现代密码学与应用主讲人：余艳玮E-mail: 2008-5-291现代密码学与应用大纲大纲信息安全与密码技术信息安全与密码技术密码学的发展历史密码学的发展历史密码学的基本概念密码学的基本概念课程研究内容课程研究内容2008-5-292现代密码学与应用现代密码学与应用一、信息安全与密码技术一、信息安全与密码技术2008-5-293现代密码学与应用什么是信息安全？什么是信息安全？信息安全：是信息系统安全的简称信息安全：是信息系统安全的简称能源、材料、信息是支撑现代社会大厦的三根能源、材料、信息是支撑现代社会大厦的三根支柱。支柱。信息是逻辑的、抽象的，不能脱离系统而独立信息是逻辑的、抽象的，不能脱离系统而独立存在。存在。中文词中文词 安全安全=Security + SafetySecurity ：指阻止人为的对安全的危害：指阻止人为的对安全的危害Safety：指阻止非人为的对安全的危害：指阻止非人为的对安全的危害2008-5-294现代密码学与应用现代密码学与应用信息安全的要求信息安全的要求保密性保密性 Confidentiality完整性完整性 Integrity不可否认性不可否认性 Non-reputiation可鉴别性可鉴别性 Authentication可用性可用性 Availability 2008-5-295现代密码学与应用现代密码学与应用安全威胁安全威胁保密性保密性: 窃听、业务流分析窃听、业务流分析完整性完整性: 篡改、重放、旁路、木马篡改、重放、旁路、木马鉴别：冒充鉴别：冒充不可否认性：抵赖不可否认性：抵赖可用性：拒绝服务、蠕虫病毒、中断可用性：拒绝服务、蠕虫病毒、中断2008-5-296现代密码学与应用现代密码学与应用信息安全的措施信息安全的措施信息安全措施信息安全措施法律措施法律措施教育措施教育措施管理措施管理措施技术措施技术措施注意：绝不能低估法律、教育、管理的作注意：绝不能低估法律、教育、管理的作用，许多时候它们的作用大于技术用，许多时候它们的作用大于技术2008-5-297现代密码学与应用现代密码学与应用信息安全的技术措施信息安全的技术措施硬件系统安全硬件系统安全操作系统安全操作系统安全密码技术密码技术通信安全通信安全网络安全网络安全数据库安全数据库安全病毒防治技术病毒防治技术防电磁辐射技术防电磁辐射技术信息隐藏技术信息隐藏技术数字资源保护技术数字资源保护技术电子对抗技术电子对抗技术注意：硬件结构的安全和操作系统安全是基础，密码、网络安全等是注意：硬件结构的安全和操作系统安全是基础，密码、网络安全等是关键技术关键技术2008-5-298现代密码学与应用现代密码学与应用信息安全的管理措施信息安全的管理措施信息安全的管理措施信息安全的管理措施信息设备、机房的安全管理信息设备、机房的安全管理 对人的安全管理（最主要的）对人的安全管理（最主要的）目前，计算机网络系统安全的最大威胁之目前，计算机网络系统安全的最大威胁之一是缺少有效的计算机网络安全监管一是缺少有效的计算机网络安全监管2008-5-299现代密码学与应用现代密码学与应用信息安全的法律措施信息安全的法律措施包括各级政府关于信息安全的各种法律、包括各级政府关于信息安全的各种法律、法规法规商用密码管理条例商用密码管理条例计算机安全管理条例计算机安全管理条例因特网安全管理条例等因特网安全管理条例等2008-5-2910现代密码学与应用现代密码学与应用信息安全的教育措施信息安全的教育措施信息安全的教育措施信息安全的教育措施对人的思想品德教育、安全意识教育、安全法对人的思想品德教育、安全意识教育、安全法规的教育等规的教育等国内外的计算机犯罪事件都是人的思想品德出国内外的计算机犯罪事件都是人的思想品德出问题造成的问题造成的信息安全是一个系统工程，必须信息安全是一个系统工程，必须综合采取综合采取各种措施才能奏效各种措施才能奏效2008-5-2911现代密码学与应用现代密码学与应用信息安全知识体系信息安全知识体系层次次层面面作用点作用点安全属性安全属性信息对抗信息熵对抗信息的利用机密性、完整性、特殊性特殊性信息安全内容安全攻击性信息（对流动的数据进行限制）机密性、真实性、可控性、可用性、完整性、可靠性数据安全保护数据信息机