网络攻防原理与技术 第3版 教案 -第2讲 密码学基础知识

《网络攻防原理与技术》课程教案讲课题目第二讲密码学基础知识目的要求了解密码学的基本概念；掌握典型对称密码算法的工作原理；掌握典型公开密码算法的工作原理；掌握安全散列函数以及密钥管理的基本原理重点难点典型对称密码算法的工作原理；典型公开密码算法的工作原理方法步骤理论讲授器材保障电脑、投影仪主要教学内容一密码学概述一密码技术的相关概念可以结合密码技术通过对信息的变换或编码，将机密的敏感信息变换成攻实际密码击者难以读懂的乱码型信息，以此达到两个目的使攻击者无法从截案例进行获的信息中得到任何有意义信息；使攻击者无法伪造任何信息分析，增强学生的学密码技术不仅可以解决网络信息的保密性，而且可用于解决信息习兴趣的完整性、可用性及不可否认性，是网络安全技术的核心和基石,是攻防都需了解的技术密码系统也称为密码体制，用数学符号描述为:Cryptosystem,S={M,C,K,E,D}o是明文空间，表示全体明文集合明文是指加密前的原始信息，M即需要隐藏的信息；是密文空间，表示全体密文的集合密文是指明文被加密后的C信息，一般是毫无识别意义的字符序列；应账号的散列值相同，则允许用户进入系统二典型算法报文摘要算法是由从世纪年代Message Digest,MD Rivest2080末所开发的系列散列算法的总称，历经的版本有、、MD2MD3MD4和最新的MD5年和发表文章指出算法的第步和1991Den BoerBosselaers MD41第步存在可被攻击的漏洞，将导致对不同内容进行散列计算却可能3得到相同的散列值针对这况，于年对进行了改jIW Rivest1991MD4进，推出了新的版本MD5RFC1321的输入为位分组，输出是个位字的级联位散MD5512432128列值主要过程如下消息首先被拆成若干个位的分组，其中最后位分组是“消512512息尾+填充字节位消息长度”，以确保对于不同长度的消100…0+64息，该分组不相同而个位寄存器字大端模式初始化为432它们将始A=0x01234567,B=0x89abcdef,C=0xfedcba98,D=0x76543210,终参与运算并形成最终的散列结果接着各个位消息分组以个位字的形式进入算法的主循5121632环，位消息分组的个数决定了循环的次数主循环有轮，当所5124课程思政有位分组都运算完毕后，的级联将被输出为散列的512ABCD MD5以王小云结果尽管比要复杂，导致其计算速度较要慢一些，MD5MD4MD4教授的例但更安全，在抗分析和抗差分方面表现更好有关算法的详细子，展现MD5我国在安描述可参见RFC1321o全领域的在推出后很长一段时间内，人们都认为它是安全的但在MD5研究成就，年国际密码学会议来自中国山东大学的王小云教2004Crypto2004±,鼓励学生在安全领授做了破译、、和算法的报告，提出MD5HAVAL-128MD4RIPEMD域深入专了密码哈希函数的碰撞攻击理论，即模差分比特分析法王教授的相研关研究成果提高了破解包括、在内的个国MD5SHA-15际通用哈希函数算法的概率，给出了系列消息认证码等的MD5-MAC子密钥恢复攻击和的区分攻击HMAC-MD5算法是使用最广泛的函数,由美SHA SecureHash AlgorithmHash国国家标准与技术研究院和美国国家安全局设计，包括NIST NSA5个算法，分别是、、和SHA-k SHA-224SHA-256SHA-384SHA-512,后四个算法有时并称为在许多安全协议中广为使用，如SHA-2SHA、、、和等SSL/TLS PGPSSH S/MIME IPsec算法建立在算法之上，其基本框架与类似SHA MD4MD4SHA-1算法产生的散列值，因此它有个参与运算的位寄存器字，160bit532消息分组和填充方式与相同，主循环也同样是轮,但每轮进行MD54次操作，非线性运算、移位和加法运算也与类似，但非线性20MD5函数、加法常数和循环左移操作的设计有一些区别与SHA-2SHA-1类似，都使用了同样的迭代结构和同样的模算法运算与二元逻辑操作是我国政府采用的一种密码散列函数标准，由国家密码管理SM3局于年月日发布，相关标准为《密20101217“GM/T0004-2012SM3码杂凑算法》”，其安全性及效率与相当SHA-256

