发生变化都会影响到后面分组的解密。 3 密码反馈模式( c f b ) 若加密消息必须按字符或按比特处理，可采用 密码反馈( c f b ) 运行模式。c f b 的特点在于反馈相继的密码分段，这些分段从 模式的输出返回作为基础分组密码算法的输入。消息( 明文或密文) 分组长为 s ，其中1 s 力。c f b 模式要求i v 作为初始的7 比特随机输入分组，因为在 系统中i v 是在密文的位置中，所以它不保密。c f b 模式的加密和解密运算如 下： c f b 加密输入：v ，置，最，已，输出：，c 1 ，c 2 ，c m ； 1 4 哈尔滨理工大学工学硕士学位论文 l 扣 卜l s a 一。( 一1 ) t t g _ i i = l ，2 ，m q 卜占( ，i ) ，江l ，2 ，m c j 卜e o m s b , ( q ) ，i = l ，2 ，m c f b 解密输入：v ，c l ，c 2 ，q ，输出：丑，最，圪； l i 卜l v 卜l s a 一，( 一，) l i e _ i ，i = l ，2 ，m q 卜g ( ) ，i = 1 ，2 ，m ( 2 - l o ) ( 2 一1 1 ) ( 2 1 2 ) ( 2 1 3 ) ( 2 1 4 ) ( 2 1 5 ) ( 2 1 6 ) 只卜eo m s b , q ) ，f ；1 ，2 ，m ( 2 1 7 ) 观察到在c f b 模式中，基本分组密码的加密函数用在加密和解密的两 端，因此，基本密码函数e 可以是任意( 加密的) 单向变换，例如单向杂凑函 数。c f b 模式可以考虑作为流密码的密钥流生成器，加密变换