网络安全课件

第8章网络安全第8章网络安全第8章网络安全8.1密码学8.2对称密钥密码体制8.3公开密钥密码体制8.4数字签名8.5公钥管理8.6通信安全8.7认证协议8.8电子邮件安全8.9Web安全8.10社会问题第8章网络安全8.1密码学*网络安全问题概述计算机网络上的通信面临以下的四种威胁：(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。截获篡改伪造中断被动攻击主动攻击源站源站源站源站目的站目的站目的站目的站*网络安全问题概述计算机网络上的通信面临以下的四种威胁：截本章集中在网络有关的问题，而不是操作系统和应用系统有关的问题。不讨论以下内容：基于生物统计学的用户认证口令安全、缓冲区溢出攻击、特洛伊木马、登录欺骗、跨点脚本代码注入病毒、蠕虫等保密性认证、不可否认、完整性控制本章集中在网络有关的问题，而不是操作系统保密性认证8.1密码学概论

密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。8.1密码学概论密码编码学(cryptography)8.1.1一般的数据加密模型E加密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)截取者截获篡改密钥源安全信道8.1.1一般的数据加密模型ED加密密钥K解密密钥K8.1.2置换密码置换密码(substitutioncipher)的最古老的例子是凯撒密码，其原理用例子来说明：密钥是3abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文c变成了密文F,其他字母依此类推8.1.2置换密码置换密码(substitutionciCIPHER145326attackbeginsatfour8.1.3替代密码替代密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。密钥顺序明文根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,……，R为第6。于是得出密钥字母的相对先后顺序为145326。CIPHER8.1.3替代密码替代密码(transposiCIPHER145326attackbeginsatfour密文的得出密钥顺序明文先读顺序为1的明文列，即aba

再读顺序为2的明文列，即cnu

再读顺序为3的明文列，即aio

再读顺序为4的明文列，即tet

再读顺序为5的明文列，即tgf

最后读顺序6的明文列，即ksr

因此密文就是：abacnuaiotettgfksr

CIPHER密文的得出密钥先读顺序为1的明文列，即ab接收端从密文解出明文收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密钥顺序明文最后按行读出明文得出明文：attackbeginsatfour

接收端从密文解出明文收到的密文：abacnuaiotettg8.1.4一次性密钥一次性密钥(one-timepad)选择随机位串作密钥与转变成位串的明文异或量子密码

8.1.5两个基本密码学原则冗余度新鲜度8.1.4一次性密钥一次性密钥(one-timepad8.2对称密钥系统对称密码算法：加密密钥与解密密钥是相同的密码体制。乘积密码、分组密码P盒、S盒轮8.2对称密钥系统对称密码算法：加密密钥与解密密钥是分组密码体制输入输出加密算法密钥明文输入输出解密算法密钥明文nbitnbitnbitnbit密文密文分组密码体制输入输出加密密钥明文输入输出解密密钥明文nb8.2.1数据加密标准DES数据加密标准DES属于常规密钥密码体制，是一种分组密码。在加密前，先对整个明文进行分组。每一个组长为64bit。然后对每一个64bit二进制数据进行加密处理，产生一组64bit密文数据。最后将各组密文串接起来，即得出整个的密文。使用的密钥为64bit（实际密钥长度为56bit，有8bit用于奇偶校验)。8.2.1数据加密标准DES数据加密标准DES属于DES加密标准

L0R0L1=R0IPL2=R1L15=R14R1=L0f(R0,K1)R2=L1f(R1,K2)R15=L14f(R14,K15)L16=R15R16=L15f(R15,K16)IP1fff输出密文Y(64bit)明文X(64bit)输入K16(48bit)K2(48bit)K1(48bit)X0的左半边(32bit)X0(64bit)X0的右半边(32bit)R16L16(64bit)DES加密标准L0R0L1=R0IPL2=R1LDES的明显缺点DES实际上就是一种单字符替代，而这种字符的长度是64bit。也就是说，对于DES算法，相同的明文就产生相同的密文。这对DES的安全性来说是不利的。为了提高DES的安全性，可采用加密分组链接的方法。DES的明显缺点DES实际上就是一种单字符替代，而这种三重DES

(TripleDES)三重DES使用两个密钥，执行三次DES算法。下图中的方框E和D分别表示执行加密和解密算法。因此加密时是E-D-E，解密时是D-E-D。EDEK1K2K1明文密文DEDK1K2K1密文明文加密解密三重DES(TripleDES)三重DES使用两DES