五、密钥管理-密钥管理问题从技术上讲，密钥管理包括密钥的产生、存储、分发、组织、使用、停用、更换、销毁等一系列问题，涉及每个密钥的从产生到销毁比较对称密码体制的整个生命周期和公开密对称密码体制和公开密码体制因采用的加密方式的不同，其密钥码体制在管理方式也有所不同密钥管理对称密码体制中，由于加密密钥等于解密密钥，因此密钥分发过方面的差异程中，其机密性、真实性和完整性必须同时被保护对于通信双方A和而言，可以选择以下几种方式来得到密钥B）选择一个密钥后以物理的方式传送给1A B）第三方选择密钥后以物理的方式传送给和2A B）如果和先前或者最近使用过一个密钥，则一方可以将新密3A B钥用旧密钥加密后发送给另一方）如果和到第三方有加密连接，可以通过该加密连接将4A BC C密钥传送给和A B上述方式中，第）和第）种方式需要人工交付一个密钥，这在12现代计算机网络及分布式应用中是不现实的，因为每个设备都需要动态地提供大量的密钥，单靠人工方式根本无法完成第）种方式可用于连接加密或端到端加密，但是如果攻击者成功3地获得一个密钥，将会导致随后的密钥泄露第）目前端到端加密中，被广泛使用的是第）种方式及其各种44变种在这种方式中，需要一个负责为用户（主机、进程或应用）分发密钥的密钥分发中心（）并且每个用户Key DistributionCenter,KDC,都需要和密钥分发中心共享唯一的密钥公开密码体制同样存在密钥管理问题但是，由于它们使用的密钥种类和性质不同，密钥管理的要求和方法也有所不同在公开密码体制中，由于公钥是可以公开的，并且由公钥求解出私钥在计算上不可行，因此，公钥的机密性不需要保护，但完整性和真实性还是必须得到保护；私钥与对称密码体制中的密钥一样，其机密性、完整性和真实性都必须得到保护

