《物聯(lián)網(wǎng)安全：原理與技術(shù)》

第四章：物聯(lián)網(wǎng)安全基礎(chǔ)—數(shù)據(jù)加密技術(shù)

目錄一二三四五本章概述密碼學(xué)基本概念以及發(fā)展歷程對(duì)稱密碼非對(duì)稱密碼加密算法在物聯(lián)網(wǎng)中的應(yīng)用本章概述加密是保證物聯(lián)網(wǎng)數(shù)據(jù)安全的基礎(chǔ)技術(shù)之一。密碼學(xué)是一門研究編制和破譯密碼的學(xué)科。古典密碼：作為藝術(shù)形式而存在的，難以被大眾理解和掌握，大多數(shù)被用于古代和近代軍事等方面?，F(xiàn)代密碼：20世紀(jì)末，大量基礎(chǔ)理論的出現(xiàn)，使密碼學(xué)成為一門可以系統(tǒng)學(xué)習(xí)的學(xué)科，成為了信息和通信學(xué)科的一項(xiàng)重要技術(shù)，為信息的安全存儲(chǔ)、傳輸、鑒別等提供了保障。目錄一二三四五本章概述密碼學(xué)基本概念以及發(fā)展歷程對(duì)稱密碼非對(duì)稱密碼加密算法在物聯(lián)網(wǎng)中的應(yīng)用密碼學(xué)基本概念以及發(fā)展歷程最早的密碼方案雛形產(chǎn)生于約公元前1900年的埃及古國(guó)，利用象形文字進(jìn)行混淆。《六韜》一文中曾記載姜太公回答周武王如何使用“陰符”和“陰書”，分別使用了密碼學(xué)中的替換法和秘密分享的設(shè)計(jì)思想。凱撒密碼：明文中所有的字母，按照字母表中的順序向后循環(huán)移動(dòng)固定的位數(shù)產(chǎn)生密文，并在解密時(shí)向前循環(huán)移動(dòng)同樣的位數(shù)得到明文。密碼學(xué)基本概念以及發(fā)展歷程Kerckhoff原則19世紀(jì)末，AuguesteKerckhoff提出了密碼設(shè)計(jì)原則，其中一項(xiàng)最為重要的原則(現(xiàn)稱為Kerckhoff原則)：加密方法不必保密，唯一需要保密的是通信雙方共享的秘密信息(即密鑰)。Kerckhoff原則提倡公開加密算法，讓其受到公開的研究和分析，從而使加密方案可以受到更加廣泛的同行審計(jì)。這與通過(guò)隱藏加密算法來(lái)保證安全的思想完全相對(duì)。該思想后來(lái)還被引申到開放源代碼中。密碼學(xué)基本概念以及發(fā)展歷程密鑰空間Kerckhoff原則允許公開密碼算法，但是要求保護(hù)密鑰的安全。古典密碼的密鑰空間大都較小，如凱撒密碼的密鑰空間為固定的移位位數(shù)，即26種可能性。當(dāng)密碼算法被公開時(shí),加密方案必須能夠抵抗通過(guò)窮舉密鑰攻擊，即加密方案滿足密鑰空間充分性原則。較大的密鑰空間不一定代表安全：在基于英文的單字母替換加密方案的密鑰空間為26!。但可以通過(guò)語(yǔ)言統(tǒng)計(jì)攻擊破解。密碼學(xué)基本概念以及發(fā)展歷程密碼攻擊方法唯密文攻擊(Ciphertext-OnlyAttack)：攻擊者只能夠獲得加密后的密文信息,并試圖通過(guò)密文來(lái)確定所對(duì)應(yīng)的明文信息。已知明文攻擊(Known-PlaintextAttack）：攻擊者被允許獲取到一些密文以及這些密文所對(duì)應(yīng)的明文信息，并試圖通過(guò)利用這些密文-明文對(duì)來(lái)確定其他密文所對(duì)應(yīng)的明文。選擇明文攻擊(Chosen-PlaintextAttack,CPA)：攻擊者可以自主選擇一些明文消息，獲得相應(yīng)的密文，并試圖利用這些信息來(lái)確定其他密文所對(duì)應(yīng)的明文。選擇密文攻擊(Chose-CiphertextAttack,CCA)：攻擊者可以自主選擇一些加密后的密文，獲得相應(yīng)的解密后的明文結(jié)果，并試圖確定其他密文所對(duì)應(yīng)的明文。（不能夠直接獲得想要攻破的密文所對(duì)應(yīng)的明文）目錄一二三四五本章概述密碼學(xué)基本概念以及發(fā)展歷程對(duì)稱密碼非對(duì)稱密碼加密算法在物聯(lián)網(wǎng)中的應(yīng)用加密方案的基本概念

