李明，王賽，曲延盛，劉范范

（國網(wǎng)山東省電力公司，濟(jì)南250001）

密碼算法的參數(shù)設(shè)置對網(wǎng)絡(luò)安全運(yùn)維的影響

李明，王賽，曲延盛，劉范范

（國網(wǎng)山東省電力公司，濟(jì)南250001）

在交換機(jī)、路由器的賬號(hào)配置、遠(yuǎn)程運(yùn)維、信息傳輸?shù)倪^程中，大量用以實(shí)現(xiàn)信息認(rèn)證性、保密性的密碼算法不可篡改。隨著密碼分析技術(shù)的進(jìn)步和計(jì)算機(jī)計(jì)算能力的提升，如果選取錯(cuò)誤的參數(shù)配置會(huì)大大降低安全協(xié)議的安全性，暫時(shí)安全的密碼算法將會(huì)變得不再安全。綜述在網(wǎng)絡(luò)設(shè)備及協(xié)議中常見的密碼算法，分析不同密碼算法的安全性，提出安全條件下各類密碼算法的參數(shù)設(shè)置，可以作為日常網(wǎng)絡(luò)運(yùn)維參數(shù)配置的參考依據(jù)。

密碼學(xué)；參數(shù)；對稱密碼；公鑰密碼

0　引言

密碼學(xué)是一種設(shè)計(jì)和實(shí)現(xiàn)保密系統(tǒng)的科學(xué)，已有很長歷史。在信息社會(huì)，隨著網(wǎng)絡(luò)、電子商務(wù)以及電子政務(wù)等的迅速發(fā)展，信息安全問題已經(jīng)不僅僅出于軍事、政治和外交的需要，越來越多的政府、商業(yè)、金融等機(jī)構(gòu)和部門的大量數(shù)據(jù)需要密碼算法的保護(hù)和認(rèn)證。在交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備運(yùn)維管理中，也應(yīng)用到大量的密碼算法，比如SNMP v3、ssh、SSL、IPSec等網(wǎng)絡(luò)協(xié)議中。目前開放的網(wǎng)絡(luò)環(huán)境使得設(shè)備之間交互的信息容易受到攻擊者篡改、竊聽或者非授權(quán)訪問，特別是網(wǎng)絡(luò)設(shè)備如果被黑客控制，則會(huì)幫助實(shí)現(xiàn)信息竊取及篡改、中間人、DNS、DDos攻擊等網(wǎng)絡(luò)攻擊，造成根本性的安全威脅。

實(shí)際應(yīng)用的現(xiàn)代密碼學(xué)主要分為對稱密碼學(xué)和非對稱密碼學(xué)，其安全性是基于數(shù)學(xué)理論的。非對稱密碼學(xué)基于數(shù)學(xué)中的困難問題，比如素?cái)?shù)分解、離散對數(shù)問題等等。對稱密碼學(xué)基于數(shù)學(xué)中的代數(shù)變換。不管對稱密碼算法還是非對稱密碼算法，都是計(jì)算安全的，也就是說以現(xiàn)有的計(jì)算能力不可破解。隨著密碼分析技術(shù)的進(jìn)步和計(jì)算機(jī)計(jì)算能力的提升，暫時(shí)安全的密碼算法將會(huì)變得不再安全，這時(shí)就需要更換算法或者增大算法的參數(shù)，來實(shí)現(xiàn)密碼算法的理論安全。對常見的密碼算法進(jìn)行分析，提出要達(dá)到安全目的各類密碼算法的設(shè)置參數(shù)方法，可以作為日常網(wǎng)絡(luò)安全參數(shù)配置的參考依據(jù)。邊信道攻擊算法的出現(xiàn)，幫助攻擊者將設(shè)備及鏈路的物理學(xué)變化（如功率、電磁輻射等）與密碼分析結(jié)合起來，這就使得傳統(tǒng)的密碼算法必須選擇更長的參數(shù)，才能保證安全性。

