《计算机网络安全与管理》全册配套完整教学课件1

《计算机网络安全与管理》全册配套完整教学课件1计算机网络安全与管理第一章概述课程说明课程总课时为48学时成绩构成：期末考试70%平时作业+考勤30%参考资料《计算机网络安全与管理》李卫清华大学出版社《密码编码学与网络安全——原理与实践》第四版CryptographyandNetworkSecurityPrinciplesandPractices,FourthEditionWilliamStallings电子工业出版社ComputerSecurity:PrinciplesandPracticeWilliamStallings章节其他相关资料将随进度放在ftp上课程内容密码学：包括对称密码，公钥加密，散列函数，密钥管理等对应参考书目第3、4章网络安全应用：包括鉴别应用，ip安全，Web安全等。对应第5章系统安全：对应第2、6、7、8章其它。本课程的目的掌握信息安全特别是网络安全的基本原理与相关技术并具备基本的实践能力。这里的安全性由阻止，防止，检测和纠正违反信息存储与传输的安全性的措施组成的。（原文有些抽象，下面会举例解释）第一章网络安全概述网络安全现状网络安全威胁网络安全的复杂性OSI安全体系结构网络安全组织与机构网络安全的现状(1/3)右图是来源于CERT的统计信息：CERT（ComputerEmergencyResponseTeam)计算机应急响应中心网络安全的现状(2/3)右图表明攻击所造成的危害日渐增大而攻击难度却呈日益减小趋势信息安全的现状(3/3)Internet的商业化使得网络安全成为一个日益引人注目的话 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 我们可以把网络安全看作是现实社会中安全问题在网络上的一个映射，生活中的各种问题在网络上同样存在。网络不安全的原因自身缺陷、开放性，匿名性、黑客攻击网络安全是一个综合性的问题安全威胁—违反安全性的例子用户A向B传递了文件，该文件中包含了敏感的数据：比如 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 标的。C通过监视该传输过程截取了文件副本。某网络管理员D在其管理下向一台计算机E传递一条消息，指示E更新一个授权文件，该文件包含了一些能够访问该机的用户Id。F截获了该消息，进行了删改并传给E。E以为来自于D从而接受并更新了授权文件。用户F没有中途阻止某消息，而是构造了自己希望内容的消息，好像该消息来自于D。E接受并更改了授权文件一个雇员被解雇而没有 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 大家，人事经理向服务器发出了删除该雇员账号的要求。但该消息被雇员截获，并使之能延迟足够长时间。以便能够最后访问服务器获取敏感信息。然后再转发该消息。一个客户向代理商发出带有多个交易指示的消息。随后该投资跌值，而该客户不承认发出过该消息安全威胁—关键性的安全概念左边的图常被用来形容为CIAtriadC：机密性。对信息资源访问，开放的限制比如访问控制，加密等I：完整性。保证信息未被不恰当的更改与破坏。A：可用性。合法的访问能够及时有效地得到实施Authenticity(Authentication)：鉴别(认证）还有翻译成可控。指特性（身份）等可验证，可信Accountability：可说明性。指实体行为可唯一性的追踪。（我们树上的描述是不可否认性（non-repudication）请思考对应前面的安全问题。网络安全相关概念有了前面的了解，我们可以给出网络安全的相关概念：信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。网络安全防护：拒绝未经授权的物理或电子入侵、操作，保证网络和所传信息端到端的完整性，能够抗拒各种类型的破坏，包括电子袭击，物理袭击、人为错误等网络安全问题的挑战(1/2)安全问题从提出上并不太难，其需求也很明确，描述起来可能只是简单的：机密性，鉴别，完整性等。然而在真正实施的过程中满足这些要求的机制可能相当复杂与困难。攻击与防守的不对称性：网络攻防可以看作是攻击者与管理员之间的智力对决机制或算法时需要考虑潜在的各种攻击可能；实际应用中提供服务的程序往往是违反直觉的；安全机制设计完成后，还需要决定如何使用它们。（人们通常从物理的节点）或逻辑意义（比如网络中某个层次中放置这些机制）来考虑；安全机制中通常涉及了多于一种的算法或协议，它们通常也要求参与者具有某些秘密信息，这就导致有关这些秘密信息的产生、分布与保护问题。安全的动态性：技术的升级带来新的安全隐患网络安全问题的挑战（2/2)投入和产出：用于保护的投资与被保护标的的价值关系信息服务的开放性本质信息安全需要长期的监控网络安全的受益通常在损害发生时才能被感知人性的弱点：相对于攻击者，防卫者通常更加麻痹通常是事后后悔OSI安全体系结构为了有效评估一个机构的安全需要以及评价和选择各种安全产品和策略，负责安全需求的管理员需要采用某些系统方法来定义安全性需求和表征满足这些需求的方法。事实上，OSI安全体系结构已经对此给出了相关的概念：安全攻击：危及由某个机构拥有的信息安全的任何行为安全机制：设计用于检测、防止或从安全攻击中恢复的一种机制安全服务：加强一个组织的数据处理系统和信息传送安全性的一种服务。该服务的目标是对抗安全攻击，它们利用一种或多种安全机制来提供该服务安全攻击在X.800和RFC2828中安全攻击分类通常采用下面的方法：被动攻击（PassiveAttacks）主动攻击（ActiveAttacks）安全攻击-被动攻击被动攻击从本质上是在传输中的偷听或监视，其目的是从传输中获得信息。可分为以下两种：析出消息（releaseofmessagecontents）通信量分析（trafficanalysis）：如果消息被屏蔽（比如加密）则即使被析出也不影响。