信息安全技术课件整套电子教案

21世纪高等学校精品规划教材

信息安全技术基础

学习目标信息安全基本概念和范畴信息及信息系统面临的安全威胁安全事件的分类本章介绍了信息安全问题的产生及其重要性，信息系统面临的威胁及分类，通过本章的学习，读者应该掌握以下内容：3目录0课程简介1.1信息安全问题及其重要性1.2信息安全威胁实例1.3信息安全事件分类40课程简介主讲：学时：理论/实验时间进度：

上课时间：

实验安排：

期末考试：50课程简介突出网络环境下的信息安全保障体系建立和相关技术，面向实用。范畴

安全体系

密码技术

安全协议

网络安全

安全应用……什么是信息安全？如何构建信息安全保障体系？信息安全有哪些主要技术？如何应用？60课程简介参考教材

张浩军，《信息安全技术基础》，70课程简介考核：

平时成绩（10%）：考勤+作业+问答

实验（20%）：完成情况

大作业（30%）：

期末考试（40%）：8目录0课程简介1.1信息安全问题及其重要性1.2信息安全威胁实例1.3信息安全事件分类9在网络世界中我们的信息安全吗？10InformationSecurity?信息——一种资源和交流的载体，具有普遍性、共享性、增值性、可处理性和多效用性，对人类社会发展具有特别重要的意义。信息系统（InformationSystem）——由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。（GB/Z20986-2007）11信息安全事件（InformationSecurityIncident）——指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。保障信息安全保护信息系统和信息网络中的信息资源免受各种类型的威胁、干扰和破坏。查找、防范、阻断引起危害和影响的潜在威胁。12我们可能听到的安全事件报道使用聊天软件、访问挂马网站导致用户的账户等敏感信息泄露网上交易遭遇虚假商家资金被骗病毒和木马泛滥某某网站遭到攻击……13案例1——“维基解密”风波2010年维基解密网站（WikiLeaks）连续三次大规模公开美国军事外交机密，包括9万份阿富汗战争文件、40万份伊拉克战争文件、25万份秘密外交电报，对美国军方机构的“情报安全和运作安全”构成了严重的威胁。14案例1——“维基解密”风波2009年，该网站公布了超过1000封英格兰东安格利亚大学气候研究所的邮件内容，邮件内容显示，气候学家擅自更改对自己研究不利的气候数据，以证明全球气候变暖主要是由人类活动造成的，此事导致人们对全球变暖理论产生怀疑，影响极其恶劣，外界纷纷指责科学家操纵研究结果的行为。15案例2——

Stuxnet蠕虫攻击伊朗核电厂事件2010年Stuxnet蠕虫（“震网”、“超级病毒”或“超级工厂”）攻击伊朗核电厂。Stuxnet是一款高度精良的恶意软件。攻击特定系统监控与数据抓取软件Simatic

WinCCSCADA（SupervisorControlAndDataAcqusition）。利用了Windows四个零日攻击漏洞，赛门铁克提供证据称，Stuxnet蠕虫的攻击目标是用于控制马达速度的频率转换器驱动程序。有媒体称其真正的目标是攻破核计划。16恶意软件！！！案例3——

国内网络安全现状严峻2010年安徽省每个月都有几百家网站被黑客攻破。江苏省网络诈骗、盗窃案件在网络犯罪案件中占了八成以上。2010年网络诈骗立案超过2000起，包括股票类网站诈骗、购物网站诈骗、中奖诈骗、虚假信息视频聊天诈骗等。网络盗窃利用钓鱼网站虚假页面盗窃支付平台密码进而转移支付资金，以及用木马植入电脑替换支付链接直接将受害人的钱财转移至犯罪分子账户。17案例3——

国内网络安全现状严峻2009年，52%的网民曾遭遇网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。（CNNIC和CNCERT，2010年4月）病毒产业的收益以百亿元计，这些总数不到50家的病毒集团获取的非法收益约

占其中一半，领先的

病毒集团一年可

有数亿元的规模。18病毒数量趋势目录0课程简介1.1信息安全问题及其重要性1.2信息安全威胁实例1.3信息安全事件分类22在使用信息产品和基础设施时，我们面临哪些威胁？23Risks?安全威胁实例我的计算机是否感染了病毒或木马？我在网络中传输的数据是否会被别人看到、截获（拦截）、篡改？我从网络中接收到的数据确实来自我所信任或期望的发送者吗？我能确信接收到的数据是正确的（没有被篡改、不是伪造的）吗？24安全威胁实例内部网络是否遭到入侵？内部服务器是否受到非法访问？内部是否被窃取或篡改？内部应用软件（如内部OA系统）是否被非法使用？对外服务器是否受到破坏或干扰？网站主页是否被篡改,是否被非法外挂恶意代码？我的计算机是否会被盗？保存有重要数据的移动硬盘或U盘丢失了怎么办？我的办公室是否会漏水？供电不稳定或打雷会不会导致我的计算机的损坏？如果发生地震或洪水，我的办公楼如果倒塌了，我的计算机损坏了，重要的数据就会丢失。25目录0课程简介1.1信息安全问题及其重要性1.2信息安全威胁实例1.3信息安全事件分类26信息安全事件如何系统分类？27Category信息安全事件分类分级指南（GB/Z20986-2007）国家标准中将信息安全事件分为7个基本分类，每个基本类型又分为若干子类281.有害程序事件是指蓄意制造、传播有害程序（或称恶意代码、恶意软件），或是因受到有害程序的影响而导致的信息安全事件。计算机病毒(Virus)事件。蠕虫(Worm)事件。特洛伊木马(Trojan)事件。僵尸网络(Botnet)事件。混合攻击(HibridAttacks)程序事件。网页内嵌恶意代码(EmbeddedMaliciousSoftware)事件。其它有害程序事件。29Malware2.网络攻击事件指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷,或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。30（1）拒绝服务攻击事件（2）后门攻击事件（3）漏洞攻击事件（4）网络扫描窃听事件（5）网络钓鱼事件（6）干扰事件（7）其他网络攻击事件3.信息破坏事件指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。31（1）信息篡改事件（2）信息假冒事件（3）信息泄漏事件（4）信息窃取事件（5）信息丢失事件（6）其它信息破坏事件4.信息内容安全事件指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。32（1）违反宪法和法律、行政法规的信息安全事件。（2）针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件。（3）组织串连、煽动集会游行的信息安全事件。（4）其他信息内容安全事件。网络舆情及监测舆情是指在一定的社会空间内，围绕中介性社会事件的发生、发展和变化，民众对社会管理者产生和持有的社会政治态度。它是较多群众关于社会中各种现象、问题所表达的信念、态度、意见和情绪等等表现的总和。网络舆情形成迅速，对社会影响巨大。直接性、突发性、偏差性在现实生活中遇到挫折,对社会问题片面认识等等，都会利用网络得以宣泄。因此在网络上更容易出现庸俗、灰色的言论。335.设备设施故障指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。34（1）软硬件自身故障（2）外围保障设施故障（3）人为破坏事故（4）其它设备设施故障6.灾害性事件指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。35“911恐怖袭击事件”

