密码技术基础.ppt

第二章 密码技术基础,密码技术概述 传统密码技术现代密码技术 网络加密技术,2.1 密码技术概述,2.1.1 密码基本概念 安全问题包含两个主要内容：数据的保密性数据的完整性密码学 密码学是研究密码分析和密码编制的一门科学，它涉及数学、物理、计算机科学、电子学、系统工程、语言学等学科内容。加密(Encryption)用某种方法伪装消息并隐藏它的内容的方法称作加密 明文(Plaintext)待加密的消息被称作明文 明文空间 所有明文的集合称为明文空间,2.1 密码技术概述,密文(Ciphertext)被加密以后的消息称为密文 密文空间 所有密文的集合称为密文空间 解密(Decryption)把密文转变成明文的过程称为解密 密钥 加密体制中的加密运算是由一个算法类组成，这些算法类的不同运算可用 不同的参数表示，不同的参数分别代表不同的算法，被称作密钥 密钥空间 密钥空间是所有密钥的集合 明文空间 所有明文的集合称为明文空间注:任何一个密码系统包含明文空间、密文空间、密钥空间和算法。密码系统的两个基本单元是算法和密钥。其中算法是相对稳定的，视为常量；密钥则是不固定的，视为变量。密钥安全性是系统安全的关键，因此为了密码系统的安全，频繁更换密钥是必要的，在密钥的分发和存储时应当特别小心。,2.1 密码技术概述,简单加密、解密过程,加密,解密,接受方,第三方,发送方,明文,密文,原来的明文,图21 简单加密、解密过程,发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他只能得到无法理解的密文，从而对信息起到保密作用。,2.1 密码技术概述,2.1.2 密码技术的分类 密码体制一般可分为传统密码和现代密码,从不同的角度根据不同的标准，可以把密码分成若干类:按应用技术或历史发展阶段划分 1手工密码 2机械密码 3电子机内乱密码 4计算机密码 按保密程度划分 1理论上保密的密码 2实际上保密的密码 3不保密的密码 按密钥方式划分 1对称式密码 2非对称式密码 按明文形态分 1模拟型密码 2数字型密码按编制原理划分 1移位 2代替 3置换 4组合形式 与电子商务密切相关的安全理论主要有以下三大类：1分组密码 2公开密钥密码 3非密码的安全理论和技术,2.2 传统密码技术,2.2.1 换位密码 换位密码根据一定的规则重新安排明文字母，使之成为密文。常用的换位密码有两种，一种是列换位密码，另一种是周期换位密码。例1 假定有一个密钥是type的列换位密码，我们把明文can you believe her写成4行4列矩阵，如表21所示。表21,密钥type顺序3 4 2 1C a n yO u b eL I e vE h e r按照密钥type所确定的顺序，按列写出该矩阵中的字母，就得出密文：Y E V R N B E E A U I H CO L E,例2 假设有一个周期是4的换位密码，其密钥是i1，2，3，4的一个置换f(i)3，4，2，l。明文同上例，加密时先将明文分组，每组4个字母，然后根据密钥所规定的顺序变换如下：明文：Mc a n y o u b e 1 i e v e h e r密文：CN Y A C B E U O E V I L E R H E,2.2 传统密码技术,2.2.2 代替密码 密码体制一般可分为传统密码和现代密码,从不同的角度根据不同的标准，可以把密码分成若干类:简单代替密码（simple substitution cipher）简单代替密码就是将明文字母表M中的每个字母用密文字母表c中的相应字母来代替。1移位密码 加密变换可表示为：ek(m)=(k+m)mod q=c，解密变换为；dk(c)=(m-k)mod q=m，其中q为字母表M的长度，m为明文字符在字母表M中的位置，c为密文字母在字母表C中的位置。移位密码就是对英文26个字母进行移位代替的密码。2乘数密码 加密过程可表示为：ek(m)km mod q=c，其中k和q为互素的，这样字母表中的字母会产生一个复杂的剩余集合。