但这时也许对手仍能够观测这些消息的模式。该对手能够测定通信主机的位置和标识，能够观察被交换消息的频率和长度。这对于猜测通信性知识有帮助的。该方法比较难检测，应对方法是防止而不是检测。安全攻击-主动攻击主动攻击涉及某些数据流的篡改或一个虚假流的产生，可进一步划分为：伪装，重放，篡改消息和拒绝服务伪装就是一个实体假装为另一个实体重放涉及一个数据单元被动获取及后继的重传，以产生一个未授权的效果消息篡改意味着一个合法消息的部分被改变，或消息被延迟或改变次序，以产生一个未授权的效果。拒绝服务防止或禁止通信设施的正常使用或管理安全攻击—主动攻击安全服务ISO7498-2机密性：保护被传输数据免受被动攻击鉴别：关注通信的可信性完整性：与机密性一样可以应用于一个消息流，单个消息或所选字段。不可抵赖：防止发送方或接收方抵赖所传输的消息访问控制：在网络环境中，访问控制是限制和控制经通信链路对主机系统和应用程序进行访问的能力可用性：攻击降低可用性，有时采用自动的反措施，有时则需要物理保护或恢复安全服务的实施位置应用层提供安全服务的特点只能在通信两端的主机系统上实施。优点：安全策略和措施通常是基于用户制定的；对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务；不必依赖操作系统来提供这些服务；对数据的实际含义有着充分的理解。缺点：效率太低；对现有系统的兼容性太差；改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。传输层提供安全服务的特点只能在通信两端的主机系统上实施。优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。网络层提供安全服务的特点在端系统和路由器上都可以实现。优点：主要优点是透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制；其次是网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问；第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。缺点：无法实现针对用户和用户数据语义上的安全控制。数据链路层提供安全服务的特点在链路的两端实现。优点：整个分组（包括分组头信息）都被加密，保密性强。缺点：使用范围有限。只有在专用链路上才能很好地工作，中间不能有转接点。安全机制设计用来检测，阻止，恢复攻击行为没有单一的安全机制能应对所有的安全需求然而有一个元素是作为许多安全机制的基础：密码学因此我们有安全机制（X.800）特定的安全机制：加密，签名，完整性检验，认证，流量填充等被动的安全机制：信任机制，安全级别，事件检测，安全追踪，安全恢复网络安全模型与任务设计算法执行安全性转换生成用于该算法的秘密信息研制秘密信息的分布与共享方法制定由两个责任者实用的协议网络访问安全模型危害的分类：由黑客引起的危害由程序引起的危害：截获或篡改数据禁止合法用户使用对于该访问安全模型的使用需要我们：选择恰当的门卫函数验证用户提供相应的安全控制以保证仅有获授权用户能够访问被指派的资源可信计算机系统有助于该模型的实现本章小结网络安全所面临的威胁网络安全的相关重要概念X.800 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 安全攻击，安全机制，安全服务网络安全访问模型。计算机网络安全与管理第二讲密码技术西安交大软件学院田暄本讲内容密码学相关概念本讲内容正如我们上节课所说，密码学（密码术）作为许多安全机制（如加密，解密，验证等）的一项基本元素，在信息安全中具有非常重要的地位。其地位如图所示：各种安全应用加密数字签名认证基本密码算法加密技术概述Cryptography源自希腊语单词“kryptos”（hidden）与“graphia”（writing）。定义：密码学是针对如机密性，数据完整性，实体认证，数据源认证等信息安全课题进行的数学技术研究。密码学研究的主要目标是：机密性数据完整性认证不可抵赖密码学的主要研究方向密码学的主要研究方向可分为如下四类：对称加密技术非对称加密技术哈希函数伪随机数生成密码学的分类对称加密（SymmetricEncryption）或私钥加密/常规加密/单密钥加密发送方和接收方使用相同的密钥所有传统的加密算法都是对称加密20世纪70年代（公钥加密提出）之前是唯一的类型目前仍旧具有广泛的应用基本术语明文（plaintext）-源消息密文（ciphertext）-编码后的消息cipher（密码，加密技术）-将明文转换为密文的算法密钥（key）-加密程序所使用，仅被发送者/接收者所知的信息。加密encipher(encrypt)–将原文转换为密文解密decipher(decrypt)–将密文恢复为原文密码编码学cryptography–针对加密原理/方法的研究密码分析cryptanalysis(codebreaking)–在不知道密钥的情况下对密文进行解密的原则/方法的研究密码研究cryptology–密码编码学与密码分析的领域之和对称加密模型SymmetricCipherModel要求对称加密的安全使用有下面两个要求一个健壮的加密算法密码仅为发送方/接收方所知数学表示：算法是公开的提供一个安全信道以分享密钥密码编码学Cryptography我们刻画/描述一个密码系统通常可以通过：加密操作的方法替代/转置/乘积使用的密钥数单密钥或私钥/双密钥或公钥明文的处理方式块加密/流加密密码分析密码分析可看作是试图发现密钥或原文的过程密码分析的原则：破译改密码的成本超过被加密信息的价值破译该密码的时间超过该信息有用的生命周期密码分析的方法：用密码分析方法的破解（cryptanalyticattack）暴力破解（brute-forceattack）密码攻击的类型攻击的类型密码破译者已知的仅有密文加密算法带破译的密文已知明文加密算法待破译的密文由密钥形成的一个或多个明文-密文对选择明文加密算法待破译的密文有密码破译者选择的明文消息，连同它对应的由其密钥生成的密文选择密文加密算法待破译的密文由密码破译者选择的猜测性的密文，连同它对应的由密钥生成的已破译的明文选择文本加密算法待破译的密文由密码破译者选择的明文消息，连同它对应的由密码生成的密文由密码破译者选择猜测性的密文，连同它对应的由密钥生成的已破译的明文更多定义无条件安全：不论计算机的能力与时间如何，由于密文所提供的信息不足以唯一的确定相应的明文，密码均不能被破解。