引发的数据灾难世贸中心，曾经是美国乃至全球财富的象征，在这座建筑群中，聚集了众多全球一流的大公司，不少是银行、证券和IT行业的翘楚，如世界著名的摩根-斯坦利公司、AT&T公司、SUN公司、瑞士银行等。36“911恐怖袭击事件”

引发的数据灾难随着大厦的轰然坍塌，无数人认为摩根-斯坦利将成为这一恐怖事件的殉葬品之一。然而，该公司竟然奇迹般地宣布，全球营业部第二天可以照常工作。37奇迹什么是黑客？源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙，对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。38那些喜欢发掘程序系统内部实现细节、并延展自己的能力的人；那些狂热地沉浸在编程乐趣的人；那些能够体会侵入他人系统价值的人；那些擅长快速编程的人；特定程序的专家，经常使用这种程序或在上面工作；一个专家或某领域热衷者；一个喜欢智力挑战创造性地突破各种环境限制的人；一个恶意的爱管闲事的家伙，在网络上逡巡溜达试图发现敏感信息。小结本章介绍了信息安全的基本概念，信息及信息系统的定义，以及信息系统可能面临的安全威胁。通过列举信息安全威胁实例，让读者了解信息及网络可能面临的各种威胁。介绍了GB/Z20986系统定义安全事件分类。最后给出了使用本教材的建议。通过本章学习，读者应建立信息及信息系统面临安全威胁的概念和范畴，了解信息安全事件的内容。

39Q&A40作业与思考请列举你所遇到过的信息安全问题，分析属于哪类安全事件。信息安全就是只遭受病毒攻击，这种说法正确吗？网络安全问题主要由于黑客攻击造成的，这种说法正确吗？41学习目标信息安全涉及范畴、安全属性需求以及信息安全保障体系结构动态和可适应的信息安全防御模型风险评估、等级保护、安全测评的内容与方法本章介绍信息安全保障体系的建立，信息系统主动防御模型，以及信息安全风险评估、等级保护的相关标准规范和内容。43目录2.1信息安全保障体系2.2信息安全防御模型2.3风险评估与等级保护44如何构架全面的信息安全保障？45ISAssurance?范畴属性体系结构2.1.1信息安全范畴信息自身46文本、图形、图像、音频、视频、动画等。信息载体信息环境信息载体信息环境2.1.1信息安全范畴信息自身47信息载体信息环境物理平台计算芯片：CPU、控制芯片、专用处理芯片等。存储介质：内存、磁盘、光盘、U盘、磁带等。通信介质：双绞线、同轴电缆、光纤、无线电波、微波、红外线等。系统设备：计算机：包括个人计算机、服务器、小型机、智能终端等各类计算机；打印机、扫描仪、数字摄像机、智能手机等硬件设备。2.1.1信息安全范畴信息自身48信息载体信息环境软件平台系统平台：操作系统、数据库系统等系统软件。通信平台：通信协议及其软件。网络平台：网络协议及其软件。应用平台：应用软件。2.1.1信息安全范畴信息自身49信息载体信息环境硬环境机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。软环境国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。2.1.2信息安全属性50如何刻画信息及信息系统的安全性？ISAttributes?2.1.2信息安全属性保密性（也称机密性，Confidentiality）：

保证信息与信息系统不被非授权者所获取或利用。保密性包含数据的保密性和访问控制等方面内容。51完整性（Integrity）：

保证信息与信息系统正确和完备，不被冒充、伪造或篡改，包括数据的完整性、系统的完整性等方面。2.1.2信息安全属性鉴别性（也称可认证性，Authentication）：保证信息与信息系统真实，包括实体身份的真实性、数据的真实性、系统的真实性等方面。52不可否认性（不可抵赖性，Non-Repudiation）：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中极为重要。2.1.2信息安全属性可用性（Availability）：

保证信息与信息系统可被授权者在需要的时候能够被访问和使用。53可靠性（Reliability）：

保证信息系统为合法用户提供稳定、正确的信息服务。2.1.2信息安全属性可追究性（Accountability）：

保证从一个实体的行为能够唯一地追溯到该实体，它支持不可否认、故障隔离、事后恢复、攻击阻断等应用，具有威慑作用，支持法律事务，其结果可以保证一个实体对其行为负责。542.1.2信息安全属性保障（Assurance）：

为在具体实现和实施过程中，保密性、完整性、可用性和可追究性等得到足够满足提供信心基础，这种信心基础主要通过认证和认可来实现。55可控性（Controlability）：

指对信息和信息系统实施有效的安全监控管理，防止非法利用信息和信息系统。2.1.3信息安全保障体系结构56如何构建全面的信息安全保障体系？ISAssurance?2.1.3信息安全保障体系结构信息安全保障包括人、政策（包括法律、法规、制度、管理）和技术三大要素主要内涵是实现上述保密性、鉴别性、完整性、可用性等各种安全属性保证信息、信息系统的安全性目的。572.1.3信息安全保障体系结构技术体系机制加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。服务鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。管理技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。标准上述安全技术的实现依据、交互接口和评估准则。582.1.3信息安全保障体系结构组织体系机构决策层：明确总体目标、决定重大事宜。管理层：根据决策层的决定全面规划、制定策略、设置岗位、协调各方、处理事件等。执行层：按照管理层的要求和规定执行某一个或某几个特定安全事务。岗位负责某一个或某几个特定安全事务的职位。人事负责岗位上人员管理的部门。592.1.3信息安全保障体系结构管理体系法律根据国家法律和行政法规，强制性约束相关主体的行为。制度依据部门的实际安全需求，具体化法律法规，制定规章制度，规范相关主体的行为。培训培训相关主体的法律法规、规章制度、岗位职责、操作规范、专业技术等知识，提高其安全意识、安全技能、业务素质等。602.1.3信息安全保障体系结构安全服务认证（也称鉴别）服务访问控制服务数据保密性服务数据完整性服务抗否认性服务可靠性服务可用性服务安全审计服务61《信息系统-开放系统互连基本参考模型第2部分：安全体系结构》GB/T9387.2-1995（等同于ISO7498-2）2.1.3信息安全保障体系结构安全机制加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制业务流填充机制路由选择控制机制公正机制62《信息系统-开放系统互连基本参考模型第2部分：安全体系结构》GB/T9387.2-1995（等同于ISO7498-2）目录2.1信息安全保障体系2.2信息安全防御模型2.3风险评估与等级保护632.2信息安全防御模型64如何有效实现信息安全防御？ISDefenses?2.2信息安全防御模型65主动信息安全防御模型EvaluationPolicyProtectionRestorationDetectionReaction2.2信息安全防御模型1.风险评估66对信息系统进行全面的风险评估，这需要对信息系统应用需求、网络基础设施、外部内部环境、安全威胁、人员、政策法规、安全技术等具有全面的了解，并善于应用各种方法、手段、工具对系统风险进行人工和自动分析，给出全面细致的风险评估。2.2信息安全防御模型2.制定策略67安全策略是安全模型的核心，防护、检测、响应和恢复各个阶段都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行等。2.2信息安全防御模型3.实施保护68安全保护就是采用一切可能的方法、手段和技术防护信息及信息系统遭受安全威胁，减少和降低遭受入侵和攻击的可能，即实现保密性、完整性、可用性、可控性和不可否认性等安全属性。2.2信息安全防御模型4.监测69在系统实施保护之后根据安全策略对信息系统实施监控和检测。监控是对系统运行状态进行监视和控制，发现异常，并可能作出动态调整。检测是对已部署的系统及其安全防护进行检查测量，是动态响应和加强防护的依据，是强制落实安全策略的手段。2.2信息安全防御模型5.响应70响应就是已知一个攻击（入侵）事件发生之后，所进行的处理。把系统调整到安全状态；对于危及安全的事件、行为、过程，及时做出处理，杜绝危害进一步扩大，力求系统保持提供正常的服务。2.2信息安全防御模型6.恢复71恢复可以分为系统恢复和信息恢复。系统恢复是指修补安全事件所利用的系统缺陷，如系统升级、软件升级和打补丁等方法，去除系统漏洞或后门。信息恢复是指恢复丢失的数据。目录2.1信息安全保障体系2.2信息安全防御模型2.3风险评估与等级保护722.3风险评估与等级保护73建设信息系统时，

