密碼學分組密碼運行模式-大數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第1頁一、計算機數(shù)據(jù)特殊性1、存在顯著數(shù)據(jù)模式：許多數(shù)據(jù)都含有某種固有模式。這主要是由數(shù)據(jù)冗余和數(shù)據(jù)結(jié)構(gòu)引發(fā)。各種計算機語言語句和指令都十分有限，因而在程序中便表現(xiàn)為少許語句和指令大量重復。各種語言程序往往含有某種固定格式。數(shù)據(jù)庫統(tǒng)計也往往含有某種固定結(jié)構(gòu)。操作系統(tǒng)和網(wǎng)絡(luò)也有一樣問題。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第2頁一、計算機數(shù)據(jù)特殊性1、存在顯著數(shù)據(jù)模式：依據(jù)明文相同、密鑰相同，則密文相同道理，這些固有數(shù)據(jù)模式將在密文中表現(xiàn)出來。掩蓋明文數(shù)據(jù)模式方法： 預處理技術(shù)(隨機掩蓋)

鏈接技術(shù)假如不能掩蓋數(shù)據(jù)模式，既使采取安全密碼算法也是徒勞。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第3頁一、計算機數(shù)據(jù)特殊性數(shù)據(jù)特殊性帶來需求：分組固定而待加密數(shù)據(jù)量是不定。即使有了安全分組密碼算法，也需要采取適當工作模式來隱蔽明文統(tǒng)計特征、數(shù)據(jù)格式等，以提升整體安全性，降低刪除、重放、插入、和偽造成功機會。不但要保持各分組完整性，還有保持各分組次序不變。

數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第4頁二、分組密碼工作模式

1977年DES頒布。1981年美國針對DES應(yīng)用制訂了四種基本工作模式：電碼本模式（ECB）每個明文組獨立地以同一密鑰加密，單個數(shù)據(jù)加密。密文反饋鏈接模式（CBC）將前一組密文與當前明文組逐步異或后再進行分組、加密，用途：加密、認證。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第5頁二、分組密碼工作模式

密碼反饋模式（CFB）每次只處理k位數(shù)據(jù)，將上一次密文反饋到輸入端，從加密器輸出取k位，與當前k位明文逐位異或，產(chǎn)生對應(yīng)密文；用途：普通傳送數(shù)據(jù)流加密，認證輸出反饋模式（OFB）類似于CFB，以加密器輸出k位隨機數(shù)字直接反饋到加密器輸入，用途：對有擾信道傳送數(shù)據(jù)流進行加密（如衛(wèi)星數(shù)傳）數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第6頁二、分組密碼工作模式年美國在征集AES同時又公開征集AES工作模式。共征集到15個候選工作模式。新工作模式標準還在評審中。這些新工作模式將為AES應(yīng)用作出貢獻。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第7頁二、分組密碼工作模式1、電碼本模式（ECB）直接利用分組密碼對明文各分組進行加密。設(shè)明文M=（M1，M2，…，Mn）,

密鑰為K，密文C＝(C1，C2，…，Cn),其中Ci＝E（Mi，K）,i=1,2,…,n

電碼本方式是分組密碼基本工作模式。缺點：可能出現(xiàn)短塊，這時需要特殊處理。缺點：暴露明文數(shù)據(jù)模式。應(yīng)用：適合加密密鑰等短數(shù)據(jù)數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第8頁二、分組密碼工作模式2、密文反饋鏈接模式（CBC）①明密文鏈接方式（PlaintextandCiphertext

Block

Chaining）

設(shè)明文

M=（M1，M2，…，Mn）,

密鑰為K，

密文C=(C1，C2，…，Cn),

其中

E（Mi

⊕Z，K），i=1

E（Mi

⊕Mi-1

⊕Ci-1，K）,i=2,…,n

Z為初始化向量。Ci=數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第9頁二、分組密碼工作模式2、密文反饋鏈接模式（CBC）①明密文鏈接方式即使Mi＝Mj，但因普通都有Mi-1