计算安全：所具备的受限的计算资源不足以破解密码暴力破解能够比较容易的验证每一个密钥是最基本的破解方式，通常难度与密钥长度成正比假定知道或能够识别明文古典替代密码明文中的每一个元素（比特，字母，比特组合或字母组合）被映射为另一个元素。这里可能是字母被替换为其他字母或符号也可能是位组合被替换为另外的位组合凯撒码CaesarCipher已知的最早的替代码JuliusCaesar最初应用于军事，将每个字母替换为其后的第三个字母。例：meetmeafterthetogapartyPHHWPHDIWHUWKHWRJDSDUWB凯撒码其变化可描述为以下方法abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABC我们可以数学的给字母以如下表示abcdefghijklmnopqrstuvwxyz012345678910111213141516171819202122232425凯撒码可以表示为c=E(p)=(p+k)mod(26)p=D(c)=(c–k)mod(26)凯撒码的密码分析只有26个可能的密码可以很容易的依次验证暴力破解对于已知密文，只需依次移动字母当明文产生时需要能够识别单一字母替代码比单纯的移动字母表要更进一步可以任意的进行字幕替换每个原文字符都可以被映射为一个任意的密文字符密码长度为26个字母例：Plain:abcdefghijklmnopqrstuvwxyzCipher:DKVQFIBJWPESCXHTMYAUOLRGZNPlaintext:ifwewishtoreplacelettersCiphertext:WIRFRWAJUHYFTSDVFSFUUFYA单一字母替代码的安全性总共的密码数为26！总数大于4x10^26有如此多的密码，是不是更安全呢？事实上是错误的。主要问题在于语言的特性英文字母的使用频率在密码分析中的应用关键概念-单一字母替代码不会改变字母的出现的频率该特点由阿拉伯科学家于公元9世纪发现计算字母出现频率将计算值于已知值进行对比如果我们查看凯撒码的峰/槽值我们有峰值在A-E-I,NO,RST槽值在JK,X-Z应当针对每个字母结合二元组，三元组进行验证例子givenciphertext:UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZVUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSXEPYEPOPDZSZUFPOMBZWPFUPZHMDJUDTMOHMQ频率如右表guessP&ZareeandtguessZWisthandhenceZWPisthe通过尝试与验证:itwasdisclosedyesterdaythatseveralinformalbutdirectcontactshavebeenmadewithpoliticalrepresentativesofthevietconginmoscowP13.33H5.83F3.33B1.67C0Z11.67D5.00W3.33G1.67K0S8.33E5Q2.5Y1.67L0U8.33V4.17T2.5I0.83N0O7.50X4.17A1.67J0.83R0M6.67Playfair密码单一替代码虽然增加了密码数量但并没有增加安全性一种改进的方案是多字母加密Playfair即是一例由英国科学家CharlesWheatstone1854年发明用的是他的朋友的名字BarronPlayfairPlayfair矩阵（使用见附注）MONARCHYBDEFGI/JKLPQSTUVWXZPlayfair的安全性比单一字母替换安全性好频率表项增加到了26x26=676曾被广泛应用多年（如第一次世界大战）提供几百个字母下可破解仍能够保留部分明文结构特征Hill码方法能够较好抵御密文攻击但却较难抵抗明文攻击多字母密码性质：使用一系列相关的单字母替代规律一个密钥决定对一个给定的变换选择那种特定的规则Vigenère码:相隔的单字母替代规则集合由26个凯撒码组成加密过程为：给定一个密钥x一个明文y，密文为x与y的交叉点Vkey:deceptivedeceptivedeceptiveplaintext:wearediscoveredsaveyourselfciphertext:ZICVTWQNGRZGVTWAVZHCQYGLMGJ安全性每个明文字母都对应多个密文字母的统计信息被隐藏了但并非完全隐藏开始首先统计字母出现频率。查看是否为单一替代码。如果不是则通过确定关键词长度来继续分析：比如前面的例子通过red的密文VTM猜测关键词长度为9，然后可以通过一直频率特征考虑攻击Autokey方案关键词与明文长度一样经加密的明文被用在做后面的关键词仍然有部分统计信息被保留Eg：key:deceptivewearediscoveredsavplaintext:wearediscoveredsaveyourselfciphertext:ZICVTWQNGKZEIIGASXSTSLVVWLAOne-TimePad采用与明文一样长的随机串为关键词具备很强的安全性，统计学特征被隐藏一次一密密钥的生成与共享是存在的难题置换技术我们接下来介绍经典的置换技术：该方法通过将字符重新排列隐藏信息并不改变使用的字符该方案可以通过原文，密文中字符出现的频率相同进行识别栅栏技术置换密码中最简单的是栅栏技术该密码中以对角线顺序写下明文，并以行的顺序读出。