3仿射密码 加密的形式为：ek(m)=(k1m+k2)mod q=c，其中要求k1和q是互素的。,2.2 传统密码技术,多名或同音代替密码(homophonic substitution cipher)在同音代替中，一个明文字母表的字母a，可以变换为若干个密文字母f(a)，称为同音字母，因此，从明文到密文的映射f的形式是f：A2C，其中A，C分别为明文和密文的字母表。例3 假定一个同音代替密码的密钥是一段短文，该文及其其中各个单词的编号，如下所示：(1)Canadas large land mass and(6)Scattered population make efficient communication(11)a necessityExtensive railway，road(16)and other transportation systems，as(21)well as telephone，telegraph，and(26)cable networks，have helped to(31)link communities and have played(36)a vital part in the(41)countrys development for future 在上表中，每一个单词的首字母都和一个数字对应，例如字母C与数字1,10，26，32，41对应；字母M和数字4，8对应等，加密时可以用与字母对应的任何一个数字代替字母，例如，如果明文为I Love her forever的密文可能是39 2 17 37 9 28 9 14 43 17 14 13 37 13 14,2.2 传统密码技术,多表代替密码(polyalphabetic substitution cipher)在Vigenere密码中，用户钥是一个有限序列k(kl，k2，k3，kd),我们可以通过周期性(周期为d)将k扩展为无限序列，得到工作钥 K(Kl，K2，K3，),其中 KiK(i mod d)，li,如果我们用和分别表示密文和明文字母，则Vigenere密码的变换公式为:(+ki)(mod n)例4 在用户钥为cat的Vigenere密码(周期为3)中，加密明 文Vigenere cipher的过程如下(n26):明 文 Mvig ene rec iph er 工作钥 Kcat cat cat cat ca,密 文 CXIZ GNX TEV KPA GR.在这个例子中,每个三字母组中的第一个、第二个和第三个字母分别移动（mod 26）2个、0个和19个位置。游动钥密码是一种非周期性的Vigenere密码，它的密钥和明文信息一样长，而且不重复。,2.2 传统密码技术,例5 假定一个游动钥密码的密钥是美国1776年7月4日发布的独立宣 言，从第一段开始，因此，明文the object of 明文：Mt h e o b j e c t o f 密钥：Kw h e n I n t h e c o 密文：CP O I B J W X J X Q T 多字母代替密码(polygram substitution cipher)每一对明文字母m1和m2，都根据以下5条规则进行加密：(1)若ml和m2在密钥方阵中的同一行，则密文字母C1和C2分别是ml和m2右边字母(第一行看作在第五行的下边)。(2)若ml和m2在同一列，则C1和C2分别是m1和m2右边的字母(第一行看作为第五行的下边)。(3)若m1和m2在密钥方阵中的不同行和列，密文字母C1和C2分别是以m1和m2为顶点组成的长方形中的另两个顶点，其中C1和m1、C2和m2分别在同一行。(4)若m1m2，则在ml和m2之间插进一个无效字母，例如x。(5)若明文信息共有奇数个字母，则在明文末尾附加一个无效字母。,2.2 传统密码技术,例6 用Playfair密码加密明文bookstore,我们有明文 Mbo xo ks to re密文 CID RG LP QD HG,2.2 传统密码技术,2.2.3 转轮机 轮转机有一个键盘和一系列转轮，每个转轮是字母的任意组合，有26个位置，并且完成一种简单代替。