编码理论课件

编码理论课件第一页，共七十六页，编辑于2023年，星期五网络存在的安全威胁

网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫第二页，共七十六页，编辑于2023年，星期五造成安全威胁的主要根源网络建设之初忽略了安全问题；仅仅建立了物理安全机制；TCP/IP协议族软件本身缺乏安全性；操作系统本身及其配置的安全性；安全产品配置的安全性；来自内部网用户的安全威胁；缺乏有效的手段监视、评估网络的安全性；电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件；应用服务的访问控制、安全设计存在漏洞。第三页，共七十六页，编辑于2023年，星期五网络信息安全的发展阶段三个阶段：通信保密阶段：以密码学研究为主计算机系统安全阶段：以单机操作系统安全研究为主网络信息系统安全阶段：开始进行信息安全体系研究第四页，共七十六页，编辑于2023年，星期五通信保密阶段

40年代－70年代重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密重要标志1949年Shannon发表的《保密通信的信息理论》1977年美国国家标准局公布的数据加密标准（DES）1976年由Diffie与Hellman在“NewDirectionsinCryptography”一文中提出了公钥密码体制第五页，共七十六页，编辑于2023年，星期五计算机系统安全阶段70－80年代

重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性主要安全威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是安全操作系统设计技术（TCB）主要标志是1983年美国国防部公布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充TNI和TDI第六页，共七十六页，编辑于2023年，星期五

网络信息系统安全阶段90年代以来

重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN主要标志是提出了新的安全评估准则CC（ISO15408）、IPv6安全性设计第七页，共七十六页，编辑于2023年，星期五网络信息安全的含义网络信息安全网络系统的硬件、软件及其系统中的信息受到保护保护在通信网络中传输、交换和存储的信息的机密性、完整信和真实性对信息的传播及内容具有控制能力不受偶然的或者恶意的原因而遭到破坏、更改、泄露系统连续可靠的运行网络服务不中断第八页，共七十六页，编辑于2023年，星期五用户（企业、个人）的角度涉及个人隐私或商业利益的信息机密性、完整性、真实性避免其他人或对手的损害和侵犯窃听、冒充、篡改、抵赖不受其他用户的非法访问非授权访问、破坏第九页，共七十六页，编辑于2023年，星期五网络运行和管理者对本地网络信息的访问、读写等操作受到保护和控制避免出现“后门”、病毒、非法存取、拒绝服务、网络资源非法专用、非法控制制止和防御网络“黑客”的攻击第十页，共七十六页，编辑于2023年，星期五信息窃取信息传递信息冒充信息篡改信息抵赖信息机密性加密技术完整性技术认证技术数字签名第十一页，共七十六页，编辑于2023年，星期五一、信息安全概述

