物聯(lián)網(wǎng)安全技術(shù)-文檔資料

1、物物聯(lián)聯(lián)網(wǎng)網(wǎng)安安全全技技術(shù)術(shù) 物聯(lián)網(wǎng)安全性概述物聯(lián)網(wǎng)安全性概述 物聯(lián)網(wǎng)身份識(shí)別技術(shù)及安全性分析物聯(lián)網(wǎng)身份識(shí)別技術(shù)及安全性分析物聯(lián)網(wǎng)密鑰管理技術(shù)物聯(lián)網(wǎng)密鑰管理技術(shù)7.37.17.2DES對(duì)稱(chēng)加密技術(shù)對(duì)稱(chēng)加密技術(shù)7.4 RSA公鑰加密技術(shù)公鑰加密技術(shù)物聯(lián)網(wǎng)中的消息一致性和數(shù)字簽名物聯(lián)網(wǎng)中的消息一致性和數(shù)字簽名信息隱藏概述信息隱藏概述7.77.57.6物聯(lián)網(wǎng)安全主要包括物聯(lián)網(wǎng)安全主要包括以下以下三個(gè)層次三個(gè)層次：設(shè)備安全設(shè)備安全數(shù)據(jù)信息安全數(shù)據(jù)信息安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全7.1 物聯(lián)網(wǎng)安全性概述物聯(lián)網(wǎng)安全性概述 1. RFID射頻病毒射頻病毒7.1.1 物聯(lián)網(wǎng)設(shè)備安全需求物聯(lián)網(wǎng)設(shè)備安全需求2. 工業(yè)現(xiàn)場(chǎng)

2、設(shè)備的安全性工業(yè)現(xiàn)場(chǎng)設(shè)備的安全性3. PLC系統(tǒng)的安全性系統(tǒng)的安全性 PLC是目前設(shè)備級(jí)用的最為廣泛的系統(tǒng)，是目前設(shè)備級(jí)用的最為廣泛的系統(tǒng)，而且大多沒(méi)有任何安全措施，一旦遭到攻擊，一而且大多沒(méi)有任何安全措施，一旦遭到攻擊，一個(gè)國(guó)家的能源、電力、通信、交通和軍事系統(tǒng)將個(gè)國(guó)家的能源、電力、通信、交通和軍事系統(tǒng)將會(huì)癱瘓。會(huì)癱瘓。 其中，西門(mén)子在自動(dòng)化工業(yè)操控體系幾乎其中，西門(mén)子在自動(dòng)化工業(yè)操控體系幾乎占有壟斷性地位，大多使用占有壟斷性地位，大多使用PLC系統(tǒng)。系統(tǒng)。7.1.2 物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全技術(shù)分析物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全技術(shù)分析物聯(lián)網(wǎng)的安全技術(shù)分析：物聯(lián)網(wǎng)的安全技術(shù)分析：移動(dòng)網(wǎng)絡(luò)中的大部分移動(dòng)網(wǎng)絡(luò)中的大

3、部分機(jī)制仍然可以適用于物聯(lián)網(wǎng)并能夠提供一定的安全機(jī)制仍然可以適用于物聯(lián)網(wǎng)并能夠提供一定的安全性，如認(rèn)證機(jī)制、加密機(jī)制等。性，如認(rèn)證機(jī)制、加密機(jī)制等。1.物聯(lián)網(wǎng)中的業(yè)務(wù)認(rèn)證機(jī)制u當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營(yíng)商提供時(shí)當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營(yíng)商提供時(shí),就可以充分利用網(wǎng)絡(luò)層認(rèn)證就可以充分利用網(wǎng)絡(luò)層認(rèn)證的結(jié)果而不需要進(jìn)行業(yè)務(wù)層的認(rèn)證的結(jié)果而不需要進(jìn)行業(yè)務(wù)層的認(rèn)證。u當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由第三方提供也無(wú)法從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由第三方提供也無(wú)法從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得密鑰等安全參數(shù)時(shí)密鑰等安全參數(shù)時(shí),它就可以發(fā)起獨(dú)立的業(yè)務(wù)認(rèn)證而不用考慮它就可以發(fā)起獨(dú)立的業(yè)務(wù)認(rèn)證而不用考慮網(wǎng)絡(luò)層的認(rèn)證網(wǎng)絡(luò)層的認(rèn)證。u當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)如金

