计算机密码技术(课件).ppt

1、第 2章 密码技术基础,2,电子商务系统可能受到的安全威胁主要有： 窃听 重传 伪造 篡改 拒绝服务 行为否认 非授权访问 传播病毒,3,2.1 密码技术 2.2 数字签名 2.3 密钥管理与分发 2.4 身份认证技术 2.5 信息认证机制,4,2.1密码技术,加密：就是使用科学的方法将原始信息（明文）重新组织，变换成只有授权用户才能解读的密码形式（密文）。 解密：就是将密文重新恢复成明文 明文(plaintext) ：作为加密输入的原始信息 加密算法：变换函数 密文(ciphertext):明文变换结果 密钥(key):参与变换的参数（可以认为与通常的密码含义相同）,现代密码学：算法一般是公

2、开的，一切秘密寓于密钥中。,5,密码学=密码编码学+密码分析学 密码编码学是对信息进行编码以实现隐蔽信息 密码分析学则研究分析破译密码。 两者相对独立、相互促进。,6,密码技术是认证技术及其他许多安全技术的基础，也是信息安全的核心技术。,7,8,密码体制的分类 按发展进程分密码的发展经历了古典密码、对称密钥密码、公开密钥密码的发展阶段。 古典密码是基于字符替换的密码现在已很少使用了，但是它代表了密码的起源。现在仍在使用的则是对位进行变换的密码算法，这些算法按密钥管理的方式可以分为两大类，即对称密码体制（如DES、AES） 与公开密钥密码体制（RSA、ECC）。,9,对称密码体制 对称加密单钥加

3、密 对称加密过程 发送方用自己的私有密钥对要发送的信息进行加密 发送方将加密后的信息通过网络传送给接收方 接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文,10,对称密码体制 （也叫单钥密码体制、秘密密钥密码体制）其加密密钥和解密密钥相同。优点是具有很高的保密强度，但它的密钥必须通过安全可靠的途径传播。密钥管理成为影响使用对称密码体制系统安全的关键性因素，因而难以满足Internet网络系统的开放性要求。,11,公开密钥加密（简称公钥加密），需要采用两个在数学上相关的密钥对公开密钥和私有密钥来对信息进行加解密。通常人们也将这种密码体制称为双钥密码体制或非对称密码体制

4、.,12,公钥加密模式 1. 加密模式 加密模式过程 发送方用接收方公开密钥对要发送的信息进行加密 发送方将加密后的信息通过网络传送给接收方 接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文,13,公钥密码体制中，密码算法是公开的，在计算上不可能由加密密钥求得解密密钥，因而加密密钥可以公开，而只需要秘密保存解密密钥即可。,14,2.1.1 对称密码系统DES,数据加密标准 DES是一种密码块加密方法，采用了64位长度的数据块和56位长度的密钥。 DES算法基本原理,15,16,迭代,17,18,19,关于DES的评价 DES加密解密完成的只是简单的算术运算，即比特串的异或处理的组

5、合，因此速度快，密钥生产容易，能以硬件或软件的方式非常有效的实现。 对DES的批评 DES的密钥长度56位可能太小 DES的迭代次数可能太少 S盒（即代替函数 Sj）中可能有不安全因素 DES的一些关键部分不应当保密（如S盒设计）,20,DES密码系统的安全性 弱密钥：如果DES密钥置换中所产生的16个子密钥均相同，则这种密钥称为弱密钥。 如果一个密钥能够解密用另一个密钥加密的密文，则这样的密钥对为半弱密钥。 为了确保DES加密系统的安全性，选择密钥时不能使用弱密钥或者半弱密钥。,21,DES的安全性 DES系统的破译和安全使用 对于DES加密体制共有256个密钥可供用户选择， 256相当于7