⊕Ci-1

≠Mj-1

⊕Cj-1，從而使Ci≠Cj，從而掩蓋了明文中數(shù)據(jù)模式。加密時，當Mi

或Ci中發(fā)生一位錯誤時，自此以后密文全都發(fā)生錯誤。這種現(xiàn)象稱為錯誤傳輸無界。解密時也是錯誤傳輸無界。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第10頁二、分組密碼工作模式2、密文反饋鏈接模式（CBC）①明密文鏈接方式錯誤傳輸無界缺點：當磁盤發(fā)生一點損壞時將造成整個文件無法解密。錯誤傳輸無界優(yōu)點：可用于數(shù)據(jù)完整性、真實性認證。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第11頁二、分組密碼工作模式

M1EC1M1DM2EC2DMnECnDMnM2加密解密KKKKKKZZ數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第12頁二、分組密碼工作模式2、密文反饋鏈接模式（CBC）明密文鏈接方式含有加解密錯誤傳輸無界特征，而磁盤文件加密和通信加密通常希望解密錯誤傳輸有界，這時可采取密文鏈接方式。②密文鏈接方式（Ciphertext

Block

Chaining）

設(shè)明文

M=（M1，M2，…，Mn）,

密鑰為K，密文

C=(C1，C2，…，Cn),

其中

E（Mi

⊕

Z，K），i=1

E（Mi

⊕Ci-1，K）,i=2,…,n

Ci=數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第13頁二、分組密碼工作模式

M1EC1M1DM2EC2DMnECnDMnM2加密解密KKKKKKZZ數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第14頁二、分組密碼工作模式2、密文反饋鏈接模式（CBC）②密文鏈接方式

加密：錯誤傳輸無界解密時：錯誤傳輸有界D（Ci，K）⊕Z，i=1

D（Ci，K）⊕Ci-1,i=2,…,nCi-1發(fā)生了錯誤，則只影響Mi-1和Mi發(fā)生錯誤，其余不錯，所以錯誤傳輸有界。缺點也是要求數(shù)據(jù)長度是密碼分組長度整數(shù)倍，不然最終一個數(shù)據(jù)塊將是短塊。

Mi=數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第15頁二、分組密碼工作模式3、輸出反饋模式(OFB)將一個分組密碼轉(zhuǎn)換為一個密鑰序列產(chǎn)生器。從而能夠?qū)崿F(xiàn)用分組密碼按流密碼方式進行加解密。

64移位存放器K位EK位明文K位密文K位種子R0K數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第16頁二、分組密碼工作模式3、輸出反饋模式(OFB)假如分組密碼是安全，則產(chǎn)生密鑰序列也是安全。加解密都沒有錯誤傳輸。適于加密冗余度較大數(shù)據(jù)，如語音和圖象數(shù)據(jù)。為了提升速度可輸出最右邊8位。但因無錯誤傳輸而對密文篡改難以檢測。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第17頁二、分組密碼工作模式4、密碼反饋模式CFB（CipherFeedback）CFB模式也是用分組密碼產(chǎn)生密鑰序列。

64移位存放器K位EK位明文K位密文k位種子R0K數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第18頁二、分組密碼工作模式4、密碼反饋模式(CFB)與OFB不一樣是，把密文反饋到移位存放器。加密時若明文錯了一位，則影響對應(yīng)密文錯，這一錯誤反饋到移位存放器后將影響到后續(xù)密鑰序列錯，造成后續(xù)密文都錯。

解密時若密文錯了一位，則影響對應(yīng)明文錯，但密文這一錯誤反饋到移位存放器后將影響到后續(xù)密鑰序列錯，造成后續(xù)明文都錯。因錯誤傳輸無界，可用于檢驗發(fā)覺對明密文篡改。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第19頁二、分組密碼工作模式5、XCBC(ExtendedCipherBlockChainingEncryption)模式年美國學者J0hnBlack和PhllipRogaway提出XCBC模式，作為CBC模式擴展，被美國政府采納作為標準。XCBC主要是處理了CBC要求明文數(shù)據(jù)長度是密碼分組長度整數(shù)倍限制，能夠處理任意長數(shù)據(jù)。假如用分組密碼是安全，則密鑰序列就是安全。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第20頁二、分組密碼工作模式5、XCBC(ExtendedCipherBlockChainingEncryption)模式設(shè)明文M=（M1，M2，…，Mn-1，Mn），對應(yīng)密文C=(C1，C2，…，Cn－1，Cn)，而Mn可能是短塊。使用3個密鑰K1，K2，K3進行加密。使用填充函數(shù)Pad（X）對短塊數(shù)據(jù)進行填充。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第21頁二、分組密碼工作模式5、XCBC(ExtendedCipherBlockChainingEncryption)模式填充函數(shù)Pad（X）定義以下：