例如，一个转轮可能被用线连起来以完成用K代替A，月W代替D，用L代替T等，而且转轮的输出栓连接到相邻的输入栓。例如，有一个密码机，有4个转轮，第一个转轮可能用G代替B，第二个转轮可能内N代替G，第二个转轮可能用S代替N。第四个转轮可能用C替S，C应该是输出密文。当转轮移动后，下一次代替将不同。为使机器更加安全，可以把几种转轮和移动的齿轮结合起来。因为所有的转轮以不同的速度移动，n个转轮的机器周期为26n。为进一步阻止密码分析，有些转轮机在每个转轮上还有不同的位置号。,2.2 传统密码技术,2.2.4 一次一密密码 每个密钥仅对一个消息使用次。发方对所发的消息加密，然后销毁乱码本中用过的一页或用过的磁带部分。收方有一个同样的乱码本，并依次使用乱码本上的每个密钥去解密密文的每个字符。收方在解密消息后销毁乱码本中用过的一页或用过的磁带部分。新的消息则用乱码本中新的密钥加密。例如，消息 0NETIMEPAD乱码本的密钥序列 TBFRGFARFM密文 IPKLPSFHGQ，,因为O+T mod26IN+B mod26PE+F mod26K,密钥序列也可能是：POYYAEAAZX解密出来是：SALMONEGGS或密钥序列为：BXFGBMTMXM解密出来的明文为：GREENFLUID,2.2 传统密码技术,使用一次一密乱码本需要注意 密钥字母必须随机产生。对这种方案的攻击主要是针对用来产生密钥序列的方法。伪随机数发生器通常只有非随机性，所以不能用于产生随机密钥序列。采用真随机源，它才是安全的。0NETIMEPAD密钥序列不能重复使用。如果密码分析家有多个密钥重叠的密文，那么即使你用多兆字节的乱码本，他也能重构明文。他可以把每排密文移来移去，并计算每个位置的适配量。如果他们排列正确，则适配的比例会突然升高(准确的百分比与明文的语种有关)。从这一点来说，密码分析是容易的，它类似于重合指数法只不过用两个“周期”。所以千万别重复使用密钥序列。,2.3 现代密码技术,2.3.1 对称密码技术 对称密钥密码系统使用的加密密钥和解密密钥是相同的，或者可以简单地相互推导出来。典型的对称密钥密码系统是数据加密标准(DES-data encryption standard)，此外还有IDEA(international data encryption algorithm)、AES(advanced encryption standard)等。数据加密标准（DES）,逆初始变换,子密钥生成K1,K2,K16,初始变换,64比特密文,64比特明文,64比特密钥,初始换位,图22 DES加密的数据流程,2.3 现代密码技术,1加密处理 a 初始换位：加密处理首先要对64比特的明文按表23所示的初始换位表1P进行换位。表中的数值表示输入比特被置换后的新比特位置。例如，输入的第58比特，在输出时被置换到第l比特的位置；输入的第2比特，在输出时被置换到第8比特的位置；输入的第l比特，在输出时被置换到第40比特的位置；输入的第7比特，在输出时被置换到第64比特的位置上。,表23,2.3 现代密码技术,b 加密处理：上述换位处理的输出、中间要经过16层复杂的加密变换。经过初始换位的64比特的输出变为下一步的输入，此64比特分成左、有两个32比特，左为Lo，右为Ro，从Lo和Ro到Ll6和R16共进行了如图24所示的16层加密变换。换完之后，若经过第n层处理后的左、右32比特分别为Ln和Rn，则Ln和Rn可作如下的定义；Ln=Rn-1 Rn=Ln-1f(Rn-1，Kn)这里，Kn是向第n层输入的48比特的密钥；Ln-1和Rn-1分别是第n-1层的输出；f是以Rn-1和Kn为变量的输出32比特的函数。