如何确定和规划安全保护？Protection?2.3风险评估与等级保护2.3.1等级保护2.3.2风险评估2.3.3系统安全测评2.3.4信息系统安全建设实施2.3.5信息安全原则742.3.1等级保护类别级别名称主要特征AA1验证设计形式化的最高级描述和验证，形式化的隐藏通道分析，形式化的代码对应证明BB3安全区域存取监控，高抗渗透能力B2结构化保护形式化模型/隐通道约束、面向安全的体系结构，较好的抗渗透能力B1标识的安全保护强制存取控制、安全标识CC2受控制的存取控制单独用户的可查性、广泛的审计跟踪C1自主安全保护自主存取控制DD低级保护系统只为文件和用户提供安全保护。最普通的形式是本地操作系统，或者是一个完全没有保护的网络。752.3.2风险评估风险评估是安全建设的出发点，遵循成本/效益平衡原则，通过对用户关心的重要资产（如信息、硬件、软件、文档、代码、服务、设备、企业形象等）的分级，对安全威胁（如人为威胁、自然威胁等）发生的可能性及严重性分析，对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性（或称薄弱环节）分析，以及已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处理计划，确定下一步的安全需求方向。7677风险评估要素关系图78风险分析原理图79风险评估实施流程图2.3.3系统安全测评系统安全测评是指由具备检验技术能力和政府授权资格的权威机构（如中国信息安全测评中心），依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。802.3.4信息系统安全建设实施规划需求阶段：定级备案、风险评估。设计开发及实施阶段：系统安全体系结构及详细实施方案的设计，采购和使用，建设安全设施，落实安全技术措施。第三方机构评审。运行维护阶段：周期性的安全测评和安全认可。废弃阶段：废弃处理对资产的影响、对信息/硬件/软件的废弃处置方面威胁、对访问控制方面的弱点进行综合风险评估。812.3.5信息安全原则安全是相对的，同时也是动态的，没有绝对的安全！安全是一个系统工程！信息安全技术原则：最小化原则分权制衡原则安全隔离原则82小结本章从信息安全范畴、衡量信息安全的属性出发，介绍了信息安全保障体系，信息安全保障包括人、政策和技术工程方法，使用各类安全机制实现安全服务，满足安全功能需求。信息安全防御体系构建应该是动态和可适应的，以策略为核心，实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法，以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。83Q&A84作业与思考主要安全属性有哪些？它们含义是什么？信息防御模型包括哪些主要环节？各个环节的功能是什么？什么是风险评估？风险评估的主要内容是什么？

什么是等级保护？我国发布《计算机信息系统安全保护等级划分准则》将信息系统安全保护能力分为哪几个等级？各个等级是如何定义的？85学习目标数据保密通信模型及基本术语对称密码体制及其分类与工作原理公钥密码体制及其工作原理数字签名技术及其特性消息完整性保护及认证如何定义和衡量密码体制的安全性本章介绍密码基本概念、分类、实现和应用原理。873.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录88什么是密码术？89Cryptography?3.1密码术及发展保密性要求即使非授权者获取了数据副本，他也无法从副本中获得有用的信息。90

3.1密码术及发展宋曾公亮、丁度等编撰《武经总要》“字验”公元前405年，斯巴达的将领来山得使用了原始的错乱密码；公元前一世纪，古罗马皇帝凯撒曾使用有序的单表代替密码；1863年普鲁士人卡西斯基所著《密码和破译技术》

1883年法国人克尔克霍夫所著《军事密码学》20世纪初，产生了最初的可以实用的机械式和电动式密码机，同时出现了商业密码机公司和市场。第二次世界大战德国的Enigma密码转轮机，堪称机械式古典密码的巅峰之作。913.1密码术及发展1976年美国政府颁布数据加密标准（DES）。1976年Diffie和Hellman发表的文章《密码学的新动向》1978年R.L.Rivest，A.Shamir和L.Adleman实现了RSA公钥密码体制1969年哥伦比亚大学的StephenWiesner首次提出“共轭编码”

概念。1984年H.Bennett和G.Brassard在此思想启发下，提出量子理论BB84协议1985年Miller和Koblitz首次将有限域上的椭圆曲线用到了公钥密码系统中。1989年R.Mathews,D.Wheeler,L.M.Pecora和Carroll等人首次把混沌理论使用到序列密码及保密通信理论。2001年NIST发布高级加密标准AES，替代DES作为商用密码标准。923.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录9394如何在开放网络中保密传输数据？SecretTransmission?953.2数据保密通信模型对于m∈M，k1,k2∈K，有