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性系统安全运行安全软件(操作系统、数据库、应用系统等)真实性、可控性、可用性可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定定性、可靠性性、可靠性物理安全硬件机密性、可用性可用性、完整性、生存性、稳定定性、可靠性性、可靠性2008-5-2912现代密码学与应用现代密码学与应用物理安全物理安全对网络与信息系统的物理装备的保护对网络与信息系统的物理装备的保护是信息安全的首要问题和基础之一是信息安全的首要问题和基础之一所涉及的主要技术：所涉及的主要技术：加扰处理、电磁屏蔽：防范电磁泄露加扰处理、电磁屏蔽：防范电磁泄露容错、容灾、冗余备份、生存性技术：防范容错、容灾、冗余备份、生存性技术：防范随机性故障随机性故障信息验证：防范信号插入信息验证：防范信号插入 2008-5-2913现代密码学与应用现代密码学与应用运行安全运行安全 对网络与信息系统的运行过程和运行状态对网络与信息系统的运行过程和运行状态的保护。的保护。所面对的威胁包括：非法使用资源、系统所面对的威胁包括：非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等；服务攻击、软件质量差、系统崩溃等；主要的保护方式有：防火墙与物理隔离、主要的保护方式有：防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。路由过滤、降级使用、数据备份等。2008-5-2914现代密码学与应用现代密码学与应用运行安全运行安全 主要涉及的技术主要涉及的技术风险评估体系、安全测评体系风险评估体系、安全测评体系：支持系统评估：支持系统评估漏洞扫描、安全协议漏洞扫描、安全协议：支持对安全策略的评估：支持对安全策略的评估与保障与保障防火墙、物理隔离系统、访问控制技术、防恶防火墙、物理隔离系统、访问控制技术、防恶意代码技术意代码技术：支持访问控制：支持访问控制入侵检测及预警系统入侵检测及预警系统、安全审计技术：支持入、安全审计技术：支持入侵检测侵检测反制系统、入侵容忍技术、审计与追踪技术、反制系统、入侵容忍技术、审计与追踪技术、取证技术、动态隔离技术：支持应急响应取证技术、动态隔离技术：支持应急响应业务连续性计划和灾难恢复技术业务连续性计划和灾难恢复技术网络攻击技术网络攻击技术，Phishing、Botnet、DDoS、木马等技术的发现木马等技术的发现与反制技术与反制技术2008-5-2915现代密码学与应用现代密码学与应用数据安全数据安全 是指对是指对信息信息在数据收集、处理、存储、检在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中索、传输、交换、显示、扩散等过程中的的保护保护，使得在数据处理层面保障信息依据，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、授权使用，不被非法冒充、窃取、篡改、抵赖。抵赖。 IBM公司的定义：采取措施确保数据免受公司的定义：采取措施确保数据免受未未授权的授权的泄露、篡改和毁坏。泄露、篡改和毁坏。数据的秘密性、真实性和完整性数据的秘密性、真实性和完整性为了信息安全，必须采取措施，付出代价，代为了信息安全，必须采取措施，付出代价，代价就是资源价就是资源(时间和空间时间和空间)2008-5-2916现代密码学与应用现代密码学与应用数据安全数据安全 主要涉及的技术：主要涉及的技术：对称与非对称密码技术及其硬化技术、对称与非对称密码技术及其硬化技术、VPN等等技术：技术：防范信息泄密防范信息泄密认证、鉴别、认证、鉴别、PKI等技术：等技术：防范信息伪造防范信息伪造完整性验证技术：完整性验证技术：防范信息篡改防范信息篡改数字签名技术：数字签名技术：防范信息抵赖防范信息抵赖秘密共享技术：秘密共享技术：防范信息破坏防范信息破坏2008-5-2917现代密码学与应用现代密码学与应用内容安全内容安全是指对是指对信息信息在网络内流动中在网络内流动中的选择性阻断的选择性阻断，以保，以保证信息流动的可控能力。证信息流动的可控能力。