6、.6*1016，若一台计算机，要破译需要至少2283年的时间。,22,DES的变形算法 三重DES,23,高级加密标准AES AES特点： 可变的密钥长度； 混合的运算； 数据相关的圈数； 密钥相关的圈数； 密钥相关的S盒； 长密钥调度算法； 可变长明文/密文块长度； 可变圈数； 每圈操作作用于全部数据。,24,入选AES的五种算法是MARS、 RC6、 Serpent 、Twofish、 Rijndael 。2000年10月2日美国商务部部长Norman Y. Mineta宣布经过三年来世界著名密码专家之间的竞争, “Rijndael数据加密算法”最终获胜。为此而在全球范围内角逐了数年的激烈

7、竞争宣告结束。这一新加密标准的问世将取代DES数据加密标准成为21世纪保护国家敏感信息的高级算法。,25,26,2.1.2 公钥密码系统RSA,RSA算法简介 第一个成熟的，理论上最成功的公钥加密算法，基于数论中的大数分解的难度：将两个大素数相乘生成一个和数很容易，但要把一个大和数分解还原为两个素数却十分困难。 RSA算法经受住了多年的许多资深密码学家的密码分析,27,RSA算法的描述 选取长度应该相等的两个大素数p和q，计算其乘积： n = pq 然后随机选取加密密钥e，使e和(p1)*(q1)互素。 最后用欧几里德扩展算法计算解密密钥d，以满足 ed mod(p1)(q1)=1 即 d =

8、 e1 mod(p1)(q1) e和n是公钥，d是私钥,2.1.2 公钥密码系统RSA,28,加密公式如下： ci = mie（mod n） 解密时，取每一密文分组ci并计算： mi = cid（mod n） cid =（mie）d = mied = mik（p1）（q1）+1 = mi * mik（p1）（q1） = mi * 1 = mi 消息也可以用d加密用e解密,2.1.2 公钥密码系统RSA,29,2.1.2 公钥密码系统RSA,30,请大家仔细研究一下书P25的实例,2.1.2 公钥密码系统RSA,31,RSA算法与DES算法的比较 加、解密处理效果方面，DES算法优于RSA算法。

9、 在密钥的管理方面，RSA算法比DES算法更加优越。 在签名和认证方面，由于RSA算法采用公开密钥密码体制，因而能够很容易地进行数字签名和身份认证。,2.1.2 公钥密码系统RSA,32,RSA算法的安全性 估计对200位十进制数的因数分解，在上亿次的计算机上要进运行55万年。 建议取n200位（十进制）的数，专家建议采用1024位（二进制位）的RSA算法。,2.1.2 公钥密码系统RSA,33,2.1.3椭圆曲线密码系统ECC,34,35,2.2 数字签名,定义： 所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行

10、技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。 数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。 美国电子签名标准（DSS，FIPS186-2）对数字签名作了如下解释：利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。,36,手写签名的每一项业务都是数字签名的潜在应用 数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了

11、规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。,37,2.2.1 数字签名的一般过程,数字签名一般由签名算法、数字信封结构、公钥机制等部分组成。 数字签名方案一般包括三个过程：系统的初始化过程、签名的产生过程和签名的验证过程。,2.2 数字签名,38,系统的初始化过程 产生数字签名方案中的基本参数集合（M,S,k,SIG,VER） 签名的产生和验证过程,39,数字签名的安全性 一个理想的数字签名协议至少需要具有如下特征： 签名是真实的 签名对选择明文的攻击具有不可伪造性 签

12、名不可重用 签名的文件不可改变 签名不可抵赖,40,数字信封结构 数字信封结构把待签名的数据、时间和数字签名结合成一个不可分割的整体，以抵抗重放攻击和代换攻击。 签名算法 签名算法一般由公开密钥密码算法（RSA，ELGamal，DSA，ECDSA等），对称密钥密码算法（DES，AES等）和单向散列函数（MD2，MD4，MD5或SHA等）构成。,41,单向散列函数 就是对于任意长度的信息m，经过单向散列函数运算后，压缩成固定长度的数，并且满足： 已知散列函数的输出结果，要求它的输入是很困难的，即已知c=hash(m)，求m很困难； 已知消息m,计算hash(m)是很容易的； 已知c1=hash(