加密方案的基本概念

EncDecKeyGen

明文密文

明文如果加密密鑰和解密密鑰相同或可以簡(jiǎn)單地相互計(jì)算得出，稱該方案為對(duì)稱加密方案，否則稱為非對(duì)稱密碼方案。分組密碼在分組密碼方案中，消息（明文）被分成多個(gè)等長(zhǎng)的塊（block），并分別跟加密密鑰進(jìn)行操作得出密文。由于消息的長(zhǎng)度并不一定為塊大小的整數(shù)倍，因此最后一個(gè)區(qū)塊往往會(huì)通過(guò)填充的方式將其擴(kuò)展到一個(gè)完整的塊。數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）3DES加密算法（TripleDataEncryptionAlgorithm）高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard，AES）SM1加密算法（不公開）、SM4加密算法等DES加密方案在DES加密方案中，區(qū)塊的大小為64比特，密鑰的有效長(zhǎng)度為56比特。DES加密方案的加密分為以下幾個(gè)過(guò)程：初始置換（InitialPermutation，IP）：明文首先經(jīng)過(guò)初始置換過(guò)程，將順序打亂。置換過(guò)程是公開的，其目的是為了打亂明文中數(shù)據(jù)的關(guān)聯(lián)性。16個(gè)輪次的費(fèi)斯妥（Feistel）結(jié)構(gòu)：明文在被初始置換后，會(huì)經(jīng)過(guò)16個(gè)輪次的費(fèi)斯妥結(jié)構(gòu)進(jìn)行充分地混淆。逆初始置換（FinalPermutation，F(xiàn)P）：第16輪次的輸出，經(jīng)過(guò)逆初始置換，輸出成為密文，逆初始置換為初始置換的逆操作。費(fèi)斯妥（Feistel）結(jié)構(gòu)在每一輪費(fèi)斯妥結(jié)構(gòu)中，輸入和輸出都被分為左右兩個(gè)部分，分別包含32比特。其中，輸出的左部分為輸入的右部分，而輸出的右部分則為輸入的左部分異或上F函數(shù)的結(jié)果。F函數(shù)的結(jié)構(gòu)

子密鑰調(diào)度策略每輪費(fèi)斯妥結(jié)構(gòu)中輸入的密鑰均為從原始加密密鑰中提取的48比特的子密鑰。56比特的密鑰（DES密鑰長(zhǎng)度為64比特，但有8比特為校驗(yàn)位）經(jīng)過(guò)選擇置換1（PC-1）分為2個(gè)28比特的左右兩部分。左右這兩部分密鑰在16輪子密鑰生成過(guò)程中分別會(huì)被向左移位1位或者2位（ROT操作），并且在總共16輪中共移位28位。在每一輪中，兩部分密鑰移位完成后拼接到，組成新的56比特串，并按照選擇置換2（PermutedChoice2，PC-2）的方法從其中抽取出48比特的本輪子密鑰，作為本輪F函數(shù)的輸入。3DES加密方案