的保密性、AESDES

的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。DES是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。目前较为严重的问题是DES的密钥的长度。1997年，提出了高级加密标准AESDES的保密性、AESDES的保密性仅取决于对密钥的保密8.3公开密钥密码体制公开密钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。公开密钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制的密钥分配问题，另一是由于对数字签名的需求。现有三种公开密钥密码体制，其中最著名的是RSA体制，它基于数论中大数分解问题的体制，由美国三位科学家Rivest,Shamir和Adleman于1976年提出并在1978年正式发表的。8.3公开密钥密码体制公开密钥密码体制使用不同的加密密钥8.2.3密码模式电码本模式密码块链模式密码反馈模式流密码模式计数器模式8.2.4其他密码模式(p614图）8.2.5密码分析区分密码分析（差分攻击）线性密码分析电子功率消耗分析8.2.3密码模式电码本模式8.3公开密钥算法在公开密钥密码体制中，加密密钥(即公开密钥)PK是公开信息，而解密密钥(即秘密密钥)SK是需要保密的加密算法E和解密算法D也都是公开的。虽然秘密密钥SK是由公开密钥PK决定的，但却不能根据PK计算出SK。任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公开密钥密码体制并不具有比传统加密体制更加优越之处。由于目前公开密钥加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。公开密钥还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更为简单。8.3公开密钥算法在公开密钥密码体制中，加密密钥(即公公开密钥密码体制接收者发送者E加密算法D解密算法加密密钥PK解密密钥SK明文X密文Y=EPK(X)密钥对产生源明文X=DSK(EPK(X))公开密钥密码体制接收者发送者ED加密密钥PK解密密钥S8.3.1RSA公开密钥密码体制RSA公开密钥密码体制所根据的原理是：根据数论，寻求两个大素数比较简单，而将它们的乘积分解开则极其困难。每个用户有两个密钥：加密密钥PK{e,n}和解密密钥SK{d,n}。用户把加密密钥公开，使得系统中任何其他用户都可使用，而对解密密钥中的d则保密。N为两个大素数p和q之积（素数p和q一般为100位以上的十进数），e和d满足一定的关系。当敌手已知e和n时并不能求出d。8.3.1RSA公开密钥密码体制RSA公开密钥密码体(1)加密算法若用整数X表示明文，用整数Y表示密文（X和Y均小于n），则加密和解密运算为：加密：YXemodn(9-7)解密：XYdmodn(9-8)(1)加密算法若用整数X表示明文，用整数Y表示密(2)密钥的产生①计算n。用户秘密地选择两个大素数p和q，计算出n

pq。n称为RSA算法的模数。明文必须能够用小于n的数来表示。实际上n是几百比特长的数。②计算(n)。用户再计算出n的欧拉函数(n)(p

1)(q

1)(9-9)(n)定义为不超过n并与n互素的数的个数。③选择e。用户从[0,(n)1]中选择一个与(n)互素的数e作为公开的加密指数。(2)密钥的产生①计算n。用户秘密地选择两个大素数p(2)密钥的产生（续）④计算d。用户计算出满足下式的d

ed

1mod(n)(8-10)作为解密指数。⑤得出所需要的公开密钥和秘密密钥：公开密钥（即加密密钥）PK{e,n}秘密密钥（即解密密钥）SK{d,n}(2)密钥的产生（续）④计算d。用户计算出满足下式的(3)正确性的例子说明设选择了两个素数，p

7,q

17。计算出n

pq

717119。计算出(n)(p

1)(q

1)96。从[0,95]中选择一个与96互素的数e。选e

5。然后根据(9-10)式，5d

1mod96解出d。不难得出，d

77,因为ed

57738549611mod96。于是，公开密钥PK(e,n){5,119},秘密密钥SK{77,119}。(3)正确性的例子说明设选择了两个素数，p7,q(3)正确性的例子说明（续）对明文进行加密。先把明文划分为分组，使每个明文分组的二进制值不超过n,即不超过119。设明文X19。用公开密钥加密时，先计算Xe

195

2476099。再除以119，得出商为20807，余数为66。这就是对应于明文19的密文Y的值。在用秘密密钥SK{77,119}进行解密时，先计算Yd

6677

1.27...10140。再除以119，得出商为1.06...10138，余数为19。此余数即解密后应得出的明文X。(3)正确性的例子说明（续）对明文进行加密RSA算法举例明文1919==20807公开密钥={5,119}加密52476099119及余数