X，當X不是短塊；X10…0，當X是短塊。經(jīng)填充函數(shù)Pad（X）填充后數(shù)據(jù)塊一定是標準塊。Pad（X）＝數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第22頁二、分組密碼工作模式5、XCBC(ExtendedCipherBlockChainingEncryption)模式令Z＝0，以Z作為初始化向量。加密過程以下：

E（Mi

⊕Z，K1），i=1E（Mi

⊕Ci-1，K1）,i=2,…,n－1E（Mn

⊕Cn-1

⊕K2，K1），當Mn不是短塊；

E（PAD（Mn）⊕Cn-1⊕K3，K1），當Mn是短塊。Ci

＝Cn＝數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第23頁二、分組密碼工作模式5、XCBC(ExtendedCipherBlockChainingEncryption)模式XCBC與CBC區(qū)分：

?CBC要求最終一個數(shù)據(jù)塊是標準塊，不是短塊。

?

XCBC既允許最終一個數(shù)據(jù)塊是標準塊，也允許是短塊。

?最終一個數(shù)據(jù)塊加密方法與CBC不一樣。

?

因為有填充，需要傳輸填充長度信息。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第24頁二、分組密碼工作模式5、XCBC(ExtendedCipherBlockChainingEncryption)模式

XCBC模式主要優(yōu)點：能夠處理任意長度數(shù)據(jù)。適于計算產(chǎn)生檢測數(shù)據(jù)完整性消息認證碼MAC。XCBC模式主要缺點：

有填充，不適合文件和數(shù)據(jù)庫加密。使用3個密鑰，需要傳填充長度，復雜。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第25頁二、分組密碼工作模式6、CTR（CounterModeEncryption）模式

CTR模式是Diffie和Hellman于1979年提出，在征集AES工作模式活動中由California大學PhillipRogaway等人推薦。設(shè)T1，T2，…，Tn-1，Tn是一給定計數(shù)序列，M1，M2，…，Mn-1，Mn是明文，其中M1，M2，…，Mn-1是標準塊，Mn可能是標準塊，也可能是短塊。設(shè)其長度等于u，u小于等于分組長度。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第26頁二、分組密碼工作模式6、CTR（CounterModeEncryption）模式

CTR工作模式加密過程以下：Oi＝E（Ti，K），i=1,2,…,n.Ci＝Mi⊕Oi，i=1,2,…,n-1.Cn＝Mn⊕MSBu（On）.其中MSBu（On）表示On中高u位。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第27頁計數(shù)器加密算法EM

iC

iT

iO

iKT

1時鐘脈沖數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第28頁二、分組密碼工作模式6、CTR（CounterModeEncryption）模式

CTR工作模式解密過程以下：Oi＝E（Ti，K），i=1,2,…,n.Mi＝Ci⊕Oi，i=1,2,…,n-1.Mn＝Cn⊕MSBu（On）.

數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第29頁二、分組密碼工作模式6、CTR（CounterModeEncryption）模式

CTR工作模式優(yōu)點：CTR模式優(yōu)點是安全、高效、可并行、適合任意長度數(shù)據(jù)；Oi計算可預處理高速進行；加解密過程僅包括加密運算，不包括解密運算，所以不用實現(xiàn)解密算法。適合隨機存放數(shù)據(jù)解密。CTR模式缺點是沒有錯誤傳輸，所以不易確保數(shù)據(jù)完整性。數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第30頁三、短塊加密分組密碼一次只能對一個固定長度明文（密文）塊進行加（解）密。稱長度小于分組長度數(shù)據(jù)塊為短塊。必須采取適當技術(shù)處理短塊加密問題。短塊處理技術(shù)：1、填充技術(shù)2、密文挪用技術(shù)

3、序列加密數(shù)據(jù)加密技術(shù)之大數(shù)據(jù)加密第31頁三、短塊加密1、填充技術(shù)用無用數(shù)據(jù)填充短塊，使之成為標準塊。為了確保加密強度，填充數(shù)據(jù)應(yīng)是隨機。不過收信者怎樣知道哪些數(shù)字是填充呢？這就需要增