3DES加密方案

AES加密方案AES加密方案：明文128比特，密鑰128，192或256比特。AES加密是以字節(jié)（8比特）為最小的操作單位。在加密過(guò)程中，AES算法首先將128比特的明文分成16個(gè)字節(jié)，并組成一個(gè)4×4的字節(jié)矩陣，稱之為State。AES加密方案也是一種輪次加密，分為以下幾個(gè)過(guò)程：初始輪次（第0輪次）：本輪次只進(jìn)行一次AddRoundKey操作。加密輪次（第1輪次到第R-1輪次）：每一輪次都在上一輪次的結(jié)果上依次做SubBytes操作、ShiftRows操作、MixColumns操作和AddRoundKey操作。終止輪次（第R輪次）：僅進(jìn)行SubBytes操作、ShiftRows操作和AddRoundKey操作。R與AES加密密鑰長(zhǎng)度相關(guān)，密鑰長(zhǎng)度為128，192和256時(shí)，R分別為10，12和14，即AES加密共需要R+1個(gè)輪次密鑰。SubBytes操作SubBytes操作將State中的每一個(gè)字節(jié)按照查表法映射到AES-S盒中的一個(gè)字節(jié)。AES-S盒的構(gòu)造與有限域相關(guān)，具有良好的非線性，從而抵抗代數(shù)攻擊。實(shí)際應(yīng)用中，為了加快AES加解密速度，AES-S盒的內(nèi)容往往被直接固化到程序中，直接采用查表法進(jìn)行置換。ShiftRows操作ShiftRows操作將State中的第i行（0≤i≤3），向左移動(dòng)i個(gè)字節(jié)進(jìn)行輸出。MixColumns操作