1　常見密碼算法對比

1.1密碼算法在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

在交換機(jī)及路由器的基本配置中（以Cisco的命令行為例），enable password這種方式是明文的，enable secret采用MD5加密。service password-encryption加密方式是采用了MD5或者思科的私有加密方式來加密的。

在關(guān)鍵網(wǎng)絡(luò)環(huán)境中啟用SNMP v3協(xié)議時(shí)，提供鑒別和加密的功能以實(shí)現(xiàn)網(wǎng)絡(luò)安全，其中鑒別是使用MD5或SHA-1作為散列函數(shù)，通過HMAC實(shí)現(xiàn)的。加解密是通過DES-CBC、AES等算法實(shí)現(xiàn)的。SNMP v3協(xié)議提供了3個(gè)安全級(jí)別：noAuthNoPriv，authNoPriv和authPriv，其中應(yīng)用的密碼算法如下。

noAuthNoPriv級(jí)別表示沒有認(rèn)證或私密性被執(zhí)行；

authNoPriv級(jí)別表示認(rèn)證被執(zhí)行但沒有私密性被執(zhí)行；

authPriv級(jí)別表示認(rèn)證和私密性都被執(zhí)行。

在對網(wǎng)絡(luò)設(shè)備遠(yuǎn)程運(yùn)維時(shí)，經(jīng)常會(huì)用到SSh（Secure Shell）協(xié)議，這其中使用到DSA、RSA、Kerberos 5、NTLM等公鑰密碼算法，用來建立安全的鏈接并且傳輸數(shù)據(jù)。后來為了獲得更高的安全性，還擴(kuò)展使用ECDSA等更為安全的密碼算法。

在TCP/IP協(xié)議簇中，密碼算法在IPSec、SSL等網(wǎng)絡(luò)協(xié)議中更加大量應(yīng)用，比如HMAC、3DES、AES、IDEA、Diffie-Hellman密鑰交換、橢圓曲線D-H等密碼算法，特別是不同的版本，密碼算法及參數(shù)選取的方法發(fā)生了很大的變化。

1.2對稱密碼算法

1949年Shannon發(fā)表的“Communication Theory of Secrecy Systems”［1］為密碼學(xué)奠定了理論基礎(chǔ)，使密碼學(xué)成為一門科學(xué)。繼Shannon之后，很多研究者設(shè)計(jì)的密碼系統(tǒng)都是基于密鑰的對稱密碼體制。1967年Kahn［2］的專著《The Codebreakers》記述了一段密碼學(xué)發(fā)展的完整經(jīng)歷。對稱密碼算法的安全性基于對信息的代數(shù)變換，所以攻擊方法不斷進(jìn)步的攻擊能力是衡量一個(gè)對稱密碼算法安全性的依據(jù)。

常見的對稱密碼算法有DES、AES［3］等，在這些算法的基礎(chǔ)上還可以進(jìn)一步變換以增強(qiáng)安全性，比如3DES等。由于對稱密碼算法具有高效性，已經(jīng)被廣泛應(yīng)用于從email到ATM機(jī)等各個(gè)方面。Hash函數(shù)也屬于對稱密碼算法，其本身獨(dú)立使用不能完成信息的加解密，但是在實(shí)現(xiàn)數(shù)據(jù)完整性校驗(yàn)、身份驗(yàn)證等方面具有關(guān)鍵意義。常見的Hash函數(shù)有MD5、 SHA-0、SHA-1、SHA-2等。但是隨著密碼分析技術(shù)的進(jìn)步，MD4、MD5已經(jīng)被破解不推薦使用，SHA-0被證明是有缺陷的，SHA-1也已經(jīng)有針對性的破解算法從而安全性明顯降低，SHA-2一直沒被廣泛使用。2012年，NIST宣布Keccak算法被選為SHA-3。以MD5為例，首先將信息變換為16進(jìn)制的32位數(shù)字，然后經(jīng)過一系列的移位、替換等代數(shù)變換，生成128 bit的hash值。2004年，MD5算法被發(fā)現(xiàn)不能抵抗一種碰撞攻擊，其破解的困難性大大降低［4］。2005年，符合X.509標(biāo)準(zhǔn)的公鑰證書已經(jīng)可以被仿造出來，表明了MD5算法的徹底不安全。至今為止，安全Hash函數(shù)的設(shè)計(jì)仍然是一個(gè)熱點(diǎn)問題。

