[日常] 1. 信息安全

1 信息安全概述

信息安全：Information Security

1.1 信息安全事件

典例

典例1 棱镜门事件；

典例2 WannaCry勒索病毒事件；

典例3 Bleedheart

典例4 财付通余额被盗，QQ被盗

典例5 用户资料泄漏

典例6 钓鱼网站

1.2 信息安全现状

1.2.1 信息化现状

国防建设：全球预警、战区信息化、综合指挥系统；

国家能源、交通：国家电网的输配电、交通调度指挥；

企业生产、经营：异地生产协调、库存管理、企业动态联盟、电子商务

1.2.2 信息的威胁

• 互联网体系结构的开放性
  • 一方面用户容易忽视系统的安全状况，
  • 另一方面也引来了不法分子利用网络的漏洞来满足个人的目的
• 网络基础设施和通信协议的缺陷
  • 信任关系
  • 端口识别
• 网络应用高速发展
• 黑客
• 恶意软件（Malware）
• 操作系统漏洞
• 内部安全
• 社会工程学

要求掌握病毒、蠕虫、木马的区别和联系

计算机病毒：能自我复制或运行的电脑程序；电脑病毒往往会影响受感染电脑的正常运作；

蠕虫： 指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序

木马程序： 是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能

1.3 信息安全定义

1.3.1 计算机安全

目标

包括保护信息免受未经授权的访问、中断和修改，同时为系统的预期用户保持系统的可用性

定义

为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏

1.3.2 网络安全

研究对象

整个网络，研究领域比计算机系统安全更为广泛

目标

要创造一个能够保证整个网络安全的环境，包括网络内的计算机资源、网络中传输及存储的数据和计算机用户。通过采用各种技术和管理措施，使网络系统正常运行，确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等

涉及领域

密码学设计、网络协议的通信、安全实践

网络安全模型

使用网络安全模型的需求

• 设计算法，他执行与安全相关的变换；该算法应是攻击者无法攻破的

• 产生算法所使用的秘密信息；

• 设计分配和共享秘密信息的方法；

• 指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务；

网络访问安全模型

使用网络访问安全模型的需求

• 选择恰当的门卫来辨别用户；
• 实现安全控制使得仅有授权用户可以得到选定的信息或资源

1.3.3 信息安全

定义

网络信息系统中，涉及到信息传输、信息存储以及对网络传输信息内容等各个环节的安全。

• 传输安全涉及通信、软硬件设备

• 存储安全涉及介质、读写设备、管理

• 内容安全涉及涉密等级、权限控制、内容管理

信息安全涉及到信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)、可控性(controllability)。

目标

信息安全作为一个更大的研究领域，对应信息化的发展，信息安全包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要

保密性 Confidentiality

• 数据保密性 ：确保隐私或者秘密信息不向非授权者泄露，也不被非授权者使用
• 隐私性：确保个人能够控制或确定与其自身相关的哪些信息是可以被收集、被保存的，这个信息可以由谁来公开以及向谁公开
• 加密算法
  • 加密通过一个加密算法和一个密钥对数据进行处理，数据处理前称为明文，处理后称为密文。
  • 加密算法分为对称和非对称两种
  • 对称加密算法中加密方与解密方有相同的密钥，在算法过程中，加密与解密共用一个相同密钥
  • 而非对称加密算法有两个密钥：一个可公开的公钥和一个需要妥善保管的密钥，通信过程中，发送方使用接收方发布的公钥进行加密，加密后只有接收方的密钥才可以进行解密

完整性 Integrity

• 数据完整性： 是指数据的精确性（Accuracy）和可靠性（Reliability），确保信息和程序只能以特定和授权的方式进行改变
• 系统完整性： 确保系统以一种正常的方式来执行预定的功能，免于有意或者无意的非授权操纵
• Hash算法：
  • Hash算法是保护数据完整性的最好方法，Hash算法对输入消息进行相应处理并输出一段代码，称为该信息的消息摘要
  • Hash函数具有单向性，所以在发送方发送信息之前会附上一段消息摘要，用于保护其完整性

可用性 Availability (Dos攻击)