1.密码学用途

2.密码学主要技术

3.国际著名算法及标准二、密码学理论基础（一）密码系统的基本理论

1.密码系统的分类

2.密码系统数学模型（二）认证系统的基本理论

1.认证系统模型及构成

2.模仿攻击及代替攻击

3.认证码欺骗概率下界第十二页，共七十六页，编辑于2023年，星期五三、密码编码算法（一）分组密码

1.分组密码的基本原理

2．扩散(diffusion)和混淆(confusion)3．数据加密标准DES算法

4.高级数据加密标准AES算法

5．国际数据加密标准IDEA算法（二）公钥密码

1．公钥密码的基本概念

2．RSA公钥密码体制

3．EIGamal公钥密码

4．椭圆曲线上的公钥密码（三）Hash算法及认证方案

1．基本概念

2．Hash算法MD4及Hash算法SHA-13．认证方案四、密码学研究现状及趋势五、产品简介第十三页，共七十六页，编辑于2023年，星期五一、信息安全概述

信息安全是一个古老的话题。早在四千多年前，古埃及人就开始使用密码来保密传递的消息。1949年，香农的奠基性论文“保密系统的通信理论”在《贝尔系统技术杂志》上发表，奠定了密码学理论基础。由于保密问题的特殊性，直至1976年Diffe和Hellman发表了“密码学的新方向”一文，提出了公开密钥密码体制后，保密通信问题才得到广泛研究。尤其当今，信息的安全和保密问题更加突出和重要。第十四页，共七十六页，编辑于2023年，星期五第十五页，共七十六页，编辑于2023年，星期五密码学用途保密性完整性真实性不可否认性第十六页，共七十六页，编辑于2023年，星期五密码学主要技术数据加密密码分析数字签名信息鉴别零知识认证秘密共享信息隐藏第十七页，共七十六页，编辑于2023年，星期五国际著名算法及标准DES数据加密标准AES数据加密标准IDEA数据加密标准RSA公钥密码体制ISO/IECJTC1/SC27信息技术的安全技术标准ECNA-831985公共数据网DTE到DEC接口安全要求ANSIX3.92-1981数据加密算法BG4943-1995信息技术设备的安全第十八页，共七十六页，编辑于2023年，星期五二、密码学理论基础密码系统的基本理论认证系统的基本理论第十九页，共七十六页，编辑于2023年，星期五（一）密码系统的基本理论1．密码系统的分类按应用技术或历史发展阶段划分：手工密码、机械密码、电子机内乱密码、计算机密码按保密程度划分：理论上保密的密码、实际上保密的密码、不保密的密码。按密钥方式划分：对称式密码、非对称式密码按明文形态：模拟型密码、数字型密码。按编制原理划分：可分为移位、代替和置换。第二十页，共七十六页，编辑于2023年，星期五2．密码系统数学模型一个密码体制(cryptosystem)通常由五部分组成(1)明文空间：全体明文的集合；(2)密文空间：全体密文的集合；(3)密钥空间：全体密钥的集合;(4)加密算法：加密密钥控制的加密变换的集合；(5)解密算法：解密密钥控制的解密变换的集合。第二十一页，共七十六页，编辑于2023年，星期五一个好的密码体制至少应该满足下述两个条件(1)在已知明文和加密密钥时，计算密文容易。在已知密文和解密密钥时，计算明文容易。

(2)在不知解密密钥时，不可能由密文推知明文。对于一个密码体制，如果能够根据密文确定明文或密钥，或者能够根据明文和相应的密文确定密钥，则说这个密码体制是可破译的；否则，称其为不可破译的。第二十二页，共七十六页，编辑于2023年，星期五密码分析者攻击密码体制方法主要有三种(1)穷举攻击(2)统计分析攻击(3)解密变换攻击第二十三页，共七十六页，编辑于2023年，星期五在遵从Kerckhoff准则下，密码分析者或破译者的攻击方法有六种唯密文攻击已知明文攻击选择性明文攻击自适应选择性明文攻击选择性密文攻击选择性密钥攻击。第二十四页，共七十六页，编辑于2023年，星期五3．复杂性理论（1）算法复杂性数据复杂性时间复杂性存储量复杂性（2）问题复杂性第二十五页，共七十六页，编辑于2023年，星期五（二）认证系统的基本理论

保密的目的是防止敌手破译系统中的机密信息。信息安全的另—个重要方面是保持信息的完整性，即防止敌手对系统进行主动攻击，如伪造信息、窜改信息等。认证(Authentication)是防止敌手主动攻击的一个重要技术，它对于开放环境中各种信息的安全有重要作用，认证的主要目的有两个，一是验证消息发送者和接收者的真伪，二是验证消息的完整性，即验证消息在传送或存储过程中有否被窜改、重放或延迟等。保密和认证是信息安全的两个重要方面，它们是两个不同属性的问题，一般而言，认证不能自动的提供保密，保密不能自然的提供认证功能。第二十六页，共七十六页，编辑于2023年，星期五1．认证系统模型及构成无仲裁者的认证系统模型有仲裁者的认证系统模型第二十七页，共七十六页，编辑于2023年，星期五敌方安全信道信宿认证码译码器公开信道认证码编码器信源密钥源无仲裁者的认证系统模型第二十八页，共七十六页，编辑于2023年，星期五敌方信宿认证码译码器公开信道认证码编码器信源合法密钥(收信者)安全信道1安全信道2限定密钥(发信者)仲裁第二十九页，共七十六页，编辑于2023年，星期五一个没有保密功能的、无仲裁者的认证系统可由满足下列条件的四重组(U，A，K,)来描述