1.3非對稱密碼算法

1976年，Diffie和Hellman［5］發(fā)表的“New Direction in Cryptography”，提出公鑰密碼（非對稱密碼）的思想，是現(xiàn)代密碼密碼學(xué)的開端，使得在開放的環(huán)境中確保信息的保密性、認(rèn)證性、完整性和不可否認(rèn)性成為可能。對稱密碼體制，有很小的運(yùn)算量，但是就密鑰管理方面來說，由于它需要事先分配密鑰，使其在很多場合并不適用。公鑰密碼體制可以實(shí)現(xiàn)密鑰分配等功能，但是公鑰密碼體制中常包含代數(shù)結(jié)構(gòu)（群、環(huán)或有限域等）復(fù)雜的大整數(shù)或多項(xiàng)式的運(yùn)算，運(yùn)算效率較低。

1.3.1基于整數(shù)分解的算法

基于整數(shù)分解困難問題的密碼算法主要有RSA、Rabin算法、Blum算法等，這些算法的安全性受到整數(shù)分解困難問題現(xiàn)狀的直接影響。

RSA是現(xiàn)在網(wǎng)絡(luò)上最流行的密碼體制，由Rivest、Shamir和Adleman［6］在1977年提出。在2009年，一個(gè)232位的整數(shù)被成功分解，意味著參數(shù)選取為768 bit的RSA、Rabin等算法已經(jīng)不再安全。而考慮到計(jì)算效率，參數(shù)選取一半為16或者32的倍數(shù)，同時(shí)考慮在安全性方面保留足夠冗余，一般情況下參數(shù)選取推薦為1 024 bit。

1.3.2基于離散對數(shù)的算法

自從Diffie和Hellman引入公鑰密碼的概念以來，基于離散對數(shù)問題的密碼體制引起越來越廣泛的關(guān)注。ElGamal［7］首先描述了如何利用離散對數(shù)問題來構(gòu)建公鑰密碼體制中的加密和簽名。為滿足多種需要，ElGamal的方法得到了不斷改進(jìn)，其中一種經(jīng)過了改進(jìn)的形式是美國政府的標(biāo)準(zhǔn)簽名算法（DSA）［8］。一個(gè)基于離散對數(shù)問題的簡單密碼算法如下所示。

確定公共的參數(shù)：有限域Fq，域上的橢圓曲線E和基點(diǎn)B∈E。每一個(gè)用戶選擇一個(gè)隨機(jī)數(shù)a，并把它當(dāng)作私鑰，計(jì)算bB=Ba，將點(diǎn)bB公開作為公鑰。

加密：Alice選擇隨機(jī)數(shù)k，并將密文c=（x，y）發(fā)給Bob，其中a是Bob的私鑰，bB是Bob的公鑰，y= m*Bak，x=kB=Bk。

解密：Bob計(jì)算xa=Bak，m′=（Bak）-1y即可。

盡管Diffie和Hellman的密鑰協(xié)商協(xié)議中利用的是基于模一個(gè)素?cái)?shù)構(gòu)成的乘法群上的生成元的離散對數(shù)問題，這種思想可以擴(kuò)展到任意的群上。設(shè)G是一個(gè)階為n的有限群，α是G上的一個(gè)元素，那么G上的離散對數(shù)問題可以表述為：給定一個(gè)元素β∈G，找一個(gè)整數(shù)x滿足0

上述密碼算法太簡單，以至于不實(shí)用且存在破解漏洞，需要對它進(jìn)行適當(dāng)改造后才可以使用，比如DSA、Diffie-Hellman密鑰交換協(xié)議等。在選取這些算法的參數(shù)時(shí)要非常小心，比如要選擇安全素?cái)?shù)（滿足p=2q+1的素?cái)?shù)），選取的群的一個(gè)子群階要較小等。針對離散對數(shù)問題的算法也有很多，比如Baby-step giant-step算法、數(shù)域篩法、Pohlig-Hellman算法等。1.3.3橢圓曲線及超橢圓曲線密碼算法