深度为2的例子：mematrhtgpryetefeteoaat密文为：MEMATRHTGPRYETEFETEOAAT行置换技术一个更复杂的方案是：将消息按照特定的列数写成矩阵形式按照密钥值依次读出按照行排列Key:3421567Plaintext:attackpostponeduntiltwoamxyzCiphertext:TTNAAPTMTSUOAODWCOIXKNLYPETZ进阶前面方法可以进一步得将前面的密文重复该过程进行再次置换。当多次置换后，字母的顺序将更加分散，分析难度也将加大很多。乘积通过将加密方案复合可以增大破解的难度。单纯的替代组合可以得到更复杂的替代单纯的置换组合可以得到更复杂的置换置换之后进行替代将构成新的难以破解的密码方案。（这也是传统密码学向现代密码学过度的桥梁）转子机（RotorMachine)在现代密码学之前，转子机是最常用的复杂加密设备第二次世界大战中被广泛使用德国的Enigma,日本的Purple提供了非常复杂的替代密码由一系列独立转动的圆柱体构成。每个提供一个替代加密，并且在每次击键后能够进行更改。图本章小结密码学的研究方向与分类密码学相关术语与概念传统加密技术替换置换乘积转子机本章补充材料将放在ftp上计算机网络安全与管理第三讲密码技术（二）西安交大软件学院田暄现代对称加密技术本章我们将继续上节课的内容，讲解现代块加密技术是最为广泛使用的加密算法中的一种能够提供数据机密性与鉴别服务我们将主要研究对象集中于DES(DataEncryptionStandard)，通过其了解块加密的相关设计原则块加密vs流加密块加密（blockciphers）将消息处理为块，然后单独进行加/解密运算过程似乎是对一个个特大字符的替换64-bits或更多流加密（streamciphers）将消息按照位或字节为单位进行加/解密许多现有的密码都属于块加密具有广泛的应用块加密的设计 准则 租赁准则应用指南下载租赁准则应用指南下载租赁准则应用指南下载租赁准则应用指南下载租赁准则应用指南下载 绝大多数的块加密技术均基于FeistelCipherStructure源于对消息加解密效率的需求块加密类似于极端情况下的替换以64-bits的块为例则其表项将达到264替代了较小的构建块利用了乘积密码的概念理想块加密ClaudeShannonandSubstitution-PermutationCiphersClaudeShannon1949年在其论文中介绍了Substitution-Permutation（S-P）的概念构成了现代块加密的基础S-P网络基于两个密码学原语操作substitution(S-box)permutation(P-box)提供了对消息的扩散和扰乱扩散与扰乱ConfusionandDiffusion密码需要能够隐蔽源消息的统计特性一次一密（one-timepad）做的正是这点在实践上，Shannon建议组合S&P元素以达到：扩散：将明文的统计结构扩散到密文的长程统计特征中扰乱：使密文与密钥的联系尽可能的复杂FeistelCipherStructureHorstFeistel设计了feistel密码基于可逆乘积码将数据块分为两部分处理由多轮构成每轮中对数据的左一半进行替代操作，方法是将数据的右一半结合子密钥应用round函数F，然后将这个函数的输出与左边一半做异或。然后将左右两部分进行置换实现了Shannon的S-P网络概念Feistel码的设计要素分组大小：分组越大，安全性越高（其他条件不变），但同时更慢。64-bit是一个折中密钥大小：密钥长度越长则安全性越高，但加解密速度也越慢。目前倾向于128-bit循环次数：feistel密码特点是一个循环不足以保证足够的安全性。次数越多越安全。16子密钥生成算法：应足够复杂Round函数：应足够复杂加解密速度：应足够快以适应应用易于分析Feistel码解码FeistelCipherDecryptionDataEncryptionStandard(DES)当前最为广泛使用的块加密方案1977年被以前的美国标准局（NBS），现在的美国标准与技术协会（NIST）所采用作为联邦信息处理标准采用利用56-bit密钥加密64bit块数据被广泛应用其安全性曾受到争议DES的历史IBM开发了Lucifer密码由Feistel领导的小组与上世纪60年代开发使用64bit数据块，128-bit密钥在NSA参与下进行了商业重开发IBM最后提供的被接受的方案是DESDES设计之争尽管DES标准是公开的，但对其设计上存在很大分歧56-bit（原先是128-bit）其设计标准是保密的其后的应用效果与分析表明设计是可接受的对DES的应用仍旧繁荣特别是在金融应用仍旧是权威的应用之一首先64-bit的明文进行初始IP置换16次循环函数本身同时具有置换与替代函数。最后一轮输出后，将左右交换，在经过IP的逆置换可得初始置换IPInitialPermutationIP数据计算的第一步记录输入数据位最终偶数位在左半边，奇数位在右半边结构相当规则例：IP(675a69675e5a6b5a)=(ffb2194d004df6fb)注意：des的编号来源自IBM惯例，最左边的是第一位轮结构采用两个32-bitL&R半组对于任意的Feistel分组码都可以表示为:Li=Ri–1Ri=Li–1F(Ri–1,Ki)F处理32-bitR半组与48-bit子密钥:通过E将R扩展为48-bits将其与子密钥进行XOR相加经过8个S-boxes得到32-bit的结果通过32-bit置换P改变次序DES轮结构S-盒8个S-boxes将6bit映射为4bits每个S-box实际上是4个小的4bitboxes外bits1&6(rowbits)选择四行里的行号结合内bits2-5(colbits)得到替代结果是8个4bits,或者说是32bits行的选择同时依靠数据与密。