4、融類(lèi)業(yè)務(wù)時(shí)當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)如金融類(lèi)業(yè)務(wù)時(shí),一般業(yè)務(wù)提供者會(huì)不信任一般業(yè)務(wù)提供者會(huì)不信任網(wǎng)絡(luò)層的安全級(jí)別網(wǎng)絡(luò)層的安全級(jí)別,而使用更高級(jí)別的安全保護(hù)而使用更高級(jí)別的安全保護(hù),那么這個(gè)時(shí)候就那么這個(gè)時(shí)候就需要做業(yè)務(wù)層的認(rèn)證需要做業(yè)務(wù)層的認(rèn)證。u當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí)當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí),如氣溫采集業(yè)務(wù)等如氣溫采集業(yè)務(wù)等,業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)認(rèn)證已經(jīng)足夠認(rèn)證已經(jīng)足夠,那么就不再需要業(yè)務(wù)層的認(rèn)證。那么就不再需要業(yè)務(wù)層的認(rèn)證。2. 物聯(lián)網(wǎng)中的加密機(jī)制物聯(lián)網(wǎng)中的加密機(jī)制u對(duì)一些安全要求不是很高的業(yè)務(wù)對(duì)一些安全要求不是很高的業(yè)務(wù),在網(wǎng)絡(luò)能夠提供逐跳加密保在網(wǎng)絡(luò)能夠提供逐跳加密保護(hù)的前提下護(hù)的前提下,

5、業(yè)務(wù)層端到端的加密需求就顯得并不重要。業(yè)務(wù)層端到端的加密需求就顯得并不重要。u對(duì)于高安全需求的業(yè)務(wù)對(duì)于高安全需求的業(yè)務(wù),端到端的加密仍然是其首選。端到端的加密仍然是其首選。u由于不同物聯(lián)網(wǎng)業(yè)務(wù)對(duì)安全級(jí)別的要求不同由于不同物聯(lián)網(wǎng)業(yè)務(wù)對(duì)安全級(jí)別的要求不同,可以將業(yè)務(wù)層端可以將業(yè)務(wù)層端到端安全作為可選項(xiàng)。到端安全作為可選項(xiàng)。7.2 物聯(lián)網(wǎng)的身份識(shí)別技術(shù)及安全性分析物聯(lián)網(wǎng)的身份識(shí)別技術(shù)及安全性分析1電子電子ID身份身份識(shí)別技術(shù)：識(shí)別技術(shù)：1通行字識(shí)別通行字識(shí)別2持證方式持證方式2個(gè)人特征的身個(gè)人特征的身份證明份證明:1手寫(xiě)簽名技術(shù)手寫(xiě)簽名技術(shù)2指紋識(shí)別技術(shù)指紋識(shí)別技術(shù)3語(yǔ)音識(shí)別技術(shù)語(yǔ)音識(shí)別技術(shù)4視網(wǎng)膜

6、圖樣識(shí)視網(wǎng)膜圖樣識(shí)別技術(shù)別技術(shù)5虹膜圖樣識(shí)別虹膜圖樣識(shí)別6臉型識(shí)別臉型識(shí)別物聯(lián)網(wǎng)的身份識(shí)別技術(shù)物聯(lián)網(wǎng)的身份識(shí)別技術(shù)7.2.1 電子電子ID識(shí)別技術(shù)識(shí)別技術(shù)通行字識(shí)別通行字識(shí)別持證持證一般由數(shù)字、字母、特殊字符、一般由數(shù)字、字母、特殊字符、控制字符等組成的長(zhǎng)為控制字符等組成的長(zhǎng)為5-8的字的字符串。符串。通行字選擇規(guī)則為：通行字選擇規(guī)則為：易記，難于易記，難于被別人猜中或發(fā)現(xiàn)，抗分析能力被別人猜中或發(fā)現(xiàn)，抗分析能力強(qiáng)，還需要考慮它的選擇方法、強(qiáng)，還需要考慮它的選擇方法、使用期、長(zhǎng)度、分配、存儲(chǔ)和管使用期、長(zhǎng)度、分配、存儲(chǔ)和管理等。理等。持證一般使用一種嵌有磁條的塑持證一般使用一種嵌有磁條的塑料卡

7、，磁條上記錄有用于機(jī)器識(shí)料卡，磁條上記錄有用于機(jī)器識(shí)別的個(gè)人信息。這類(lèi)卡通常和個(gè)別的個(gè)人信息。這類(lèi)卡通常和個(gè)人識(shí)別號(hào)一起使用，這類(lèi)卡易于人識(shí)別號(hào)一起使用，這類(lèi)卡易于制造，而且磁條上記錄的數(shù)據(jù)也制造，而且磁條上記錄的數(shù)據(jù)也易于轉(zhuǎn)錄，因此要設(shè)法防止仿制。易于轉(zhuǎn)錄，因此要設(shè)法防止仿制。電子電子ID身份身份識(shí)別技術(shù)識(shí)別技術(shù)通行字通行字是使時(shí)最廣是使時(shí)最廣泛的一種身份識(shí)別泛的一種身份識(shí)別方式，比如中國(guó)古方式，比如中國(guó)古代調(diào)兵用的虎符和代調(diào)兵用的虎符和現(xiàn)代通信網(wǎng)的拔入現(xiàn)代通信網(wǎng)的拔入?yún)f(xié)議等。協(xié)議等。其識(shí)別過(guò)其識(shí)別過(guò)程如圖所示程如圖所示通常被稱(chēng)為通常被稱(chēng)為IC卡、智慧卡、聰明卡，卡、智慧卡、聰明卡，是一種芯