是信息安全在法律、政治、道德层次上的要求是信息安全在法律、政治、道德层次上的要求政治上健康政治上健康符合国家法律、法规符合国家法律、法规符合中华民族道德规范符合中华民族道德规范 主要涉及的技术：主要涉及的技术：对信息的理解与分析；对信息的理解与分析；文本识别、图像识别、流媒体识别、群发邮件识别等；文本识别、图像识别、流媒体识别、群发邮件识别等；对信息的过滤对信息的过滤面向内容的过滤技术（面向内容的过滤技术（CVP）、面向）、面向URL的过滤技术（的过滤技术（UFP）、）、面向面向DNS的过滤技术等。的过滤技术等。 2008-5-2918现代密码学与应用现代密码学与应用信息对抗信息对抗是指在信息的利用过程中，对信息熵的真是指在信息的利用过程中，对信息熵的真实性的隐藏与保护，或者攻击与分析实性的隐藏与保护，或者攻击与分析 信息隐藏与发现信息隐藏与发现信息干扰与提取信息干扰与提取所涉及的主要技术：所涉及的主要技术：隐写技术隐写技术数字水印技术数字水印技术2008-5-2919现代密码学与应用现代密码学与应用信息安全学科特点信息安全学科特点是交叉学科：计算机、通信、数学、物理、是交叉学科：计算机、通信、数学、物理、生物、管理、法律等；生物、管理、法律等；具有理论与实际相结合的特点具有理论与实际相结合的特点信息安全技术强调整体性、系统性、底层信息安全技术强调整体性、系统性、底层性性对信息安全来说，法律、管理、教育的作对信息安全来说，法律、管理、教育的作用很大，必须高度重视用很大，必须高度重视人才是关键，人的综合素质是关键的关键！人才是关键，人的综合素质是关键的关键！2008-5-2920现代密码学与应用现代密码学与应用专业课程专业课程 与与 知识层面的对应知识层面的对应物理安全物理安全运行安全运行安全信息自身信息自身 方面的安全方面的安全数据安全数据安全内容安全内容安全信息对抗信息对抗信息安全信息安全信息论与编码技术信息论与编码技术现代密码学与应用现代密码学与应用数字媒体信息安全数字媒体信息安全网络与系统安全风险评估网络与系统安全风险评估计算机病毒与免疫系统计算机病毒与免疫系统网络信息安全网络信息安全安全操作系统安全操作系统移动通信安全移动通信安全2008-5-2921现代密码学与应用现代密码学与应用密码学密码学 vs. 信息安全信息安全密码学是用来保证信息安全的一种密码学是用来保证信息安全的一种必要必要的的手段。手段。从从技术技术上来说，密码学是信息安全的一个上来说，密码学是信息安全的一个核心技术。核心技术。 2008-5-2922现代密码学与应用现代密码学与应用二、密码学的发展历史二、密码学的发展历史2008-5-2923现代密码学与应用现代密码学与应用古代密码古代密码Ancient Cryptography1000 BC:姜子牙阴阳符姜子牙阴阳符500-600 BC: 天书天书100-44 BC: Caesar cipherthe romans arecoming today2008-5-2924现代密码学与应用现代密码学与应用Skytale加密法加密法(“天书天书”)2008-5-2925现代密码学与应用现代密码学与应用 A和B分别表示两个相距比较远的地方，A和B两地经常有人往来，可以在A和B两地之间带东西。 A地有个人甲想把一个东西带给B地的乙，但是他又不想让带东西的人知道所带的东西（假定东西是用箱子装起来，并且箱子可以上锁) 试考虑怎样带这个东西？古代保密的例子古代保密的例子2008-5-2926现代密码学与应用现代密码学与应用移位密码移位密码Shift Cipher -Caesar cipher abcdefghijklmnopqrstuvwxyzdefghijklmnopqrstuvwxyzabcan example明文明文-Plaintext: How are you? 