example:S(1809123d11173839)=5fd25e03密钥的生成构成每轮中使用的子密钥通过初始化置换（PC-1）将56bit分成两个28bit16个阶段每个阶段左右分别经过左移调度生成新的左右两端经过合并取前面48位问题：如ASCII码的问题DES解密解密同样需要将数据展开计算根据Feistel设计,按照加密的逆序使用子密钥(SK16…SK1)IP撤销加密过程中FP的影响1轮利用SK16取消第16次加密轮的影响….16轮利用SK1撤销第一轮的影响最后FP撤销IP影响最终得到解密结果雪崩效应DES具备较好的雪崩效应改变一个bit的输入或密钥会影响近半的输出位使得密钥的强度56-bitkeys有256=7.2x1016个值暴力破解是困难的目前的发展时的成为可能in1997需要几个月in1998需要几天in199922hrs!需要能够识别明文必须寻求DES的改进处理器处理器速度（MHz）每秒处理的DES分组个数80884.7370680007.69008028661,10068020163,50068030163,90080286255,000680305010,000680402516,000680404023,000804866643,000DES的分析目前有几种分析攻击的方法针对DES它们应用到了一些深层的密码结构收集加密信息可以恢复部分/所有子密钥如果必要剩下的可以暴力破解一般来说有如下方法差分分析线性分析相关密钥攻击设计准则7条S-boxes的以达到非线性抗差分分析良好的混淆3条准则给P以达到增加扩散性块加密准则基本的如同Feistel轮数：越多越好F：提供混淆，非线性，雪崩Key：密钥雪崩，子密钥生成算法复杂其他分组密码IDEA算法RC5算法Rijndael算法差分密码分析是一种选择明文攻击方法。目前已知的攻击迭代密码体制的最有效方法之一。利用高概率特征或差分对密钥进行恢复。差分密码分析基本思想：通过对特定明文差对与之对应的密文差的影响进行分析，恢复密钥中的比特信息，并获得可能性最大的密钥。差分密码分析的复杂度差分分析的数据复杂度为加密所需的选择明文对（，）的两倍，处理复杂度与由（）中找到子密钥（或其部分比特）的计算量相同，与r无关（由于轮函数弱，该计算量通常情况下并不大）。可见，差分分析的复杂度主要取决于其数据复杂度。研究表明，利用差分方法攻击8轮、10轮、14轮和16轮DES时，需要的选择明文对的个数分别为、、、、。线性密码分析是一种已知明文攻击方法，但在某些情况下也可用于唯密文攻击。利用的是密码算法中的“不平衡（有效）的线性逼近”。线性密码分析基本思想：对于一个给定的分组密码系统，通过寻找该算法的一个有效线性近似表达式，降低密钥的墒，从而破译该系统。线性密码分析原理定义：P[i]为明文中的第i比特，同样C[i]，K[i]A[i]A[j]…A[k]表示为A[i,j,..,k]寻找一个如下形式的线性方程其中：i、j、k表示明文、密文和密钥中固定的比特位置。该方程以概率p成立（p≠0.5）。利用大量的已知明文计算方程的左侧，确定K[]的值若计算结果中大部分为0，则；若计算结果中大部分为1，则。差分-线性密码分析方法差分-线性密码分析方法是对差分方法和线性方法的改进。这种改进降低了密码分析的复杂度。用该方法攻击8轮DES可决定10位子密钥，需要768对选择明文对，攻击成功率可以达到95%。能量分析方法能量分析方法是基于密码器件的一种攻击方法。它的基本思想是：利用半导体逻辑门、运行于智能卡上的软件和别的密码器件的性能特征，通过检测器件的电子活动，使用先进的统计方法确定器件中的秘密信息（例如密钥、个人识别号）。密钥相关攻击方法相关密钥：对于给定的密钥，记其子密钥为，将子密钥集向后移1轮或者若干轮得到另一个子密钥集和该集合对应的密钥，则称密钥和密钥为相关密钥。密钥扩展算法通常是一些子算法的集合，每个子算法是由前几轮子密钥推导出某个特定子密钥的过程，容易导致相关密钥。密钥相关攻击方法密钥相关攻击方法利用的便是这些相关密钥，进行攻击所需的数据只是两个具有某种关系的相关密钥和若干明文-密文对，而与密码的轮数无关。反映了密钥扩展算法对分组密码安全性的影响。网络安全与管理第四讲软件学院田暄本讲内容块加密模式补充数论基础公钥密码学应用方式对于块定长，密钥长度定长的快加密算法实际应用当中常常需要加密任意长的数据ANSIX3.106-1983中定义了四种应用方式后来发展为5类应用于像AES&DES的算法具有块模式与流模式电子密码本ElectronicCodebookBook(ECB)明文被分块独立加密，明文块与密文块具有一一对应的关系。就像密码本（记得上节课提到的特大字符的概念吗）Ci=DESK1(Pi)用于单一值的安全传输ECB的优缺点明文块的重复会体现在密文当中，当报文量很小时没什么，但当报文量大的时候，特别是报文具备结构性特征：比如总是以某些事先规定好的域开始。那么分析者有可能获得很多可供分析的明文-密文对。结合64bit的划分，给篡改，重排带来隐患应用范围：小规模数据传输（几块）密码分组链接方式CipherBlockChaining(CBC)消息经过分块通过加密操作将分块链接起来通过将前一个密文块与当前明文块连接（异或）因而得名步骤开始时利用一个初始值Ci=DESK1(PiXORCi-1)C-1=IV用于：大量数据的加密，鉴别（http，email,ftp)CipherBlockChaining(CBC)消息填充MessagePadding消息最后可能需要处理一个小分组，这是需要进行消息填充填充方法可以是填入空值，也可以是填入填充值。Eg：[b1b2b300005]就是说8个字节前面三个是消息，后面五个是填充这样的填充有可能需要一个完整的块某些更加深奥的方法可能避免该块CBC的优缺点每一块都依赖于其前面所有的块对一块的改变可影响其后所有初始向量IV需要双方知道若明文传输，攻击者有可能篡改用固定文字（EFTPOS）先用ECB加密传。