，五元组（M,C,K,E,D）称为一个密码体制，其中E和D代表具体的密码算法——具体的变换过程或数学方法。可以看出，加密可以看做是将密钥与明文混合变换的过程，而解密是从密文中剥离密钥的过程，因此也称脱密过程。Kerchhoff假设：一个密码体制，对于所有的密钥，加密和解密算法迅速有效；密码体制的安全性不应该依赖于算法的保密，而仅依赖密钥的保密。963.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录9798如何使用相同的密钥加/解密数据？SymmetricCryptography?99对称密码体制3.3对称密码体制对称密码体制分类：分组密码先将明文划分成若干等长的块——分组，如每个分组长64比特、128比特，然后再分别对每个分组进行加密，得到等长的密文分组。解密过程类似，有些密码算法解密算法与加密算法完成一样，如DES。序列密码是把明文以位或字节为单位进行加密，一般是与密钥（如由密钥种子产生的任意长度的字节流）进行混合（最简单地进行异或运算）获得密文序列。1003.3对称密码体制两个思想：扩散（Diffusion）：即将明文及密钥的影响尽可能迅速地散布到较多的输出密文中，典型操作就是“置换”（Permutation）（如重新排列字符）。混乱（Confusion）：目的在于使作用于明文的密钥和密文之间的关系复杂化，使得明文和密文、密文和密钥之间的统计相关特性极小化，从而使统计分析攻击不能奏效。混乱通常采用“代换”（Substitution）操作。101102Feistel网络结构3.3对称密码体制序列密码（流密码）将明文流和密钥流混合（一般为简单的按字节或比特位异或）产生密文流。流密码使用一个“种子密钥”产生密钥流（理论上可以是无限长度），通信双方共享这个“种子密钥”，按相同方式产生密钥流。1033.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录104105如何方便地管理和使用密钥？AsymmetricCryptography?3.4公钥密码体制106公钥加密体制3.4公钥密码体制公钥密码就是一种陷门单向函数f。即：（1）对f的定义域中的任意x都易于计算f(x)，而对f的值域中的几乎所有的y，即使当f为已知时要计算f-1(y)在计算上也是不可行的。（2）当给定某些辅助信息（陷门信息）时则易于计算f-1(y)。此时称f是一个陷门单向函数，辅助信息（陷门信息）作为秘密密钥。这类密码一般要借助特殊的数学问题，如数论中的大数分解、离散对数等数学难解问题，构造单向函数，因此，这类密码的安全强度取决于它所依据的问题的计算复杂度。1073.4公钥密码体制一个公钥密码体制是一个七元组(M,C,SK,PK,Gen,Enc,Dec)：明文空间M（Message消息，或Plantext），需要加密的消息表示为m，m∈M。密文空间C（Ciphertext），明文m经过加密变换为密文c，c∈C。私钥空间SK（SecretKey），所有可能的私钥构成。公钥空间PK（PublicKey），所有可能的公钥构成。密钥生成算法Gen（KeyGenerationAlgorithm），从可能的私钥空间中随机选取一个私钥kpri（PrivateKey），kpri∈SK，算法Gen输出私钥kpri和对应的公钥kpub（PubklicKey），kpub∈PK。加密算法Enc（EncryptionAlgorithm），给定明文m，m∈M，输出密文c，c=Enc(m,

kpub)，c∈C。解密算法Dec（DecryptionAlgorithm），给定密文c，c∈C，输出明文m，m=Dec(c,

kpri)，m∈M。1083.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录109110如何在电子世界中实现签名？Digital

Signature?3.5数字签名一个假想的例子：某人甲要通过网络传输一份文档给乙，乙接收到这份文档，乙能确认这份文档的真实性吗（确实来自于甲，而不是其他人冒充甲发送的）？乙能确定这份文档的正确性码（在传输过程中没有被篡改）？甲如果否认曾经发送过该文档（实际上确实是甲发送的）怎么办？111112数字签名机制3.5数字签名一个数字签名机制是使用一种公钥密码，使得一个消息接收者相信接收的消息来自声称的消息发送者（消息主体的识别与鉴别），并信任该消息（消息被正确地传递，没有被篡改——完整性保护），同时消息签名者不能否认签发了该消息（不可否认性保护）。1133.5数字签名一个数字签名体制是一个七元组(M,S,SK,PK,Gen,Sig,Ver)：明文空间M（Message消息，或Plantext），对应需要签名的消息表示为m，m∈M。密文空间S（Signature），明文m经过密码变换输出密文s，s∈S。私钥空间SK（SecretKey），所有可能的私钥构成。公钥空间PK（PublicKey），所有可能的公钥构成。密钥生成算法Gen（KeyGenerationAlgorithm），从可能的私钥空间中随机选取一个私钥kpri（PrivateKey），kpri∈SK，算法Gen输出私钥kpri和对应的公钥kpub（PubklicKey），kpub∈PK。签名算法Sig（SigningAlgorithm），给定明文m，m∈M，输出签名s，s=Sig(m,

kpri)，

s∈S。加密算法Ver（VerifyingAlgorithm），给定签名s，s∈S，验证签名v=Ver(s,

kpuk)，输出正确或错误的结果，v∈{True,False}。114115数字签名机制3.5数字签名密码学哈希函数：密码学哈希函数将任意长度输入转换为特定长度输出，典型的算法如MD5、SHA、SHA-256等。一个密码学哈希函数H应具备以下特性：单向性：给定一个输入m，容易计算哈希值h=H(m)；但反过来，给定一个哈希值h，计算原像m是困难的。抗碰撞性：已知一个哈希值h=H(m)，找出另一个m’，使得H(m’)等于h是困难的；同时任意找到两个值c1、c2，使得这两个数的哈希值相同，即H(c1)=H(c2)，是困难的。116带签名加密封装1173.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录118119如何保护通信数据的完整性？Digital

Signature?3.5消息完整性保护循环冗余校验码（CyclicRedundancyCheck，CRC）?数字签名?1203.5消息完整性保护消息认证码（MessageAuthenticationCode，MAC）——带密码的摘要1213.5消息完整性保护一个基于HMAC的应用实例，使用HMAC完成一个典型的“质询/响应”（Challenge/Response）身份认证过程：（1）客户端向服务器发出认证请求，如一个登录请求（假设是浏览器的GET请求）。（2）服务器返回一个质询（Challenge），一般为一个随机值，并在会话中记录这个随机值。（3）客户端将该随机值作为输入字符串，与用户口令一起进行HMAC运算，然后提交计算结果给服务器——响应（Response）。（4）服务器读取用户数据库中的用户口令，并使用步骤2中发送的随机值做与客户端一样的HMAC运算，然后与用户返回的响应比较，如果结果一致则验证了用户是合法的。1223.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录123124如何验证主体的身份或消息地真实性？Digital

Signature?3.6认证认证（也称鉴别，Authentication）是证明一个对象身份的过程，换句话讲，指验证者（Verifier，一般为接收者）对认证者（Authenticator，也称证明者、示证者，又记Certifier，一般为发送方）身份的真实性的确认方法和过程。1253.6认证对消息自身的认证，即回答“这个消息真实吗？”、“这个消息正确吗？”，换句话讲，确认这个消息是合法用户生成的且在传递过程中没有被篡改。126消息发送实体认证，人或设备，即回答“是某人吗？”、“是某台设备吗？”、“是某个软件吗？”。对实体认证的进一步目的，往往是为了决定将什么样的特权（Privilege）授权（Authorizing）给该身份的实体。3.6认证零知识证明——一种有趣的“魔咒”认证方法洞穴问题：如图有一个洞穴，在洞穴深处C点与D点间有一道门，设P知道打开该门的咒语，其他人不知道咒语无法打开此门。那么现在P如何向验证者V证明他知道咒语但又不告诉V咒语是什么呢？1273.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析目录128129如何定义一个密码系统是安全的？Digital

