清华大学出版社 北京交通大学出版社
密码系统模型
非法接入者
搭线信道 （主动攻击）
c’ C’jd
m‘ 密码分析员
明文空间P
m
加密器 c = (m)
m
解密器 m =(c) c
k1 加密密钥源K1
密钥信道
k2 解密密钥源K2
清华大学出版社 北京交通大学出版社
接收者
为保护信息的机密性，密码系统应当满足如下条件： (1) 系统即使达不到理论上是不可破的，即密码分
清华大学出版社 北京交通大学出版社
4.1.1 密码学起源及发展阶段
密码学的起源要追溯到几千年前，当时用于 军事和外交通信。
第一个阶段是从古代到1949年，可称为古 典密码学阶段。这个阶段是密码学诞生的前 夜时期。这一时期的密码技术可以说是一种 艺术。这个时期的密码专家常常凭直觉、猜 测和信念来进行密码设计和分析，而不是凭 推理和证明。
清华大学出版社 北京交通大学出版社
第二个阶段是从1949年到1975年。这个阶 段密码学是一种科学。1949年，香农 （Shannon）在《贝尔系统技术杂志》上 发表的论文“保密系统的通信理论”，为私 钥密码系统奠定了理论基础，从此密码学成 为一门科学。
清阶段是从1976年至今。1976年， Diffie和Hellman 发表的“密码学的新方向” 一文建立了公钥密码系统，导致了密码学上 的一次革命。他们首次证明了在发送端和接 收端无密钥传输的保密通信是可能的。这个 阶段出现了一些重大成果，如1977年 Rivest，Shamir和Adleman提出了RSA公 钥密码算法 .
清华大学出版社 北京交通大学出版社
已有的密码分析技术有很多，如代数攻击， 差分攻击，线性攻击，相关攻击等。如何对 差分密码分析和线性密码分析进行改进，降 低它们的复杂度仍是现在理论研究的热点 。
清华大学出版社 北京交通大学出版社
4.密码系统的安全性判断
衡量一个密码系统的安全性通常有两种方法： 无条件安全性和实际安全性。无条件安全性 也称为理论安全性。如果密码分析者具有无 限计算资源（如时间、设备、资金等）也无 法破译密码，那么这个密码体制是无条件安 全的。
清华大学出版社 北京交通大学出版社
DES加密算法框图 清华大学出版社 北京交通大学出版社
4.DES加密的子密钥生成过程
主密钥K（64 比特）
去除奇偶校验位
实际密钥（56 比特） 置换排列PC-1
C0 （28 比特） D0 （28 比特）
循环左移位
循环左移位
置换排列PC-2 K1
C1 （28 比特） D1 （28 比特）
4.3对称密码体制
4.3.1对称密码体制的基本概念 对称密码体制又称私钥或单钥或传统密码体
制。该体制中，通常加密密钥和解密密钥一 样，目前仍然是使用最为广泛的加密类型。 自1997年美国颁布数据加密标准（DES） 密码算法作为美国数据加密标准以来，对称 密码体制得到了迅速发展，在世界各国得到 了广泛应用。
清华大学出版社 北京交通大学出版社
2.密码系统的模型及特性 一个密码系统可以用五元组（P，C，K，E，
D）表示，这里P是明文消息空间，C是密文 消息空间，K是密钥消息空间，E是加密算 法，D是解密算法，并且E是P与K 到C的一 个映射：P K → C；D是C与K到 P的一个 映射：C K → P。
循环左移位
循环左移位
置换排列PC-2 K16
清华大学出版社 北京交通大学D出E版S社子密钥的生成
5. DES的运行模式
为了能在各种应用 场合使用 DES， 美国 在 FIPS PUS 74 和 81 中定义了 DES 的 4 种运行模式．
清华大学出版社 北京交通大学出版社
清华大学出版社 北京交通大学出版社
2)发送者和接收者必须在某种安全形式下获 得密钥并且必须保证密钥安全。如果有人发 现该密钥，而且知道相应算法，那么就能解 读使用该密钥加密的任何通信。
清华大学出版社 北京交通大学出版社
4.3.2对称密码体制的分类 按加密方式对称密码体制可以分为序列密码
和分组密码，序列密码也称为流密码。
清华大学出版社 北京交通大学出版社
清华大学出版社 北京交通大学出版社
4.1.2 密码学的基本概念
1.密码学简介 密码学(cryptology)是研究信息系统安全保
密的科学。密码学主要包括两个分支：密码 编码学(cryptography)和密码分析学 (cryptanalysis)。编码的目的是设计各种 密码体制用以保障各种安全，而密码分析学 主要是从攻击者的角度来说，分析的目的则 是试图攻破各种密码体制、研究加密信息的 破译或信息的伪造。
1.序列密码的基本原理与设计分析 序列密码一次加密一个明文符号，运算速度
快，加密、解密易实现，所以序列密码在许 多领域有着广泛的应用，如序列密码RC4 用于许多网络和安全协议中，A5 用于全球 移动通信系统GSM (the Global System for Mobile Communications)， 用于蓝 牙（Bluetooth）技术，序列密码主要应用 于政府、军队等。