密码反馈模式CipherFeedBack(CFB)消息被作为一个数据流对待添加到加密器的后端结果被反馈在后面的过程中（由此得名）标准允许任意长度的比特数。CFB-1,CFB-8,CFB-64,CFB-128etcCi=PiXORDESK1(Ci-1)C-1=IV用于：流数据加密，鉴别CFBCFB优缺点适应于数据一比特或字节到达最常见的流模式每过n比特需要等待块加密加密过程应用于两端错误影响其后多个块输出反馈模式OutputFeedBack(OFB)消息被作为数据流对待加密结果被加到消息上输出的是接下来的反馈反馈独立于消息Ci=PiXOROiOi=DESK1(Oi-1)O-1=IV用于噪声信道优缺点比特错误不会传播易受报文篡改攻击双方应保持同步目前用的就是64bit与128bit的Counter(CTR)一个新的方式与OFT相似但是加密的是对应值（countervalue）而不是反馈值每个明文块都要有不同的密钥与对应值Ci=PiXOROiOi=DESK1(i)用于高速网络加密传播优缺点高效可并行可预处理爆发性高速连接随机存取加密块可证安全需保证密钥与对应值不复用流加密将报文作为数据流处理有一个伪随机密钥流通过XOR操作与原文按位复合随机的密钥流完全破坏了报文的统计特性：Ci=MiXORStreamKeyi不可重用StreamCipherStructure特点设计准则应该满足：长时期的不重复较强的统计随机性依赖于足够大的密钥较大的线性复杂度设计恰当的话能达到不亚于块加密的效果简便高速RC4RonRivest设计，简单高效可变密钥长度，面向字节的广泛应用（ssl，wep）密钥构成对8比特数据的置换每次一个字节将报文进行置换乱排方案开始由一个数组S：0，。。。，255利用密钥进行混洗S构成了初始状态fori=0to255doS[i]=iT[i]=K[imodkeylen])j=0fori=0to255doj=(j+S[i]+T[i])(mod256)swap(S[i],S[j])RC4加密加密过程继续混洗数组通过混洗，置换等操作取出子密钥按字节加密i=j=0foreachmessagebyteMii=(i+1)(mod256)j=(j+S[i])(mod256)swap(S[i],S[j])t=(S[i]+S[j])(mod256)Ci=MiXORS[t]安全性对已知攻击方式抵御较好很好的非线性不可重用密钥WEP的应用问题群一个元素的集合对于定义的运算封闭遵从结合律：(a.b).c=a.(b.c)由单位元e：e.a=a.e=a有逆元：a-1:a.a-1=e如果还遵从交换律：a.b=b.a则我们称该群为阿贝尔群（交换群）abeliangroup循环群定义幂运算为群上运算的重复叠加例：a3=a.a.a且有单位元e=a0我们说一个群是循环的就是指对该群中的任意元素均可表示为某一固定元素的幂ieb=ak对某个a与与任意一个b在群中。其中a称为该群的生成元环集合上定义了两种操作（乘和加）对于加法运算是一个阿贝尔群对于乘法运算有是封闭的满足结合律具有对加运算符合分配率：a(b+c)=ab+ac若对乘法具有可交换性则称为交换环若对乘法运算有单位元但无零因子，则称为整环域域作为定义了两中运算的集合具有对于加法是阿贝尔群对于乘法是阿贝尔群（忽略0）是一个环模运算定义“amodn”表示用n去除a得到的余数用“a=bmodn”表示a与b模n具有相同的余数对于一个数a通常可以表示为a=qn+r称r为余数（余数通常取最小的正数）模运算的性质模运算我们在整数群上定义模运算Zn={0,1,…,n-1}构成了一个加法交换群具有乘法单位元具有下面的性质：if(a+b)=(a+c)modnthenb=cmodnbutif(a.b)=(a.c)modnthenb=cmodn当且仅当a与n互质例如：出现这种情况的原因是当有公因数时不会产生完整的余数集合最大公约数gcd该问题是数论中的一个普便问题GCD(a,b)表示能同时整除a与b的数中最大的一个当除1外不存在其它公因式时称作互质EuclideanAlgorithm该算法是一个很有效的计算最大公约数的算法利用到了GCD(a,b)=GCD(b,amodb)EUCLID(a,b)1.A=a;B=b2.ifB=0returnA=gcd(a,b)3.R=AmodB4.A=B5.B=R6.goto2例1970=1x1066+904gcd(1066,904)1066=1x904+162gcd(904,162)904=5x162+94gcd(162,94)162=1x94+68gcd(94,68)94=1x68+26gcd(68,26)68=2x26+16gcd(26,16)26=1x16+10gcd(16,10)16=1x10+6gcd(10,6)10=1x6+4gcd(6,4)6=1x4+2gcd(4,2)4=2x2+0gcd(2,0)练习：gcd（2152，764）迦罗华域（有限域）GaloisFields有限域理论在密码学中具有重要作用元素数为某一个素数的n次方这样的域被称为有限域（迦罗华域）记为GF(pn)经常用到的有：GF(p)GF(2n)GaloisFieldsGF(p)GF(p)是{0,1,…,p-1}的集合，其上定义了模p的算术运算构成了一个有限域因为乘法运算有逆元其上可以进行加减乘除运算GF(7)Example012345600000000101234562024613530362514404152635053164260654321FindingInversesEXTENDEDEUCLID(m,b)1.(A1,A2,A3)=(1,0,m);(B1,B2,B3)=(0,1,b)2.ifB3=0returnA3=gcd(m,b);noinverse3.ifB3=1returnB3=gcd(m,b);B2=b–1modm4.Q=A3divB35.(T1,T2,T3)=(A1–QB1,A2–QB2,A3–QB3)6.