Signature?3.7计算复杂理论理论安全性（也称无条件安全）：如果具有无限计算资源的密码分析者也无法破译一个密码系统（密码体制），则称该密码系统是理论安全的。可证明安全性：如果从理论上可以证明破译一个密码系统的代价（困难性）不低于求解某个已知的数学难题，则称该密码系统是可证安全的。计算安全性：如果使用已知的最好的算法和利用现有的（或密码系统生命周期内）最大的计算资源仍然不可能在合理的时间完成破译一个密码系统，则称该密码系统是计算安全的。1301.安全的定义3.7计算复杂理论运算所需的时间T和存储所需的空间S，它们都是n的函数，记为T(n)和S(n)，也称为时间复杂度和空间复杂度。如果

，其中c>0，那么称该算法运算的时间是多项式阶的。如果

，其中p(n)是关于n的一个多项式，则称该算法运算时间是指数阶的。1312.安全的度量3.7计算复杂理论使用确定算法可以在多项式时间内求解的问题称为P问题。在多项式时间内可以用非确定性算法求解的问题称为NP问题。如果一个问题X可以在多项式时间内用确定性算法转化为问题Y，而Y的解可以在多项式时间内用确定性算法转化为X的解，则称问题X可以规约化为问题Y。因此，如果某类NP问题中任何一个问题可以规约为问题Y，而且Y本身就是NP问题，则称Y是一个NP完全问题，记为NPC。如果能够找到一个计算序列作为解密算法，那么密码分析者在不知道计算序列的情况下求解问题（称为客观求解）在计算上是不可行的。1323.计算理论目录3.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥密码体制3.5数字签名3.5消息完整性保护3.6认证3.7计算复杂理论3.8密码分析133134如何攻击密码系统？Digital

Signature?3.8密码分析惟密文攻击（Ciphertextonly）：破译者已知的东西只有两样：加密算法、待破译的密文。已知明文攻击（Knownplaintext）：破译者已知的东西包括：加密算法和经密钥加密形成的一个或多个明文-密文对，即知道一定数量的密文和对应的明文。选择明文攻击（Chosenplaintext）：破译者除了知道加密算法外，他还可以选定明文消息，并可以知道该明文对应的加密密文。例如，公钥密码体制中，攻击者可以利用公钥加密他任意选定的明文。1353.8密码分析选择密文攻击(Chosenciphertext)：破译者除了知道加密算法外，还包括他自己选定的密文和对应的、已解密的明文，即知道选择的密文和对应的明文。选择文本攻击（Chosentext）：是选择明文攻击与选择密文攻击的结合。破译者已知的东西包括：加密算法、破译者选择的明文消息和它对应的密文，以及破译者选择的猜测性密文和它对应的解密明文。1363.8密码分析生日悖论与生日攻击一个有50人班级里有2位同学同一天生日（不要求同年）的概率有多大？有人可能马上回答50/365，约13.7%。137但实际答案97%。奇怪吧！换个问题，问平均在多少人中才能找到一对人生日相同，答案是25人，实在不可思议。这就是所谓“生日悖论（BirthdayParadox）”，为什么呢？小结本章介绍了密码技术的基本概念、分类和工作原理。现代密码术加/解密算法是公开的，只要求密钥是保密的，根据密钥使用的特点，密码体制可以分为对称密码和公钥密码，对称密码又可以分为分组密码和流密码，公钥密码体制则允许密钥公开，方便了应用，同时公钥密码体制支持了数字签名的实现。使用密码技术可以实现数据的保密性、完整性、认证性和不可否认性保护。密码体制安全性是相对的，可证安全性和计算安全性满足实际安全要求。138Q&A139作业与思考请描述对称密码体制的工作原理。请描述公钥密码体制的工作原理。什么是Feistel网络结构，有何作用？如何实现数字签名？数字签名具备什么特性？如何保护消息完整性？HMAC实现过程是什么？什么是认证？如何实现对消息源的认证？140学习目标数据加密标准DES高级加密标准AES其它典型分组密码算法流密码算法分组密码算法工作模式本章以几个典型对称密码算法为例，介绍对称密码算法实现过程、机理及特点，理解密码算法的应用背景。142目录4.1数据加密标准DES4.2 高级加密标准AES4.3其他分组密码算法介绍4.4流密码算法RC44.5分组密码工作模式143如何实现加解密过程相同、