13、m2),构造m2使hash(m2)=c1是困难的 输入的一个小扰动，将引起输出完全不同。,42,数字签名中使用的签名算法（原文保密的数字签名的实现方法）,43,2.2.2 基于RSA密码体制的数字签名,签名过程 Smdmodn，S即是对应于明文m的数字签名 签名者将签名S和明文m一起发送给签名验证者. 验证签名过程 计算机m Semondn，若m=m，则签名得到 验证。 RSA数字签名算法和RSA加密算法的区别？,44,2.2.3 基于DSA密码体制的数字签名,基于离散对数问题 单项不可逆的公开密钥系统 验证过程中对资源的处理要比RSA更彻底,美国国家标准与技术局（NIST）在1991年提出了

14、一个联邦数字签名标准，NIST称之为数字签名标准（DSS）。DSS提供了一种核查电子传输数据及发送者身份的一种方式。 DSA是DSS的第一版标准。,45,2.2.4 基于ECC密码体制的数字签名,椭圆数字签名算法（ECDSA） 利用离散对数 一种运用RSA和DSA来实施数字签名的方法 在生成签名和进行验证时比RSA和DSA快,46,2.2.5 特殊数字签名,盲签名是根据电子商务具体的应用需要而产生的一种签名应用。当需要某人对一个文件签名，而又不让他知道文件的内容，这时就需要盲签名。 一般用于电子货币和电子选举中 双重签名、群签名、门限签名、代理签名,47,2.3 密钥管理与分发,一个密码系统的

15、安全性取决于对密钥的保护。密钥管理的内容包括密钥的生成、分配、存储、保护、验证、更新、丢失、销毁及保密等多个方面。 所有的密钥都有时间期限。某一对密钥的使用周期称密钥周期，通常由密钥生成、密钥修改、密钥封装、密钥恢复、密钥分发、密钥撤销。,48,2.3.1 密钥的生成与修改 密钥的生成 密钥的生成应具有随机性，即不可预测性，以抵抗字典攻击。 密钥生成方法具有不重复生成法和重复密钥生成法两种。 采用随机数生成器或伪随机数生成器来生成密钥。 由一个初始密钥生成多个密钥。,49,密钥的修改 当一个合法的密钥即将过期时，就要使用密钥生成方法自动产生新的密钥。 一种容易的解决方法是从旧密钥产生新密钥，用

16、同一个单向函数来产生。 密钥的保护 对驻留在系统中的密钥采取物理的或者软件的保护措施。在任何过程中都不能以明文形式出现；采用主密钥原理来保护众多密钥；数字信封技术用来保证密钥在传输过程中的安全。,50,数字信封技术首先使用秘密密钥加密技术对要发送的数据信息进行加密，在这里还附上加密者本人的数字签名，以确定加密者的身份。然后利用公密钥加密算法对秘密密钥加密技术中使用的秘密密钥进行加密，最后将加密后的源文件、签名、加密密钥和时间戮放在一个信封中发送出去。 数字信封技术在内层使用秘密密钥加密技术，外层采用公开密钥加密技术加密秘密密钥。,思考：数字信封技术中的公开密钥加密技术加密秘密密钥中使用谁的什么

17、密钥？,51,2.3.2 密钥的封装和恢复 为了在必要的情况下恢复数据加密密钥，必须在进行数据加密的同时以某种方式保存密钥信息，这就是密钥恢复。根据第三方持有密钥方式的不同，密钥恢复主要分为以下两种类型： 密钥托管。由政府或一可信赖的第三方机构来充当托管代理。 密钥封装。由若干个可信赖的第三方机构来获得以加密形式封装的密钥，并确保只有称为恢复代理的特定的可信赖的第三方机构可以执行解封操作以恢复埋藏在其中的密钥信息。,52,典型的密钥恢复系统有： 美国的托管加密标准EES 信息信托公司的密钥恢复系统,53,2.3.3 密钥的撤销和分发 对称密钥密码体制中密钥的分发 可以采用人工方式和自动方式两大