可用性：确保系统能工作迅速，对授权用户不能拒绝服务

CIA三元组

保密性、完整性和可用性。 体现数据、信息和计算机服务的基本的安全目标

真实性和可追溯性 Authenticity Accountability

• 真实性：一个实体是真实性的、是可被验证和可被信息的特性
  • 信息是真实的
  • 信息来源是真实的
• 可追溯性： 实体的行为可以唯一追溯到该实体

可控性

• 可控性关键： 对网络中的资源进行标识，通过身份标识达到对用户进行认证的目的。一般系统会通过使用“用户所知”或“用户所有”来对用户进行标识，从而验证用户是否是其声称的身份
• 认证因素：用户名、密码、视网膜、指纹、物理位置、身份卡

不可否认性

• 不可否认服务：用于追溯信息或服务的源头

• 数字签名技术

• 通过数字签名，使其信息具有不可替代性，而信息的不可替代性可以导致两种结果：
  * 在认证过程中，双方通信的数据可以不被恶意的第三方肆意更改
  * 在认证过程中，信息具有高认证性，并且不会被发送方否认

1.3.4 严格意义的安全

安全性的定义

一种避免由于任何风险、危险和威胁所能带来的伤害的能力（辞典定义）

我们能做什么

• 达到所需要的安全
• 对于可以预见的风险、危险和威胁，不要受到太多的伤害（可期望的）

1.3.5 安全性分类

• 无条件安全性（信息熵角度）
  $$I(X;Y)=H(X)-H(X|Y)=0$$

• 计算上的安全性

  • 计算资源受限

• 复杂度理论的安全性

  • 计算上是困难

• 可证明的安全性

  • 规约为数学问题

• 非密码的、系统的安全性

  • 不期望的状态不可达

1.4 OSI安全框架

安全评价方案

• 有效评价一个机构的安全需求
• 对各种安全产品和政策进行评价和选择

ITU-T(国际电信联盟电信标准化组)推荐的方案 ，OSI安全框架

1.4.1 OSI安全框架

OSI安全框架给出了一种系统化的定义方法

• 安全攻击： 任何危及信息系统安全的行为
• 安全机制： 用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程（或实现该过程的设备）
• 安全服务： 加强数据处理系统和信息传输的安全性的一种处理过程或通信服务；其目的在于利用一种或多种安全机制进行反攻击

1.4.2 攻击与威胁

威胁：破坏安全的潜在可能，在环境、能力、行为或事件允许的情况下，它们会破坏安全，造成危害；

攻击：对系统安全的攻击，它来源于一种具有智能的威胁，也就是说，有意违反安全服务和侵犯系统安全策略的智能行为

• 被动攻击
• 主动攻击

区别

• 可能导致破坏发生的行为被称为攻击(attack)
• 破坏行为的完成者被称为攻击者

被动攻击 Passive Attack

被动攻击：试图理解或利用系统的信息但不影响系统资源；对传输进行窃听和监测

• 通过加密的手段可以阻止被动攻击。处理被动攻击的重点是预防，而不是检测
• 信息内容的泄露
• 解决手段：加密技术

主动攻击 Active Attack

主动攻击：试图改变系统资源或影响系统运作；对数据流进行修改或伪造数据流

• 伪装

• 重播

• 消息修改

• 拒绝服务

主动攻击难以绝对预防，但容易检测

其他攻击类型

• 信源否认：即某实体欺骗性地否认曾发送（或创建）某些信息，是某种形式的欺骗

• 信宿否认：某实体欺骗性地否认曾接收过某些信息或消息，也是一种欺骗

• 延迟：暂时性地阻止某种服务，这是一种篡夺攻击，尽管它能对欺骗起到支持的作用

1.4.3 如何达到安全

• 提供安全服务(security-related services)

  • 使得系统安全得到保护而免受威胁。

• 制定安全策略(security policy)

  • 安全策略能辨识威胁，并定义出能够确保系统安全的条件(是对允许什么、禁止什么的规定)。

• 完善安全机制(security mechanisms)

  • 负责检测和预防攻击，以及从攻击中成功地恢复工作
  • 实施安全策略的一种方法、工具或者规程

安全服务

• 安全服务：
  • 为通信开放系统的协议层提供的服务，从而保证系统或数据传输有足够的安全性。
  • 一种由系统提供的对系统资源进行特殊保护的处理或通信的服务。
• 安全服务通过安全机制来实现安全策略