密钥相同的对称密码算法？144SymmetricCryptography?4.1数据加密标准DES数据加密标准DES（DataEncryptionStandard）是一个著名分组加密算法。美国国家标准局1973年5月公开征集用于计算机数据在传输和存储期间实现加密保护的密码算法。1975年美国国家标准局接受了IBM公司提交的一种密码算法并向社会公开征求意见。1997年正式采用该算法作为美国数据加密标准。1980年12月美国国家标准协会正式采用该算法作为美国商用加密算法。1454.1.1概述美国国家标准局征求加密算法的要求：（1）提供高质量的数据保护，防止数据未经授权的泄露和未被察觉的修改。（2）具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又便于理解和掌握。（3）密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基础。（4）实现经济，运行有效，并且适用于多种完全不同的应用。1464.1.1概述DES是一种分组密码算法，加密和解密使用相同的密钥。DES的分组长度为64比特位使用64比特密钥（其中包括8比特奇偶校验位），密钥通过扩展后经过16轮对明文分组的代换和置换147加/解密密钥相同有何好处？长度为什么选择64比特？为什么要做16轮？4.1.2DES工作过程1481.初始置换及其逆置换149IP置换逆IP置换2.f函数1502.f函数151f函数中扩展操作S1替换阵列2.f函数152置换P4.1.3密钥调度56比特密钥作为初始输入，经过置换选择操作PC1，输出56比特分作左右两个部分（各28比特），分别做左循环移位，之后左右两部分合并再进行置换选择操作PC2，产生48比特轮密钥。153置换选择PC1置换选择PC24.1.4DES安全性分析S盒是DES的核心，也是DES算法最敏感的部分，所有替换都是固定的，甚显神秘。许多密码学家曾担心NSA设计S盒时隐藏了某些陷门。DES算法具有很好的雪崩效应。1997年互联网利用上万台微机个月成功破译DES。1998年EFF花费大约25万美元定制构造了一个DES解密器，该机器包含1856个定制芯片，可以在2天内强力搜索一个DES密钥。2006年德国Bochum和Kiel大学花费1万美元，构建了一个名为COPACOBANA机器，它包含120个低成本FPGA，平均在9天内能够完成一个DES密钥穷举。1544.1.53DESP=EK3(DK2(EK1(M)))标准中定义3种密钥使用方式：（1）3个密钥相互独立，互不相同。这种方式提供最强安全性，相当于提供3×56=168比特长度密钥。（2）K1和K2相互独立，互不相同，而K3=K1。提供2×56=112比特长度密钥，密钥空间为2112=5×1033。实际应用多采用此方法。（3）3个密钥完全相等，即K1=K2=K3。算法退化为标准DES，保证向后兼容。155如何设计数学上可证明安全性的对称密码算法？156ProvableSecurity?目录4.1数据加密标准DES4.2 高级加密标准AES4.3其他分组密码算法介绍4.4流密码算法RC44.5分组密码工作模式1574.2.1AES基本操作流程AES也是由多轮操作组成，轮数由分组和密钥长度决定。AES在4×n字节数组（矩阵）上操作，称为状态（State），其中n是密钥字节数除4。1584.2.1AES基本操作流程AES允许分组和密钥以128比特为基础，以8字节倍数扩展长度，因此192、256比特分组（或密钥）就被组织成4×6、4×8矩阵。AES标准中使用Nb、Nk分别表示分组矩阵、密钥矩阵列数，如当分组为4×6矩阵，即Nb=6，密钥为4×8矩阵，则Nk=8。AES算法流程中轮数依赖于密钥长度，标准中使用Nr表示轮数。AES包括3个分组密码套件：AES-128、AES-192、AES-265对应Nk分别为4、6、8，即密钥长度对应128、192和256比特，对应轮数Nr等于10、12、14，分组长度都为128比特。1594.2.1AES基本操作流程（1）字节替换（Byte）：执行一个非线性替换操作，通过查表替换每个字节。（2）行移位：状态（矩阵）的每一行按字节为单位循环移动若干字节。（3）列混合：基于状态列的混合操作。（4）轮密钥叠加：状态的每一个字节混合轮密钥。轮密钥也是由密钥调度算法产生。1601614.2.2轮操作1621.字节替换4.2.2轮操作1632.行移位4.2.2轮操作1643.列混合4.2.2轮操作1654.轮密钥加4.2.3密钥扩展166对称密码中混乱与替换的不同实现方法？167ProvableSecurity?目录4.1数据加密标准DES4.2 高级加密标准AES4.3其他分组密码算法介绍4.4流密码算法RC44.5分组密码工作模式1684.3.1IDEA算法国际数据加密算法IDEA是1991年由JamesMassey和我国学者来学嘉共同设计的，在协议PGP中广泛应用。IDEA算法采用64比特分组和128比特密钥，包括相同的8轮转换和1个输出转换（半轮）。IDEA通过交叉使用不同群-模加和乘运算，以及比特位异或，这些运算在代数上是“不协调的”。轮变换输入将64比特分为4个16比特子分组，经过变换输出4个16比特子分组，作为下一轮输入。每轮变换中，在模乘或模加运算中混合6个16比特密钥，最后一轮4个运算，混合K1到K4密钥，4个16比特输出，合并后作为IDEA加密产生的64比特密文。169170IDEA加密轮变换4.3.2Blowfish算法BruceSchneier在1993设计的分组加密算法，速度快。依赖密钥的S盒和复杂密钥调度。使用64比特分组，从32比特到448比特可变长度密钥，采用16轮Feistel结构。1714.3.2Blowfish算法1724.3.3RC5/RC6算法173RC5算法：可变分组长度（32、64或128比特）、密钥长度（0到2040比特）以及轮数（0到255），原始建议选择参数64比特分组、128比特密钥和12轮。用于研究和评估作为密码原语相关操作。RC5包括一系列模加和异或运算，采用类Feistel网络结构。其密钥调度本质上单向函数扩展密钥。每一轮变换有相同的2个半轮构成。如何实现“无限”长度密钥的对称密码算法？174StreamCipher?目录4.1数据加密标准DES4.2 高级加密标准AES4.3其他分组密码算法介绍4.4流密码算法RC44.5分组密码工作模式1754.4流密码算法RC4RC4算法由主密钥（通信双方共享的一定长度密钥）按一定密钥调度算法产生任意长度伪随机密钥字节流（以字节为单位），与明文流按字节异或生成密文流，解密时密文流与相同的密钥流按字节异或恢复出明文字节流。1764.4流密码算法RC4RC4算法首先使用1到256字节（8到2048比特）的可变长度密钥初始化一个256个字节的状态矢量，记为S，S的元素记为S[0]、S[1]、S[2]……S[255]，类似于数组表示。至始至终S向量始终包含0~255（十进制）所有的8比特数。加密和解密过程中，密钥流每个字节由S中的256个元素按一定方式依次选出一个元素生成，每生成一个密钥字节，S中的元素就被重新置换一次。1774.4流密码算法RC4S最初被初始化时，从低到高字节顺序放置0至255这256个数。同时设置一个临时向量T，将密钥K按字节赋值给T，也称使用密钥调度算法KSA。使用T产生S的初始置换。下标i从0到255，依次当前根据T[i]和S[i]的值，确定将S[i]中元素与S中另一个元素交换。通过初始置换，原先顺序排列数值0~255的S向量根据T（主密钥）被重新乱序，不同的主密钥，乱序结果不同。1784.4流密码算法RC4以初始化后的矢量S为基础，依次产生密钥流的每一个字节，每选择一个密钥字节，还有再完成一次置换，密钥字节产生算法（也称伪随机发生算法PRGA）如下，其中使用2个8比特指针，表示为i和j。179生成密钥流如何应用有限密钥长度分组密码安全加密长消息？180Working

Mode?目录4.1数据加密标准DES4.2 高级加密标准AES4.3其他分组密码算法介绍4.4流密码算法RC44.5分组密码工作模式1814.5.1电子密码本1824.5.2密文分组链接183CBC加密CBC解密4.5.3密文反馈184CFB加密CFB解密4.5.4输出反馈185OFB加密OFB解密4.5.5计数模式186小结本章介绍了典型分组密钥算法，重点介绍了DES和AES实现过程和工作原理，简单介绍了IDEA、Blowfish和RC5/RC6等密码算法的核心实现机理。同时介绍了典型流密码算法RC4的加密过程及实现机理。最后介绍了分组密码的工作模式。187Q&A188作业与思考什么是Feistel网络结构，有何特点？编写DES的实现程序，能够对任意长度的字符串或文件进行加密和对应的解密。请说明分组密码算法和流密码算法的区别？分组密码的工作模式有哪几种？各自特点是什么？分析RC4是如何产生伪随机序列？189第5章公钥密码技术学习目标RSA公钥密码算法及其用于加密和签名的实现。ElGamal公钥密码算法及其用于加密和签名的实现。ECC公钥密码算法及其用于加密和签名的实现。公钥密码算法的设计基本方法和安全性原理。公钥密码体制加密密钥公开，解决了密钥管理与分发的问题。那么如何实现公钥密码呢？本章介绍几个典型的公钥密钥算法，包括基于大数分解难题的RSA算法，基于有限域上求解离散对数难解问题的ElGamal算法，以及基于椭圆曲线上求解离散对数难解问题的ECC算法。191目录5.1RSA公钥密码算法5.2Diffie-Hellman密钥协商机制5.3ElGamal公钥密码体制5.4椭圆曲线密码体制192如何实现加密密钥公开的加密算法？1935.1.1RSA基本算法RSA（public-keycryptography），以当时在MIT的提出者Rivest、Shamir和Adleman三个人的名字命名，于1978年公开描述的。RSA既可以用于加密也可以用于签名。RSA包括公钥和私钥两个密钥，公钥可以让任何人知道并用于加密消息，使用公钥加密的消息只能使用对应的私钥解密。194信息安全技术基础张浩军1951965.1.1RSA基本算法1975.1.2RSA加密算法的数论基础定义1（同余）：设a、b、m是正整数，如果m|(a-b)，即m整除(a-b)，则称a和b模m同余，记为定理1：（素数分解定理）：对任意正整数n，存在唯一的正素数序列

