|
|
|
密码学经历了手工密码、机械密码、机电密码、电子密码和计算机密码几个阶段,现在流行的是芯片密码,不管是哪一种密码,数学都是密码编码和密码分析的基本工具。
|
|
|
|
当今密码体制建立在3个基本假设之上,分别是随机性假设、计算假设和物理假设。
|
|
|
|
(1)随机性假设:在单一地域内产生均匀分布的随机比特序列是可能的。
|
|
|
|
(2)计算假设:合理的计算时间有一个量的界限,在一个合理的计算时间内,单向函数是存在的,对它进行正向计算容易而求逆难。密码算法就是在计算假设下设计出来的伪随机函数,主要包括序列密码、分组密码和公钥密码。
|
|
|
|
(3)物理假设:对单一地域的信息实行物理保护是可能的,物理地保护长距离传送中的信息是困难的。
|
|
|
|
一个好的密码设备、安全协议必须构建两类不可或缺的乱源,分别是物理乱源和数学乱源,其中数学乱源基于计算假设,物理乱源基于物理假设。系统建在硅片上(System On a Chip,SOC)是安全信息系统构建的一个重要技术措施。
|
|
|
|
|
|
数据加密即对明文(未经加密的数据)按照某种加密算法(数据的变换算法)进行处理,而形成难以理解的密文(经加密后的数据)。即使密文被截获,截获方也无法或难以解码,从而防止泄露信息。
|
|
|
|
按照加密密钥和解密密钥的异同,有两种密钥体制,分别是对称密码体制和非对称密码体制。
|
|
|
|
|
|
对称密码体制又称为秘密密钥体制(私钥密码体制),加密和解密采用相同的密钥。因为其加密速度快,通常用来加密大批量数据。典型的方法有日本NTT公司的快速数据加密标准(Fast Data Encipherment Algorithm,FEAL)、瑞士的国际数据加密算法(International Data Encryption Algorithm,IDEA)和美国的数据加密标准(Data Encryption Standard,DES)。
|
|
|
|
DES是ISO核准的一种加密算法,一般DES算法的密钥长度为56位。针对DES密钥短的问题,科学家又研制了80位的密钥,以及在DES的基础上采用三重DES和双密钥加密的方法。即用两个56位的密钥K1、K2,发送方用K1加密,K2解密,再使用K1加密。接收方则使用K1解密,K2加密,再使用K1解密,其效果相当于将密钥长度加倍。
|
|
|
|
1997年,美国国家科学技术研究所开始发起来一个项目,目标是可供政府和商业使用的功能强大的加密算法、支持标准密码方式、要明显比DES有效、密钥大小可变。NIST选择Rijndael作为该项目算法。Rijndael是带有可变块长和可变密钥长度的迭代块密码。块长和密钥长度可以分别指定成128、192或256位。
|
|
|
|
IDEA是在DES的基础上发展起来的,类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点,IDEA的密钥为128位。
|
|
|
|
|
|
非对称密码体制(不对称密码体制)又称为公开密钥体制(公钥密码体制),其加密和解密使用不同的密钥,其中一个密钥是公开的,另一个密钥保密的,典型的公开密钥是保密的。由于加密度较慢,所在往往用在少量数据的通信中。公钥密码体制根据其所依据的难题一般分为3类:大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。
|
|
|
|
典型的公开密钥加密方法有RSA,该算法的名字以发明者的名字命名:Ron Rivest,AdiShamir和Leonard Adleman。RSA算法的密钥长度为512位。RSA算法的保密性取决于数学上将一个大数分解为两个素数的问题的难度,根据已有的数学方法,其计算量极大,破解很难。但是加密/解密时要进行大指数模运算,因此加密/解密速度很慢,主要用在数字签名中。
|
|
|
|
|
|
PKI是CA安全认证体系的基础,为安全认证体系进行密钥管理提供了一个平台,它是一种新的网络安全技术和安全规范。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI包括由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。
|
|
|
|