18、类。 人工方式主要采用信使、电话等来传递密封邮件，传送的可以是加密信息密钥的密钥。 自动方式主要有主密钥分发方式和密钥分发中心方式。,54,密钥分发中心方式,在某个特定的网络中设置一个密钥分发中心KDC，用户的通信密钥由KDC集中管理和分配。网络中需要保密通信的用户各自都有一个和KDC共享的秘密密钥。 如果两个用户A和B需要进行一次秘密会话，则： 用户A向KDC请求一个与B通信的会话密钥； KDC先产生一个随机的会话密钥Ks，接着分别用与A共享 的秘密密钥Ka、与B共享的秘密密钥Kb对Ks加密，得到 KsA和KsB并将KsA和KsB发送给A； A用与KDC共享的秘密密钥Ka解密KsA ，恢复出

19、Ks； A将另外一个未解密的KsB发送给B； B用与KDC共享的秘密密钥Kb解密收到的未解密的KsB ， 恢复出Ks； A、B用Ks进行一次安全的会话。,55,Key Distribution Center ,KDC工作原理,Alice,Bob 需要共享对称密钥. KDC: 为每个注册的用户提供不同的密钥服务. Alice, Bob 在KDC注册后，获取了自己的对称密钥, KA-KDC KB-KDC .,Alice 与 KDC联系, 取得了会话密钥 R1, and KB-KDC(A,R1) Alice 给Bob发送 KB-KDC(A,R1), Bob 取出 R1 Alice, Bob 现在共享

20、 R1.,56,主密钥分发方式 将密钥分层，用高层次密钥保护低层次密钥。 X9.17标准将密钥分成两层，第一层是密钥加密密钥，第二层是数据加密密钥。 密钥加密密钥用来加密需要分发的数据加密密钥，而数据加密密钥是用来加密需要保密传递的信息。 一般地，密钥加密密钥采用人工方式分发。,57,公开密钥密码体制中密钥的分发,2.3.3 密钥的撤销和分发,问题: 当Alice获取Bob的公钥时 (可以从网站、 e-mail, 甚至软盘), 如何能够使她相信这就是 Bob的公钥, 而不是 Trudy的?,主要是保证公钥的完整性。常用方法是数字证书，数字证书是一条数字签名的消息，它通常用于证明某个实体的公钥的

21、有效性，由一个大家都信任的证书权威机构的成员CA来签发。,解决办法: 具有公信力的认证机构（certification authority (CA)）,58,认证机构（CA)工作原理,认证机构(CA)为特定的实体管理公开密钥. 实体(个人, 路由器, etc.) 可以在CA注册公开密钥. 实体提供 “身份证明” 给 CA. CA 创建信任状将实体与公开密钥进行绑定. 由CA对信任状进行数字签名.,当 Alice需要Bob的公开密钥时: 获取Bob信任状 (从Bob 或其他什么地方). 把 CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到 Bob的公钥,59,密钥的撤销 必须安全地撤销

22、所有敏感密钥的副本,2.3.3 密钥的撤销和分发,60,密钥的撤销 必须安全地撤销所有敏感密钥的副本 旧密钥在停止使用后，可能还要持续保密一段时间。,2.3.3 密钥的撤销和分发,61,2.4 身份认证技术,身份认证概念 定义证实客户的真实身份与其所声称的身份是否相符的过程 依据 Something the user know 所知 密码、口令等 Something the user possesses 拥有 身份证、护照、密钥盘等 Something the user is or How he behaves) 特征 指纹、笔迹、声纹、虹膜、DNA等 身份认证技术可以从身份的真实性和不可抵赖