密文密文-Ciphertext 2008-5-2927现代密码学与应用现代密码学与应用早期密码学早期密码学Early Cryptography1790: 转轮密码，转轮密码，Thomas Jefferson2008-5-2928现代密码学与应用现代密码学与应用THIS IS NOT FUN2008-5-2929现代密码学与应用现代密码学与应用二战时期的密码学二战时期的密码学World War II CryptographyGerman Enigma machineJapanese Purple machine2008-5-2930现代密码学与应用现代密码学与应用德国伊尼格玛密码机德国伊尼格玛密码机German Enigma machine 2008-5-2931现代密码学与应用现代密码学与应用密码斗争实例（密码斗争实例（1）英德密码战英德密码战: : 二战中，英国破开德国的ENIGMA密码机一事于1974年公开，此事件导致美国参战德国被迫用陆、海、空三军进攻英国在得知德军某精锐部队缺乏燃料且能源供给部队没跟上时，及时打击它2008-5-2932现代密码学与应用现代密码学与应用日本紫密机Japanese Purple machine2008-5-2933现代密码学与应用现代密码学与应用密码斗争实例（密码斗争实例（2）日日美美密密码码战战：二战中，日本海军使用的“紫密”密码早被英军破译，却没有及时更换，这样导致珍珠港事件(1941年12月7日)中途岛事件(1942年6月3日)山本五十六之死事件(1943年4月18日)2008-5-2934现代密码学与应用现代密码学与应用密码战线上的斗争密码战线上的斗争 从密码产生的那天起，密码编码和密码破译的斗争一刻也没有停止。 作为使用密码的一方，将自己的机密信息隐蔽在密码之中，努力设法保护密码的安全，使其免遭对方的窃取和破坏；作为破译密码的一方，却千方百计地侦收、截获或破坏对方的密码通信，通过破译密码而获取情报。 双方在相生相克的斗争中此消彼长，不断地提高各自的密码研制技术，结果大大促进了密码学的发展。 2008-5-2935现代密码学与应用现代密码学与应用密码战线上的斗争密码战线上的斗争密码编码和密码破译的斗争是一种特殊形式的斗争，这种斗争的一个重要特点是它的隐蔽性。无论是使用密码的一方，还是破译密码的一方，他们的工作都是在十分秘密地进行。特别是，对于他们的工作的最新进展更是严格地保密。当一方改进了自己的密码编码方法时，他不会公开所取得的这种进展；当另一方破译了对方的密码时，他也不会轻易地泄露破译的成果和使用破译所取得的情报，以便能长期地获取情报并取得更有价值的信息。所以，密码战线上的斗争是一种无形的，不分空间和时间的，隐蔽的战争。无数历史事实证明，战争的胜负在很大程度上依靠密码保密的成败。密码学家和历史学家们认为，世界的命运有时就掌握在密码学家的手中。2008-5-2936现代密码学与应用现代密码学与应用密码斗争实例（密码斗争实例（3）近战近战以色列中东得逞（以色列中东得逞（19761976年）年）马岛战争（马岛战争（19821982年）年）美轰炸利比亚首都（美轰炸利比亚首都（19851985年）年）海湾战争（海湾战争（19901990年）年）科索沃战争（科索沃战争（19991999年）年）2008-5-2937现代密码学与应用现代密码学与应用密码战线上的斗争密码战线上的斗争 国际上各国之间的窃密与反窃密斗争国际上各国之间的窃密与反窃密斗争相当激烈。相当激烈。 友好归友好友好归友好, ,背后的间谍活动照样搞背后的间谍活动照样搞。2008-5-2938现代密码学与应用现代密码学与应用密码学的发展过程密码学的发展过程分为四个阶段：分为四个阶段：=手工或简单机械密码时期（公元前五世纪1900年）；( (发展缓慢发展缓慢) )=机械和机电密码时期（1900年1950年）；=电子密码时期（1950年1970年）；=计算机密码时期（1970年现在）；（将来或者可能到来所谓的量子密码时期）2008-5-2939现代密码学与应用现代密码学与应用现代密码学的例子现代密码学的例子电子彩票系统电子彩票系统. . .2008-5-2940现代密码学与应用现代密码学与应用三、密码学的基本概念三、密码学的基本概念2008-5-2941现代密码学与应用现代密码学与应用请大家猜一猜！HPPE BGUFSFSOPPO!2008-5-2942现代密码学与应用现代密码学与应用？密码？密码？