，以及正整数

，使得：

。定义2（欧拉数）：设n是一个正整数，

，即小于n的与n互素的正整数，称为欧拉数。特别地，当p是一个素数时，则

。1985.1.2RSA加密算法的数论基础定理2：如果n1和n2互素，则

。定理3：如果一个正整数n按“定理1”分解并表示为

，则

。定理4：（Euler定理，欧拉定理）设x和n都是正整数，如果gcd(x,n)=1，则定理5（Fermat小定理）：设x和p都是正整数。如果p是素数，则1995.1.3RSA算法实现中的计算问题概率测试方法，选取特定比特长度的随机数，通过多次迭代进行概率素性测试。例如Fermat素性测试：

给定整数n，选择一些与n互素整数a，计算an-1modn，如果结果不是1，则n是合数；若结果是1，n可能是也可能不是素数。200如何快速产生素数？5.1.3RSA算法实现中的计算问题Miller-Rabin素性测试和Solovay-Stassen素性测试算法，对于任意合数n，至少3/4（Miller-Rabin）、1/2（Solovay-Stassen）的a可以作为n是合数的证据。也称合数测试。Miller-Rabin方法：给定整数n，选择一些整数a<n，令

，d为奇数。对于所有的

如果：

而且

，则n是合数；否则n可能是素数，也可能不是素数。通过多次迭代，提高判定n是素数概率。201如何快速产生素数？5.1.3RSA算法实现中的计算问题模幂运算满足分配律

[(amodn)×(bmodn)]modn=(a×b)modn

利用中间结果对n取模，即降低了存储要求，并可实现高效算法。递进式指数计算

例如计算ad(modn)，为了便于计算机实现，其中指数d可以表示为k比特二进制(bk-1bk-2...b1b0)2，因此，d可以记为：

有：202如何快速进行模指数运算？5.1.3RSA算法实现中的计算问题采用扩展欧几里得算法快速计算d：

ax+by=gcd(a,b)

gcd(a,b)表示a和b的最大公约数即求解x和y，使得上面等式成立。对应地，求解式子

ed+(-k)φ(n)=1中d和-k。203如何求解私钥？5.1.4RSA体制安全性分析（1）穷举攻击

即列出所有可能的私钥，显然这是缺乏效率和困难的。（2）因数分解攻击

给定某个整数

，求c的模n的e次方根

是一个困难问题，但如果整数n的素数分解已知，则上述问题易解。因此，因数分解攻击RSA途径包括：分解n为p和q。直接确定

，而不确定p和q。直接确定d，而不确定

。2045.1.4RSA体制安全性分析（3）参数选取不当造成的攻击

选取p和q时应该是随机的且不应太接近。

因为，

，当(p-q)/2很小时，那么(p+q)/2只比

大一点，因此逐个检查大于

的整数x，使得

是一个完全平方数，记为y2，那么就有

：

和

。2055.1.4RSA体制安全性分析（4）选择密文攻击

攻击者得到两个明/密文对

、

，则可以获得

的密文结果，因为

由明密文对

，可以获得对

的加密结果，因为

此外，能够获得

的解密结果，就可以恢复出c对应的明文。2065.1.4RSA体制安全性分析2075.1.4RSA体制安全性分析2085.1.5RSA填充加密机制随机填充机制加密消息——优化非对称加密填充OAEP（OptimalAsymmetricEncryptionPadding）机制添加随机元素将确定密码机制（如基本RSA）转换为一个概率机制。部分密文解密（或其他信息泄露），只要不能翻转单向陷门函数，攻击者仍不能解密任何密文部分。209使用相同公钥，加密相同明文能否得到不同密文？5.1.5RSA填充加密机制（1）明文m后面填充k1个0。（2）产生k0比特随机数r。（3）使用G将k0比特随机数r扩展为(n-k0)长度比特串。（4）计算x=m00…0

G(r)。（5）使用H将(n-k0)长度x压缩为长度k0比特串。（6）计算y=r

H(x)。（7）最后输出x||y。210解密操作：（1）恢复随机串r=

y

H(x)。（2）恢复消息m00…0=x

G(r)。5.1.6RSA签名算法211能否在不安全的通信信道上传输一些公开信息，最终使得双方获得秘密信息？212目录5.1RSA公钥密码算法5.2Diffie-Hellman密钥协商机制5.3ElGamal公钥密码体制5.4椭圆曲线密码体制2135.2Diffie-Hellman密钥协商机制D-H密钥协商机制，可以实现在不安全信道中为两个实体建立一个共享秘密，协商的秘密可以作为后续对称密码体制的密钥使用。214信息安全技术基础张浩军5.2Diffie-Hellman密钥协商机制215D-H协商协议描述及实例5.2Diffie-Hellman密钥协商机制216D-H协议中间人攻击基于离散对数难解问题设计的公钥密码算法？217目录5.1RSA公钥密码算法5.2Diffie-Hellman密钥协商机制5.3ElGamal公钥密码体制5.4椭圆曲线密码体制2182195.3.1ElGamal加密算法2205.3.2ElGamal公钥密码体制的安全性离散对数难解问题，即给定ga，求解a是困难的。2215.3.2ElGamal公钥密码体制的安全性2225.3.3ElGamal签名算法223如何发现可用于公钥密码体制的代数系统？224目录5.1RSA公钥密码算法5.2Diffie-Hellman密钥协商机制5.3ElGamal公钥密码体制5.4椭圆曲线密码体制2255.4.1椭圆曲线基本概念2265.4.1椭圆曲线基本概念2275.4.1椭圆曲线基本概念2285.4.1椭圆曲线基本概念2295.4.1椭圆曲线基本概念2305.4.1椭圆曲线基本概念2315.4.1椭圆曲线基本概念2325.4.1椭圆曲线基本概念2335.4.1椭圆曲线基本概念2345.4.1椭圆曲线基本概念2355.4.1椭圆曲线基本概念2365.4.1椭圆曲线基本概念2375.4.1椭圆曲线基本概念2385.4.1椭圆曲线基本概念2395.4.1椭圆曲线基本概念2405.4.1椭圆曲线基本概念2415.4.1椭圆曲线基本概念242椭圆曲线上点群法则规定如下：设P、Q是E上的两个点，连接两个点得到一条直线，如果直线与曲线交叉，则得到第3个点（如图所示得到点R）；如果该直线在其中一个点与曲线相切，则该点计两次；如果直线与y轴平行，则定义第3个点为无穷远点。3．椭圆曲线上加法运算几何含义5.4.1椭圆曲线基本概念2433．椭圆曲线上加法运算几何含义5.4.1椭圆曲线基本概念性质：（1）曲线上三个点在一条直线上，则它们的和等于O。（2）曲线上点P，则存在一个负点，记为-P，P+(-P)=O。（3）若一条垂直x轴的竖线交于曲线上两点P、Q，