8、片卡，是一種芯片卡，也稱(chēng)為也稱(chēng)為CPU卡，由一個(gè)或多個(gè)集成電路芯片組成，卡，由一個(gè)或多個(gè)集成電路芯片組成，并封裝成便于人們攜帶的卡片，在集成電路中具有微并封裝成便于人們攜帶的卡片，在集成電路中具有微電腦電腦CPU和存儲(chǔ)器。和存儲(chǔ)器。組組 成成 作作 用用具有暫時(shí)或永久的數(shù)據(jù)存儲(chǔ)能力，其內(nèi)容可供外部讀具有暫時(shí)或永久的數(shù)據(jù)存儲(chǔ)能力，其內(nèi)容可供外部讀取或供內(nèi)部處理和判斷之用，同時(shí)還具有邏輯處理功取或供內(nèi)部處理和判斷之用，同時(shí)還具有邏輯處理功能，用于識(shí)別和響應(yīng)外部提供的信息和芯片本身判定能，用于識(shí)別和響應(yīng)外部提供的信息和芯片本身判定路線(xiàn)和指令執(zhí)行的邏輯功能。路線(xiàn)和指令執(zhí)行的邏輯功能。智能卡智能卡一個(gè)安

9、全的身份識(shí)別協(xié)議至少應(yīng)滿(mǎn)足以下兩個(gè)條一個(gè)安全的身份識(shí)別協(xié)議至少應(yīng)滿(mǎn)足以下兩個(gè)條件：件：識(shí)別者識(shí)別者A能向驗(yàn)證者能向驗(yàn)證者B證明他的確是證明他的確是A。在識(shí)別者在識(shí)別者A向驗(yàn)證者向驗(yàn)證者B證明他的身份后，驗(yàn)證者證明他的身份后，驗(yàn)證者B沒(méi)有沒(méi)有獲得任何有用的信息，獲得任何有用的信息，B不能模仿不能模仿A向第三方證明他是向第三方證明他是A。7.2.2 二維碼技術(shù)及安全性分析二維碼技術(shù)及安全性分析1. 二維碼的編碼原理二維碼的編碼原理形態(tài)上是由多行短截的一維碼堆疊而形態(tài)上是由多行短截的一維碼堆疊而成成。以矩陣的形式組成，在矩陣相應(yīng)元素以矩陣的形式組成，在矩陣相應(yīng)元素位置上用位置上用“點(diǎn)點(diǎn)”表示二進(jìn)制表

10、示二進(jìn)制“1”， 用用“空空”表示二進(jìn)制表示二進(jìn)制“0”，由，由“點(diǎn)點(diǎn)”和和“空空”的排列組成代碼。的排列組成代碼。二維碼二維碼堆疊式堆疊式/行排行排式二維碼式二維碼矩陣式二維矩陣式二維碼碼行排式二維碼行排式二維碼，又稱(chēng)為堆積式二維碼或?qū)优攀蕉S碼，又稱(chēng)為堆積式二維碼或?qū)优攀蕉S碼，其編碼原理是建立在一維碼基礎(chǔ)之上，按需要堆積成其編碼原理是建立在一維碼基礎(chǔ)之上，按需要堆積成二行或多行。二行或多行。它在編碼設(shè)計(jì)、校驗(yàn)原理、識(shí)讀方式等方面繼承了一它在編碼設(shè)計(jì)、校驗(yàn)原理、識(shí)讀方式等方面繼承了一維碼的一些特點(diǎn)，識(shí)讀設(shè)備與條碼印刷與一維碼技術(shù)維碼的一些特點(diǎn)，識(shí)讀設(shè)備與條碼印刷與一維碼技術(shù)兼容。兼容。有代

11、表性的行排式二維碼有有代表性的行排式二維碼有CODE49、CODE16K、PDF417等。等。短陣式二維碼短陣式二維碼，又稱(chēng)棋盤(pán)式二維碼，它是在一個(gè)矩形又稱(chēng)棋盤(pán)式二維碼，它是在一個(gè)矩形空間通過(guò)黑、白像素在矩陣中的不同分布進(jìn)行編碼?？臻g通過(guò)黑、白像素在矩陣中的不同分布進(jìn)行編碼。在矩陣相應(yīng)元素位置上，用點(diǎn)（方點(diǎn)、圓點(diǎn)或其他形在矩陣相應(yīng)元素位置上，用點(diǎn)（方點(diǎn)、圓點(diǎn)或其他形狀）的出現(xiàn)表示二進(jìn)制狀）的出現(xiàn)表示二進(jìn)制“1”，點(diǎn)的不出現(xiàn)表示二進(jìn)，點(diǎn)的不出現(xiàn)表示二進(jìn)制的制的“0”，點(diǎn)的排列組合確定了矩陣式二維碼所代，點(diǎn)的排列組合確定了矩陣式二維碼所代表的意義。表的意義。具有代表性的矩陣式二維碼有：具有代表性的