Adf ;afdljk fisaoe Adf ;afdljk fisaoe nmvc;kjlad fojfe nmvc;kjlad fojfe adfjj093i2j3kj0gjklaadfjj093i2j3kj0gjklacnma./dfj;3j80jalk;cnma./dfj;3j80jalk;djfc0j35o;jmka;lgjfpdjfc0j35o;jmka;lgjfp0bda;lfije0jafe;m3k.0bda;lfije0jafe;m3k.092jj;klaf3090392-092jj;klaf3090392-f32jkl;m/v.c0wr/.aff32jkl;m/v.c0wr/.afdmkl;a90m;lkji300932 dmkl;a90m;lkji300932 2008-5-2943现代密码学与应用现代密码学与应用什么是密码学什么是密码学?密码学是信息安全的核心部分密码学是信息安全的核心部分密码学就是研究与信息安全相关的方面密码学就是研究与信息安全相关的方面如机密性、完整性、鉴别、抗否认等的如机密性、完整性、鉴别、抗否认等的综合技术。综合技术。密码并不是提供安全的单一的手段，而密码并不是提供安全的单一的手段，而是一组技术。是一组技术。2008-5-2944现代密码学与应用现代密码学与应用什么是密码学什么是密码学?传统传统地地讲，即是保持通信的保密性，即是保持通信的保密性AliceBobEve2008-5-2945现代密码学与应用现代密码学与应用银行应用银行应用Banking ApplicationsATMs: 个人口令与加密密钥个人口令与加密密钥 网上银行网上银行: SSL/TSL, firewall电子货币与电子支付电子货币与电子支付 2008-5-2946现代密码学与应用现代密码学与应用军事应用军事应用Military Applications军事通信（所）军事通信（所）核武器核武器2008-5-2947现代密码学与应用现代密码学与应用政府应用电子政务政府应用电子政务 2008-5-2948现代密码学与应用现代密码学与应用个人应用个人应用Personal Applications邮件加密邮件加密PGP algorithm 数字签名数字签名document Identitypeople Identity.电子商务电子商务 E-Commerce2008-5-2949现代密码学与应用现代密码学与应用原始水印及图象原始水印及图象提取出的水印提取出的水印数字水印2008-5-2950现代密码学与应用现代密码学与应用密码学的基本概念密码学的基本概念 密码学密码学( (Cryptology)Cryptology)：研究信息系统安全保：研究信息系统安全保密的科学。它包含两个分支，密的科学。它包含两个分支，密码编码学密码编码学( (Cryptography)Cryptography)，使信息保密使信息保密的技术和科学的技术和科学密码分析学密码分析学( (CryptanalysisCryptanalysis) )：破译密文：破译密文的科学和技术的科学和技术2008-5-2951现代密码学与应用现代密码学与应用发送者发送者(Sender)：发送消息的人：发送消息的人接收者接收者(Receiver)：接收消息的预定对象：接收消息的预定对象截收者截收者(Attacker)：在信息传输和处理系在信息传输和处理系统中的非受权者，通过搭线窃听、电磁窃统中的非受权者，通过搭线窃听、电磁窃听、声音窃听等来窃取机密信息。听、声音窃听等来窃取机密信息。AliceBobEve2008-5-2952现代密码学与应用现代密码学与应用明文明文( (消息消息)()(Plaintext)Plaintext) ：被隐蔽的消息被隐蔽的消息密文密文( (CiphertextCiphertext) ) ：被加密的消息被加密的消息加密加密( (Encryption)Encryption)：将明文变换为密文的过程将明文变换为密文的过程解密解密(Decryption)(Decryption)：把密文转变为明文的过程：把密文转变为明文的过程密钥密钥(Key)(Key)：控制加密和解密算法操作的数据处：控制加密和解密算法操作的数据处理，分别称作加密密钥和解密密钥理，分别称作加密密钥和解密密钥2008-5-2953现代密码学与应用现代密码学与应用算法算法(Algorithm)或密码（或密码（Cipher)用于加密和解密的数学函数用于加密和解密的数学函数分为两类：分为两类：对称算法对称算法(Symmetric