23、性两个方面来保证交易伙伴是值得信赖的。,62,2.4.1 身份认证协议 身份认证协议一般由三方组成： 一方是示证件的人，称为示证者，又称申请者，由他提出某种要求； 另一方是验证者，验证示证者出示证件的正确性和合法性，决定是否满足示证者的要求； 第三方是攻击者，他会窃听和伪装示证者骗取验证者的信任。 必要时也会有第四方，可信赖的仲裁者。 身份认证又称为身份证明、实体认证等,63,身份认证体系应满足： 正确识别示证者的高概率性 攻击者伪装成功的小概率性； 有效抵抗中间人攻击 验证计算的有效性：计算量要小 通信有效性：通信次数和数据量要小 秘密参数安全存储 交互识别 仲裁者的实时参与 仲裁者的可信赖

24、性,64,（1）常用的身份认证技术 变换口令 口令在客户端已经过单向散列函数进行处理成为变换口令，服务器也只存储变换后的口令而不是明文形式的口令。以防止入侵攻击和字典攻击。 提问-应答 A期望从B获得一个消息 首先发给B一个随机值(Challenge) B收到这个值之后，对它作某种变换，并送回去 A收到B的Response，希望包含这个随机值 服务器向客户端发送一个称为提问的随机值，而用户的应答中必须包含该值。以防止重放攻击及一般的字典攻击。 时间戮 在从客户端到服务器的验证请求中嵌入正确的日期和时间，例如，将日期和时间作为单向散列函数的附加输入来计算转换后的口令。 系统必然具备安全、同步的时

25、钟。,65,一次性口令 类似于变换口令。用户的口令包含两部分：原始登录口令和登录次数n，每登录一次n-1，以和原始口令一起生成新的登录口令，以防止重放攻击和窃取。 数字签名 客户端通过对某个信息进行数字签名，来证明其拥有某个特定的私人密钥。还可以包含提问值或时间戮，以防止重放攻击。 零知识技术 零知识的基本思想是：被验证方P掌握某些秘密信息，P想设法让验证方V相信他确实掌握那些信息，但又不想让V也知道那些信息（如果连V都不知道那些秘密信息，第三者想盗取那些信息当然就更难了）。 好的身份认证协议通常结合上述或类似的多个技术,验证协议常常与公开密钥密码算法结合在一起，以此来确保在正确的通信方之间建

26、立起会话密钥。,66,（2）常用的身份认证方法（手段） 口令和个人识别码PIN 注意口令的保密、安全分发，还可以采取一系列措施来增加口令的安全性。 口令系统有许多脆弱点： 外部泄漏 口令猜测 线路窃听 重放 危及验证者 口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为5-8的字符串。选择原则：易记、难猜、抗分析能力强。,67,PIN是存储在IC卡中的一串数字，是用来验证持卡者身份的。PIN由其它设备（如终端键盘、密码键盘）录入，通过串行口输入IC卡读写器，再送入IC卡中进行验证。当PIN验证通过后，用户才具有读写IC卡中一些数据文件的权限。,68,个人令牌 个人令牌（token）是

27、一种个人持有物，它的作用类似于钥匙，用于启动电子设备。使用比较多的是一种嵌有磁条的塑料卡，磁条上记录有用于机器识别的个人信息。这类卡通常和个人识别号(PIN) 一起使用。这类卡易于制造，而且磁条上记录的数据也易于转录，因此要设法防止仿制。 生物统计方法 生物识别依据人类自身所固有的生理或行为特征。生理特征与生俱来，多为先天性的，如指纹、视网膜、面容等；行为特征则是习惯使然，多为后天性的，如笔迹、步态等。正是因为这些别人很难具有的个人特征可以作为个人身份识别的重要依据。 生物识别因此包括指纹识别、视网膜识别、面容识别、掌纹识别、声音识别、签名识别、笔迹识别、手形识别、步态识别及多种生物特征融合识

28、别等诸多种类，其中，视网膜和指纹识别被公认为最可靠的生物识别方式。,69,Kerberos认证机制 该机制是基于对称加密系统的用户验证方法，它包含了复杂的验证协议。是MIT的Athena工程的一部分。,70,71,。,Kerberos的原理Kerberos采用可信赖第三方服务器进行密钥分发和身份确认，包括： 对用户认证 对应用服务的提供者进行认证。此外，还可根据用户要求提供客户/服务器间的数据加密与完整性服务,72,Kerberos机制的处理过程,73,Kerberos的缺点在于： 需要可信赖的在线服务器做Kerberos服务器，攻击者可以采用离线方式攻击用户口令； 需要安全的同步时钟，难以升