(1)U（信源集）：所有可能信源状态构成有集；

(2)A（码字集）：所有可能认证码字构成有集；

(3)K（密钥集）：所有可能的密钥构成有限集；

(4):认证规则。

2.模仿攻击及代替攻击

3．认证码欺骗概率下界第三十页，共七十六页，编辑于2023年，星期五在构造认证码时，期望的目标(1)欺骗概率必须足够小(2)信源状态的数目必须足够大(3)密钥空间尽可能小第三十一页，共七十六页，编辑于2023年，星期五三、密码编码算法（一）分组密码1.分组密码的基本原理2．扩散(diffusion)和混淆(confusion)3．数据加密标准DES算法DES的发展DES结构DES算法第三十二页，共七十六页，编辑于2023年，星期五1.DES的发展

1972年，美国国家标准局(NBS)准备开发一个标准的密码算法，来规范密码技术应用的混乱局面。1973年5月15日，NBS在《联邦记事》(FederalRegister)上公布了征集保护传输、存储系统中计算机数据密码算法的请求及有关技术、经济和兼容性要求：(1)算法具有较高安全性，安全性仅依赖于密钥，不依赖于算法；(2)算法完全确定，易于理解；(3)算法对任何用户没有区别，适用于各种用途；(4)实现算法的电子器件必须很经济；(5)算法必须能够验证、出口。但是，由于此前公众对密码知识的匮乏，所以提交的方案均不理想。1974年8月27日，NBS再次发表征集公告，IBM公司提交了一个良好的候选算法。

1975年3月17日，NBS在《联邦记事》上公布了这一算法的细节。1976年11月23日，这一算法还是被采纳为联邦标准，并授权在非密级的政府通信中使用。1977年1月15日正式批准为无密级应用的加密标准（FIPS-46），当年7月15日正式生效。以后每隔5年美国国家安全局（NSA）做出评估，并重新确定是否继续作为加密标准。最近的一次评估是在1994年1月，决定在1998年12月以后不再作为加密标准。第三十三页，共七十六页，编辑于2023年，星期五2.DES结构

DES算法的加、解密过程，以及密钥加工过程都是公开的，它的安全性主要依赖于密钥的复杂性。DES有明文分组为64比特，64比特密钥中有8比特是用作校验之用，有效密钥56比特，输出密文64比特，具有16轮迭代的分组对称密码算法。DES加密由初始IP置换，16轮迭代，初始IP-1逆置换组成，其加密过程如图12-1所示。DES16轮迭代中的f函数为：f(R,k)=p(S(k⊕E(R)))其结构如图12-2所示第三十四页，共七十六页，编辑于2023年，星期五初始置换IP逆初始置换fff64bit输入64bit输出图12-1DES的加密算法第三十五页，共七十六页，编辑于2023年，星期五E置换盒盒P置换(32比特)(48比特)(48比特)(6比特)(6比特)(4比特)(4比特)(32比特)(32比特)图12-2DES的f函数第三十六页，共七十六页，编辑于2023年，星期五3.DES算法（1）初始置换和逆置换明文m首先进行了1次初始置换IP，然后进行16轮迭代变换，最后进行逆置换。

IP由图12-3给出。其过程为：第58位到位置l，第50位到位置2，…，第7位到位置64。IP的逆置换IP－1由图12-4给出。可以方便地验证，按照IP－1可以将它们的位置复原。第三十七页，共七十六页，编辑于2023年，星期五图12-3初始置换(1P)（1）初始置换和逆置换第三十八页，共七十六页，编辑于2023年，星期五图12-4逆初始置换第三十九页，共七十六页，编辑于2023年，星期五(2)加密算法通过初始置换IP之后，64比特数组分为二组，每组32bits，记为L0，R0，然后进行16次迭代运算，再进行逆初始置换IP－1，就完成了整个加密运算。设明文为m，m0=IP(m)=L0R0,L0表示m0的左边32比特，R0表示m0的右边32比特,记第i轮变换为Ti，轮密钥为ki,轮输出xi,i=1，2，…，16，左右交换变换为，则DES输出的密文cc=IP-1T16T15…T2T1IP(m)(12-1)式中:mi=Ti(mi-1),xi=LiRiLi＝Ri-1，Ri＝Li-1⊕f(Ri-1，ki),i＝1，2，…，16。(3)解密算法DES解密算法与加密算法完全一样，所不同的就是解密子密钥与加密子密钥的使用顺序相反，即解密子密钥为：k16，k15，…，k2，k1。则解密过程为：M=IP-1T1T2…T15T16IP(c)(12-2)第四十页，共七十六页，编辑于2023年，星期五(4)E置换和P置换在计算DES中f函数时,先进行E置换,最后进行P置换。E运算是扩位运算，如图12-5所示,将32比特扩展为48比特，用方阵形式可以容易地看出其扩位方法,由图12-5的右侧可见，E运算也可称为加边运算。第四十一页，共七十六页，编辑于2023年，星期五(4)E置换和P置换图12-5E扩展映射第四十二页，共七十六页，编辑于2023年，星期五图12-6P置换P置换是对8个S盒的输出进行变换，可以扩散单个S盒的效果,变换如图12-6。第四十三页，共七十六页，编辑于2023年，星期五(5)S盒运算