,2.3 现代密码技术,明文(64),初始变换,左移位,左移位,D0(28),C0(28),密钥(56),压缩型变换,压缩型变换,f(R1,K2),R0(32),R2(32),L1(32),f(R0,K1),L0(32),压缩型换位,密钥(64),C1(28),C1(28),左移位,C2(28),C2(28),左移位,左移位,左移位,第一层,加密处理部分,密钥生成部分,图23 DES算法的框图,2.3 现代密码技术,D16(28),C16(28),R16(32),压缩型换位,f(R15,K15),R2(32),R15(32),L15(32),L16(32),L2(32),密文(64),最后变换,第16层,加密变换,()内为比特数,K16(48),K16,2.3 现代密码技术,Ln-1,Rn,Ln,f(Rn-1,Kn),Rn-1,32比特,32比特,32比特,32比特,48比特,Kn,图24 第n层的加密变换,2.3 现代密码技术,c 最后换位：进行完16次的加密变换之后，将L16和R16合成64位数据，再按表24所示的最后换位表IP1进行换位，得到64比特的密文，这就是DES加密的结果。,表24 最后换位表IP1,由图25可以看出，表24和表23是完全的逆变换。,2.3 现代密码技术,2加密变换 例:向S1输入一个二进制状态0ll01l时，因开头的0和末尾的1合起来为01(即十进制数1)，所以选中了编号为1的代替表；又因中间4个比特状态为1101(十进制数13)，表示选第13列。第1行第13列所指示的值为5，即输出状态为0101，这4个比特就是经过代替之后的状态。表27给出了S1S8的s盒代替表，其中的每一行代表一种代替表。接着，从8个S盒输出的32比特，根据表28所示的单纯换位表P进行换位，这样便实现了f(R，K)的变换。,表25 扩展型换位表E,2.3 现代密码技术,表26 S盒的代替表（S1）,2.3 现代密码技术,图25 初始换位和最后换位,2.3 现代密码技术,2.2 传统密码技术,表27 S盒代替表,2.3 现代密码技术,表28 单纯换位表P,2.3 现代密码技术,3.子密钥的生成,下面，说明子密钥K1K16的16层子密钥的生成过程。在64比特的密钥里包含了8位的奇偶校验位，所以实际密钥长度是56比特，而每层要生成48比特的子密钥。输入64比特的密钥，首先通过压缩型换位PC1(Permutation choice)去掉奇偶校验位，再将不含奇偶校验位的56比特进行输出，而每层要分成两部分，上部分的28比特为C0，下部分的28比特为D0，如表29所示。C0和D0依次进行循环左移位，这样就生成了Cl和Dl，然后将Cl和Dl合成56位，再通过压缩型换位PC2(表210)，输出的结果即为48位的子密钥K1。再将C1和D1进行循环左移位和PC2的转换，即得子密钥K2。依次类推，就可以得出16级的子密钥K1，K2，K16。16层子密钥的生成过程如图23右半部所示。值得注意的是，在产生16级子密钥的过程中，L1、L2、L9、L16是循环左移1位的变换，而其余的Ln都是循环左移2位的变换。16层变换中的循环左移位次数如表211所示。,2.2 传统密码技术,2.2 传统密码技术,表211 密钥生成中的循环左移位次数,2.3 现代密码技术,4解密处理 从密文到明文的解密处理可采用与加密算法完全相同的算法。不过解密要用加密的逆变换，也就是把上述的最后换位表1P-1和初始换位表lP完全倒过来变换。另外，在16层的变换处理中，由于Rn-1Ln和Ln-1RnfLn，Kn，因此要求出Rn-1和Ln-1只要知道Ln、Rn和Kn，并使用同一个函数f所表示的变换便可以实现，从而在各层变换中，如果采用与加密时相同的Kn来处理，就能实现解密。具体地说，输入DES算法中的密文,经过初始换位可得到L16和R16,第1层处理时的密钥是逆序的，用K16可以求出L15和R15，其中f(R，K)即使不可逆也没有关系；然后用K15进行变换求出L14和R14。依次类推，经过16层的变换即可得到L0和R0。,5DES加密的评价,2.3 现代密码技术,6二重DES 二重DES是多重使用DES时最简单的形式，其中明文为P，两个加密密钥为K1和K2，密文为：CEK2EK1P.解密时，以相反顺序使用两个密钥：PDK1DK2C.因此，二重DES所用密钥长度为112比特，强度极大地增加。然而，如果对任意两个密钥K1和K2，能够找出另一密钥K3，使得 EK2EK1P=EK3P.那么，二重DES以及多重DES都没有意义，因为它们与56比特密钥的单重DES等价。