66密文6666==1.0610秘密密钥={77,119}解密771.27...10119及余数

19

明文19140138RSA算法举例明文19=8.4数字签名数字签名必须保证以下三点：(1)接收者能够核实发送者对报文的签名；(2)发送者事后不能抵赖对报文的签名；(3)接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。8.4数字签名数字签名必须保证以下三点：数字签名的实现DSKPK用公开密钥核实签名用秘密密钥进行签名X发送者A接收者BDSK(X)XE数字签名的实现DSKPK用公开密钥用秘密密钥X发送者A接数字签名的实现B用已知的A的公开加密密钥得出EPKA(DSKA(X))X。因为除A外没有别人能具有A的解密密钥SKA，所以除A外没有别人能产生密文DSKA(X)。这样，B相信报文X是A签名发送的。若A要抵赖曾发送报文给B，B可将X及DSKA(X)出示给第三者。第三者很容易用PKA去证实A确实发送X给B。反之，若B将X伪造成X‘，则B不能在第三者前出示DSKA(X’)。这样就证明了B伪造了报文。数字签名的实现B用已知的A的公开加密密钥得出EPKA8.4.3消息摘要散列函数SHA-1和SHA-2MD58.4.4生日攻击8.4.3消息摘要散列函数8.5公钥管理：密钥分配密钥管理包括：密钥的产生、分配、注入、验证和使用。本节只讨论密钥的分配。密钥分配是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前常用的密钥分配方式是设立密钥分配中心KDC(KeyDistribution)，通过KDC来分配密钥。8.5公钥管理：密钥分配密钥管理包括：密钥的产生、分8.5.1证书用户B用户主密钥A

KAB

KB……用户私有主密钥文件KDC用户AA和B用密钥R1通信③EKB(A,R1)B知道了密钥R1①EKA(A,B)②EKA(R1,EKB(A,R1))A知道了密钥R18.5.1证书用户B用户主密钥……用户私有主密钥文件8.6通信安全网络层安全协议族IPsecIPsec就是“IP安全(Security)协议”的缩写。网络层保密是指所有在IP数据报中的数据都是加密的。此外，网络层还应提供源站鉴别，即当目的站收到IP数据报时，能确信这是从该数据报的源IP地址的主机发来的。鉴别首部AH(AuthenticationHeader)：AH提供源站鉴别和数据完整性，但不能保密。封装安全有效载荷ESP(EncapsulationSecurityPayload)：ESP比AH复杂得多，它提供源站鉴别、数据完整性和保密。8.6通信安全网络层安全协议族IPsec安全关联SA(SecurityAssociation)

使用AH或ESP之前，先要从源主机到目的主机建立一条网络层的逻辑连接-----叫做安全关联SA。IPsec

就将传统的因特网无连接的网络层转换为具有逻辑连接的层安全关联是一个单向连接。它由一个三元组惟一地确定，包括：(1)安全协议（使用AH或ESP）的标识符(2)此单向连接的源IP地址(3)一个32bit的连接标识符，称为安全参数索引SPI(SecurityParameterIndex)对于一个给定的安全关联SA，每一个Ipsec数据报都有一个存放SPI的字段。通过此SA的所有数据报都使用同样的SPI值。安全关联SA(SecurityAssociation)2.鉴别首部AH

在使用鉴别首部AH时，将AH首部插在原数据报数据部分的前面，同时将IP首部中的协议字段置为51。在传输过程中，中间的路由器都不查看AH首部。当数据报到达目的站时，目的站主机才处理AH字段，以鉴别源主机和检查数据报的完整性。IP首部AH首部TCP/UDP报文段协议=51可鉴别的IP数据报原数据报的数据部分2.鉴别首部AH在使用鉴别首部AH时，将AHAH首部