PKI可以实现CA和证书的管理;密钥的备份与恢复;证书、密钥对的自动更换;交叉认证;加密密钥和签名密钥的分隔;支持对数字签名的不可抵赖性;密钥历史的管理等功能。PKI技术的应用可以对认证、机密性、完整性和抗抵赖性方面发挥出重要的作用。
|
|
|
|
(1)认证:是指对网络中信息传递的双方进行身份的确认。
|
|
|
|
(2)机密性:是指保证信息不泄露给未经授权的用户或供其利用。
|
|
|
|
(3)完整性:是指防止信息被未经授权的人篡改,保证真实的信息从真实的信源无失真地传到真实的信宿。
|
|
|
|
(4)抗抵赖性:是指保证信息行为人不能够否认自己的行为。
|
|
|
|
PKI技术实现以上这些方面的功能主要是借助数字签名技术。签名是确认文件的一种手段,采用数字签名能够确认以下两点:一是信息是由签名者发送的;二是信息自签发到接收为止,没作任何修改。数字签名的目的就是在保证真实的发送方与真实的接收方之间传送真实的信息。因而完善的签名机制应体现发送方签名发送,接收方签名送回执。
|
|
|
|
数字签名的算法很多,应用最为广泛的3种是Hash签名、DSS签名(Digital Signature Standard,数字签名标准)、RSA签名。Hash签名中很常用的就是散列(Hash)函数,也称消息摘要、哈希函数或杂凑函数等。单向Hash函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长的字符串(128位),又称Hash值。单向Hash函数用于产生消息摘要。Hash函数主要可以解决两个问题:在某一特定时间内,无法查找经Hash操作后生成特定Hash值的原报文;也无法查找两个经Hash操作后生成相同Hash值的不同报文。这样在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。
|
|
|
|
数字签名把Hash函数和公钥算法结合起来,可以在提供数据完整性的同时,保证数据的真实性。其原理如下:
|
|
|
|
(1)发送者首先将原文用Hash函数生成128位的数字摘要。
|
|
|
|
(2)发送者用自己的私钥对摘要加密,形成数字签名,把加密后的数字签名附加在要发送的原文后面。
|
|
|
|
|
|
(4)接收者对收到的信息用Hash函数生成新的摘要,同时用发送者的公开密钥对信息摘要解密。
|
|
|
|
(5)将解密后的摘要与新摘要对比,如两者一致,则说明传送过程中信息没有被破坏或篡改。
|
|
|
|
如果第三方冒充发送方发送了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私用密钥,解密出来的数字摘要与计算机计算出来的新摘要必然是不同的。这就提供了一个安全的确认发送方身份的方法。
|
|
|
|
数字签名有两种,一种对整体信息的签名,它是指经过密码变换的被签名信息整体;另一种是对压缩信息的签名,它是附加在被签名信息之后或某一特定位置上的一段签名图样。若按照明文、密文的对应关系划分,每一种中又可以分为两个子类,一类是确定性数字签名,即明文与密文一一对应,它对一个特定信息的签名不变化,如RSA签名;另一类是随机化或概率化数字签名,它对同一信息的签名是随机变化的,取决于签名算法中的随机参数的取值,一个明文可能有多个合法数字签名。
|
|
|
|
一个签名体制一般包含两个组成部分:签名算法和验证算法。签名算法或签名密钥是秘密的,只有签名人掌握。验证算法是公开的,以便他人进行验证。
|
|
|
|
|
|
公钥密码体制在实际应用中包含数字签名和数字信封两种方式。
|
|
|
|
数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。
|
|
|
|
数字信封中采用了私钥密码体制和公钥密码体制。基本原理是将原文用对称密钥加密传输,而将对称密钥用接收方公钥加密发送给对方。收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。其详细过程如下:
|
|
|
|
(1)发送方A将原文信息进行Hash运算,得到一Hash值,即数字摘要MD(Message Digest)。
|
|
|
|
(2)发送方A用自己的私钥PVA,采用非对称RSA算法,对数字摘要MD进行加密,即得数字签名DS。
|
|
|
|
(3)发送方A用对称算法DES的对称密钥SK对原文信息、数字签名SD及发方A证书的公钥PBA采用对称算法加密,得加密信息E。