（二）数字证书数字证书数字证书常常被类比为用户在网络上的身份证现实生活中的身主要是解份证由公安局统一颁发因为公安局在颁发身份证时会进行全面检查，决公开密人们可以根据身份证上的姓名、出生日期、住址等信息来辩识身份证码体制的密钥分发所有者的身份问题公钥证书主要用于确保公钥及其与用户绑定关系的安全，一般包含持证主体身份信息、主体的公钥信息、信息以及附加信息，再CA加上用私钥对上述信息的数字签名目前应用最广泛的证书格式CA是国际电信联盟制定的International TelecommunicationUnion,ITU标准中定义的格式X.509目前，证书文件主要有三种证书、证书和X.509PKCS#12PKCS#7证书其中，证书是最经常使用的证书，它仅包含公钥信息而X.509没有私钥信息，是可以公开进行发布的，所以证书对象一般都X.509不需要加密在系统中,证书文件的后缀名经常是、都Windows X.509DER CER,可以被文件系统自动识别对于来说，证书文件的后缀通常OpenSSL为PEM证书不同于证书，它可以包含一个或多个证书,并PKCS#12X.509且还可以包含证书对应的私钥的私钥是经过加密的，密钥PKCS#12由用户提供的口令产生因此，在使用证书的时候一般会PKCS#12要求用户输入密钥口令证书文件在系统中的后PKCS#12Windows缀名是PFX很多系统，如浏览器，为了便于证书的管理，使用了“证书Web指纹这一概念所谓“证书指纹”是指对证书全部编码thumbprint”内容也就是证书文件进行散列运算得到的散列值，也就是证书的数字指纹所使用的散列函数因系统而异，如正浏览器、浏览器默360认用计算指纹，而的浏览器默认情况下分别计SHA-1Google Chrome算了和指纹利用证书指纹，系统方便地从证书库SHA-1SHA256中检索到一个证书，此外指纹还可以用于检测一个证书是否被篡改需要注意的是，证书指纹并不是证书的一部分，它的作用也与证书中的证书签名有所不同三PKI美国早在年就成立了联邦指导委员会，目前联邦政府、1996PKI州政府和大型企业都建立了相应的作为一种标准的为利用公钥PKIo加密技术实现保密通信而提供的一套安全基础平台，主要由公钥PKI证书、证书管理机构、证书管理系统、保障证书服务的各种软硬件设分析PKI备以及相应的法律基础共同组成其中，公钥证书是中最基础的PKI各个组成组成部分部分的主要功能在中，是所有注册用户所依赖的权威机构，它严格遵循证PKI CA书策略机制所制定的策略来进行证书的全生命周期的管理，包括PKI签发证书，管理和撤销证书是信任的起点，只有信任某个CA CA,才信任该给用户签发的数字证书CA为确保证书的真实性和完整性，需要在给用户签发证书时加上CA自己的签名为方便用户对证书的验证，也给自己签发证书这CA样，整个公钥的分配都通过证书形式进行是专门负责受理用户申请证书的机RA RegistrationAuthority,RA构，它是用户和之间的接口负责对用户进行资格审查,收集CA RA用户信息并核实用户身份的合法性，然后决定是批准还是拒绝用户的证书申请如果批准用户的证书申请，则进一步向提出证书请求CA这里的用户指的是指将要向申请数字证书的客户，可以是个人、CA集团公司或社会团体、某政府机构等除了证书申请以外，还负RA责受理用户的恢复密钥的申请以及撤销证书的申请等工作证书产生之后，由证书发布系统以一定的方式存储和发布，以便于使用为方便证书的查询和使用，采用“证书目录”的方式集中存储CA和管理证书，通过建立目录服务器证书库的方式为用户提供证书服务此外，证书目录中还存储了用户的相关信息如电话号码、电子邮箱地址等由于证书本身是公开的，因此证书目录也是非保密的但是，如果目录中还存储了用户证书之外的相关信息，则这些信息一般需要保密策略是指一个组织建立和定义的公钥管理方面的指导方针、PKI处理方法和原则中有两种类型的策略一是证书策略，用于管PKI理证书的使用；另一个是证书实践指南Certificate PracticeStatement,CPS有关证书策略的定义是:证书策略指的是一套用于说明证书X.509的适用范围和/或应用的安全限制条件的规则比如，某一特定的证书策略可以声明用于电子商务的证书的适用范围是某一规定的价格范围制定证书策略的机构称为“策略管理机构”

六、密码分析一传统密码分析方法密码分析学，俗称“密码破译”，截收者在不知道解密密钥和通信者所采用的加密算法的细节条件下，对密文进行分析，试图获取机密信息、研究分析解密规律的科学密码分析除了依靠数学、工程背请学生分景、语言学等知识外，还要依靠经验、统计、测试、眼力、直觉判断析有哪些能力等因素，有时还要靠运气根据攻击者对明文、密文等信息的掌可以用于握情况，密码分析可以划分为四种类型密码破译的方法唯密文攻击1Ciphertext-only attack攻击者手中除了截获的密文外，没有其他任何辅助信息唯密文攻击是最常见的一种密码分析类型，也是难度最高的一种已知明文攻击2Known-plaintextattack攻击者除了掌握密文，还掌握了部分明文和密文的对应关系选择明文攻击3Chosen-plaintext attack攻击者知道加密算法，同时能够选择明文并得到相应明文所对应的密文，是比较常见的一种密码分析类型选择密文攻击4Chosen-ciphertext attacko攻击者知道加密算法，同时可以选择密文并得到对应的明文采用选择密文攻击这种攻击方式，攻击者的攻击目标通常是加密所使用的密钥从密码的分析途径看，在密码分析过程中可以采用穷举攻击法、统计分析法和数学分析法等三种方法穷举攻击的思路是尝试所有的可能以找出明文或者密钥统计分析法是通过分析明文和密文的统计规比较不同密码分析律从而破解密文的一种方法大部分现代密码系统以数学难解问题作方法的差为理论基础数学分析法，也称为“确定分析法”，是指攻击者针对异密码系统的数学基础和密码学特性，利用一些已知量，例如，一些明文和密文的对应关系，通过数学求解破译密钥等未知量的方法

