第2章-物联网安全的密码学基础.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,物联网安全技术,普通高等教育,物联网工程类规划教材,第二章 物联网安全的密码学基础,2.1,密码学与密码系统,2.2,密码体制的分类,2.3,数据完整性算法,2.1.1,密码学概述,密码学概述,密码学,(Cryptology),是一门研究如何以隐密的方式传递信息的学科。密码学包括,密码编码学,和,密码分析学,。,密码编码学,密码编码的核心是通过研究密码变化的客观

2、规律，将密码变化的客观规律应用于编制密码，以实现对信息的隐蔽。密码编码学主要从三个方面确保通信信息的机密性。,密钥数量；,明文处理的方式；,从明文到密文的变换方式。,2.1.1,密码学概述,密码分析学,通过,研究密码、密文或密码系统，着力寻求其中的弱点，在不知道密钥和算法的情况下，从密文中得到明文是密码分析学的宗旨,。,常见的破译方法：,破译方法,方法描述,已知明文的分析,破译者知道密文中的部分明文信息，利用这些信息，攻击者采用穷举法攻击的方式找到产生密文的密钥。,选择性明文分析（亦称微分密码分析）,破译者拥有明文和密文，密钥并没有被分析处理，而是通过对比这个明文和密钥来推断密钥，,RSA,加

3、密技术易受到这种类型分析的攻击。,只知道密文的分析,密码破译者没有任何原文信息，只能分析密文。,调速,/,微分力量分析,这是一种诞生于,1998,年,6,月的新技术，在对抗智能卡方面非常有用，它测量一段时间内具有安全信息功能的芯片中电量的不同。这种技术用来获得在加密算法和其它功能的安全设备上的密钥信息。,2.1.2,密码系统概述,密码系统概述,密码系统,(Cryptosystem),又称为密码体制，是指能完整的解决信息安全中的机密性、数据完整性、认证、身份识别、可控性及不可抵赖性等问题中的一个或几个的系统。,密码系统,5,要素：,要素名称,描述,明文,作为加密输入的原始信息，即消息的原始形式，

4、通常用,m,或,p,表示（本书采用,p,表示消息的原始形式）。所有可能明文的有限集称为明文空间，通常用,M,或,P,来表示。,密文,明文经加密变换后的结果，即消息被加密处理后的形式，通常用,c,表示。所有可能密文的有限集称为密文空间，通常,C,用来表示。,密钥,参与密码变换的参数，通常用,k,表示。一切可能的密钥构成的有限集称为密钥空间，通常用,K,表示。,加密算法,将明文变换为密文的交换函数，相应的变换过程称为加密，即编码的过程，通常用,E,表示，即,c,=E,k,(,p,),。,解密算法,将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用,D,表示，即,p,=D,k,

5、c,),。,2.1.2,密码系统概述,概述,典型的保密通信模型,第二章 物联网安全的密码学基础,2.1,密码学与密码系统,2.2,密码体制的分类,2.3,数据完整性算法,2.2.1,对称密码体制,对称密码,使用最广泛的对称密码,算法：,数据加密标准,(Date Encryption Standard,DES,),扩展的,DES,加密算法（双重和三重,DES,）,高级加密标准,(Advanced Encryption Standard,AES),2.2.1,对称密码体制,数据加密标准,(DES),该算法采用,56,位的密钥长度 完成对,64,位的明文分组长度 进行加密，解密端采用相同的步骤和

6、密钥完成解密工作。,2.2.1,对称密码体制,上图中，首先将明文划分为若干个,64,位的明文块其次将一个,64,位的明文块进行初始置换，再次将,56,位的密钥扩展成,64,位的密钥，接着进行,16,轮相同函数的作用，每一轮作用都包括置换和代替操作，最后将预输出的结果进行逆初始置换，即可得到,64,位的密文信息。,2.2.1,对称密码体制,简化,版的,AES,加密算法,(S-AES,),S-AES,加密过程是：以,16,位明文分组和,16,位的密钥为输入，以,16,位的密文信息为输出；解密过程是：以,16,位的密文和,16,位的密钥为输入，以,16,位的明文信息为输出。,2.2.1,对称密码体制