29、级到任意多的用户规模。,74,基于公钥密码体制的身份认证 在基于公钥密码体制的身份认证体制中，服务器保存每个用户的公钥文件，所有用户保存自己的私钥，按下列协议进行认证： 1)服务器发送一个随机字符串给用户； 2)用户使用自己的私钥对此随机字符串加密，并将此字符串和自己的名字一起传送回服务器； 3)服务器在公开密钥数据库中查找用户的公钥，并使用公钥解密； 4)若解密后字符串与1)中的相同，则允许用户访问系统。 电子商务中用户的公钥由公钥机制PKI管理，遵循ITU-TX.509标准，PKI由PKI用户、注册机构RA、认证机构CA、证书库和作废证书清单CRL等基本组成成分构成。,75,2.4.2 不

30、可否认机制 概念：通过某种机制使通信用户可以防止另一方事后成功否认曾经发生过的交易事实。有三种类型：来源不可否认、接收不可否认和提交不可否认。 实现来源不可否认机制的方法有： 要求发送方对文件进行数字签名 通过可信任的仲裁者的数字签名 发送者将消息内容和自己的签名传送给仲裁者，由其在原来的数据上再生成数字签名 ，再发给发送方，发送方再传送给接收者，用作不可否认记录。 通过可信任的仲裁者对消息摘要的数字签名。 内嵌可信任仲裁者的数字签名 把仲裁者插入到发送方和接收方的通信路径上 上述各种机制的有机组合,76,接收不可否认机制 方法有： 要求接收方对文件进行数字签名 通过可信任的接收代理 通过累进

31、的接收报告 提交不可否认机制 与接收不可否认机制类似，主要是保护消息的发送者而不是接收者。,77,2.5 信息认证机制,信息保密通过加密技术来实现，信息认证通过认证技术来实现，加密保护只能防止被动攻击，而认证保护可以防止主动攻击。 信息认证的工作主要有： 证实报文是由其声明的发送者产生的 证实报文的内容在发出后没有被修改过 确认报文的序号和时间是正确的 如果收、发双方发生争执，那么仲裁者能够进行公正的裁决。,78,2.5.1 信息完整性认证协议 基于私钥密码体制的信息认证,常规加密：具有机密性、可认证,要提供完整性鉴别：则A事先将M求hashH（M）,A加密M和H（M），B解密后将M再求一次哈

32、希，并将其值与收到的H（M）比较，即知道是否完整性。,79,2.5.1 信息完整性认证协议,（2） 基于公钥密码体制的信息认证 基于公钥密码体制的信息认证主要利用数字签名技术和单向散列函数技术实现。公钥加密：机密性、可认证和签名. 设SA为A的私钥，SB为B的私钥，KPA为A的公钥，KPB为B的公钥，则A对消息（报文）M的散列值H(M)的签名为SigSAH(M)。,80,2.5.2 访问控制机制 访问控制是指控制访问电子商务服务器的用户以及访问者所访问的内容，限制访问者对重要资源的访问，主要任务是保证网络资源不被非法使用和访问。访问控制一方面是限制访问系统的人员身份，这可以通过身份认证技术来完成；另一方面是限制进入系统的用户所做的工作，这可以通过访问控制策略来实现。,81,2.5.2 访问控制机制,（1） 访问控制策略,82,主要有： 1）自主访问控制策略 该策略可以用来控制用户对信息的访问，自主是指具有某种访问能力的主体能够自主将访问权的某个子集授予其他主体。 容易引起安全漏洞，自主访问控制的安全级别很低。 2）强制访问控制策略 该策略对系统各种客体进行细粒度的访问控制，对用户及用户程序的行为进行限制，从而具有更高的安全性。 当用户或用户