（二）密码旁路分析现实世界中，密码算法的实现总需要基于一个物理平台，即密码芯片由于芯片的物理特性会产生额外的信息泄露，如密码算法在执行时无意泄露的执行时间、功率消耗、电磁辐射、访问特征、Cache声音等信息，或攻击者通过主动干扰等手段获取的中间状态比特或故障输出信息等，这些泄露的信息同密码的中间运算、中间状态数据存在一定的相关性，从而为密码分析提供了更多的信息，利用这些泄露的信息就有可能分析出密钥，这种分析方法称为旁路分析密码旁路分析中攻击者除了可在公开信道上截获消息，还可观测加解密端的旁路泄露，然后结合密码算法的设计细节进行密钥分析，避免了分析复杂的密码算法，使得一些传统分析方法无法破解的密钥成为可能近几年来，密码旁路分析技术发展较快，出现了多种旁路分析方法根据旁路泄露信息类型的不同，可分为计时分析、探针分析、故障分析、功耗分析、电磁分析、分析、声音分析；根据旁路分Cache析方法的不同，可分为简单旁路分析、差分旁路分析、相关旁路分析、模板旁路分析、随机模型旁路分析、互信息旁路分析、旁路分析、Cache差分故障分析、故障灵敏度分析、旁路立方体分析、代数旁路分析、代数故障分析等作业与思考题、请简要分析密码系统（密码体制）的五个组成要素

1、对于密码系统，基于算法保密的策略有什么不足之处？

2、请简要评述以为代表的对称密码系统的优点和缺点3DES、请解释什么是密钥管理问题，密钥管理对于对称密码系统有什么意4义参考资料吴礼发，洪征《网络攻防原理与技术（第版）》，机械工业4出版社，年2024本次课教学体会是密钥或密钥空间密钥是指控制加密算法和解密算法得以实K现的关键信息，可分为加密密钥和解密密钥，两者可相同也可不同密码算法是指明文和密文之间的变换法则，其形式一般是计算某些量值或某个反复出现的数学问题的求解公式，或者相应的程序E是加密算法，是解密算法解密算法是加密算法的逆运算，且其对D应关系是唯一的

（二）密码系统的设计要求密码系统的设计要求主要包括.系统即使达不到理论上不可破译，也应该是实际上不可破译的1（也就是说，从截获的密文或某些已知的明文和密文对，要决定密钥或任意明文在计算上是不可行的）；.加密算法和解密算法适用于所有密钥空间的元素；2讨论为什.系统便于实现和使用方便；3么强调不.系统的保密性不依赖于对加密体制或算法的保密，而依赖于密4依赖于对钥（著名的原则，现代密码学的一个基本原则）Kerckhoff加密体制