(A1,A2,A3)=(B1,B2,B3)7.(B1,B2,B3)=(T1,T2,T3)8.goto2练习：550在1769上的逆Inverseof550inGF(1759)QA1A2A3B1B2B3—101759015503015501–310951–3109–516521–5165106–33941106–3394–1113551多项式算数可以使用多项式运算f(x)=anxn+an-1xn-1+…+a1x+a0=∑aixinb.并不关心x的值x作为不确定的值可以有若干可变的选择原始多项式运算modp多项式运算modp与modm(x)多项式运算原始多项式算数可以有加，减，乘eg取f(x)=x3+x2+2g(x)=x2–x+1f(x)+g(x)=x3+2x2–x+3f(x)–g(x)=x3+x+1f(x)xg(x)=x5+3x2–2x+2模系数的多项式运算在计算系数的时候模某个值构成一个多项式环可以模任意的素数更为关心的是mod2的运算ie所有的系数为0或1eg.letf(x)=x3+x2andg(x)=x2+x+1f(x)+g(x)=x3+x+1f(x)xg(x)=x5+x2多项式除法可以把任意多项式写成如下形式:f(x)=q(x)g(x)+r(x)可以把r(x)作为一个余项r(x)=f(x)modg(x)如果没有余项说g(x)整除f(x)如果g(x)没有除了1和它自身以外的因子则称其为不可归约多项式或（素）多项式算数模和不可约多项式构成了一个域多项式最大公约数可以找到多项式的最大公约数c(x)=GCD(a(x),b(x))如果c(x)isthepolyofgreatestdegreewhichdividesbotha(x),b(x)可以通过欧几里得算法求出:EUCLID[a(x),b(x)]1.A(x)=a(x);B(x)=b(x)2.ifB(x)=0returnA(x)=gcd[a(x),b(x)]3.R(x)=A(x)modB(x)4.A(x)¨B(x)5.B(x)¨R(x)6.goto2模多项式算数可以在域GF(2n)中运算多项式系数都模2次数小于n因此需要利用一个次数为n的不可归约多项式为模进行简化(仅对乘运算)构成一个有限域总能找到相应的逆元可以利用扩展的欧几里得求逆算法寻找ExampleGF(23)计算的考量因为系数是0或者1,可以把任意的比特串转化为多项式形式加法成为这样比特串的XOR运算乘法是shift&XOR模运算通过将最高次幂替换为不可归约多项式的余项获得(alsoshift&XOR)ComputationalExampleinGF(23)have(x2+1)is1012&(x2+x+1)is1112soadditionis(x2+1)+(x2+x+1)=x101XOR111=0102andmultiplicationis(x+1).(x2+1)=x.(x2+1)+1.(x2+1)=x3+x+x2+1=x3+x2+x+1011.101=(101)<<1XOR(101)<<0=1010XOR101=11112polynomialmoduloreduction(getq(x)&r(x))is(x3+x2+x+1)mod(x3+x+1)=1.(x3+x+1)+(x2)=x21111mod1011=1111XOR1011=01002UsingaGeneratorequivalentdefinitionofafinitefieldageneratorgisanelementwhosepowersgenerateallnon-zeroelementsinFhave0,g0,g1,…,gq-2cancreategeneratorfromrootoftheirreduciblepolynomialthenimplementmultiplicationbyaddingexponentsofgeneratorAES起源很明显DES需要被改进具有理论的攻击方式加以破解穷举密钥搜索攻击示范可以使用Triple-DES–但是速度较慢而且分块较小USNIST1997提出了对加密器的征求98年六月挑选了15个算法99年8月进入最后候选2000年10月Rijndael获选为AES200110月发布为FIPS（theFederalInformationProcessingStandards,(美国)联邦信息处理标准）PUB197AES需求对称块加密128-bit数据,128/192/256-bit密钥相比于Triple-DES更加快速与安全实际应用20-30年(+实际应用)提供了完整的规范与设计细节同时具有C&Java实现NIST已经解密了所有提交的和非机密的分析AES评估标准初始标准:安全性–实际密码分析的的效果成本–依据计算效率算法与实现的性能最终标准一般安全性软硬件实现对于实施的攻击灵活性(inen/decrypt,keying,otherfactors)AESShortlist经过测试与评估,99年8月提出的shortlist:MARS(IBM)-complex,fast,highsecuritymarginRC6(USA)-v.simple,v.fast,lowsecuritymarginRijndael(Belgium)-clean,fast,goodsecuritymarginSerpent(Euro)-slow,clean,v.highsecuritymarginTwofish(USA)-complex,v.fast,highsecuritymargin然后对其进行更进一步的analysis&comment在算法中进行对比复杂论变换与简单变换现有加密器与新标准TheAES加密器-Rijndael由比利时Rijmen-Daemen设计有128/192/256bit密钥,128bit数据一个胜于feistel加密器的迭代把数据作为4字节4列的块进行处理在每一轮对整个数据块进行操作设计以达到:抵抗已知攻击在许多CPUs上的速度与代码