则P+Q+O=O，于是有P=-Q。（4）如果曲线上两个点P和Q的x坐标不同，则连接P和Q得到一条直线与曲线交于R‘点，则P+Q+R’=O，若R是R‘的负点，则P+Q=-R’=R。（5）倍数运算，定义一个点P的两倍是它的切线与曲线的另一个交点R‘，则P+P=2P=-R’=R。2443．椭圆曲线上加法运算几何含义5.4.1椭圆曲线基本概念2453．椭圆曲线上加法运算几何含义5.4.2基于椭圆曲线的加密体制2465.4.2基于椭圆曲线的加密体制2475.4.2基于椭圆曲线的加密体制2485.4.2基于椭圆曲线的加密体制2495.4.2基于椭圆曲线的加密体制2505.4.2基于椭圆曲线的加密体制2515.4.3椭圆曲线D-H密钥协商2525.4.4基于椭圆曲线的数字签名算法2535.4.4基于椭圆曲线的数字签名算法2545.4.5ECC安全强度分析255小结本章介绍公钥密码体制的工作原理和具体实现方法。介绍了典型公钥密码算法，如RSA、ElGamal，以及强度更高的椭圆曲线密码体制。描述了相关公钥密码算法的实现机理和对应密码体制的工作过程，讨论了RSA算法具体实现过程中素数产生、模数运算等实际问题。对各种公钥密码体制安全性进行了分析。256作业1．使用RSA加密消息，设选取两个素数为71和83，加密明文消息1234，请选择密钥并计算密文，并验证是否能正确解密。2.编写一个RSA加密算法实现程序。3.什么是DH密钥协商机制的中间人攻击，如何避免中间人攻击。4.请验证DSA算法的正确性，即对于合法签名，签名验证算法能够验证签名的有效性。257第6章密钥管理学习目标对称密码中密钥的管理与分发公钥密码中密钥管理与应用——公钥基础设施PKI公钥基础设施中公钥载体——数字证书密钥管理是密码技术应用的核心，本章讲解对称密钥和公钥密码应用中的密钥管理和应用技术。259目录6.1概述6.2对称密钥管理6.3公钥基础设施PKI6.4数字证书6.5基于PKI典型应用260如何保证密钥安全？2616.1密钥安全概述需要回答的问题：对称密码要求密钥被共享双方（或多方）持有，密钥在持有者间高度的保密。考虑密钥在哪里产生？如何分发？如何定期更新？若处理密钥泄露？公钥密码中：密钥对如何产生？谁来产生？私钥要求绝对地保密，如何存储？你所使用的公钥是有效并正确的吗？私钥泄露或丢失如何更新密钥对？262信息安全技术基础张浩军6.1密钥安全概述解决途径：引入可信第三方TTP（TrustedThirdParty），密钥分发中心KDC（KeyDistributionCentre），作为密钥管理的中心，公钥基础设施管理体系中被称为授权中心CA（CertificationAuthority）2636.1密钥安全概述密钥产生算法及实现是保证密钥质量的根本，密钥产生应具有较好的随机性。密钥长度决定了密钥空间大小，也决定了密码强度。密钥的存储，口令加密文件；智能卡、USBKey等存储设备。密钥应有有效期，密钥更新。264

密钥管理是贯穿密钥生命周期的一个过程，需要机制、人、技术、法律等各方面的保障。目录6.1概述6.2对称密钥管理6.3公钥基础设施PKI6.4数字证书6.5基于PKI典型应用2656.2.1对称密钥管理与分发简单例子：一个共享密钥密码系统中，由一个参与主体产生密钥，并通过安全方式分发给其他参与实体。266基于公钥密码交换共享密钥6.2.1对称密钥管理与分发NS密钥分发协议267几个思考问题（1）请分析这个协议的正确性，即正确并完整地执行该协议后，A和B能够共享一个会话密钥。（2）为什么T不分别使用与A和B共享的密钥加密Kab直接传递给A和B？（3）协议消息⑤的有何作用？（4）协议消息①没有任何保护，是否对协议自身的安全性造成影响？（5）协议执行完成，A和B都能够确认对方已经拥有正确的Kab了吗？2686.2.2密钥层次化使用主密钥MK（MasterKey）。一般用人工方式建立，或借助密钥协商机制（如DH密钥协商协议）或公钥密码体制完成主密钥协商或传递。密钥确认密钥KCK（KeyConfirmationKey）：用于在通信会话中产生消息认证码。密钥加密密钥KEK（Key-encryptingKeys）。在密钥传输协议中加密其他密钥。临时密钥TK（TemporalKey），也称会话密钥（SessionKey）。用于加密用户的通信数据。269如何构建方便易用、安全可靠的公钥密码应用体系？270目录6.1概述6.2对称密钥管理6.3公钥基础设施PKI6.4数字证书6.5基于PKI典型应用2716.3.1公钥基础设施PKI概述公钥基础设施PKI（PublicKeyInfrastructure）理解Infrastructure272如何能够方便地获得所需的有效的、正确的公钥？6.3.1公钥基础设施PKI概述PKI是指使用公钥密码技术实施和提供安全服务的具有普适性的安全基础设施。PKI通过权威第三方机构——授权中心CA（CertificationAuthority）以签发数字证书形式发布有效实体的公钥。数字证书（Certificate，简称证书）是一种特殊的电子文档（也称电子凭证），包括公钥持有者（称为主题）的信息（名称、地址）及其公钥，有效期、使用方法等信息。数字证书将证书持有者的身份及其公钥绑定在一起。2736.3.1公钥基础设施PKI概述有了PKI，安全应用程序的开发者不必关心那些复杂的数学运算和模型，而直接按照标准使用一种插座（接口）。PKI是电子商务、电子政务的关键和基础技术。标准，包括：ITU-TX.509(CCITTX.509)、ISO/IECITU9594-8[X.509]、RSAPKCS(PublicKeyCryptographyStandards)系列文档、IETFPKIXrfc系列参考文档（如3280、4210、4211等）。2746.3.1公钥基础设施PKI概述美国在1996年就成立了联邦PKI指导委员会，1999年又成立了PKI论坛。加拿大在1993就开始政府PKI体系研究工作，到2000年建成的政府PKI体系，为联邦政府与公众机构、商业机构等进行电子数据交换时提供信息安全的保障。欧洲颁布了93/1999EC规它，并建立CA网络及其顶级CA，并于2000年10月成立了欧洲桥CA指导委员会，2001年3月成立了欧洲桥CA。在亚洲，韩国是最早开发PKI体系的国家。日本的PKI应用体系按公众和私人两大类领域来划分，日本的PKI支撑电子商务应用取得非常大成功。2756.3.1公钥基础设施PKI概述大行业或政府部门建立的CA，如1998年中国电信成立了第一家CA认证中心CTCA，又如中国金融认证中心(ChinaFinanceCertificationAuthority，CFCA)，是由中国人民银行牵头，联合中国工商银行、中国银行、中国农业银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的金融C