,2.3 现代密码技术,7两个密钥的三重DES,2.3 现代密码技术,8三个密钥的三重DES 三个密钥的三重DES密钥长度为168比特，加密方式为:CEK3DK2EK1P 令K3K2或K1K2，则变为一重DES。三个密钥的三重DES己在因特网的许多应用(如PGF和S/MIME)中被采用。,2.3 现代密码技术,国际数据加密算法（IDEA）高级加密标准（AES）整个算法包括加密过程与轮密钥生成两个独立的部分1.加密过程 设信息块是M，轮密钥分别是K0,K1,Knr-1,加密过程如图210所示。解密过程把加密过程完全反过来即可。,+,+,+,+,E,E1,E,明文M,密文,ByteSub,ShiftRow,MixColumn,ByteSub,ShiftRow,2.3 现代密码技术,ByteSub函数 把每个8bit的字节看成有限域GF(28)中的一个元素，那么函数ByteSub是作用在每个字节上的非线性变换，它定义为：ByteSub:GF(28)GF(28)如右图：图211描述了信息块长度是192bit时，函数ByteSub的作用情况。ShiftRow函数 把信息块记为4行、Nb列的矩阵形式，函数ShiftRow就是对每行实行不同的 左移位，每行的左移位数C1,C2,C3分 别由Nb按照表213决定。函数ShiftRow的作用可表示成图212。,2.3 现代密码技术,ByteSub,图211 函数ByteSub,表213 左移位函数的确定,2.3 现代密码技术,不移位,左移C1位,左移C2位,左移C3位,图212 函数ShiftRow,2.3 现代密码技术,MixColumn函数 MixColumn函数是GF(28)4上的一个线性变换，变换矩阵C定义为：,其中,的运算均为在GF(28)中进行。图213描述了信息块长度是192bit时，MixColumn函数的作用情况。此处矩阵C中的元素xy理解为两个4 bit长的二进制数的串接，比如02理解为0000 0010。,2.3 现代密码技术,图213 函数MixColumn,2.3 现代密码技术,2.轮密钥的生成,轮密钥的生成过程包括加密密钥的扩张和轮密钥的选取两个部分。,加密密钥的扩张 假设信息块的长度是Nb个32bit字，由于整个加密过程需要Nr+1个轮密钥，每个轮密钥的长度是Nb个32bit字，因此密钥的扩张过程需要产生Nb（Nr 1）个32bit字，记为w0,w1,，wNb(Nr+1)-1。加密密钥的扩张根据密钥长度Nk的不同，有两种不同的扩张方式。假设加密密钥为wk0 wk1wkNr-1,令w0=wk0,w1=wk1,wNr-1=wkNr-1。当Nr6时，对于NkiNb(Nr+1),如图214a所示。当Nr6时，对于NkiNb(Nr+1),如图214b所示。其中，RotByte把(a,b,c,d)变为(b,c,d,a),a,b,c,d是8bit字节；Rconti=(RCi,00,00,00);RC1=1,RCi=xRCi-1=xi-1,2.3 现代密码技术,2.3 现代密码技术,轮密钥的选取 加密密钥经过扩张产生了Nb(Nr+1)个32bit字，把它们均等地分成Nr+l块，每块包含Nb个32bit字，那么第一个轮密钥就是第一个块，第二个轮密钥就是第二个块，依此类推得到所有的轮密钥。3.关于AES的讨论 与其他分组码相比，AES具有如下特点：可变的密钥长度；混合的运算；数据相关的圈数；密钥相关的圈数；密钥相关的s盒；长密钥调度算法；可变长明文/密文块长度；可变圈数；每圈操作作用于全部数据。,2.3 现代密码技术,轮密钥的选取 加密密钥经过扩张产生了Nb(Nr+1)个32bit字，把它们均等地分成Nr+l块，每块包含Nb个32bit字，那么第一个轮密钥就是第一个块，第二个轮密钥就是第二个块，依此类推得到所有的轮密钥。3.关于AES的讨论 与其他分组码相比，AES具有如下特点：可变的密钥长度；混合的运算；数据相关的圈数；密钥相关的圈数；密钥相关的s盒；长密钥调度算法；可变长明文/密文块长度；可变圈数；每圈操作作用于全部数据。