S盒表,S盒运算由8个S盒函数构成，即：

S(xlx2…x48)=S1(x1…x6)S2(x7…x12)…S8(x43…x48)

每一个S盒都是6比特的输入，4比特的输出。即Si(h1h2h3h4h5h6)的值就是对应S盒表的Si中h1h6行，h2h3h4h5列处的数值，记为：

Si(h1h2h3h4h5h6)=Si（（h1h6）2，（h2h3h4h5）2）例如：S1(110101)=S1（11，1010）=S1（3，10）=34.DES密钥生成

DES密钥是一个64比特的分组，但是其中8个比特是用于奇偶校验的，所以密钥有效位只有56比特。由此56比特，经过密钥生成器生成16轮子密钥。主要操作有PC1置换、PC2置换和循环左移操作，其中Ci，Di分别表示左边28比特和右边28比特。PC1置换和PC2置换分别如图5和图6所示，循环左移操作如表1。第四十四页，共七十六页，编辑于2023年，星期五

图5PC1置换第四十五页，共七十六页，编辑于2023年，星期五图6PC2置换第四十六页，共七十六页，编辑于2023年，星期五表1循环左移变换LSi参数表轮i12345678910111213141516LSi1122222212222221第四十七页，共七十六页，编辑于2023年，星期五4.AES算法

1997年4月15日美国国家标准技术研究所NIST(NationallnstituteofStandardandTechnology)发起征集AES(AdvancedEncryptionStandard)算法的活动，目的是为了确定一个安全性能更好的分组密码算法用于取代DES。AES的基本要求是比三重DES快并且至少与三重DES一样安全，分组长度为128位，密钥长度为128位、192位或256位。1998年8月20日，NIST公布了满足要求的15个AES候选算法。1999年3月22日，NIST公布了第一阶段的分析和测试结果，并从15个算法中选出了5个作为AES的候选算法。2000年10月2日，美国商务部宣布AES的最终评选结果，比利时密码专家JoanDaemen和VincentRijmen提出的“Rijndael数据加密算法”最终获胜，“Rijndael数据加密算法”将成为高级加密标准AES。2001年11月26日，NIST正式公布高级加密标准AES，并于2002年5月26日正式生效。AES的安全性能是良好的。经过多年来的分析和测试，至今没有发现AES的明显缺点，也没有找到明显的安全漏洞。AES能够抵抗目前已知的各种攻击方法的攻击。第四十八页，共七十六页，编辑于2023年，星期五5．国际数据加密标准IDEA算法1990年XuejiaLai和J.L.Massey提出PES(proposedencryptionstandard),其后为抵抗差分分析提高了PES密码算法强度为IPES(improvedPES)。1992年IPES改名为IDEA（internationaldataencryptionalgorithm）。第四十九页，共七十六页，编辑于2023年，星期五（二）公钥密码单钥体制存在的缺点和问题有两点