Algorithm)加密密钥和解密密钥相同加密密钥和解密密钥相同公开密钥算法（非对称算法）公开密钥算法（非对称算法）(Public-key Algorithm)加密密钥和解密密钥不同加密密钥和解密密钥不同2008-5-2954现代密码学与应用现代密码学与应用IfM: Plaintext，C：Ciphertext， K：KeyE，DThen,EK(M)=C，DK(C)=M2008-5-2955现代密码学与应用现代密码学与应用密码系统、密码体制密码系统、密码体制密码系统：由算法、密钥和所有可能的明密码系统：由算法、密钥和所有可能的明文、密文组成，即包含：文、密文组成，即包含：E，D，M，C，K密码体制：由算法和密钥组成，包含密码体制：由算法和密钥组成，包含E,D,KE，D可公开可公开算法的安全性是基于密钥的安全性算法的安全性是基于密钥的安全性2008-5-2956现代密码学与应用现代密码学与应用对称算法对称算法(Symmetric Algorithm)EK(M)=C，DK(C)=M其安全性主要取决于密钥的保密性（与算其安全性主要取决于密钥的保密性（与算法的保密性无关）法的保密性无关）主要课题：主要课题：密钥的产生密钥的产生(Key generation)。密钥的管理密钥的管理(Key management)。2008-5-2957现代密码学与应用现代密码学与应用对称算法的分类对称算法的分类序列算法序列算法(Stream Algorithm）或序列密）或序列密码（码（Stream Cipher)一次只对明文中的单个位进行运算的算法一次只对明文中的单个位进行运算的算法分组算法分组算法(Block Algorithm)或分组密码或分组密码（ Block Cipher)一次只对明文中的一组位进行运算的算法一次只对明文中的一组位进行运算的算法2008-5-2958现代密码学与应用现代密码学与应用公开密钥算法公开密钥算法每个用户都有一对选定的密钥（每个用户都有一对选定的密钥（公钥公钥：K1，私钥私钥K2） K1是可以公开的，可以像电话号码一样进行注册公布；是可以公开的，可以像电话号码一样进行注册公布； K2则是秘密的。则是秘密的。不用事先分配秘钥不用事先分配秘钥EK1(M)=C，DK2(C)=M （秘密通信）（秘密通信）多个用户加密的消息只能由一个用户解读多个用户加密的消息只能由一个用户解读“你把打开了的箱子扔的满世界都是，但箱子一旦锁上，就只有你你把打开了的箱子扔的满世界都是，但箱子一旦锁上，就只有你能再打开能再打开”EK2(M)=C，DK1(C)=M （数字签名）（数字签名） 一个用户加密的消息而使多个用户可以解读一个用户加密的消息而使多个用户可以解读2008-5-2959现代密码学与应用现代密码学与应用密码分析密码分析密码分析学密码分析学：在不知道密钥的情况下，：在不知道密钥的情况下，恢复出明文的科学恢复出明文的科学攻击攻击(Attack)(Attack)：对密码进行分析的尝试：对密码进行分析的尝试假设密码分析者已有密码算法及其实现的假设密码分析者已有密码算法及其实现的全部资料全部资料泄露泄露(Compromise)(Compromise)：密钥通过非密码分：密钥通过非密码分析的方式的丢失析的方式的丢失2008-5-2960现代密码学与应用现代密码学与应用密码分析攻击的分类密码分析攻击的分类唯密文攻击（唯密文攻击（ciphertext only attack）：分析者仅知道有限数量的密文。分析者仅知道有限数量的密文。蛮力攻击蛮力攻击(Brute-force attack)已知：已知：C1=EK(M1) , C2=EK(M2) , ,Ci=EK(Mi) 推导出：推导出：M1 , M2 , , Mi ；K或从或从Ci+1=EK(Mi+1)能推导出能推导出Mi+12008-5-2961现代密码学与应用现代密码学与应用密码分析攻击的分类密码分析攻击的分类已知明文攻击（已知明文攻击（know plaintext attacks）：分析者除了拥有有限数量的密文外，还有数量限定的分析者除了拥有有限数量的密文外，还有数量限定的一些已知一些已知“明文明文密文密文”对。对。