1.安全服务–认证

• 认证服务与保证通信的真实性有关
• 认证服务功能是向接收方保证消息来自所声称的发送方
• 两个特殊的认证服务
  • 同等实体认证：用于逻辑连接时为连接的实体的身份提供可信性
  • 数据源认证：连接传输时保证收到的信息来源是声称的来源
• 例：电子邮件服务

2.安全服务–访问控制

• 访问控制是一种限制或控制那些通过通信连接对主机和应用进行访问的能力
• 阻止对资源的非授权使用（即这项服务控制谁能访问资源，在什么条件下可以访问，这些访问的资源可用于做什么）
• 例：学校的信息系统、论坛、百度文库

3.安全服务–保密性

• 连接保密性：保护一次连接中所有的用户数据

• 无连接保密性：保护单个数据块里的所有用户数据

• 选择域保密性：对一次连接或单个数据块中指定的数据部分提供保密性

• 流量保密性：保护那些可以通过观察流量而获得的信息

• 提供保密性安全服务手段

  • 加密 encryption 技术
    • 密码是一种提供保密性的访问控制（access control）机制
    • 密码技术通过混乱数据，使数据内容变得难以理解
    • 密钥控制着数据的访问权，这样密钥本身又成为另一个有待保护的数据对象
    • 依赖于系统的机制能够防止信息的非法访问

4.安全服务–数据完整性

• 具有恢复功能的连接完整性：
  • 提供一次连接中所有用户数据的完整性
  • 检测整个数据序列内存在的修改、插入、删除或重播，且试图恢复
• 无恢复的连接完整性：仅提供检测，无恢复
• 选择域连接完整性：提供一次连接中传输的单个数据内用户的制定部分的完整性，并判断指定部分是否有修改、插入、删除或重播
• 无连接完整性：为单个无连接数据块提供完整性保护，并检测是否有数据修改
• 选择域无连接完整性：为单个无连接数据块内的指定域提供完整性保护
• 提供完整性的方法
  • 检测 （Hash、MAC）
  • 预防（认证、访问控制）

5.安全服务—不可否认性

• 源不可否认：证明消息是由特定方发出的
• 宿不可否认：证明消息被特定方接收

6.安全服务–可用性

• 可用性：根据系统的性能说明，能够按被授权系统实体的要求访问或使用系统和系统资源的性质
• 可用性服务由拒绝服务攻击引起
• 可用性服务依赖对系统资源的恰当管理和控制，因此依赖于访问控制服务或其它服务
• 提供可用性安全性服务手段
  • 认证
  • 加密

安全策略与安全机制

策略与机制之间的差别对于学习安全非常关键

• 安全策略是对允许什么、禁止什么的规定
• 安全机制是实施安全策略的一种方法、工具或者规程

特定安全机制

特定安全机制：可以并入适当的协议层以提供一些OSI安全服务

（加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证）

普遍的安全机制

不局限于任何特定的OSI安全服务或协议层的机制

（可信功能、安全标签、事件检测、安全审计跟踪、安全恢复）

安全服务安全机制的关系

安全网络设计

• 所处环境（威胁在哪）
• 明确安全目标（想要什么）
• 愿意付什么代价（安全成本分析）
• 涉及关键技术（加密、授权、认证、审计）
• 制定解决方案（建立安全保障体系）
• 实施与管理规范（配套的手段检查与督促）

2 密码学基础

2.1 密码体制

定义：一个密码体制是满足以下条件的五元组$(P,C,K, \varepsilon,D) $

• $P$表示所有可能的明文组成的有限集
• $C$表示所有可能的密文组成的有限集
• $K$代表密钥空间，是由所有可能的密钥组成的有限集
• 对任意的$k\in K$，都存在一个加密法则$e_k\in \epsilon$和相应的解密法则$d_k\in D$。并且对每个$e_k：P\to C$和$d_k：C\to P$，对任意的明文$x\in P$，均有$d_k(e_k(x))=x$。

2.2 通信信道

2.3 算法设计的公开原则

• 柯克霍夫原则（Kerckhoffs’ Principle）
  • The cipher method must not be required to be secret, and it must be able to fail into the hands of the enemy without inconvenience.
  • 密码系统安全是基于密钥的而不是算法的保密