,2.3 现代密码技术,2.3.2 非对称密码技术公钥加密技术原理概述 公钥加密是基于单向陷门(trap door)函数来实现的，单向陷门函数是指满足下列条件的函数f(x)：(1)给定x，计算yf(x)是容易的；(2)给定y，计算xf-1(y)是困难的；(3)存在，已知时，对给定的任何y，若相应的x存在，则计算x=f-1(y)是容易的。仅满足第(1)条、第(2)条的称为单向函数，第(3)条称为陷门性，称为陷门信息。当用陷门函数f(x)作为加密函数时可将f(x)公开，这相当于公钥。f(x)函数的设计者将保密，用作解密密钥，这相当于私钥。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者，当然可以通过不安全信道传送，由于设计者拥有(私钥)，他可以容易地解出xf-1(y)。单向陷门函数的第(2)条性质表明窃听者由截获的密文yf(x)推测x是不可行的。目前公钥密码系统单向陷门函数的设计主要依赖下面3种数学难题：(1)背包问题；(2)大整数因子分解问题；(3)离散对数问题,2.3 现代密码技术,RSA加密系统 1.RSA算法的描述 RSA算法的实现步骤如下：(B为实现者)(1)B寻找出两个大素数p和q。(2)B计算出n=pq和f(n)(P一1)(q一1)。(3)B选择一个随机数e(0ej(n)，满足(e，f(n)=1。(4)B使用欧几里得扩展算法计算d=e-1(mod f(n)。(5)B在目录中公开n和e作为他的公开钥，保密p、q和d。密码分析者攻击RSA体制的关键点在于如何分解n。若分解成功使n=pq，则可以算出f(n)=(p-1)(q1)，然后由公开的e解出秘密的d。加密时，对每一明文分组如下计算：ci=mie(mod n).解密时，取每一密文分组c并计算：mi=cie(mod n)RSA算法主要用于数据加密和数字签名。RSA算法用于数字签名时，公钥和私钥的角色变换即可。即将消息用d加密签名，用e验证签名。,2.3 现代密码技术,2.RSA算法实例 若B选择了p=101和q=113，那么，n=11413，f(n)=100 x112=11200；再用辗转相除法(Euclidean算法)来求得e，使(e，f(n)=1)。假设B选择了e=3533，那么用辗转相除法将求得：d=e-1(mod ll200)，于是B的解密密钥d=6597。B在一个目录中公开n=11413和e=3533，现假设A想发送明文9726给B，他计算：97263533(mod ll413)=5761，且在一个信道上发送密文5761。当B接收到密文5761时，他用他的秘密解密指数(私钥)d=6597进行解密：57616597(mod ll413)=97263.关于RSA的讨论,2.3 现代密码技术,3 ElGamal加密系统 1.密钥对产生方法 密钥对产生办法如下：(1)选择一个素数p，两个随机数g和x,要求g，xp。(2)计算ygx(mod p)，则其公钥为y、g和p；私钥是x。g和p可由一组 用户共享。2.EIGamal用于加密 假定被加密信息为M，首先选择一个随机数k，k与p-1互质，计算 a=gk(mod p)，b=ykM(mod p).(a，b)为密文，是明文的两倍长。解密 时计算 Mb/ax(mod p)3.EIGamal用于数字签名 EIGamal主要用于数字签名。假定被签信息为M，首先选择一个随机数 k，k与p-1互质，计算a=gk(mod p)，再用扩展Euclidean算法对下面方程 求解b：M=xa+kb(mod p-1)签名就是(a，b)。随机数k须丢弃。验证时要验证下式：yaab(mod p)=gM(mod p)同时一定要检验是否满足lap，否则签名容易伪造。,2.3 现代密码技术,椭圆曲线密码体制 1.有限域上的椭圆曲线定义 设K表示一个有限域，E是域K上的椭圆曲线，则E是一个点的集合：E/K=(x,y)|y2+a1xy+a3y=x3+a2x2+a4x+a6,a1,a3,a2,a4,a6,x,yKO 其中O表示无穷远点。