12、矩陣式二維碼有：Code One、Maxi Code、QR Code、 Data Matrix等。等。國(guó)外二維碼國(guó)內(nèi)二維碼QR CodeLP CodePDF417碼GM CodeData MatrixCM CodeMaxi CodeGM-U Code2. 2. 二維碼的編碼安全性二維碼的編碼安全性保密性。保密性。保密性指防止數(shù)據(jù)的未授權(quán)公開(kāi)保密性指防止數(shù)據(jù)的未授權(quán)公開(kāi)，二維條碼通過(guò)編碼將有意義的數(shù)據(jù)變二維條碼通過(guò)編碼將有意義的數(shù)據(jù)變成一組無(wú)意義的條空組合，具有一定保密性，但比密碼差，只能應(yīng)用于低密級(jí)系成一組無(wú)意義的條空組合，具有一定保密性，但比密碼差，只能應(yīng)用于低密級(jí)系統(tǒng)統(tǒng)2) 完整性完整性。

13、保證數(shù)據(jù)單元的完整性要求源實(shí)體計(jì)算一個(gè)附加的數(shù)據(jù)項(xiàng)。保證數(shù)據(jù)單元的完整性要求源實(shí)體計(jì)算一個(gè)附加的數(shù)據(jù)項(xiàng)，它是發(fā)送數(shù)據(jù)它是發(fā)送數(shù)據(jù)源的函數(shù)源的函數(shù)，并且依賴(lài)于原始數(shù)據(jù)單元的全部?jī)?nèi)容。校驗(yàn)和、循環(huán)冗余碼值和哈希并且依賴(lài)于原始數(shù)據(jù)單元的全部?jī)?nèi)容。校驗(yàn)和、循環(huán)冗余碼值和哈希值都滿(mǎn)足這一要求值都滿(mǎn)足這一要求。3) 可用性可用性。采用二維條碼作為用戶(hù)身份標(biāo)識(shí)。采用二維條碼作為用戶(hù)身份標(biāo)識(shí)，避免未授權(quán)使用避免未授權(quán)使用。自動(dòng)識(shí)別條碼自動(dòng)識(shí)別條碼，避免避免了了用戶(hù)誤操作導(dǎo)致系統(tǒng)可用性降低用戶(hù)誤操作導(dǎo)致系統(tǒng)可用性降低。高可靠性識(shí)讀和恢復(fù)損失數(shù)據(jù)的能力降低了高可靠性識(shí)讀和恢復(fù)損失數(shù)據(jù)的能力降低了系統(tǒng)失敗可能性系統(tǒng)

14、失敗可能性。4) 不可否認(rèn)性不可否認(rèn)性。條碼本身不能提供不可否認(rèn)性服務(wù)。條碼本身不能提供不可否認(rèn)性服務(wù)。7.2.3 個(gè)人特征的身份證明個(gè)人特征的身份證明個(gè)人特征身份識(shí)別技術(shù)主要包括：個(gè)人特征身份識(shí)別技術(shù)主要包括：1）手寫(xiě)簽名識(shí)別技術(shù)；手寫(xiě)簽名識(shí)別技術(shù)；2）指紋識(shí)別技術(shù)；指紋識(shí)別技術(shù)；3）語(yǔ)音識(shí)別技術(shù)；語(yǔ)音識(shí)別技術(shù)；4）視網(wǎng)膜圖樣識(shí)別技術(shù)視網(wǎng)膜圖樣識(shí)別技術(shù)5）虹膜圖樣識(shí)別技術(shù)；虹膜圖樣識(shí)別技術(shù)；6）臉型識(shí)別。臉型識(shí)別。7.3 物聯(lián)網(wǎng)密鑰管理技術(shù)物聯(lián)網(wǎng)密鑰管理技術(shù)通過(guò)公開(kāi)密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱(chēng)密鑰的管理使相應(yīng)的通過(guò)公開(kāi)密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱(chēng)密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單、安全，解決了對(duì)稱(chēng)密鑰體制模式中

15、存管理變得簡(jiǎn)單、安全，解決了對(duì)稱(chēng)密鑰體制模式中存在的管理、傳輸?shù)目煽啃詥?wèn)題和鑒別問(wèn)題。在的管理、傳輸?shù)目煽啃詥?wèn)題和鑒別問(wèn)題。對(duì)稱(chēng)加密對(duì)稱(chēng)加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱(chēng)加是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱(chēng)加密技術(shù)的雙方必須要保證采用的是相同的密鑰，要保密技術(shù)的雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換安全可靠，同時(shí)還要設(shè)定防止密鑰證彼此密鑰的交換安全可靠，同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。泄密和更改密鑰的程序。7.3.1 對(duì)稱(chēng)密鑰的管理對(duì)稱(chēng)密鑰的管理對(duì)稱(chēng)密鑰的交換協(xié)議對(duì)稱(chēng)密鑰的交換協(xié)議7.3.2 非對(duì)稱(chēng)密鑰的管理非對(duì)稱(chēng)密鑰的管理非對(duì)稱(chēng)密鑰非對(duì)稱(chēng)密鑰的管理主要在于密