(1)下一个首部(8bit)。标志紧接着本首部的下一个首部的类型（如TCP或UDP）。(2)有效载荷长度(8bit)，即鉴别数据字段的长度，以32bit字为单位。(3)安全参数索引SPI(32bit)。标志安全关联。(4)序号(32bit)。鉴别数据字段的长度，以32bit字为单位。(5)保留(16bit)。为今后用。(6)鉴别数据(可变)。为32bit字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查IP数据报的完整性。AH首部(1)下一个首部(8bit)。标志紧接着本首3.封装安全有效载荷ESP在ESP首部中有标识一个安全关联的安全参数索引SPI(32bit)，和序号(32bit)。在ESP尾部中有下一个首部（8bit，作用和AH首部的一样）。ESP尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。ESP的鉴别数据和AH中的鉴别数据是一样的。因此，用ESP封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。3.封装安全有效载荷ESP在ESP首部中有标识一个在IP数据报中的ESP的各字段IP首部ESP首部TCP/UDP报文段协议=50可鉴别的保密的IP数据报原数据报的数据部分ESP尾部ESP鉴别数据加密的部分鉴别的部分在IP数据报中的ESP的各字段IP首部ESP首部8.6.2防火墙(firewall)防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。防火墙内的网络称为“可信赖的网络”(trustednetwork)，而将外部的因特网称为“不可信赖的网络”(untrustednetwork)。防火墙可用来解决内联网和外联网的安全问题8.6.2防火墙(firewall)防火墙是由软件、硬件防火墙在互连网络中的位置G内联网可信赖的网络不可信赖的网络分组过滤路由器

R分组过滤路由器

R应用网关外局域网内局域网防火墙因特网防火墙在互连网络中的位置G内联网可信赖的网络不可信赖的网络防火墙技术一般分为两类(1)网络级防火墙—用来防止整个网络出现外来非法入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。(2)应用级防火墙—从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP应用的通过8.6.3虚拟专用网VPN8.6.4无线网安全802.11安全性蓝牙安全性防火墙技术一般分为两类(1)网络级防火墙—用来防止整个网8.7认证协议基于共享密钥的认证建立共享密钥：Diffie-Hellman密钥交换使用密钥分发中心的认证使用Kerberos的身份认证使用公开密钥密码学的认证8.7认证协议基于共享密钥的认证8.8电子邮件的加密PGP(PrettyGoodPrivacy)PGP是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念，它只是将现有的一些算法如MD5，RSA，以及IDEA等综合在一起而已。虽然PGP已被广泛使用，但PGP并不是因特网的正式标准。

8.8电子邮件的加密PGP(PrettyGoodPGP的加密过程MD5RSAZIPIDEAbase64RSAA的明文PPP1P1.ZKM至因特网ASCII文本B的RSA公开密钥EBKM：IDEA的加密密钥（一次一密）：拼接P与H拼接H压缩后的P1用密钥KM加密后的P1.Z与用密钥EB加密后的KM拼接A的RSA秘密密钥DAPGP的加密过程MD5RSAZIPIDEAbaseR8.9WEB安全性8.9.1威胁8.9.2安全命名：DNS8.9.3安全插口层SSL

SSL又称为安全套接层(SecureSocketLayer)，可对万维网客户与服务器之间传送的数据进行加密和鉴别。SSL在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的鉴别。在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。SSL不仅被所有常用的浏览器和万维网服务器所支持，而且也是运输层安全协议TLS(TransportLayerSecurity)的基础。8.9WEB安全性8.9.1威胁SSL提供以下三个功能(1)SSL

服务器鉴别允许用户证实服务器的身份。具有SSL功能的浏览器维持一个表，上面有一些可信赖的认证中心CA(CertificateAuthority)和它们的公开密钥。(2)加密的SSL会话客户和服务器交互的所有数据都在发送方加密，在接收方解密。(3)SSL客户鉴别允许服务器证实客户的身份。SSL提供以下三个功能(1)SSL服务器鉴别8.10社会问题隐私匿名邮件转发器加密朋克邮件转发器言论自由信息隐藏学版权8.10社会问题隐私8.11本章总结与习题密码学：对称密钥算法与公开密钥算法数字签名公钥管理与证书网络与WEB安全习题布置(p678)2，7，12，13，178.11本章总结与习题密码学：对称密钥算法与公开密钥算法第8章网络安全第8章网络安全第8章网络安全8.1密码学8.2对称密钥密码体制8.3公开密钥密码体制8.4数字签名8.5公钥管理8.6通信安全8.7认证协议8.8电子邮件安全8.9Web安全8.10社会问题第8章网络安全8.1密码学*网络安全问题概述计算机网络上的通信面临以下的四种威胁：(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。截获篡改伪造中断被动攻击主动攻击源站源站源站源站目的站目的站目的站目的站*网络安全问题概述计算机网络上的通信面临以下的四种威胁：截本章集中在网络有关的问题，而不是操作系统和应用系统有关的问题。不讨论以下内容：基于生物统计学的用户认证口令安全、缓冲区溢出攻击、特洛伊木马、登录欺骗、跨点脚本代码注入病毒、蠕虫等保密性认证、不可否认、完整性控制本章集中在网络有关的问题，而不是操作系统保密性认证8.1密码学概论