|
|
|
|
(4)发送方用接收方B的公钥PBB,采用RSA算法对对称密钥SK加密,形成数字信封DE,就好像将对称密钥SK装到了一个用收方公钥加密的信封里。
|
|
|
|
(5)发送方A将加密信息E和数字信封DE一起发送给接收方B。
|
|
|
|
(6)接收方B接收到数字信封DE后,首先用自己的私钥PVB解密数字信封,取出对称密钥SK。
|
|
|
|
(7)接收方B用对称密钥SK通过DES算法解密加密信息E,还原出原文信息、数字签名SD及发送方A证书的公钥PBA。
|
|
|
|
(8)接收方B验证数字签名,先用发送方A的公钥解密数字签名得数字摘要MD。
|
|
|
|
(9)接收方B同时将原文信息用同样的Hash运算,求得一个新的数字摘要MD'。
|
|
|
|
(10)接收方将两个数字摘要MD和MD'进行比较,验证原文是否被修改。如果二者相等,说明数据没有被篡改,是保密传输的,签名是真实的;否则拒绝该签名。
|
|
|
|
|
|
PGP(Pretty Good Privacy)是一个基于RSA公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确信邮件发送者。PGP采用了审慎的密钥管理,一种RSA和传统加密的杂合算法:一个对称加密算法(IDEA)、一个非对称加密算法(RSA)、一个单向散列算法(MD5)以及一个随机数产生器(从用户击键频率产生伪随机数序列的种子),用于数字签名的邮件文摘算法,加密前压缩等,还有一个良好的人机工程设计。它功能强大,速度很快,而且源代码是免费的。
|
|
|
|
PGP还可用于文件存储的加密。PGP承认两种不同的证书格式:PGP证书和X.509证书。
|
|
|
|
|
|
(1)PGP版本号:指出创建与证书相关联的密钥使用了哪个PGP版本。
|
|
|
|
(2)证书持有者的公钥:是密钥对的公开部分,并且还有密钥的算法。
|
|
|
|
(3)证书持有者的信息:包括用户的身份信息,例如姓名、用户ID、照片等。
|
|
|
|
(4)证书拥有者的数字签名:也称为自签名,这是用与证书中的公钥相关的私钥生成的签名。
|
|
|
|
(5)证书的有效期:证书的起始日期/时间和终止日期/时间,指明证书何时失效。
|
|
|
|
(6)密钥首选的对称加密算法:指明证书拥有者首选的信息加密算法。
|
|
|
|
一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。X.509标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式)。所有的X.509证书包含以下数据:
|
|
|
|
(1)证书版本:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息。
|
|
|
|
(2)证书的序列号:创建证书的实体(组织或个人)有责任为该证书指定一个独一无二的序列号,以区别于该实体发布的其他证书。序列号信息有许多用途;例如当一份证书被回收以后,它的序列号就被放入证书回收列表(Certificate Revocation List,CRL)中。
|
|
|
|
(3)签名算法标识:指明CA签署证书所使用的算法。
|
|
|
|
(4)证书有效期:证书起始日期和时间以及终止日期和时间,指明证书何时失效。
|
|
|
|
(5)证书发行商名字:这是签发该证书的实体的唯一名字,通常是CA。使用该证书意味着信任签发证书的实体。(注意:在某些情况下,例如根或顶级CA证书,发布者自己签发证书)。
|
|
|
|
(6)证书主体名:证书持有人唯一的标识符,也称为DN(DistinguishedName),这个名字在Internet上应该是唯一的。
|
|
|
|
(7)主体公钥信息:包括证书持有人的公钥,算法(指明密钥属于哪种密码系统)的标识符和其他相关的密钥参数。
|
|
|
|
(8)发布者的数字签名:这是使用发布者私钥生成的签名。
|
|
|
|
|
|
数字水印(digital watermarking)技术是将一些标识信息(即数字水印)直接嵌入数字载体(包括多媒体、文档、软件等)中,但不影响原载体的使用价值,也不容易被人的知觉系统(如视觉或听觉系统)觉察或注意到。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改等目的。数字水印是信息隐藏技术的一个重要研究方向。