的紧致设计的简明Rijndael4列4个字节的数据块作为statekey被扩展为字符数组在9/11/13轮中state做下面变化:逐字节替代(1S-box用在每一个字节)行移位(permutebytesbetweengroups/columns)列混淆(subsusingmatrixmultipyofgroups)加轮密钥(将轮密钥与stateXOR)可以看做交替的使用轮密钥XOR与对数据字节进行扰乱的操作XORkey需要初始化操作&最后一轮只有三步变化可以采用高速的查表操作实现RijndaelByteSubstitution对每个字节进行简单的替代操作使用一个16x16字节的表，其中包含了256个8bit值的置换每个state的字节通过查表左4bits的行号与右4bit的列号替代eg.byte{95}被第9行第5列的{2A}替代S-box的构造利用了GF(28)上值的变换被设计来抵抗已知的攻击ByteSubstitution行移位对行进行循环移位操作1strow不变2ndrow左移一个字节3rdrow左移两个字节4throw左移三个字节解密逆操作使用右移相应字节的方式实现由于state是按照列进行操作的,这一步在列之间进行了字节置换操作ShiftRows列混洗每一列均单独处理each每个字节均由一个与其同列的4个字节相关值替代使用GF(28)上的矩阵乘运算使用的“素”多项式m(x)=x8+x4+x3+x+1MixColumnsMixColumns可以把每一列表示为4个等式以获得每一列的新的字节解密需要使用逆矩阵使用了大系数,所以有一点难有另一种描述方式每一列是一个4次多项式使用GF(28)上的系数多项式乘的模为(x4+1)加轮密钥XORstate使用128-bits的轮密钥再一次以列为单位操作(通过一系列以字节为单位的操作)作为逆操作解密使用同样的密钥因为XOR是其本身的逆操作被设计为尽可能的简单安全性的满足来自于密钥扩展的复杂性和AES其它阶段运算的复杂性AddRoundKeyAESRoundAES密钥扩展使用128-bit(16-byte)密钥并扩展为44/52/6032-bitwords的数组将初始密钥拷贝到最初4words然后循环利用4个words填充剩下的部分与i-1与i-4相关4种情况中的3种只是使用XOR操作对于下标被4整除的要经过循环移位+S-box+XOR轮系数操作,然后再与上一轮第一个XORAESKeyExpansion密钥扩展的合理性设计以抵抗已知攻击知道密钥或轮密钥的部分位不足以知道其它位可逆变化可以在各种CPU上有效的执行使用轮常量以排除对称性将密钥差异扩散到轮密钥中足够的非线性易于描述AES解密AES解密与加密并不相同因为步骤是相反的可以定义一个等价的解密算法使其具有与加密相同的结构但是在每一步使用了相应的逆变换密钥策略有所变化（除了第一和最后一轮轮密钥需要经过逆列混淆变换再XOR）效果不变因为下面的变化成立交换字节替代&行移位交换列混淆&加(tweaked)轮密钥AESDecryption实现可以有效的在8-bitCPU实现byte代换是在字节级别操作的，只要求一个256字节的表行移位是一个简单的字节移位加轮密钥就是简单的字节XOR’s列混淆需要GF(28)上的字节值矩阵乘法可以简单的使用查表&字节XOR实现情况可以有效的在32-bitCPU上实现重新在32位的字上定义步骤预先计算4个256-words的表然后每一轮的每一列可以通过4个表的查表与4XORs完成需要4Kb存储表开发者认为这种紧凑有效地实现方式可能是Rijndael获选AES的原因总结AES的选择过程Rijndael–AEScipher的细节轮步骤的构成密钥扩展实现计算机网络安全与管理第五讲理论基础软件学院田暄本讲内容信息论基础抽象代数可计算性与计算复杂性数论基础Shannon的保密系统信息理论1949年，Shannon发表了一篇题为《保密系统的信息理论》的论文。用信息论的观点对信息保密问题进行了全面的阐述。宣告了科学的密码学时代的到来。通信系统模型目的：在信道有干扰的情况下，使接收的信息无错误或差错尽可能小。保密系统模型目的：使窃听者即使在完全准确地收到了接收信号的情况下也无法恢复出原始消息。密码体制的安全性（1）无条件安全或完善保密性（unconditionallysecure）：不论提供的密文有多少，密文中所包含的信息都不足以惟一地确定其对应的明文；具有无限计算资源（诸如时间、空间、资金和设备等）的密码分析者也无法破译某个密码系统。完善保密性一个保密系统（P，C，K，E，D）称为完善的无条件的保密系统，如果H(P)=H(P|C),其中，P为明文集合，C为密文集合，K为密钥集合，E为加密算法,D为解密算法,则完善保密系统存在的必要条件是H(P)≤H(K)。可见，要构造一个完善保密系统，其密钥量的对数（密钥空间为均匀分布的条件下）必须不小于明文集的熵。从熵的基本性质可推知，保密系统的密钥量越小，其密文中含有的关于明文的信息量就越大。存在完善保密系统如：一次一密（one-timepad）方案；不实用。密码体制的安全性（2）实际上安全计算上是安全：算出和估计出破译它的计算量下限，利用已有的最好的方法破译该密码系统所需要的努力超出了破译者的破译能力（诸如时间、空间、资金等资源）。可证明安全：从理论上证明破译它的计算量不低于解已知难题的计算量。伪密钥和惟一解距离当分析者截获到密文c时，他首先利用所有的密钥对其进行解密，并得到明文m′＝Dk(c)，k∈K。接下来，对于所有有意义的消息m′，他记录下与之对应的密钥。这些密钥构成的集合通常含有多个元素，并且至少含有一个元素，即正确的密钥。人们把那些可能在这个集合中出现但并不正确的密钥称为伪密钥（spuriouskey）。一个保密系统的惟一解距离定义为使得伪密钥的期望数等于零的n的值，记为n0，即在给定的足够的计算时间下分析者能惟一地计算出密钥所需要的密文的平均量。用于衡量在惟密文攻击下破译一个密码系统时，密码分