16、鑰的集中式管理。如何安全的管理主要在于密鑰的集中式管理。如何安全地將密鑰傳送給需要接收消息的人是對(duì)稱(chēng)密碼系統(tǒng)的一個(gè)地將密鑰傳送給需要接收消息的人是對(duì)稱(chēng)密碼系統(tǒng)的一個(gè)難點(diǎn)，卻是公開(kāi)密鑰密碼系統(tǒng)的一個(gè)優(yōu)勢(shì)。難點(diǎn)，卻是公開(kāi)密鑰密碼系統(tǒng)的一個(gè)優(yōu)勢(shì)。公開(kāi)密鑰密碼系統(tǒng)的一個(gè)基本特征就是采用不同的密鑰進(jìn)公開(kāi)密鑰密碼系統(tǒng)的一個(gè)基本特征就是采用不同的密鑰進(jìn)行加密和解密。公開(kāi)密鑰可以自由分發(fā)而無(wú)須威脅私有密行加密和解密。公開(kāi)密鑰可以自由分發(fā)而無(wú)須威脅私有密鑰的安全，但是私有密鑰一定要保管好。鑰的安全，但是私有密鑰一定要保管好。7.4 DES對(duì)稱(chēng)加密技術(shù)對(duì)稱(chēng)加密技術(shù)7.4.1 DES算法的歷史1977年得到美國(guó)政府

17、的正式許可，是一種用年得到美國(guó)政府的正式許可，是一種用56位密位密鑰來(lái)加密鑰來(lái)加密64位數(shù)據(jù)的方法位數(shù)據(jù)的方法美美國(guó)國(guó)家標(biāo)準(zhǔn)局國(guó)國(guó)家標(biāo)準(zhǔn)局1973年開(kāi)始研究除國(guó)防部外年開(kāi)始研究除國(guó)防部外的其他部門(mén)的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)的其他部門(mén)的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)1977年年1月，美國(guó)政府頒布采納月，美國(guó)政府頒布采納IBM公司設(shè)計(jì)的方公司設(shè)計(jì)的方案作為非機(jī)密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)案作為非機(jī)密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)DES。DES算法目前廣泛用在算法目前廣泛用在ATM、磁卡及智能卡（、磁卡及智能卡（IC卡）、卡）、加油站、高速公路收費(fèi)站等領(lǐng)域被廣泛應(yīng)用，以此來(lái)實(shí)加油站、高速公路收費(fèi)站等領(lǐng)域被廣泛應(yīng)用，以

18、此來(lái)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的保密?，F(xiàn)關(guān)鍵數(shù)據(jù)的保密。7.4.2 DES算法的安全性DES算法正式公開(kāi)發(fā)表以后，引起了一場(chǎng)激烈的爭(zhēng)論。算法正式公開(kāi)發(fā)表以后，引起了一場(chǎng)激烈的爭(zhēng)論。1977年年Diffie和和Hellman提出了制造一個(gè)每秒能測(cè)試提出了制造一個(gè)每秒能測(cè)試106個(gè)密鑰的大個(gè)密鑰的大規(guī)模芯片，這種芯片的機(jī)器大約一天就可以搜索規(guī)模芯片，這種芯片的機(jī)器大約一天就可以搜索DES算法的整算法的整個(gè)密鑰空間，制造這樣的機(jī)器需要兩千萬(wàn)美元。個(gè)密鑰空間，制造這樣的機(jī)器需要兩千萬(wàn)美元。1993年年R.Session和和M.Wiener給出了一個(gè)非常詳細(xì)的密鑰搜給出了一個(gè)非常詳細(xì)的密鑰搜索機(jī)器的設(shè)計(jì)方案，它基于并

19、行的密鑰搜索芯片，此芯片每秒索機(jī)器的設(shè)計(jì)方案，它基于并行的密鑰搜索芯片，此芯片每秒測(cè)試測(cè)試5107個(gè)密鑰，當(dāng)時(shí)這種芯片的造價(jià)是個(gè)密鑰，當(dāng)時(shí)這種芯片的造價(jià)是10.5美元，美元，5760個(gè)這樣的芯片組成的系統(tǒng)需要個(gè)這樣的芯片組成的系統(tǒng)需要10萬(wàn)美元，這一系統(tǒng)平均萬(wàn)美元，這一系統(tǒng)平均1.5天天即可找到密鑰，如果利用即可找到密鑰，如果利用10個(gè)這樣的系統(tǒng)，費(fèi)用是個(gè)這樣的系統(tǒng)，費(fèi)用是100萬(wàn)美元，萬(wàn)美元，但搜索時(shí)間可以降到但搜索時(shí)間可以降到2.5小時(shí)。小時(shí)。7.4.2 DES算法的安全性DES的的56位短密鑰面臨的另外一個(gè)嚴(yán)峻而現(xiàn)實(shí)的問(wèn)題是：位短密鑰面臨的另外一個(gè)嚴(yán)峻而現(xiàn)實(shí)的問(wèn)題是：國(guó)際互聯(lián)網(wǎng)國(guó)際互聯(lián)網(wǎng)