7、轮,密钥加,函数,轮,密钥加函数的主要作用是将一个,16,位的,state,矩阵 和,16,位的轮密钥按位进行异或,(XOR),运算,。,2.2.1,对称密码体制,半,字节,代替,半,字节代替的核心思想是：将,16,位的,state,矩阵通过,S,盒的方式映射出一个全新的,6,位的,state,矩阵,。,2.2.1,对称密码体制,行移位,行,移位操作是把对,16,位的,state,矩阵的第二行进行一个半字节的循环移位，第一行保持,不变。,列混淆,列混淆操作主要是将一个,4,4,固定矩阵,M,与,16,位的,state,矩阵相乘，将得出的新矩阵作为列混淆变换后的矩阵。,2.2.1,对称密码体制

8、密钥扩展,密钥,扩展算法是将初始的,16,位的,密钥,(,w,0,w,1,),按照,一定的扩展规则扩展成,48,位的密钥,链,(,w,0,w,1,w,2,w,3,w,4,w,5,),。,2.2.1,对称密码体制,S-AES,加密轮函数,由,密钥加函数、半字节替代、行移位和列混淆四个不同的函数或变换构成的加密轮,函数,。,2.2.1,对称密码体制,对称加密模式,电码本,模式,(Electronic Code Book,ECB),密文分组链接模式,(Cipher Blok Chaining,CBC,),密文反馈模式,(Cipher Feedback,CFB,),输出反馈模式,(Output,Fe

9、edback,OFB,),计数器模式,(Counter,CTR),2.2.1,对称密码体制,电码本,模式,(Electronic Code Book,ECB),将,明文分隔成连续定长的数据块，如果最后一个数据块的明文不够定长，则将最后一片的明文填补至定长，然后用同样的密钥逐个加密这些数据,块。,加密,解密,2.2.1,对称密码体制,密文分组链接模式,(Cipher Blok Chaining,CBC),CBC,模式使得同样的明文块不再映射到同样的密文块,上，加解密过程如下图。,加密,解密,2.2.1,对称密码体制,密文,反馈模式,(Cipher Feedback,CFB,),假设,传输单元是,

10、s,位，,s,通常为,8,。明文的各个单元要链接起来，所以任意个明文单元的密文都是前面所有明文的函数。在这种情况下，明文被分成了,s,位的片段而不是,b,位的单元。,加密,解密,2.2.1,对称密码体制,输出反馈,模式,(Output,Feedback,OFB,),OFB,的结构和,CFB,很相似,，它用,加密函数的输出填充移位寄存器，而,CFB,是用密文单元来填充移位寄存器。其他的不同是，,OFB,模式对整个明文和密文分组进行运算，而不是仅对,s,位的子集,运算。,加密：,解密：,2.2.1,对称密码体制,计数器,模式,(Counter,CTR,),计数器使用与明文分组规模相同的长度。加密时

11、计数器加密后与明文分组异或得到密文分组；没有链接。解密时，使用具有相同值得计数器序列，用加密后的计数器的值与密文分组异或来恢复明文分组。,加密,解密,2.2.2,非对称密码体制,非对称密码,非对称密码体制也叫,公钥加密技术,，该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两种不同的密钥，加密密钥（公开密钥）向公众公开，谁都可以使用，解密密钥（秘密密钥）只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，顾其可称为公钥密码体制。,2.2.2,非对称密码体制,公,钥加密系统可提供以下,功能：,机密性,(Confidentia

12、lity,),认证,(Authentication,),数据完整性,(Data integrity,),不可抵赖性,(Nonrepudiation,),公钥密码体制的算法中最著名的代表是,RSA,系统，此外还有：背包密码、,McEliece,密码、,Diffe_Hellman,算法、,Rabin,、零知识证明、椭圆曲线密码学,(ECC),、,EIGamal,算法等。,2.2.2,非对称密码体制,25,RSA,算法,RSA,算法使用乘方运算，明文以分组为单位进行加密，每个分组的二进制值均小于,n,，也就是说，分组的大小必须小于或等于,Log,2,(n)+1,位，在实际应用中，分组的大小是,i,位