已知：已知：M1 , C1=EK(M1) ；M2 , C2=EK(M2) ； ； Mi , Ci=EK(Mi) 推导出推导出K，或从，或从Ci+1=EK(Mi+1)能推导出能推导出Mi+12008-5-2962现代密码学与应用现代密码学与应用密码分析攻击的分类密码分析攻击的分类选择明文攻击（选择明文攻击（chosen plaintext attacks），），分析者除了拥有有限数量的密文分析者除了拥有有限数量的密文外，还有机会使用注入了未知密钥的加密机，外，还有机会使用注入了未知密钥的加密机，通过自由选择明文来获取所希望的通过自由选择明文来获取所希望的“明文明文密文密文”对（集合）。对（集合）。已知：已知：M1 , C1=EK(M1) ；M2 , C2=EK(M2) ； ； Mi , Ci=EK(Mi) . 其中其中M1 , M2 , , Mi可由密码分析者自己选择可由密码分析者自己选择推导出：推导出：K，或从，或从Ci+1=EK(Mi+1)能推导出能推导出Mi+12008-5-2963现代密码学与应用现代密码学与应用密码分析攻击的分类密码分析攻击的分类选择密文破译（选择密文破译（chosen-ciphertext attack）: 分析者除了拥有有限数量的密分析者除了拥有有限数量的密文外，还有机会使用注入了未知密钥的解文外，还有机会使用注入了未知密钥的解密机，通过自由选择密文来获取所希望的密机，通过自由选择密文来获取所希望的“密文密文明文明文”对（集合）。对（集合）。已知：已知：C1 , M1=DK(C1) ；C2 , M2=DK(C2) ； ； Ci , Mi=DK(Ci) 推导出推导出:K2008-5-2964现代密码学与应用现代密码学与应用密码分析攻击的分类密码分析攻击的分类选择密钥攻击（选择密钥攻击（chosen-key attacka）：分析：分析者具有不同密钥之间的关系的有关知识。不太者具有不同密钥之间的关系的有关知识。不太实用。实用。已知：已知：M1 , C1=EK(M1) ；M2 , C2=EK(M2) ； ； Mi , Ci=EK(Mi) 推导出推导出K，或从，或从Ci+1=EK(Mi+1)能推导出能推导出Mi+1软磨硬泡攻击（软磨硬泡攻击（rubber-hose attack）：通过：通过非技术手段（威胁、勒索或折磨某人）来获得非技术手段（威胁、勒索或折磨某人）来获得密钥。实际中非常有效。密钥。实际中非常有效。2008-5-2965现代密码学与应用现代密码学与应用已知明文攻击和选择明文攻击比较常见已知明文攻击和选择明文攻击比较常见最好的算法最好的算法是那些已经公开的，并经过世是那些已经公开的，并经过世界上最好的密码分析家们多年的攻击，但界上最好的密码分析家们多年的攻击，但还是不能破译的算法还是不能破译的算法密码分析者并不是总能知道算法的密码分析者并不是总能知道算法的以时间和金钱作为代价，进行逆向工程恢复算以时间和金钱作为代价，进行逆向工程恢复算法法2008-5-2966现代密码学与应用现代密码学与应用算法的安全性算法的安全性取决于取决于 破译算法的代价破译算法的代价 vs. 明文的价值明文的价值攻击方法的复杂性：攻击方法的复杂性：数据复杂性：攻击中输入的数据量数据复杂性：攻击中输入的数据量处理复杂性：时间因素处理复杂性：时间因素存储需求：存储量存储需求：存储量密码学更关注在计算上不可破译的密码系密码学更关注在计算上不可破译的密码系统，即用（现在或将来）可得到的资源都统，即用（现在或将来）可得到的资源都不能破译的系统不能破译的系统2008-5-2967现代密码学与应用现代密码学与应用四、课程研究内容四、课程研究内容2008-5-2968现代密码学与应用现代密码学与应用密码协议密码协议协议：是协议：是一系列步骤一系列步骤，它，它包括两方和多方包括两方和多方，设计它的目的是设计它的目的是要完成一项任务要完成一项任务。协议是从开始到结束的一个序列，每步必须依协议是从开始到结束的一个序列，每步必须依次执行次执行完成协议至少需要两个人完成协议至少需要两个人协议的目的是为了做一些事情协议的目的是为了做一些事情密码协议：使用密码学的协议。密码协议：使用密码学的协议。