20、Internet的超級(jí)計(jì)算能力的超級(jí)計(jì)算能力。1997年年1月月28日，美國(guó)的日，美國(guó)的RSA數(shù)據(jù)安全公司在互聯(lián)網(wǎng)上開(kāi)展了一項(xiàng)名為數(shù)據(jù)安全公司在互聯(lián)網(wǎng)上開(kāi)展了一項(xiàng)名為“密鑰挑戰(zhàn)密鑰挑戰(zhàn)”的競(jìng)賽，懸賞一萬(wàn)美元，破解一段用的競(jìng)賽，懸賞一萬(wàn)美元，破解一段用56位密鑰加密的位密鑰加密的DES密密文。計(jì)劃公布后引起了網(wǎng)絡(luò)用戶(hù)的強(qiáng)烈響應(yīng)。一位名叫文。計(jì)劃公布后引起了網(wǎng)絡(luò)用戶(hù)的強(qiáng)烈響應(yīng)。一位名叫Rocke Verser的程的程序員設(shè)計(jì)了一個(gè)可以通過(guò)互聯(lián)網(wǎng)分段運(yùn)行的密鑰窮舉搜索程序，組織實(shí)施了序員設(shè)計(jì)了一個(gè)可以通過(guò)互聯(lián)網(wǎng)分段運(yùn)行的密鑰窮舉搜索程序，組織實(shí)施了一個(gè)稱(chēng)為一個(gè)稱(chēng)為DESHALL的搜索行動(dòng)，成千上萬(wàn)的

21、志愿者加入到計(jì)劃中，在計(jì)劃的搜索行動(dòng)，成千上萬(wàn)的志愿者加入到計(jì)劃中，在計(jì)劃實(shí)施的第實(shí)施的第96天，即挑戰(zhàn)賽計(jì)劃公布的第天，即挑戰(zhàn)賽計(jì)劃公布的第140天，天，1997年年6月月17日晚上日晚上10點(diǎn)點(diǎn)39分，美國(guó)鹽湖城分，美國(guó)鹽湖城Inetz公司的職員公司的職員Michael Sanders成功地找到了密鑰，成功地找到了密鑰，在計(jì)算機(jī)上顯示了明文：在計(jì)算機(jī)上顯示了明文：“The unknown message is: Strong cryptography makes the world a safer place”。7.4.3 DES算法的原理uKey為為8個(gè)字節(jié)共個(gè)字節(jié)共64位，是位，是DE

22、S算法的工作密鑰。算法的工作密鑰。uData也為也為8個(gè)字節(jié)個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)。位，是要被加密或被解密的數(shù)據(jù)。uMode為為DES的工作方式有兩種：加密或解密。的工作方式有兩種：加密或解密。DES算法的原理是：算法的原理是：如如Mode為加密，則用為加密，則用Key把數(shù)據(jù)把數(shù)據(jù)Data進(jìn)行加密，生成進(jìn)行加密，生成Data的密碼形式的密碼形式（64位）作為位）作為DES的輸出結(jié)果的輸出結(jié)果；如如Mode為解密，則用為解密，則用Key把密碼形式的數(shù)據(jù)把密碼形式的數(shù)據(jù)Data解密，還原為解密，還原為Data的明碼形式（的明碼形式（64位）作位）作為為DES的輸出結(jié)果。的輸出結(jié)果。

23、7.4.5 DES算法的程序?qū)崿F(xiàn)算法的程序?qū)崿F(xiàn)案例名稱(chēng)：程序?qū)崿F(xiàn)案例名稱(chēng)：程序?qū)崿F(xiàn)DES算法算法程序名稱(chēng)：程序名稱(chēng)：des.cpp#include memory.h#include stdio.henumENCRYPT,DECRYPT;/ ENCRYPT:加密加密,DECRYPT:解密解密void Des_Run(char Out8, char In8, bool Type=ENCRYPT);/ 設(shè)置密鑰設(shè)置密鑰void Des_SetKey(const char Key8);static void F_func(bool In32, const bool Ki48);/ f 函數(shù)函數(shù)stat

24、ic void S_func(bool Out32, const bool In48);/ S 盒代替盒代替/ 變換變換static void Transform(bool *Out, bool *In, const char *Table, intlen);static void Xor(bool *InA, const bool *InB, int len);/ 異或異或static void RotateL(bool *In, int len, int loop);/ 循環(huán)左移循環(huán)左移/ 字節(jié)組轉(zhuǎn)換成位組字節(jié)組轉(zhuǎn)換成位組static void ByteToBit(bool *Out, c