AddRoundKey操作

AddRoundKey操作

123456789100x010x020x040x080x100x200x400x800x1B0x36對(duì)稱加密的操作模式分組加密方案都只能加密一個(gè)單獨(dú)的明文塊。在實(shí)際的應(yīng)用中，較長(zhǎng)的明文需要被分成相應(yīng)的明文塊后使用同一個(gè)密鑰分別加密，但是會(huì)泄露明文塊之間的信息。操作模式：允許使用同一個(gè)密鑰對(duì)多個(gè)數(shù)據(jù)塊進(jìn)行加密，并保證安全性。常見的操作模式有電子密碼本（Electroniccodebook，ECB）模式、密碼分組鏈接（Cipher-blockchaining，CBC）模式、填充密碼塊鏈接（Propagatingcipher-blockchaining，PCBC）、密文反饋（Cipherfeedback，CFB）模式、輸出反饋（Outputfeedback,OFB）模式和計(jì)數(shù)器模式（Countermode，CTR）等。電子密碼本（ECB）模式電子密碼本是最簡(jiǎn)單的加密模式，即將明文分塊后，分別使用相同的密鑰加密。這種方式在加密結(jié)構(gòu)化文件、圖像文件等的時(shí)候難以隱藏?cái)?shù)據(jù)模式，因此無(wú)法保證其安全性。密碼分組鏈接（CBC）模式密碼分組連接模式中需要引入一個(gè)初始化向量（InitializationVector，IV）。在加密第一個(gè)明文塊的時(shí)候，先將其與IV異或后進(jìn)行加密。然后在加密后面的任何一個(gè)塊時(shí)，先將該塊與前一個(gè)塊的密文進(jìn)行異或后再加密。CBC模式在加密的時(shí)候需要每一個(gè)塊的加密操作與上一個(gè)塊的加密輸出相關(guān)，因此無(wú)法并行操作。但是解密的時(shí)候，由于連續(xù)兩個(gè)密文塊可以解密后一個(gè)塊，因此可以并行解密。填充密碼塊鏈接（PCBC）模式填充密碼塊鏈接模式加密第一個(gè)塊的方式與CBC相同。但是在加密后面的塊的時(shí)候，明文除了和上一個(gè)塊的密文異或，也要同上一個(gè)塊的明文異或。因此PCBC的加密和解密均不能并行運(yùn)行。密文反饋（CFB）模式密文反饋模式加密第一個(gè)塊的時(shí)候，會(huì)先用密鑰將IV進(jìn)行加密，然后將結(jié)果與第一個(gè)塊進(jìn)行異或得到密文。在加密后面的塊時(shí)，會(huì)將前一個(gè)塊的密文使用密鑰再次進(jìn)行加密，并將結(jié)果與當(dāng)前塊的明文進(jìn)行異或，得到當(dāng)前塊的密文。即當(dāng)前塊的IV為上一個(gè)塊的IV加密后與明文異或的結(jié)果。輸出反饋（OFB）模式輸出反饋模式與CFB模式十分類似，只是在加密第二個(gè)塊開始的時(shí)候，使用的IV為上一個(gè)塊IV加密后的結(jié)果（不與明文塊異或）。計(jì)數(shù)器（CTR）模式計(jì)數(shù)器模式是一種加密和解密均可以并行化處理的模式。首先隨機(jī)化產(chǎn)生一個(gè)隨機(jī)數(shù)（Nonce，與IV作用基本相同），作為計(jì)數(shù)器。在加密第一個(gè)塊時(shí)，將Nonce使用密鑰加密，然后與第一個(gè)塊的明文異或成為密文。在加密后面的塊時(shí)，首先將前一個(gè)塊使用的Nonce加上1，然后再使用密鑰加密，并將結(jié)果與當(dāng)前的明文進(jìn)行異或，得到當(dāng)前塊的密文。隨機(jī)值分為隨機(jī)數(shù)（Nonce）和計(jì)數(shù)器（Counter）兩部分，其中計(jì)數(shù)器部分從全部為0的比特串開始計(jì)算，并在下一個(gè)塊的時(shí)候加1。序列密碼序列密碼，也稱為流密碼（Streamcipher），是對(duì)稱密碼中的一種。在序列密碼中，通訊中的發(fā)送方使用一個(gè)偽隨機(jī)生成器（Pseudo-randomgenerator，PRG）產(chǎn)生偽隨機(jī)密鑰流，并將需要加密的消息與偽隨機(jī)密鑰流進(jìn)行操作（一般為比特異或）后發(fā)送給接收者。接收者使用相同方法產(chǎn)生同樣的偽隨機(jī)密鑰流，再與接收到的密文進(jìn)行逆操作后恢復(fù)消息的明文。偽隨機(jī)密鑰流是通過(guò)輸入一個(gè)真正隨機(jī)的種子（seed）到密鑰流生成器而產(chǎn)生的。為了保證安全性，偽隨機(jī)生成器必須是偽隨機(jī)且不可預(yù)測(cè)的。在序列密碼中，多次使用同一個(gè)種子（seed）進(jìn)行消息加密是一種不安全的。目錄一二三四五本章概述密碼學(xué)基本概念以及發(fā)展歷程對(duì)稱密碼非對(duì)稱密碼加密算法在物聯(lián)網(wǎng)中的應(yīng)用非對(duì)稱加密的基本概念對(duì)稱密碼的局限性通訊的雙方需要提前共享通訊密鑰多用戶通訊時(shí)，密鑰復(fù)雜：一個(gè)通訊系統(tǒng)已經(jīng)存在了N個(gè)通訊方，每?jī)蓚€(gè)通訊方之間都需共享一個(gè)密鑰（不能使用一個(gè)單獨(dú)的密鑰，因?yàn)槟菢拥脑挼谌齻€(gè)通訊方可以解密兩方通訊的內(nèi)容）；當(dāng)一個(gè)新的通訊用戶加入時(shí)，該用戶需要跟其他N個(gè)通訊方分別共享一個(gè)新的密鑰，而每一個(gè)用戶都需要保存N個(gè)通訊密鑰。在1976年，Diffie和