在E上定义“+”运算，P+QR，R是过P、Q的直线与曲线的另一交点关于x轴的对称点(如图215所示)，当PQ时R是P点的切线与曲线的另一交点关于x轴的对称点(如图216所示)。这样，(E，+)构成可换群(Abel群)，O是加法单位元(零元)。,2.3 现代密码技术,椭圆曲线离散对数问题定义如下：给定定义在K上的椭圆曲线E，一个n阶的点P E/K和点QE/K，如果存在l，确定整数1，0ln1，Q=lP,2.3 现代密码技术,2.椭圆曲线上的密码算法利用EIGamal思想构造的椭圆曲线密码体制如下：首先是产生密钥阶段。B从Zn中随机选取充分大的整数kB，随后计算出椭圆曲线上的点P=kBQ(Q是椭圆曲线上的适当的一点)，将kB保密，作为秘密密钥，并将P公开，作为公钥。加密方法如下：如果A想把消息M(同样是椭圆曲线上的一点)发送给B，就从Zn中随机选择整数lZn后，计算出S1=lQ和S2M+lP的值，加密以后的信息就是椭圆曲线上两点(S1，S2)。解密：B收到加密信息(S1，S2)后，通过密钥kB就可以计算MS2kBS1得到消息M。例如：椭圆曲线密码实例 作为加密过程的例子，取p=751；Ep(-1，188)，这等价于曲线y2=x3-x+188 而G=(0，376)。假设A希望发送一个报文给B，这个报文被编码为椭圆点Pm(562，201)，而A选择随机数k386。B的公开密钥是PB(201，5)。那么，有386(0，376)(676，558)，而(562，201)+386(201，5)(385，328)因而A发送密文(676，558)，(385，328)。（3）关于椭圆曲线密码算法的讨论,2.4 网络加密技术,数据加密是通过加密机构把各种原始的数字信号(明文)，按某种持定的加密算法变换成与明文完全不同的数字信息，即密文的过程，如图217所示。,在网络系统中，数据加密方式有链路加密、节点加密和端对端加密等三种方式,加密,解密,加密密钥Kr,解密密钥Kp,传输线路,原始明文,解密后明文,图2-17 数据加密/解密过程,密文,2.4 网络加密技术,2.4.1 链路加密 这种加密方式的原理图,链路加密方式对用户是透明的，即加密操作由网络自动进行，用户不能干预加密/解密过程。这种加密方式可以在物理层和链路层实施，主要以硬件完成，它用以对信道或链路中可能被截获的那一部分进行保护。这些链路主要包括专用线路、电话线、电缆、光缆、微波和卫星通道等。,2.4 网络加密技术,链路加密按被传送的数字字符或位的同步方法不同，分为异步通信加密和同步通信加密两种，而同步通信按字节同步还是按位同步，又可分为两种 异步通信加密 字节同步通信加密 有报头形式 无报头形式,位同步通信加密。帧的格式如下：,其中，F为标志，表示每帧的头和尾；A为站地址；C为控制命令和响应类别；I为数据；FCS为帧校验序列,2.4 网络加密技术,2.4.2 节点加密 节点加密是链路加密的改进，其目的是克服链路加密在节点处易遭非法存取的缺点。在协议运输层上进行加密，是对源点和目标节点之间传输的数据进行加密保护。加密原理如图219所示。,节点加密也是每条链路使用一个专用密钥，但个密钥到另个密钥的变换是在保密模件中进行的。,2.4 网络加密技术,2.4.3 端-端加密 网络层以上的加密，通常称为端对端加密，端对端加密是面向网络高层主体进行加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。协议信息以明文形式传输，用户数据在中间节点不需要解密。端对端加密原理如图220所示。端对端加密具有链路加密和节点加密所不具有的优点。其一,是成本低。其二,端对端加密比链路加密更安全；其三，端对端加密可以由用户提供，因此对用户来说这种加密方式比较灵活。另外，端对端加密所需的密钥数量远大于链路加密，因此对端对端加密而言，密钥管理是一个十分重要的课题。,2.4 网络加密技术,图220 端对端加密,思考题,简述密码系统的设计原则。有哪些传统密码技术和现代密码技术？试述DES加密的数据流程。有哪些网络加密技术？什么是链路加密？什么是节点加密？什么是端-端加密？,Thank You!,