《物联网安全——理论与技术胡向东电子课件第3章节物联网安全的密码理论》由会员分享,可在线阅读,更多相关《物联网安全——理论与技术胡向东电子课件第3章节物联网安全的密码理论(118页珍藏版)》请在金锄头文库上搜索。
1、第3章 物联网安全的密码理论,重庆邮电大学,本章主要内容,密码学基础,对称密码体制与算法,非对称密码体制与算法,1,2,3,4,杂凑算法与消息认证,数字签名,5,本章主要内容,密钥管理,量子密码学概述,6,7,学习导引,密码学与物联网安全的关系是什么? 什么是密码系统的组成与分类? 分组密码操作模式的内容是什么? 什么是安全模型? 对称密码体制与非对称密码体制的含义是什么? 对称密码算法(AES、SM4、ZUC)与非对称密码算法(RSA、ECC、SM2)的主要内容是什么? 什么是杂凑函数、杂凑算法与消息认证? 如何理解数字签名的特殊性?要实现数字签名有何要求?数字签名方案和数字签名标准(DSA
2、)的具体内容是什么? 什么是密钥管理?DH密钥协商算法的内容是什么?密钥的分发方法有哪些?,3.1 密码学基础,3.1.1 密码学在物联网安全中的作用 密码学(cryptology)是密码编码学和密码分析学的统称 通过变换消息使其保密的科学和艺术叫做密码编码学(cryptography),密码编码学是密码体制的设计学,即怎样编码,采用什么样的密码体制以保证信息被安全地加密 密码分析学(cryptanalysis)就是破译密文的科学和艺术。密码分析学是在未知密钥的情况下从密文推演出明文或密钥的艺术 密码技术是实现网络信息安全的核心技术,通过密码算法的加密变换,将可读的文件(明文)变换成不可理解的
3、乱码(密文),从而起到保护信息和数据的作用。它直接支持机密性、完整性和非否认性等安全服务,3.1 密码学基础,安全服务是加强数据处理系统和信息传输安全性的一类服务,其目的在于利用一种或多种安全机制阻止安全攻击 物联网系统通常需要的安全服务: 1、机密性(Confidentiality) 机密性是信息不泄露给非授权的用户、实体或过程,或供其利用的特性,是信息安全最基本的需求 机密性可保护数据免受被动攻击 对于消息内容的析出 机密性能够确定不同层次的保护,如广义保护可以防止一段时间内两个用户之间传输的所有用户数据被泄露,狭义保护可以保护单一消息中某个特定字段的内容。 对于通信量分析 机密性要求一个
4、攻击不能在通信设施上观察到通信量的源端和目的端、通信频度、通信量长度或其他特征。,3.1 密码学基础,2、完整性(Integrity) 完整性是数据未经授权不能进行改变的特性,即信息在存储或传输过程中不被修改、不被插入或删除的特性 它保证收到的数据的确是授权实体所发出的数据 完整服务旨在防止以某种违反安全策略的方式改变数据的价值和存在的威胁 面向连接的完整服务用于处理消息流的篡改和拒绝服务,它能确保接收到的消息如同发送的消息一样,没有冗余、插入、篡改、重排序或延迟,也包括数据的销毁 无连接的完整服务用于处理单个无连接消息,通常只保护消息免受篡改 违反完整性不一定是恶意行为的结果,系统的中断(如
5、电力方面的浪涌)也可能造成某些信息意想不到的改变 对数据完整性的破坏通常只关注检测而不关注防止,一旦检测到数据完整性被破坏就报告并采取适当的恢复措施,3.1 密码学基础,3、鉴别(Authentication) 也叫认证,用于确保一个消息的来源或消息本身被正确地标识,同时确保该标识没有被伪造 鉴别服务关注确保一个通信是真实可信的,分为实体认证和数据源认证。 对于单个消息而言,鉴别服务要求能向接收方保证该消息确实来自于它所宣称的源方,即数据源认证。数据源认证主要用于无连接的通信 实体认证是指对于通信的双方而言,鉴别服务要求在连接发起时能确保这两个实体是可信的,即每个实体的确是它宣称的那个实体。实