13、其中,2,i,n,2,i+1,。,2.2.2,非对称密码体制,RSA,算法举例说明,(1),选择连个素数，,p=,17,，,q=,31,；,(2),计算,；,(3),计算,；,(4),选择,e,=7,；,(5),确定,d,使得,，得,d=343,。,故所得公钥,PU=7,527,，私钥,PR=343,527,。加密时计算,，解密时计算,。,2.2.2,非对称密码体制,27,为保证,RSA,算法的安全性，它的密钥长度需一再增大，使得它的运算负担越来越大。相比之下，椭圆曲线密码体制,ECC,（,elliptic curve cryptography,）可用短得多的密钥获得同样的安全性，因此具有广

14、泛的应用前景。,ECC,已被,IEEE,公钥密码标准,P1363,采用。,ECC,算法,2.2.2,非对称密码体制,ECC,算法是基于椭圆曲线离散对数问题，具体流程如下：,1.,系统的建立,选取基域,GF(p),，定义在该基域上的椭圆曲线,Ep(a,b),及其上的一个拥有素数,n,阶的基点,G(x,y),。这些参数都是公开的。,2.,密钥的生成,在区间,1,n-1,中随机选取一个整数,d,作为私钥。计算 ，即由私钥计算出公钥。,2.2.2,非对称密码体制,3.,加密过程,查找,Alice,的公开密钥,Q,，,Bob,将消息,M,表示成一个域元素 ，在区间,1,n-1,中随机选取一个整数,k,。

15、计算 ，传送加密据 给,Alice,，其中 为,Bob,的公钥。,4.,解密过程,Alice,在接收到消息后，使用她的私钥,d,计算 ，因为 。通过计算 ，恢复出消息,m,。,第二章 物联网安全的密码学基础,2.1,密码学与密码系统,2.2,密码体制的分类,2.3,数据完整性算法,2.3.1,散列算法,散列算法,Hash,，就是把任意长度的输入（又叫做预映射，,Pre-Image,）通过散列算法变换成固定长度的输出，该输出就是散列值。数学表述为：,h=H(M),，其中,H(M),为单向散列函数，,M,为任意长度明文，,h,为固定长度散列值。,在信息安全领域中应用的,Hash,算法，还需要满足其

16、他关键特性：,单向性,(One-Way),抗冲突性,(Collision-Resistant),映射分布均匀性和差分分布均匀性,2.3.1,散列算法,Hash,函数的应用,消息认证,消息认证是用来验证消息完整性的一种机制或服务。消息认证确保收到的数据确实和发送时的一样（即没有修改、插入、删除或重放），且发送方声称的身份是真实有效的。,下图展示了,Hash,码能够通过如下各种不同的方式用于提供消息认证。,(b),使用对称密码算法,E,只对,Hash,码进行加密,(a),使用对称密码算法,E,加密消息和,Hash,码,(c),不使用加密算法，仅使用,Hash,函数也能够实现消息认证,(d),通过将

17、整个消息和,Hash,值加密，能够在方案,(c),的基础上提供保密性,2.3.2,数字签名,(2),数字签名,与消息认证应用类似，对于,Hash,函数的另外一个重要应用就是数字签名。数字签名的操作与,MAC,相似，在进行数字签名过程中使用用户的私钥加密消息的,Hash,值，其他任何知道该用户公钥的人都能够通过数字签名来验证消息的完整性。,根据数字签名的应用需求，需要满足的条件如下：,接收方可以验证发送方所宣称的身份；,发送方在发送消息后不能否认该消息的内容；,接收方不能够自己编造这样的消息。,下图简单描述了,Hash,码用于提供数字签名的方案。,(a),使用发送方的私钥利用公钥密码算法对,Ha

18、sh,码进行加密,(b),先用发送方的私钥对,Hash,码加密，再用对称密码中的密钥对消息,和公钥算法加密结果进行加密,2.3.2,数字签名,本章小结,密码算法可被分为,对称密钥,算法和,公开密钥,算法，对称密钥算法将数据位通过一系列用密钥作为参数的轮变换，从而将明文变成密文。而公开密钥算法加密和解密使用不同的密钥，且加密秘钥不可能推导出解密密钥。许多法律的、商业的和其他的文档需要有签名,。,练习题,38,1.,简述密码体制的要素及其分类。,2.,对称加密模式分为几种？各有什么特点？,3.,对称加密体制和非对称加密体制各有什么特点,?,4.,散列,(Hash),算法有哪些特性？,5.,数字签名应满足那些要求？,