密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。8.1密码学概论密码编码学(cryptography)8.1.1一般的数据加密模型E加密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)截取者截获篡改密钥源安全信道8.1.1一般的数据加密模型ED加密密钥K解密密钥K8.1.2置换密码置换密码(substitutioncipher)的最古老的例子是凯撒密码，其原理用例子来说明：密钥是3abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文c变成了密文F,其他字母依此类推8.1.2置换密码置换密码(substitutionciCIPHER145326attackbeginsatfour8.1.3替代密码替代密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。密钥顺序明文根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,……，R为第6。于是得出密钥字母的相对先后顺序为145326。CIPHER8.1.3替代密码替代密码(transposiCIPHER145326attackbeginsatfour密文的得出密钥顺序明文先读顺序为1的明文列，即aba

再读顺序为2的明文列，即cnu

再读顺序为3的明文列，即aio

再读顺序为4的明文列，即tet

再读顺序为5的明文列，即tgf

最后读顺序6的明文列，即ksr

因此密文就是：abacnuaiotettgfksr

CIPHER密文的得出密钥先读顺序为1的明文列，即ab接收端从密文解出明文收到的密文：abacnuaiotettgfksr

CIPHER145326attackbeginsatfour密钥顺序明文最后按行读出明文得出明文：attackbeginsatfour

接收端从密文解出明文收到的密文：abacnuaiotettg8.1.4一次性密钥一次性密钥(one-timepad)选择随机位串作密钥与转变成位串的明文异或量子密码

8.1.5两个基本密码学原则冗余度新鲜度8.1.4一次性密钥一次性密钥(one-timepad8.2对称密钥系统对称密码算法：加密密钥与解密密钥是相同的密码体制。乘积密码、分组密码P盒、S盒轮8.2对称密钥系统对称密码算法：加密密钥与解密密钥是分组密码体制输入输出加密算法密钥明文输入输出解密算法密钥明文nbitnbitnbitnbit密文密文分组密码体制输入输出加密密钥明文输入输出解密密钥明文nb8.2.1数据加密标准DES数据加密标准DES属于常规密钥密码体制，是一种分组密码。在加密前，先对整个明文进行分组。每一个组长为64bit。然后对每一个64bit二进制数据进行加密处理，产生一组64bit密文数据。最后将各组密文串接起来，即得出整个的密文。使用的密钥为64bit（实际密钥长度为56bit，有8bit用于奇偶校验)。8.2.1数据加密标准DES数据加密标准DES属于DES加密标准

L0R0L1=R0IPL2=R1L15=R14R1=L0f(R0,K1)R2=L1f(R1,K2)R15=L14f(R14,K15)L16=R15R16=L15f(R15,K16)IP1fff输出密文Y(64bit)明文X(64bit)输入K16(48bit)K2(48bit)K1(48bit)X0的左半边(32bit)X0(64bit)X0的右半边(32bit)R16L16(64bit)DES加密标准L0R0L1=R0IPL2=R1LDES的明显缺点DES实际上就是一种单字符替代，而这种字符的长度是64bit。也就是说，对于DES算法，相同的明文就产生相同的密文。这对DES的安全性来说是不利的。为了提高DES的安全性，可采用加密分组链接的方法。DES的明显缺点DES实际上就是一种单字符替代，而这种三重DES

(TripleDES)三重DES使用两个密钥，执行三次DES算法。下图中的方框E和D分别表示执行加密和解密算法。因此加密时是E-D-E，解密时是D-E-D。EDEK1K2K1明文密文DEDK1K2K1密文明文加密解密三重DES(TripleDES)三重DES使用两DES