6、体认证主要用于面向连接的通信 4、非否认性(Non-repudiation) 也叫不可抵赖性。是防止发送方或接收方抵赖所传输的消息 当发送一个消息时,接收方能够提供源方证据以证实该消息的确是由所宣称的发送方发来的(源非否认性) 当接收方收到一个消息时,发送方能够提供投递证据以证实该消息的确送到了指定的接收方(宿非否认性),3.1 密码学基础,5、访问控制(Access Control) 访问控制是限制或控制经通信链路对主机系统和应用程序等系统资源进行访问的能力。防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,即未经授权地读、写、使用、泄露、修改、销毁以及颁发指令等 访问控制直
7、接支持机密性、完整性以及合法使用等安全目标。控制的实现方式是认证。 访问控制是实施授权的一种方法。通常有两种方法: (1)访问请求过滤:当一个发起者试图访问一个目标时,需要检查发起者是否被准予访问目标(由控制策略决定) (2)隔离:从物理上防止非授权用户有机会访问敏感的目标 6、可用性(Availability) 可用性是可被授权实体访问并按需求使用的特性,即要求网络信息系统的有用资源在需要时可为授权各方使用,保证合法用户对信息和资源的使用不会被不正当地拒绝 例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都是对可用性的攻击,3.1.2密码系统的组成与分类,密码系统(cryptosyst
8、em)是用于加密与解密的系统,就是明文与加密密钥作为加密变换的输入参数,经过一定的加密变换处理以后得到输出的密文,或者基于密文与解密密钥,经过解密变换恢复明文 一个密码系统涉及到用来提供信息安全服务的一组密码基础要素,由加密算法、解密算法、所有可能的明文、密文、密钥以及信源、信宿和攻击者(或敌手)等组成,3.1.3分组密码的操作模式,通常,分组密码算法是提供数据安全的一个基本构件,它以固定长度的分组作为基本的处理单位(如典型地AES以128位作为一个分组的大小) 但要保密传输的消息不一定刚好是一个分组长度,根据分组密码算法的明文输入长度要求,一个长报文需要分成多个明文分组 为了在各种各样的应用
9、中使用这些基本加密构件,定义了五种常用的“操作模式”。这五种操作模式试图覆盖所有可能使用基本构件的加密应用 任何一种对称分组密码算法都可以基于这些方式进行应用,交流与微思考,应用分组密码算法对敏感消息进行加密保护时,只要提供待保护的明文消息和密钥作为算法的输入,就可以得到对应的密文,为何要引入分组密码操作模式?,3.1.3分组密码的操作模式,1、电子密码本模式(ECB),交流与微思考,为什么说“对于长报文,ECB模式可能并不安全”?,3.1.3分组密码的操作模式,2、密码分组链接模式(CBC),3.1.3分组密码的操作模式,3、计数器模式(CTR),3.1.3分组密码的操作模式,4、输出反馈模
10、式(OFB),3.1.3分组密码的操作模式,5、密码反馈模式(CFB),3.1.4 安全模型,(1)网络通信安全模型,3.1.4 安全模型,(2)网络访问安全模型,3.2 对称密码体制与算法,3.2.1 对称密码体制,3.2 对称密码体制与算法,对称密码体制的安全性主要取决于两个因素: (1)加密算法必须足够强大,不必为算法保密,仅根据密文就能破译出消息是不可行的 (2)密钥的安全性,密钥必须保密并保证有足够大的密钥空间。对称密码体制要求基于密文和加密/解密算法的知识能破译出消息的做法是不可行的。 优点 加密、解密处理速度快,具有很高的数据吞吐率,硬件加密实现可达到每秒几百兆字节,软件也可以达
11、到兆字节每秒的吞吐率。密钥相对较短。 缺点 密钥是保密通信安全的关键,如何才能把密钥安全地送到收信方,是对称密码算法的突出问题。对称密码算法的密钥分发过程十分复杂,所花代价高。 多人通信时密钥组合的数量会出现爆炸性膨胀,使密钥分发更加复杂化 通信双方必须统一密钥,如果发信方与收信方素不相识,就无法向对方发送秘密信息 存在数字签名困难问题,交流与微思考,在第二次世界大战日军偷袭珍珠港之前,日本外务省的密电曾被中国特工破译,功臣就是中国抗战史上的密码破译天才池步洲。池步洲于1908年出生于福建省闽清县一个贫苦农家,12岁时才开始上学,凭着他过目不忘的高智商,仅仅用10年时间就修完了全部学业,以优异