清华大学出版社 北京交通大学出版社
2. Shannon的观点 关于密码设计，Shannon在一篇论文里面提出了一些基本观点： (1) 组合密码系统的观点。为了易于实现，实际应用中常常将
较简单且容易实现的密码系统进行组合，形成较复杂、密钥量 较大的密码系统。Shannon 提出了两种可能的组合方法。第 一种是概率加权和方法，即以一定的概率随机地从多个子密码 系统中选择一个用于加密当前的明文。第二种是乘积方法。 (2) 挫败统计分析的观点。用统计分析可以破译多种密码系统。 为挫败统计分析，Shannon 提出了两种方法。第一种是在加 密之前将语言的一些多余度去掉。例如，在计算机系统中，在 加密之前，可以采利用Huffman 编码除去多余度来压缩一个 文件。第二种是利用扩散（diffusion）和混淆（confusion） 这两种技术来扩散或混淆多余度。
清华大学出版社 北京交通大学出版社
2.DES算法的加密过程 在DES中采用了多轮循环加密来扩散和混淆
明文。DES将明文消息按64比特分组，密 钥长度也是64比特，但是实际使用时密钥长 度是56比特，另外8比特用作奇偶校验位 （即每个字节的最后一位用作奇偶校验,使 得每一个字节含有奇数个1，因此可以检 错）。
析者得出正确的明文或密钥的概率是0，也应当为 实际上不可破的。就是说，从截获的密文或某些已 知明文-密文对，要决定密钥或任意明文在计算上 是不可行的。 (2) 系统的保密性不依赖于对加密体制或算法的保 密，而依赖于密钥。这是著名的Kerckhoff原则。 (3) 加密和解密算法适用于所有密钥空间中的元素。 (4) 系统便于实现和使用。
清华大学出版社 北京交通大学出版社
4.2.2密码分析的概念与方法
1.密码分析的基本概念 密码分析是在不知道密钥的情况下恢复出明
文或密钥。密码分析也可以发现密码体制的 弱点，最终得到密钥或明文。
清华大学出版社 北京交通大学出版社
2.密码分析与攻击类型 根据密码分析者破译时具有的条件，通常攻击类型
清华大学出版社 北京交通大学出版社
实际安全性分为计算安全性和可证明安全性。 如果在原理上可破译一个密码系统，但用所 有可用资源也不可能完成所要求的计算量， 就称该密码系统是计算安全的。
如果能证明破译密码体制的困难性等价于解 某已知数学难题，就称该密码体制是可证明 安全的。
清华大学出版社 北京交通大学出版社
清华大学出版社 北京交通大学出版社
3.密码体制的分类
按密钥使用的特点，密码体制可以分为对称密码体 制（symmetric cryptosystem）和非对称密码 体制（asymmetric cryptosystem）。
对称密码体制可按加密方式分为序列密码 （stream cipher）和分组密码（block cipher）。 序列密码又称为流密码，就是将明文信息一次加密 一个比特或多个比特形成密码字符串。分组密码是 一次对明文组进行加密。
清华大学出版社 北京交通大学出版社
分组密码模型 清华大学出版社 北京交通大学出版社
4.3.3 DES密码算法分析
1.DES密码算法简介 1972年，美国标准局NBS（现在的NIST）
公开征求用于计算机通信数据保密的方案。 随后IBM公司的W.Tuchman和C.Meyers 等研究人员提交了一个数据加密算法 Lucifer，该算法被美国标准局采用，在经 过一系列研究讨论和简单修改后于1977年 正式批准为数据加密标准DES。
第4章 网络安全的密码学基础
密码学概述 密码系统设计与分析 对称密码体制 公钥密码体制 Hash函数 数字签名 密码学与安全协议 密码学在网络安全中的应用
清华大学出版社 北京交通大学出版社
4.1密码学概述 网络安全是一门涉及计算机、网络、通
信、信息安全、数学等多学科的综合性交叉 学科。密码技术是网络安全的核心技术之一， 通过密码技术可以实现网络信息的保密性、 完整性、认证性及追踪性等
清华大学出版社 北京交通大学出版社
DES算法加密过程如下： ⑴ 输入64比特的明文，首先经过初始矩阵
IP置换； ⑵ 在56比特的输入密钥控制下，进行16轮
相同的迭代加密处理过程，即在16个48比 特子密钥控制下进行16轮乘积变换； ⑶ 最后通过简单的换位和逆初始置换，得 到64比特的输出密文。
可分为如下四种：唯密文攻击（ciphertext-only attack）、已知明文攻击（known plaintext attack）、选择明文攻击（chosen plaintext attack）和选择密文攻击（chosen ciphertext attack）。 以上四种攻击类型中，唯密文攻击最弱，选择密文 攻击最强，攻击强度按顺序递增。