25、onst char *In, int bits);/ 位組轉(zhuǎn)換成字節(jié)組位組轉(zhuǎn)換成字節(jié)組static void BitToByte(char *Out, const bool *In, int bits);/置換置換IP表表const static char IP_Table64 = 58,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4,62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8,57,49,41,33,25,17,9,1,59,51,43,35,27,19,11,3,61,53,45,37,29,21,13,

26、5,63,55,47,39,31,23,15,7;/逆置換逆置換IP-1表表const static char IPR_Table64 = 40,8,48,16,56,24,64,32,39,7,47,15,55,23,63,31,38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29,36,4,44,12,52,20,60,28,35,3,43,11,51,19,59,27,34,2,42,10,50,18,58,26,33,1,41,9,49,17,57,25;/E位選擇表位選擇表static const char E_Table48 = 32,1,2,

27、3,4,5,4,5,6,7,8,9,8,9,10,11,12,13,12,13,14,15,16,17,16,17,18,19,20,21,20,21,22,23,24,25,7.5 RSA公鑰加密技術(shù)公鑰加密技術(shù)7.5.1 RSA算法的原理算法的原理假設(shè)假設(shè)A寄信給寄信給B，他們知道對(duì)方的公鑰。，他們知道對(duì)方的公鑰。A可用可用B的公鑰加密郵件寄出，的公鑰加密郵件寄出，B收到后用自己的私鑰解出收到后用自己的私鑰解出A的原文，這樣就保證了郵件的安全性。的原文，這樣就保證了郵件的安全性。RSA體制可以簡(jiǎn)單描述如下：體制可以簡(jiǎn)單描述如下：1) 生成兩個(gè)大素?cái)?shù)生成兩個(gè)大素?cái)?shù)p和和q；2) 計(jì)算這兩個(gè)素

28、數(shù)的乘積計(jì)算這兩個(gè)素?cái)?shù)的乘積n=pq；3) 計(jì)算小于計(jì)算小于n并且與并且與n互質(zhì)的整數(shù)的個(gè)數(shù)，即歐拉函數(shù)互質(zhì)的整數(shù)的個(gè)數(shù)，即歐拉函數(shù) (n) =( p-1 ) ( q-1 )；4) 選擇一個(gè)隨機(jī)數(shù)選擇一個(gè)隨機(jī)數(shù)e滿(mǎn)足滿(mǎn)足1e(n)，并且，并且e和和(n)互質(zhì)，即互質(zhì)，即 gcd（e,(n)）=1。5) 計(jì)算計(jì)算de=1 mod ；6) 保密保密d，p和和q，公開(kāi)，公開(kāi)n和和e。7.5.2 RSA算法的安全性算法的安全性RSA算法的安全性依賴(lài)于大數(shù)分解，但是否等同于大數(shù)算法的安全性依賴(lài)于大數(shù)分解，但是否等同于大數(shù)分解一直未能得到理論上的證明，因?yàn)闆](méi)有證明破解分解一直未能得到理論上的證明，因?yàn)闆](méi)有

29、證明破解 RSA算法就一定需要作大數(shù)分解。算法就一定需要作大數(shù)分解。假設(shè)存在一種無(wú)須分解大數(shù)的算法，那它肯定可以修改假設(shè)存在一種無(wú)須分解大數(shù)的算法，那它肯定可以修改成為大數(shù)分解算法。成為大數(shù)分解算法。7.5.3 RSA算法的速度算法的速度 由于進(jìn)行的都是大數(shù)計(jì)算，使得由于進(jìn)行的都是大數(shù)計(jì)算，使得RSA算法最快算法最快的情況也比的情況也比DES算法慢上數(shù)倍，無(wú)論是軟件還是硬算法慢上數(shù)倍，無(wú)論是軟件還是硬件實(shí)現(xiàn)，速度一直是件實(shí)現(xiàn)，速度一直是RSA算法的缺陷，一般來(lái)說(shuō)只算法的缺陷，一般來(lái)說(shuō)只用于少量數(shù)據(jù)加密。用于少量數(shù)據(jù)加密。 從提出到現(xiàn)在二十幾年，經(jīng)歷了各種攻擊的考從提出到現(xiàn)在二十幾年，經(jīng)歷了各種

30、攻擊的考驗(yàn)，被普遍認(rèn)為是最優(yōu)秀的公鑰方案之一。驗(yàn)，被普遍認(rèn)為是最優(yōu)秀的公鑰方案之一。7.5.4 RSA算法的程序?qū)崿F(xiàn)算法的程序?qū)崿F(xiàn)利用利用RSA算法對(duì)文件的加密和解密。算法根據(jù)設(shè)置自動(dòng)產(chǎn)生大算法對(duì)文件的加密和解密。算法根據(jù)設(shè)置自動(dòng)產(chǎn)生大素?cái)?shù)素?cái)?shù)p和和q，并根據(jù)，并根據(jù)p和和q的值產(chǎn)生模（的值產(chǎn)生模（n）、公鑰（）、公鑰（e）和密鑰）和密鑰(d )。利用。利用VC+6.0實(shí)現(xiàn)核心算法實(shí)現(xiàn)核心算法產(chǎn)生密鑰對(duì)產(chǎn)生密鑰對(duì)加密過(guò)程加密過(guò)程解密過(guò)程解密過(guò)程原文件和解密后的文件原文件和解密后的文件7.6 物聯(lián)網(wǎng)中的消息一致性和數(shù)字簽名物聯(lián)網(wǎng)中的消息一致性和數(shù)字簽名消息一致性也稱(chēng)消息鑒別。在網(wǎng)絡(luò)系統(tǒng)安全中要考