12、成绩毕业于厦门大学,并被保送到日本东京大学深造,学习了四年的机电专业,毕业后在中国驻日本大使馆任职,娶了一位日籍姑娘为妻。1937年“七七事变”爆发,他出于爱国热情,毅然携妻子及两个子女返回国内参加抗战。1938年6月,池步洲奉命调到直属于国民党中央军事委员会的“日帝陆军密电研究组”工作。1941年12月1日,池步洲破译了日本外务省“东风,雨”的暗语密电,做出日军近期将在珍珠港有军事行动的判断,他还根据日本外务省多次询问珍珠港美军如何度过周末假日等情报,准确判断出日军的行动日期大约在12月头一个星期天,报告给蒋介石并最终通过美国驻华使馆把情报转给罗斯福,遗憾的是罗斯福总统接到情报后不知何故未采
13、取任何防御措施,导致珍珠港事件的巨大损失。1943年4月18日清晨六点,日本名将山本五十六及其幕僚分乘的两架专机因池步洲截获并破译了其出巡日程的情报,结果受到十六架美国空军战斗机的袭击,山本五十六因座机坠落原始森林而毙命。 基于此背景材料,你对密码学的重要性有何认识?对密码破译的作用有怎样的感想?,3.2.2 AES对称密码算法,美国国家标准与技术研究所(NIST)于2001年12月正式发布了AES标准(FIPS 197),该标准以Rijndael算法为核心 Rijndael算法是一种对称分组密码体制,采用代替或置换网络,每轮由三层组成: 线性混合层确保多轮之上的高度扩散 非线性层由16个S盒
14、并置起到混淆的作用 密钥加密层将子密钥异或到中间状态 AES标准规定Rijndael算法的分组长度为128位,而密钥长度可以为128、192或256位,相应的迭代轮数为10轮、12轮或14轮 Rijndael 汇聚了安全性能、效率、可实现性和灵活性等优点。Rijndael 对内存的需求低,使它很适合用于资源受限制的环境中,Rijndael 的操作简单,并可抵御强大和实时的攻击,加密原理,基本加密变换,(1)S盒变换SubBytes(字节运算) SubBytes()变换是一个基于S盒的非线性置换,它用于将每一个字节通过一个简单的查表操作映射为另一个字节 映射方法是:把输入字节的高4位作为S盒的行
15、值,低4位作为列值,然后取出S盒中对应行和列交叉位的元素作为输出,基本加密变换,(2)列混合变换MixColumns (字运算) MixColumns()实现逐列混合,其方法是:,模运算,模运算的性质,1 自反性:对任意整数a,有aa(modm) 对称性:如果ab(modm),则ba(modm) 传递性:如果ab(modm),bc(modm),则ac(modm) 2 模m运算将所有整数映射到整数集合0,1,2.,(m-1),得到的整数集合称为剩余类集合;常用Zm表示所有整数模m后得到的剩余类集合,即Zm=0,1,2,(m-1)。 3模运算就像普通的运算一样,它是可交换、可结合、可分配的。对每一
16、个中间结果进行模m运算后再进行模m运算,其作用与先进行全部普通运算,然后将所得结果再进行模m运算是一样的. 4 (幂计算)anmodm=(amodm)n(modm) 5(加法消去律:无条件)如果(a+b)(a+c)(modm),则bc(modm)。 (乘法消去律:有条件)对于(ab)(ac)(modm),若gcd(a,m)=1(互素),则bc(modm)。,基本加密变换,(3)行移位运算ShiftRows,基本加密变换,(4)轮密钥加变换AddRoundKey AddRoundKey()用于将输入或中间态S的每一列与一个密钥字ki进行按位异或,即AddRoundKey(S, )=S+ki,ki(i=0,1,Nr)由原始密钥k通过密钥扩展算法产生。,3、AES的解密,AES的解密算法与加密算法类似(称为逆加密算法),主要区别在于轮密钥要逆序使用,四个基本运算