|
|
|
|
|
|
|
|
(1)安全性:数字水印的信息应是安全的,难以篡改或伪造,同时,应当有较低的误检测率,当原内容发生变化时,数字水印应当发生变化,从而可以检测原始数据的变更。
|
|
|
|
(2)隐蔽性:数字水印应是不可知觉的,而且应不影响被保护数据的正常使用,不会降质。
|
|
|
|
(3)鲁棒性:在经历多种无意或有意的信号处理过程后,数字水印仍能保持部分完整性并能被准确鉴别。可能的信号处理过程包括信道噪声、滤波、数/模与模/数转换、重采样、剪切、位移、尺度变化以及有损压缩编码等。
|
|
|
|
(4)水印容量:载体在不发生形变的前提下可嵌入的水印信息量。嵌入的水印信息必须足以表示多媒体内容的创建者或所有者的标志信息,或购买者的序列号,这样有利于解决版权纠纷,保护数字产权合法拥有者的利益。
|
|
|
|
|
|
按水印的特性,可以将数字水印分为鲁棒水印和易损水印两类。鲁棒水印主要用于在数字作品中标识著作权信息,利用这种水印技术在多媒体内容数据中嵌入创建者、所有者的标识信息,或者嵌入购买者的标识(序列号);易损水印主要用于完整性保护,这种水印同样是在内容数据中嵌入不可见信息。当内容发生改变时,这些水印信息会发生相应的改变,从而可以鉴定原始数据是否被篡改。易损水印应对一般图像处理,如滤波、加噪声、替换、压缩等,有较强的免疫能力(鲁棒性),同时又要求有较强的敏感性,既允许一定程度的失真,又要能将失真情况探测出来。必须对信号的改动很敏感,人们根据易损水印的状态就可以判断数据是否被篡改过。
|
|
|
|
按水印的检测过程,可以将数字水印划分为明文水印和盲水印。明文水印在检测过程中需要原始数据,而盲水印的检测只需要密钥,不需要原始数据。一般来说,明文水印的鲁棒性比较强,但其应用受到存储成本的限制。
|
|
|
|
按水印的用途,可以将数字水印划分为票证防伪水印、版权保护水印、篡改提示水印和隐蔽标识水印。票证防伪水印是一类比较特殊的水印,主要用于打印票据和电子票据、各种证件的防伪;版权标识水印主要强调隐蔽性和鲁棒性,而对数据量的要求相对较小;篡改提示水印是一种脆弱水印,其目的是标识原文件信号的完整性和真实性;隐蔽标识水印的目的是将保密数据的重要标注隐藏起来,限制非法用户对保密数据的使用。
|
|
|
|
按数字水印的隐藏位置,可以将其划分为时(空)域水印、频域水印、时/频域水印和时间/尺度域水印。时(空)域水印是直接在信号空间上叠加水印信息,而频域水印、时/频域水印和时间/尺度域水印则分别是在DCT变换域、时/频变换域和小波变换域上隐藏水印。
|
|
|
|
|
|
下面介绍一些典型的数字水印算法,除特别指明外,这些算法主要针对图像数据(某些算法也适合视频和音频数据)。
|
|
|
|
(1)空域算法。将信息嵌入数字水印随机选择的图像点中最不重要的像素位(Least Significant Bits,LSB)上,这可保证嵌入水印是不可见的。但是由于使用了图像不重要的像素位,算法的鲁棒性差,水印信息很容易为滤波、图像量化、几何变形等操作破坏。另外一个常用方法是利用像素的统计特征将信息嵌入像素的亮度值中。
|
|
|
|
(2)Patchwork算法。对JPEG压缩、滤波以及图像裁剪有一定的抵抗力,但该方法嵌入的信息量有限。为了嵌入更多的水印信息,可以将图像分块,然后对每一个图像块实施嵌入操作。
|
|
|
|
(3)变换域算法。该类算法中,大部分水印算法采用了扩展频谱通信技术。
|
|
|
|
(4)压缩域算法。基于JPEG、MPEG标准的压缩域数字水印系统不仅节省了大量完全解码和重新编码过程,而且在数字电视广播及视频点播中有很大的实用价值。相应地,水印检测与提取也可直接在压缩域数据中进行。
|
|
|
|
(5)NEC算法。首先以密钥为种子来产生伪随机序列,该序列具有高斯N(0,1)分布,密钥一般由作者的标识码和图像的哈希值组成,其次对图像做DCT变换,最后用伪随机高斯序列来调制(叠加)该图像除直流分量外的1000个最大的DCT系数。该算法具有较强的鲁棒性、安全性、透明性等。
|
|
|
|
(6)生理模型算法。生理模型包括人类视觉系统和人类听觉系统,该模型不仅被多媒体数据压缩系统利用,同样可以供数字水印系统利用。
|
|
|