2.4 密码分析

• 密码分析：如果能对密文的分析确定明文或密钥，或者能够根据明文-密文对确定密钥，该破译过程称为密码分析
  • 数学分析：密码分析者针对解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码
  • 物理分析：针对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法称为测信道攻击
• 穷举攻击

2.5 密码分析学

• 1.唯密文攻击（ciphertext only attack）
• 2.已知明文攻击（known plaintext attack）
• 3.选择明文攻击（Chosen plaintext attack）
• 4.选择密文攻击（Chosen ciphertext attacks）

注意：上述由下到上(4–>1) 破译难度增加

2.6 古典密码–移位密码

• 移位密码（Shift Cipher）
  • 令$P（明文）=C（密文）=K（密钥）={\mathbb{Z}}_{26}$。对$0\le K\le 25$，任意$x,y\in {\mathbb{Z}}_{26}$，定义加密变换和解密变换分别为$e_K(x)=(x+K)mod26$和$d_K(y)=(y-k)mod26$
• 例：密文 L ORYH BRX 明文 I LOVE YOU 密钥 3

2.7 古典密码–代换密码

• 代换密码：
  • 令$P=C={\mathbb{Z}}_{26}$。$K$由26个数字$0,...,25$的所有可能置换(重新排列)组成。对任意的置换$\pi \in K$，定义加密变换和解密变换分别为$e_{\pi }(x)$和$d_{\pi }={\pi }^{-1}(y)$
• 例

2.8 古典密码–维吉尼亚密码

• 维吉尼亚密码（要求掌握）
  • 设$m$是一个正整数。定义$P=C=K=({\mathbb{Z}}_{26}{)}^m$。对任意的密钥$K=(k_1,k_2,...,k_m)$，定义加密和解密算法分别为：$e_K(x_1,x_2,...,x_m)=(x_1+k_1,x_2+k_2,...,x_m+k_m)$和$d_K(y_1,y_2,...,y_m)=(y_1-k_1,y_2-k_2,...,y_m-k_m)$，以上所有的运算均在${\mathbb{Z}}_{26}$上进行

注：超过m，则按m进行分组加密

需求：明文：信息安全；密钥：key；由维吉尼亚加密，求密文

2.9 古典密码–希尔密码

• 希尔密码
  • 设$m\ge 2$为正整数，$P=C=({\mathbb{Z}}_{26}{)}^m$，且 K = { 定义在 Z 26 上的 m × m 可逆矩阵 } K=\{定义在\Z_{26}上的m×m可逆矩阵\} K={定义在Z26​上的m×m可逆矩阵}。对任意的密钥$K$，定义加密变换和解密变换分别为$e_K(x)=xK$和$d_K(y)=y{K}^{-1}$以上所有的运算均在${\mathbb{Z}}_{26}$上进行。

2.10 古典密码–仿射密码

• 仿射密码
  • 令$P=C={\mathbb{Z}}_{26}$，且$K=\{(a,b)\in {\mathbb{Z}}_{26}\times {\mathbb{Z}}_{26}|gcd(a,26=1\}$。对任意的$K=(a,b)\in K,x,y\in {\mathbb{Z}}_{26}$，定义加密变换和解密变换分别为$e_K(x)=(ax+b)mod26$和$d_K(y)=a^{-1}(y-b)mod26[其中a^{-1}表示a的逆运算]$。
• 例：密钥$K=(7,3)$，加密变换$e_K(x)=7x+3$；由于$7^{-1}mod26=15$，所以解密变换为$d_K(y)=15(y-3)=15y-19$。

扩展的欧几里得算法

• 一般欧几里得算法：计算两个数的最大公约数

int gcd(int a,int b)
{
    if(b == 0)
    {
        return a;
    }
    return gcd(b,a%b);
}

• 扩展欧几里得算法：一定存在整数$x,y$满足等式$a\ast x+b\ast y=gcd(a,b)$
  【自学即可】

2.11 古典密码–置换密码

• 置换密码
  • 设$m$是一个正整数。定义$P=C=({\mathbb{Z}}_{26}{)}^m$。$K$由所有定义在集合$1,2,...,m$上的置换组成。对任意的密钥（置换）$\pi$，定义加密算法和解密算法分别为：$e_K(x_1,...,x_m)=(x_{\pi (1)},...x_{\pi m})$和$d_K(y_1,...,y_m)=(y_{{\pi }^{-1}(1)},...,y_{{\pi }^{-1}(m)})$，上式中${\pi }^{-1}$为置换$\pi$的逆置换。