（三）密码学发展简史或算法的保密？一般来说，密码学的发展划分为三个阶段第一阶段为从古代到年这一时期可以看作是科学密码学的1949前夜时期，这阶段的密码技术可以说是一种艺术，而不是一种科学，密码学专家常常是凭知觉和信念来进行密码设计和分析，而不是推理和证明第二阶段为从年到年年发表的“保密194919751949Shannon系统的信息理论”为私钥密码系统建立了理论基础，从此密码学成为一门科学，但密码学直到今天仍具有艺术性，是具有艺术性的一门科学这段时期密码学理论的研究工作进展不大，公开的密码学文献很少第三阶段为从年至今年和发表的文章19761976diffie hellman“密码学的新动向”一文导致了密码学上的一场革命他们首先证明了在发送端和接受端无密钥传输的保密通讯是可能的，从而开创了公钥密码学的新纪元二对称密码体制一基本概念对称密码体制的加密密钥和解密密钥相symmetric cryptosystem古典密码同，也叫单钥密码体制或者秘密密码体制算法都属对称密码体制对明文加密有两种方式序列密码或流密码，于对称密码体制和分组密码Stream CipherBlock Cipher凯撒密码、维吉尼亚密码等古典密码算法具有相同的加密密钥和解密密钥，属于典型的对称密码系统各类现代的对称密码系统都是以古典密码系统为基础发展而来，大多以代替和置换Substitution这两种基本运算为基础“代替”指的是比特、字母、Permutation比特组合或者字母组合等明文中的元素，被映射成完全不同的另外一个元素，“置换”指的是将明文中的元素重新排列，或者说,打乱明分析代替文中各个元素的排列顺序操作与置换操作的对称密码系统也存在一些难以解决的缺陷最为突出的一个问题差异是双方如何约定密钥通信中进行加密是为了确保信息的保密，采用对称密码系统，此目标的达成取决于密钥的保密信息的发送方必须安全、稳妥地把密钥传递到信息的接收方，不能泄露其内容通信双方为了约定密钥往往需要付出高昂代价对称密码系统的另外一个问题是在加解密涉及多人时需要的密钥密钥的管量大，管理困难如果个用户需要相互通信，则这些用户两两之间N理问题为必须共享一个密钥，一共需要个密钥当用户数量很多时，什么重NN-l/2密钥数量会出现爆炸性的膨胀，给密钥的分发和保存带来巨大困难

（二）主要类型序列密码

1.序列密码常常被称为流密码，其工作原理是将明文消息以比特为单位逐位加密与明文对应，密钥也是以比特为单位参与加密运算为了保证安全，序列密码需要使用长密钥，密钥还必须具有较强的灵活性，保证其能够加密任意长度的明文但是长密钥的保存和管理非比较序列常困难研究人员针对此问题，提出了密钥序列产生算法,只需要输密码与分入一个非常短的种子密钥，通过设定的算法即可以产生长的密钥序列，组密码的在加密和解密过程中使用主要差异分组密码

2.分组密码是将明文以固定长度划分为多组，加密时每个明文分组在相同密钥的控制下，通过加密运算产生与明文分组等长的密文分组解密操作也是以分组为单位，每个密文分组在相同密钥的控制下，通过解密运算恢复明文

（三）典型算法数据加密标准（）是美国国家标准局Data EncrytionStandard,DES于年公布的由公司研制的一种密码系统，它被批准作为非1977IBM机要部门的数据加密标准，在民用领域应用广泛是一种公认的DES安全性较强的对称密码系统自问世以来，一直是密码研究领域的热点，许多科学家对其进行了研究和破译，但至今没有公开文献表明已经被破解DES是一种分组密码，对二进制数据加密，明文分组的长度为DES64位，相应产生的密文分组也是位64结合PPT密码系统使用位密钥，但位中由用户决定的只有位DES646456介绍DES密钥的产生通常是由用户提供由个英文字母组成的字符串，英的基本流DES7程文字母被逐个按码转化为二进制数，形成总长位的二进制ASCII56字符串，字符串的每位补充位作为奇偶校验，从而生成71总长位的密钥64总体上看，加密流程可以划分为初始置换、子密钥的生成、乘IP积变换、逆初始置换」等四个子步骤IP按照加密算法的工作流程，输入的位明文分组经过初始DES64置换以后，在个位子密钥的控制下进行轮迭代，最终通IP164816过逆初始置换得到位的密文分组IP-164加密算法的核心功能是扰乱输入，从安全性的角度看，恢复DES加密算法所做的扰乱操作越困难越好此外，加密算法能够表现DES出良好的雪崩效应，当输入中的某一位发生变化时，输出中的很多位都会出现变化，这使得针对进行密码分析非常困难DES的解密与加密使用的是相同算法，仅仅在子密钥的使用次序DES上存在差别如果加密的乘积变换过程中依次使用、、、KI K2K