31、慮兩個(gè)消息一致性也稱(chēng)消息鑒別。在網(wǎng)絡(luò)系統(tǒng)安全中要考慮兩個(gè)方面。方面。u一方面，用密碼保護(hù)傳送的信息使其不被破譯；一方面，用密碼保護(hù)傳送的信息使其不被破譯；u另一方面，就是防止對(duì)手對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊，如偽造另一方面，就是防止對(duì)手對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊，如偽造，篡改信息等。，篡改信息等。7.6.1 消息一致性消息一致性12消息一致性的主要消息一致性的主要兩個(gè)目的：兩個(gè)目的：消息鑒別安全服務(wù)采用消息鑒別安全服務(wù)采用Hash函數(shù)與數(shù)字簽名相結(jié)合的方函數(shù)與數(shù)字簽名相結(jié)合的方法，在法，在附加信息較短附加信息較短的情況下，保護(hù)了消息的完整性及發(fā)的情況下，保護(hù)了消息的完整性及發(fā)送方身份的真實(shí)性。送方身份的真實(shí)性。

32、若在不知道發(fā)方私鑰的情況下，若在不知道發(fā)方私鑰的情況下，任何第三方想達(dá)到篡改信任何第三方想達(dá)到篡改信息的目的，必須找到具有與給定消息相同息的目的，必須找到具有與給定消息相同Hash值的另一值的另一消息消息，而，而Hash函數(shù)的碰撞概率極小，實(shí)際上很難做到這函數(shù)的碰撞概率極小，實(shí)際上很難做到這一點(diǎn)。一點(diǎn)。消息鑒別消息鑒別7.6.2 數(shù)字簽名數(shù)字簽名數(shù)字簽名必須保障：數(shù)字簽名必須保障：接收者能夠核實(shí)發(fā)送者對(duì)文檔的簽名；接收者能夠核實(shí)發(fā)送者對(duì)文檔的簽名；發(fā)送者事后不能否認(rèn)對(duì)文檔的簽名；發(fā)送者事后不能否認(rèn)對(duì)文檔的簽名；不能偽造對(duì)文檔的簽名不能偽造對(duì)文檔的簽名。 數(shù)字簽名通常是基于公鑰算法體制的，可以用

33、數(shù)字簽名通常是基于公鑰算法體制的，可以用RSA或者或者DSA，前者既可以用作加密又可以進(jìn)行簽名，后者只能用于，前者既可以用作加密又可以進(jìn)行簽名，后者只能用于簽名。簽名。數(shù)字簽名過(guò)程數(shù)字簽名過(guò)程數(shù)字信封完整的數(shù)據(jù)加密和身份認(rèn)證過(guò)程3. DSA簽名算法簽名算法DSA數(shù)字簽名是首先計(jì)算被簽名文件的SHA-1值，該碼經(jīng)過(guò)DSA私有密鑰和DSA加密算法加密后，形成數(shù)字簽名，然后再附加到原文件之后，合并為可以向外發(fā)送的傳輸文件。DSA數(shù)字簽名鑒別過(guò)程7.7 信息隱藏概述7.7.1 信息隱藏的歷史公元前公元前440年出現(xiàn)了用頭發(fā)掩蓋信息的方法，將消息寫(xiě)在頭年出現(xiàn)了用頭發(fā)掩蓋信息的方法，將消息寫(xiě)在頭皮上，等到頭發(fā)長(zhǎng)出來(lái)后消息被遮蓋，這樣消息可以在各皮上，等到頭發(fā)長(zhǎng)出來(lái)后消息被遮蓋，這樣消息可以在各個(gè)部落中傳遞。個(gè)部落中傳遞。17世紀(jì)出現(xiàn)了，采用無(wú)形的墨水在特定字母上制作世紀(jì)出現(xiàn)了，采用無(wú)形的墨水在特定字母上制作非常小的斑點(diǎn)來(lái)實(shí)現(xiàn)信息隱藏。非常小的斑點(diǎn)來(lái)實(shí)現(xiàn)信息隱藏。1860年出現(xiàn)了微縮膠片，可以利用信鴿來(lái)傳遞膠片或者將年出現(xiàn)了微縮膠片，可以利用信鴿來(lái)傳遞膠片或者將膠片粘貼在無(wú)關(guān)緊要的雜志等文字材料中的句號(hào)或逗號(hào)上。膠片粘貼在無(wú)關(guān)緊要