2.12 一次一密（one time pad）[无条件、绝对安全]

• 假设$n\ge 1$是正整数，$P=C=K=({\mathbb{Z}}_2{)}^n$。对于$K\in ({\mathbb{Z}}_2{)}^n$，定义$e_k(x)$为$K$和$x$的模2的向量和（或者说是两个相关比特串的异或）。因此，如果$x=(x_1,...,x_n)$并且$K=(K_1,...,K_n)$，则
  $$e_K(x)=(x_1+K_1,...,x_n+K_n)mod2，$$

  解密和加密是一样的。如果$y=(y_1+K_1,...,y_n+K_n)mod2$。

注：

1.密钥的长度和明文消息长度一致

2.每次加密所使用的密钥都需要随机选取

2.13 密码系统

对称密码

• 定义：加密使用相同密钥的密码体制
• 对称密码：
  • 分组密码：是一种加密方案，它将输入的明文分组当作一个整体处理，输出一个等长的密文分组；
  • DES，AES，Blowfish，Twofish，Skipjack，RC2
  • 轻量级分组密码：LBlock，Present，SIMON，SPECK，LED
  • 流密码： 从明文输入流逐位或逐字节产生密文输出。RC4，ZUC，A5

2.13.1 分组密码

• 定义：将明文分组消息编码表示后的数字（通常是0或1）序列$x_1,x_2,...$划分成长为$m$的组$x=(x_1,x_2,...,x_m)$，各组（长为$m$的向量）分别在密钥$k=(k_1,k_2,...,k_t)$的控制下变换成等长的输出数学序列$y=(y_1,y_2,...,y_n)$（长为$n$的向量）
• 数学模型：

• 分组密码形式化定义：

  • 分组密码是一种满足下列条件的映射$E:S_K\times F_2^m$：对每个$k\in S_K$，$E(k,.)$是从$F_2^m$到$F_2^m$的一个置换。

• 分类：

  • 若$n>m$，称为有数据扩展的分组密码
  • 若$n<m$，称为有数据压缩的分组密码
  • 若$n=m$，称为无数据扩展或压缩的分组密码（通常均为此类）

• 优点：

  • 分组密码容易被标准化
  • 分组密码容易实现同步

• 缺点：

  • 分组密码不能隐蔽数据模式
  • 分组加密不能抵抗重放、嵌入和删除等攻击

1.DES 算法

整体结构

• 明文长度 $64bit$
• 密钥长度 $56bit$
• 密文长度 $64bit$
• 轮数 $16轮$
• 加密算法
  • $x_0=IP(x)=L_0{R}_0$，其中$x$是明文，$L_0$是$x_0$左$32bit$，$R_0$是$x_0$右$32bit$
  • $L_i=R_{i-1};R_i=L_{i-1}\oplus f(R_{i-1},K_i)$，其中$f$是轮函数，$K_i$是长度为$48bit$的第$i$轮密钥
  • 密文 $y=I{P}^{-1}(R_{16}{L}_{16})$
    [备注：密钥本身也64bit，但有8个校验位，实际有效长度为56bit]

DES算法的轮函数

f 函数图解

$A=(a_1,a_2,...,a_{3}2)，E(A)=(a_{3}2,a_1,a_2,a_3,a_4,a_5,a-4,...,a_{3}1,a_{3}2,a_1)$

[如何将6bit经过非线性变换转换成4bit] [要求掌握]
$8$个$S$盒$S_1,...,S_8$,每个$S$盒， S i ： { 0 ， 1 } 6 → { 0 ， 1 } 4 S_i：\{0，1\}^6\rightarrow \{0，1\}^4 Si​：{0，1}6→{0，1}4。若$B_j=b_1{b}_2{b}_3{b}_4{b}_5{b}_6$，则计算$S_j(B_j)$，用$b_1{b}_6$两比特决定$S_j$某一行$r(0\le r\le 3)$的二进制表示，用$b_2{b}_3{b}_4{b}_5$四比特决定$S_j$某一列$c(0\le c\le 15)$的二进制表示，则$S_j(B_j)$被定义为写做二进制的$4$比特串$S_j(r,c)$。
[例1] 已知$S_1=(100110)$，求非线性变换结果
[解] 行$10$ 列$0011$，$\therefore$ 非线性变换结果为第2行第3列的值，为$8$，其二进制写法为$(1000{)}_2$