(1)密钥分配和管理问题

(2)信息认证问题。1．公钥密码概述公钥密码体制的特点优点是加密密钥可以公开传播，缺点是运算速度较慢，如在硬件实现时，RSA比DES慢大约1000倍，在软件实现时，RSA比DES慢大约100倍。目前，大部分的公钥密码体制安全性都是基于三类大整数的素分解问题的难解性有限域上的离散对数问题的难解性椭圆曲线上的离散对数问题的难解性第五十页，共七十六页，编辑于2023年，星期五2．RSA公钥密码体制3．EIGamal公钥密码4．椭圆曲线上的公钥密码第五十一页，共七十六页，编辑于2023年，星期五（三）Hash算法及认证方案保密的目的是防止敌手破译系统中的机密信息。信息安全的另—个重要方面是保持信息的完整性，即防止敌手对系统进行主动攻击，如伪造信息、窜改信息等。认证(Authentication)是防止敌手主动攻击的一个重要技术，它对于开放环境中各种信息的安全有重要作用，认证的主要目的有两个，一是验证消息发送者和接收者的真伪，二是验证消息的完整性，即验证消息在传送或存储过程中有否被窜改、重放或延迟等。保密和认证是信息安全的两个重要方面，它们是两个不同属性的问题，一般而言，认证不能自动的提供保密，保密不能自然的提供认证功能。第五十二页，共七十六页，编辑于2023年，星期五1．概述Hash函数(HashFunction)，也称杂凑函数或杂凑算法单向杂凑函数带密钥的单向杂凑函数一个安全的杂凑函数应该至少满足以下几个条件：

(1)输入长度是任意的；

(2)输出长度是固定的，根据目前的计算技术应至少取128bit长，以便抵抗生日攻击；(3)对每一个给定的输入，计算输出即杂凑值是很容易的；(4)杂凑函数应该为弱杂凑函数或强杂凑函数。第五十三页，共七十六页，编辑于2023年，星期五

设计杂凑函数的基本方法有

(1)利用某些数学难题比如因子分解问题、离散对数问题等设计杂凑函数已设计出的算法有Davies-Price平方杂凑算法、CCITT建议中规定的算法、Jueneman杂凑算法、Damgard平方杂凑算法、Damgard背包杂凑算法、Schnorr的FFT杂凑算法等。

(2)利用某些私钥密码体制比如DES等设计杂凑函数这种杂凑函数的安全性与所使用的基础密码算法有关。这类杂凑算法有Rabin杂凑算法、Winternitz杂凑算法、Quisquater-Girault杂凑算法、Merkle杂凑算法、N-Hash算法等。

(3)直接设计杂凑函数这类算法不基于任何假设和密码体制。这种方法受到人们的广泛关注和青睐，是当今比较流行的一种设计方法。美国的安全杂凑算法(SHA)就是这类算法，此类算法还有MD4、MD5、MD2、RIPEMD、HAVAL等。第五十四页，共七十六页，编辑于2023年，星期五2．Hash算法MD4及SHA-1Hash函数MD4是由R．L．Rivest于1990年提出的。MD4的设计没有基于任何假设和密码体制。Hash函数的这种直接构造方法受到了人们的广泛青睐。MD4的效率很高，非常实用。下面介绍Hash函数MD4。安全Hash算法SHA(SecureHashAlgortthm)是美国国家标准技术研究所(NIST)公布的安全Hash标准SHS(SecureHashStandard)中的Hash算法。安全Hash标准SHS于1993年5月11日正式公布后，NIST又对其做了一点修改。1995年4月17日，NIST正式公布了修改后的SHS。在新的标准中，将修改后的SHA称为SHA-1。SHA的设计原则与MD4的设计原则极其相似，它是MD4的一种变型。第五十五页，共七十六页，编辑于2023年，星期五第五十六页，共七十六页，编辑于2023年，星期五3．认证方案身份认证RSA数字签名EIGamal数字签名不可否认签名门限数字签名盲签名代理签名多重签名第五十七页，共七十六页，编辑于2023年，星期五四、密码学研究现状及趋势

密码理论与技术分成两大类，一类是基于数学的密码理论与技术，包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术、VPN技术等；另一类是非数学的密码理论与技术，包括信息隐藏、量子密码、基于生物特征的识别理论与技术等。第五十八页，共七十六页，编辑于2023年，星期五1．公钥密码目前国际上已经提出公钥密码体制基于大整数因子分解问题的RSA体制和Rabin体制基于有限域上的离散对数问题的Diffie-Hellman公钥体制和E1Gamal体制基于椭圆曲线上的离散对数问题的Diffie-Hellman公钥体制和E1Gamal体制基于背包问题的Merkle-Hellman体制和Chor-Rivest体制基于代数编码理论的MeEliece