如：密钥交换如：密钥交换2008-5-2969现代密码学与应用现代密码学与应用世界上有两种密码：世界上有两种密码： 一种是防止你的小妹妹偷看一种是防止你的小妹妹偷看你的文件；你的文件； 一种是防止当局者阅读你的一种是防止当局者阅读你的文件资料。文件资料。2008-5-2970现代密码学与应用现代密码学与应用密码编码学的主要研究内容密码编码学的主要研究内容密码体制：密码体制：序列密码体制序列密码体制分组密码体制分组密码体制公钥密码体制公钥密码体制密钥分配方案密钥分配方案单向函数单向函数数字签名方案数字签名方案认证方案等认证方案等主流的研究方向主流的研究方向主流的研究方向主流的研究方向2008-5-2971现代密码学与应用现代密码学与应用密码分析学的主要研究内容密码分析学的主要研究内容（1） 密码算法的安全性分析和破译的理论、方的安全性分析和破译的理论、方 法、法、技术和实践技术和实践（2）密码协议的安全性分析的理论与方法的安全性分析的理论与方法（3）安全保密系统的安全性分析和攻击的理论、方的安全性分析和攻击的理论、方法、技术和实践法、技术和实践2008-5-2972现代密码学与应用现代密码学与应用密码学的应用领域密码学的应用领域1. 信息系统的安全与保密问题；信息系统的安全与保密问题；2.电子商务、电子政务中的安全和保密问题；电子商务、电子政务中的安全和保密问题；3.银行系统、证券系统、保险系统等的安全问题；银行系统、证券系统、保险系统等的安全问题；4.商品、票据、信用卡等的防伪与审核问题。商品、票据、信用卡等的防伪与审核问题。2008-5-2973现代密码学与应用现代密码学与应用2008-5-2974现代密码学与应用现代密码学与应用本课程的研究内容本课程的研究内容密码学中的密码编码学密码学中的密码编码学-机密性（保密通信机密性（保密通信和存储）和存储）流密码流密码分组密码分组密码公钥密码公钥密码密钥管理密钥管理密钥建立：随机数生成器密钥建立：随机数生成器协商、传输和生成协商、传输和生成管理：分发、生存周期问题管理：分发、生存周期问题证书证书2008-5-2975现代密码学与应用现代密码学与应用本课程的研究内容本课程的研究内容应用领域（基本构件：加密算法、应用领域（基本构件：加密算法、Hash函数）函数）机密性机密性认证认证消息认证（数据源认证）（潜在地提供了完整性）消息认证（数据源认证）（潜在地提供了完整性）带密钥的杂凑函数（带密钥的杂凑函数（MAC消息认证码）消息认证码）身份认证身份认证带密钥的杂凑函数带密钥的杂凑函数公钥签名公钥签名数字签名数字签名带密钥的杂凑函数带密钥的杂凑函数公钥签名公钥签名对称密钥签名对称密钥签名完整性完整性数据完整性技术数据完整性技术不带密钥的杂凑函数（不带密钥的杂凑函数（MDC修改检测码）修改检测码）不可抵赖性不可抵赖性数字签名数字签名2008-5-2976现代密码学与应用现代密码学与应用方法方法How to know more学好教材学好教材基础基础网络学习网络学习利用密码资源利用密码资源阅读文章阅读文章开阔视野开阔视野编程练习编程练习加强实践加强实践多听讲座多听讲座向大家学习向大家学习投入科研投入科研自我挑战自我挑战2008-5-2977现代密码学与应用现代密码学与应用教材教材Textbook: Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition by Bruce Schneier. 2008-5-2978现代密码学与应用现代密码学与应用课程相关课程相关讲课实验讲课实验40学时讲授学时讲授20学时上机实验学时上机实验助教及联系办法助教及联系办法席菁：席菁：课程主页：课程主页：2008-5-2979现代密码学与应用现代密码学与应用考核方式考核方式考核考核期末考试：期末考试：50 %作业：作业：15 %测验：测验：15 % 实验：实验：20%作业和测验作业和测验不定期布置作业和课堂测验，不交、迟交或抄不定期布置作业和课堂测验，不交、迟交或抄袭的袭的按按0分分记，记，不接受不接受电子版作业。电子版作业。每次课后的作业，在下次课上课时上交每次课后的作业，在下次课上课时上交2008-5-2980现代密码学与应用现代密码学与应用谢 谢！2008-5-2981现代密码学与应用现代密码学与应用