3...K16作为子密钥，那么在解密时将位的密文输入初始置换后，乘积64IP变换的各轮迭代中将依次使用、、、作为子密钥，完K16K15K14…K1成迭代并将结果输入逆初始置换IP1后可以恢复64位的明文作为一种对称密码系统，系统的安全性主要取决于密钥的安DES全性一旦密钥泄露，则系统毫无安全可言由于盒是系统的S DES核心部件，而且其核心思想一直没有公布，一些人怀疑的设计者DES组织学生可能在盒中留有陷门，通过特定的方法可以轻易破解他人的密文，S分析密码但是这种想法一直没有被证实体制的安全性问题系统目前最明显的一个安全问题是采用的密钥为位，即密DES56钥空间中只有个密钥以当前计算机的处理能力来看，这种短密256钥很难抵御穷举攻击，直接影响到算法的安全强度目前，对于DES算法都是通过穷举密钥的方式破解，还没有发现这种算法在设计上的破绽在一些安全性要求不是特别高的场合，的应用还是比较多DES的在的基础上，研究人员在年提出了算法，增加DES19853DES了密钥长度算法在年被加入到系统中3DES1999DES算法使用个密钥，并执行次运算遵循“加3DES33DES3DES密一解密一加密”的工作流程的解密运算与加密运算的主体相3DES与3DES同，只是密钥的使用顺序存在差异在加密时如果依次使用kl、k2和DES相比的主要优作为密钥，则解密时将依次使用、和进行解密的加k3k3k2kl DES势？密算法和解密算法相同，算法在加密的第二步采用解密算3DES DES法的主要目的是确保能够支持以往使用加密的信息也3DES DES,DES可以通过解密算法的缺点是执行速度较慢，因为无论采3DES3DES用算法进行加密还是解密，都需要执行遍算法，因此，3DES3DES一个明文分组通过加密需要的时间是使用算法加密所需时3DES DES间的倍3因为安全性不足，效率低、小分组导致的安全性不足DES3DES等问题，年月美国国家标准与技术研究院公开征集高级加密标19974准算法，并成立了工作组Advanced EncryptionStandard,AES AES指定必须是分组大小为比特的分组密码，支持密钥长NIST AES128度为、和比特经过多轮评估、测试，于年128192256NIST200010月日正式宣布选中密码算法作为算法，并在年2Rijndael AES20025月日成为正式标准因此，算法又称为算法26AES Rijndael