[例2] 已知$S_2=(010101)$，求非线性变换结果
[解] 行$01$ 列$1010$，$\therefore$ 非线性变换结果为第1行第10列的值，为$1$，其二进制写法为$(0001{)}_2$

[注意]：行号列号从0开始
[置换操作]
$C=(c_1,c_2,...,c_{32}),P(C)=(c_{16},c_7,c_{20},c_{21},c_{29},...,c_{11},c_4,c_{25})$

DES密钥扩展算法

[将56bit密钥变换成16bit和48bit的密钥]

• 密钥扩展算法$K=(k_1,...,k_{64})$
  • 删除8个校验位得到$K^{\prime }=(k_1,...,k_7,k_9,...,k_{1}5,...,k_{6}3)$
  • $PC-I(K^{\prime })=C_0{D}_0$
  • 对每个$i$，$1\le i\le 16$，计算$$$\begin{gathered} {C}_i=C_{i-1}<<<l \\ {D}_i=D_{i-1}<<<l \\ {K}_i=PC-2(C_i{D}_i) \\ 其中，当i=1,2,9,16时，l=1; \\ 当i=3,4,5,6,7,8,10,11,12,13,14,15时，l=2 \end{gathered}$$
    
    
    

多重DES—二重DES

多重DES—三重DES

2.AES

AES简介

• 明文长度和密文长度：$128bit$
• 密钥长度：$128bit/192bit/256bit$
• 轮数$N_r$：$10轮/12轮/14轮$
• 加密过程：

  • $128bit$明文P看成是16个$GF(2^8)[有限域]$上的元素

  • $X_0=P⨁K_0$；

  • $Fori=1to{N}_r-1$

    • $X_i=AK\circ MC\circ SR\circ SB(X_{i-1})$

  • 密文$C=AK\circ SR\circ SB(X{N}_r-1)$

AES

SB

[AES-S盒 SB]

SR

[AES行移位变换 SR]

MC

[AES列变换 MC]

$$\begin{gathered} GF(2^8)上的元素表示为S=a_7{x}^7+a_6{x}^6+...+a_{1}x+a_0 \\ 01:102:x03:x+1 \end{gathered}$$
$$02\ast S=x(a_7{x}^7+a_6{x}^6+...+a_{1}x+a_0)$$ $$=\{\begin{array}{ll}{a}_6{x}^7+...+a_{0}x,& \text{if a7=0}\\ S<<1||0+a_7{x}^8,& \text{if a7=1 }\end{array}$$$$=\{\begin{array}{ll}{a}_6{a}_5{a}_4{a}_3{a}_2{a}_1{a}_0,& \text{if a7=0}\\ S<<1⨁00011011,& \text{if a7=1 }\end{array}$$

2.15.5 密钥扩展算法

• 将128比特的主密钥表示为$k_0{k}_1{k}_2\cdots k_{1}5$，$w_0=k_0{k}_1{k}_2{k}_3$，$w_1=k_4{k}_5{k}_6{k}_7$，$w_2=k_8{k}_9{k}_{10}{k}_{11}$，$w_3=k_{12}{k}_{13}{k}_{14}{k}_{15}$
  

• $K_0=w_0{w}_1{w}_2{w}_3$，$K_1=w_4{w}_5{w}_6{w}_7$，…

3.分组密码设计理论

• 针对安全性的设计原理

  • 混淆原则：人们所设计的密码应使得密钥和明文以及密文之间的依赖关系相当复杂，以至于这种依赖性对密码分析者来说无法利用；
  • 扩散原则：人们所设计的密码应使得密钥的每一位影响密文的许多位，以防止对密钥进行逐段破译；而且明文的每一位也应该影响密文的许多位，以便隐蔽明文的统计特性；

• 针对实现的设计原理

  • 软件实现的设计方案：使用子块和简单运算
  • 硬件实现的设计方案：加密和解密的相似性，以便同样的器件可以用来加解密

4.分组密码的结构

5.分组密码的整体结构

6.分组密码的工作模式

2.13.2 流密码

• 一个流密码将消息分成连续的符号$x=x1x2\cdots$，用密钥流$k=k1k2\cdots$的第i个元素$ki$对$xi$加密，即$Ekx=Ek1(x1)Ek2(x2)\cdots$；
• 如果密钥流经过d个符号之后重复，则称该密钥流是周期的，否则是非周期的。
  