的保密性、AESDES

的保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。DES是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。目前较为严重的问题是DES的密钥的长度。1997年，提出了高级加密标准AESDES的保密性、AESDES的保密性仅取决于对密钥的保密8.3公开密钥密码体制公开密钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。公开密钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制的密钥分配问题，另一是由于对数字签名的需求。现有三种公开密钥密码体制，其中最著名的是RSA体制，它基于数论中大数分解问题的体制，由美国三位科学家Rivest,Shamir和Adleman于1976年提出并在1978年正式发表的。8.3公开密钥密码体制公开密钥密码体制使用不同的加密密钥8.2.3密码模式电码本模式密码块链模式密码反馈模式流密码模式计数器模式8.2.4其他密码模式(p614图）8.2.5密码分析区分密码分析（差分攻击）线性密码分析电子功率消耗分析8.2.3密码模式电码本模式8.3公开密钥算法在公开密钥密码体制中，加密密钥(即公开密钥)PK是公开信息，而解密密钥(即秘密密钥)SK是需要保密的加密算法E和解密算法D也都是公开的。虽然秘密密钥SK是由公开密钥PK决定的，但却不能根据PK计算出SK。任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公开密钥密码体制并不具有比传统加密体制更加优越之处。由于目前公开密钥加密算法的开销较大，在可见的将来还看不出来要放弃传统的加密方法。公开密钥还需要密钥分配协议，具体的分配过程并不比采用传统加密方法时更为简单。8.3公开密钥算法在公开密钥密码体制中，加密密钥(即公公开密钥密码体制接收者发送者E加密算法D解密算法加密密钥PK解密密钥SK明文X密文Y=EPK(X)密钥对产生源明文X=DSK(EPK(X))公开密钥密码体制接收者发送者ED加密密钥PK解密密钥S8.3.1RSA公开密钥密码体制RSA公开密钥密码体制所根据的原理是：根据数论，寻求两个大素数比较简单，而将它们的乘积分解开则极其困难。每个用户有两个密钥：加密密钥PK{e,n}和解密密钥SK{d,n}。用户把加密密钥公开，使得系统中任何其他用户都可使用，而对解密密钥中的d则保密。N为两个大素数p和q之积（素数p和q一般为100位以上的十进数），e和d满足一定的关系。当敌手已知e和n时并不能求出d。8.3.1RSA公开密钥密码体制RSA公开密钥密码体(1)加密算法若用整数X表示明文，用整数Y表示密文（X和Y均小于n），则加密和解密运算为：加密：YXemodn(9-7)解密：XYdmodn(9-8)(1)加密算法若用整数X表示明文，用整数Y表示密(2)密钥的产生①计算n。用户秘密地选择两个大素数p和q，计算出n

pq。n称为RSA算法的模数。明文必须能够用小于n的数来表示。实际上n是几百比特长的数。②计算(n)。用户再计算出n的欧拉函数(n)(p

1)(q

1)(9-9)(n)定义为不超过n并与n互素的数的个数。③选择e。用户从[0,(n)1]中选择一个与(n)互素的数e作为公开的加密指数。(2)密钥的产生①计算n。用户秘密地选择两个大素数p(2)密钥的产生（续）④计算d。用户计算出满足下式的d

ed

1mod(n)(8-10)作为解密指数。⑤得出所需要的公开密钥和秘密密钥：公开密钥（即加密密钥）PK{e,n}秘密密钥（即解密密钥）SK{d,n}(2)密钥的产生（续）④计算d。用户计算出满足下式的(3)正确性的例子说明设选择了两个素数，p

7,q

17。计算出n

pq

717119。计算出(n)(p

1)(q

1)96。从[0,95]中选择一个与96互素的数e。选e

5。然后根据(9-10)式，5d

1mod96解出d。不难得出，d

77,因为ed

57738549611mod96。于是，公开密钥PK(e,n){5,119},秘密密钥SK{77,119}。(3)正确性的例子说明设选择了两个素数，p7,q(3)正确性的例子说明（续）对明文进行加密。先把明文划分为分组，使每个明文分组的二进制值不超过n,即不超过119。设明文X19。用公开密钥加密时，先计算Xe

195

2476099。再除以119，得出商为20807，余数为66。这就是对应于明文19的密文Y的值。在用秘密密钥SK{77,119}进行解密时，先计算Yd

6677

1.27...10140。再除以119，得出商为1.06...10138，余数为19。此余数即解密后应得出的明文X。(3)正确性的例子说明（续）对明文进行加密RSA算法举例明文1919==20807公开密钥={5,119}加密52476099119及余数