三、公开密码体制―基本概念分析公开1976年，Diffie、Hellmann在论文“New directionsin cryptographyn密码体制提出了双钥密码体制奠定了公钥密码系统的基础，每个用户都有一与对称密对密钥一个是公钥可以像电话号码一样进行注册公布;另一个码体制的PK,主要差异是私钥由用户自己秘密保存SK,两个密钥之间存在某种算法联系，但由一个密钥无法或很难推导出另一个密钥又称为公钥密码体制或非对称密码体制asymmetric cryptosystem整个系统的安全性在于从对方的公钥和密文中要推出明文PK或私钥在计算上是不可行的SK公开密码体制的主要特点是将加密和解密能力分开，可以实现:多个用户加密的消息只能由一个用户解读保密通信；只由一个用户加密消息而使多个用户可以解读数字签名认证根据公钥密码系统所依据的数学难题可分为类大整数分解问3题类，椭圆曲线类，离散对数问题类二典型算法年美国麻省理工学院的位教授和研19773Rivest,Shamir Adleman制出了一种公开密码系统，该密码系统以三位教授姓氏的首字母命名，被称为公开密码系统，简称为年介绍的论文《获RSA RSA1978RSA得数字签名和公开钥密码系统的方法》发表是目前应用最广泛RSA的公开密码系统基于“大数分解”这一著名数论难题将两个大素数相乘十RSA分容易，但要将乘积结果分解为两个大素数因子却极端困难举例来看，将两个素数和相乘，可以很容易地得出其结果1192720903但是要想将分解因子得到相应的两个素数却极249310081,249310081为困难的加密过程以指数计算为核心需要加密的明文消息，一般RSA首先划分为多个消息块，每个消息块由二进制形式转化为十进制数在划分的过程需要保证每个消息块转化得到的十进制数都小于公钥中的数字同时，划分得到的每个十进制数的位数通常相同,位数不足n,的可以采用添加的形式补足在加密时每个消息块独立加密0除了用于加密外，另一个重要应用是数字签名考虑到效RSA率，实际应用时，利用进行数字签名往往针对消息的散列值进行RSA发送方在发送消息前，首先计算消息的散列值而后，发送方使用自己的私钥对消息的散列值进行数字签名对进行因子分解是最直接有效的一种攻击系统的方法如n RSA果随着数学研究的发展，发现“大数分解”问题能够轻松解决，则RSA系统将不再安全止匕外，的破解是否与“大数分解”问题等价RSA一直没有能够在理论上得到证明，因此并不能肯定破解需要进行RSA大数分解如果能够绕过“大数分解”这一难题对系统进行攻击，RSA则系统也非常危险RSA的主要缺陷是加密操作和解密操作都涉及复杂的指数运算，RSA分析RSA处理速度很慢与典型的对称密码系统相比，即使在最理想的情DES算法存在况下，也要比慢上倍因此，一般来说只适用于少RSA DES100RSA的主要缺量数据的加密和解密在很多实际应用中，被用来交换等陷RSA DES对称密码系统的密钥，而用对称密码系统加密和解密主体信息这些应用系统通过混合使用系统和系统，将两类密码系统的优RSA DES点结合在一起密钥交换算法（简称为算法”或交换”）Diffie-Hellman“DH“DH由和提出,是最早的密钥交换算Whitfield DiffieMartin Hellman1976法之一，它使得通信的双方能在非安全的信道中安全的交换密钥，用于加密后续的通信消息该算法被广泛应用于安全领域，如和TSL协议IPsec密钥交换算法的优点仅当需要时才生成密钥，减Diffie-Hellman小了将密钥存储很长一段时间而致使遭受攻击的机会除对全局参数的约定外，密钥交换不需要事先存在的基础设施缺点没有提供双方身份的任何信息，因此易受中间人攻击这一缺陷可以通过数字签名和公钥证书来解决容易遭受阻塞性攻击由于算法是计算密集性的，如果攻击者请求大量的密钥，被攻击者将花费大量计算资源来求解无用的塞系数而不是在做真正的工作

四、散列函数

（一）基本概念散列函数（）,也称为“哈希函数”或“杂凑函数”,hash function通过散列在应用于长度任意的数据块时将产生固定长度的输出散列函数可以函数的实表示为际应用来h=H（M）引出散列函数的概其中，代表散列函数，代表任意长度的数据（可以是文件、通H M念信消息或其他数据块），为散列函数的结果，称为“散列值”或“散h列码”当为通信消息时，通常将称为“报文摘要（M hMessage）或“消息摘要”对于特定的一种散列函数，散列值的长度是Digest”固定的对的任意修改都将使的散列值出现变化，通过检查散M M列值即可判定的完整性因此散列值可以作为文件、消息或其他数M据块的具有标识性的“指纹”采用散列函数来保证文件（或消息）的完整性，首先需要通过散列函数获得文件（或消息）的散列值，并将该值妥善保存在需要对文件（或消息）进行检查的时候，重新计算文件（或消息）的散列值，如果发现计算得到的散列值与保存的结果不同，则可以推断文件（或消息）被修改过具有单向性的散列函数可以应用于用户口令（或密码）存储信息系统中如果口令以明文形式存储，存在很大的安全风险一旦攻击分析散列者进入系统，或者系统由恶意的管理员管理，用户口令很容易泄露函数在安而采用散列值来存储口令，散列函数的单向性可以确保即使散列值被全领域应攻击者获取，攻击者也无法简单地通过散列值推断出用户口令同时，用的主要优势这种方法也不会影响对用户进行身份认证，用户在登陆时输入的口令通过散列函数计算，如果所得的散列值与系统中相。