同步流密码

异步流密码

2.13.3 哈希函数

• 哈希函数满足以下性质
  • 哈希函数能够适合于各种消息和文件，用途广泛；
  • 给定$M$，计算$H(M)$相对容易；
  • 给定$H(M)$，计算出$M$是相对容易的；
  • 给定$M1$，寻找$M2$，使$H(M1)=H(M2)$在计算上不可行；
  • 寻找任何的$(M1,M2)$，使$H(M1)=H(M2)$在计算上不可行。
    
    
    

3 公钥加密方案、密码协议、签名、密钥分发以及远程认证

3.1 公钥加密方案

• 接收方选择一个密钥：公钥和私钥
  • 公钥广播出去
  • 接收方拥有一个私钥
• 其他人用接收方的公钥取加密接收方的信息
• 接收方用其私钥去解密
  
• Security requirement1 difficult to find private key or plaintext
• Security requirement2 difficult to find private key from public key

公钥加密方案的动机

解决密钥管理和分发的问题

3.2 限门单向函数

• 单向函数(one-way function)：一个函数容易计算但难于求逆
• 限门单向函数(trapdoor one-way function)：如果它是一个单向函数，并在具有特定限门的知识后容易求逆

3.3 RSA密码体制 [要求掌握]

设$n=pq$，其中$p$和$q$为素数。设$P=C=Z_n$，且定义
$$K=\{(n,p,q,a,b)|ab\equiv 1mod\varphi (n)\}$$
对于$K=(n,p,q,a,b)$，定义
$$\begin{gathered} e_K(x)=x^{b}modn \\ {d}_K(y)=y^{a}modn \end{gathered}$$
其中$x,y\in Z_n$，值$n$和$b$组成公钥，$p,q,a$组成私钥

[例1] 数论基础
$$\begin{gathered} p=11,q=17,n=p\cdot q=187,\varphi (n)=(p-1)\cdot (q-1)=10\cdot 16=160 \\ b=7,m=21,求解密密钥a和加密消息C \\ C=M^{b}modn=21^{7}mod187 \end{gathered}$$

快速幂算法求解上述问题

$$\begin{gathered} 由于7=(0111{)}_2, \\ C=21^{7}mod187 \\ =(21^2{)}^3\cdot 21mod187 \\ =(441{)}^3\cdot 21mod187 \\ =(67{)}^3\cdot 21 \\ =((67{)}^2\cdot (67\cdot 21))mod187 \\ =(4489mod187)\cdot (1047mod187) \\ =1\cdot 98 \\ =98 \\ [下面计算请参照数论基础学习扩展欧几里得] \\ ab\equiv 1mod\varphi (n) \\ 7a\equiv 1mod160 \\ 7a=160t+1 \\ 令t=1，则a=23 \end{gathered}$$

[例2] $p=13,q=17,b=11,M=19,求C和a$
$$\begin{gathered} n=p\cdot q=221 \\ \varphi (n)=(p-1)\cdot (q-1)=192 \\ C=M^{b}modn=19^{11}mod221 \\ 由于19=(10011{)}_2， \\ \therefore C=(19^2{)}^5\cdot 19mod221=76 \\ a=35 \end{gathered}$$

3.4 数字签名 digital signature

• 数字签名：一种给以电子形式存储的消息签名的方法
  • 签名算法
  • 验证算法
    
    

3.5 RSA 签名方案

先签名后加密

3.6 密钥管理与分发

3.6.1 对称加密的对称密钥分发

密钥分发方案

分布式密钥控制

3.6.2 非对称加密的对称密钥分发

3.6.3 确保保密性和身份认证的密钥分发方案

3.7 公钥分发

3.7.1 公钥授权

3.7.2 公钥证书

公钥证书应用

3.8 认证

3.8.1 认证组成

3.8.2 身份认证方式

• 单向认证
• 双向认证
• 信任的第三方认证

3.8.3 认证技术

• 口令认证
• 公钥认证
• 远程认证
• 匿名认证
• 基于数字签名的认证

5 无线网络安全和移动通信安全

5.1 安全套接层