66密文6666==1.0610秘密密钥={77,119}解密771.27...10119及余数

19

明文19140138RSA算法举例明文19=8.4数字签名数字签名必须保证以下三点：(1)接收者能够核实发送者对报文的签名；(2)发送者事后不能抵赖对报文的签名；(3)接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。8.4数字签名数字签名必须保证以下三点：数字签名的实现DSKPK用公开密钥核实签名用秘密密钥进行签名X发送者A接收者BDSK(X)XE数字签名的实现DSKPK用公开密钥用秘密密钥X发送者A接数字签名的实现B用已知的A的公开加密密钥得出EPKA(DSKA(X))X。因为除A外没有别人能具有A的解密密钥SKA，所以除A外没有别人能产生密文DSKA(X)。这样，B相信报文X是A签名发送的。若A要抵赖曾发送报文给B，B可将X及DSKA(X)出示给第三者。第三者很容易用PKA去证实A确实发送X给B。反之，若B将X伪造成X‘，则B不能在第三者前出示DSKA(X’)。这样就证明了B伪造了报文。数字签名的实现B用已知的A的公开加密密钥得出EPKA8.4.3消息摘要散列函数SHA-1和SHA-2MD58.4.4生日攻击8.4.3消息摘要散列函数8.5公钥管理：密钥分配密钥管理包括：密钥的产生、分配、注入、验证和使用。本节只讨论密钥的分配。密钥分配是密钥管理中最大的问题。密钥必须通过最安全的通路进行分配。目前常用的密钥分配方式是设立密钥分配中心KDC(KeyDistribution)，通过KDC来分配密钥。8.5公钥管理：密钥分配密钥管理包括：密钥的产生、分8.5.1证书用户B用户主密钥A

KAB

KB……用户私有主密钥文件KDC用户AA和B用密钥R1通信③EKB(A,R1)B知道了密钥R1①EKA(A,B)②EKA(R1,EKB(A,R1))A知道了密钥R18.5.1证书用户B用户主密钥……用户私有主密钥文件8.6通信安全网络层安全协议族IPsecIPsec就是“IP安全(Security)协议”的缩写。网络层保密是指所有在IP数据报中的数据都是加密的。此外，网络层还应提供源站鉴别，即当目的站收到IP数据报时，能确信这是从该数据报的源IP地址的主机发来的。鉴别首部AH(AuthenticationHeader)：AH提供源站鉴别和数据完整性，但不能保密。封装安全有效载荷ESP(EncapsulationSecurityPayload)：ESP比AH复杂得多，它提供源站鉴别、数据完整性和保密。8.6通信安全网络层安全协议族IPsec安全关联SA(SecurityAssociation)

使用AH或ESP之前，先要从源主机到目的主机建立一条网络层的逻辑连接-----叫做安全关联SA。IPsec

就将传统的因特网无连接的网络层转换为具有逻辑连接的层安全关联是一个单向连接。它由一个三元组惟一地确定，包括：(1)安全协议（使用AH或ESP）的标识符(2)此单向连接的源IP地址(3)一个32bit的连接标识符，称为安全参数索引SPI(SecurityParameterIndex)对于一个给定的安全关联SA，每一个Ipsec数据报都有一个存放SPI的字段。通过此SA的所有数据报都使用同样的SPI值。安全关联SA(SecurityAssociation)2.鉴别首部AH

在使用鉴别首部AH时，将AH首部插在原数据报数据部分的前面，同时将IP首部中的协议字段置为51。在传输过程中，中间的路由器都不查看AH首部。当数据报到达目的站时，目的站主机才处理AH字段，以鉴别源主机和检查数据报的完整性。IP首部AH首部TCP/UDP报文段协议=51可鉴别的IP数据报原数据报的数据部分2.鉴别首部AH在使用鉴别首部AH时，将AHAH首部

(1)下一个首部(8bit)。标志紧接着本首部的下一个首部的类型（如TCP或UDP）。(2)有效载荷长度(8bit)，即鉴别数据字段的长度，以32bit字为单位。(3)安全参数索引SPI(32bit)。标志安全关联。(4)序号(32bit)。鉴别数据字段的长度，以32bit字为单位。(5)保留(16bit)。为今后用。(6)鉴别数据(可变)。为32bit字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查IP数据报的完整性。AH首部(1)下一个首部(8bit)。标志紧接着本首3.封装安全有效载荷ESP在ESP首部中有标识一个安全关联的安全参数索引SPI(32bit)，和序号(32bit)。在ESP尾部中