在1985年，Koblitz［11］和Miller［12］分別獨(dú)立提出定義在應(yīng)用有限域上的橢圓曲線上的點(diǎn)群來實(shí)現(xiàn)基于離散對數(shù)問題的密碼體制。很多其他建立在阿貝爾群上的密碼體制，也都可以修改為橢圓曲線密碼體制，比如Diffie-Helman密鑰交換協(xié)議、DSA簽名協(xié)議等。與RSA相比，橢圓曲線密碼體制（ECC）有更小的密鑰長度和更快的運(yùn)算速度，需要更小的存儲(chǔ)，也就更適合在小型設(shè)備上實(shí)現(xiàn)。

橢圓曲線密碼體制（ECC）一個(gè)很大的優(yōu)勢是對于橢圓曲線上的離散對數(shù)問題（ECDLP）并不存在低于冪指數(shù)復(fù)雜性的算法，比如類似于“index-calculus”類型的算法。所以，如果使用橢圓曲線上的點(diǎn)群可以使用較短的密鑰就得到相同的安全性。這意味著更短的密鑰、更小的帶寬需求、更快地實(shí)現(xiàn)等，適用于小功耗和小集成電路空間的環(huán)境，比如智能卡、無線設(shè)備等。

表1　RSA和ECC的密鑰長度的比較

ECC和RSA作為成熟的公鑰密碼算法，已經(jīng)出現(xiàn)很多年了，并且都已經(jīng)被廣泛應(yīng)用。RSA的基本操作是整數(shù)環(huán)上的模冪操作，其安全性基于大整數(shù)分解的困難性，而對于分解大整數(shù)問題存在低于指數(shù)復(fù)雜性的算法。所以在達(dá)到同樣安全要求的條件下，ECC需要更小的密鑰長度和具有更高的運(yùn)算效率。在橢圓曲線密碼中，160 bit的運(yùn)算規(guī)模提供的安全性相當(dāng)于RSA中1 024 bit的運(yùn)算規(guī)模提供的安全性。而ECC-224提供的安全性相當(dāng)于RSA-2048［13］。

超橢圓曲線（HEC）作為橢圓曲線（EC）的一個(gè)擴(kuò)展，也可以用來建立密碼體制。Koblitz［14］于1988年提出了在超橢圓曲線上建立密碼體制以來，超橢圓曲線上的運(yùn)算公式和標(biāo)量乘計(jì)算方法也在不斷地發(fā)展和改進(jìn)。與橢圓曲線密碼體制相比，超橢圓曲線密碼體制的安全性更高，其上的運(yùn)算參數(shù)數(shù)及密鑰長度都更短，所以適合在計(jì)算能力較弱的處理器和存儲(chǔ)受限的環(huán)境中使用，比如智能卡和嵌入式系統(tǒng)。對應(yīng)于參數(shù)為1 024 bit長度的RSA密碼體制，現(xiàn)在推薦在橢圓曲線和超橢圓曲線上建立階為2 160大小的群，就可以滿足我們的安全需求［15］。在使用橢圓曲線時(shí)，操作數(shù)的長度為160 bit即可滿足要求。在虧格g=2的超橢圓曲線上，操作數(shù)的長度約為160/g=80 bit；在虧格為3的超橢圓曲線上，操作數(shù)的長度約為55 bit即可。已經(jīng)證明，在虧格大于3的超橢圓曲線上建立密碼體制，安全性是要降低的。而在使用虧格為3的超橢圓曲線時(shí)，也要很小心的選擇安全曲線以避免某些有效的攻擊。所以目前大多數(shù)HECC都是建立在虧格為2的超橢圓曲線上的。在本文中所使用的超橢圓曲線，也都是虧格為2的。

雖然超橢圓曲線上的操作數(shù)很短，但是其上復(fù)雜的運(yùn)算公式，限制了它的應(yīng)用。隨著人們研究的深入，各種高效的除子的運(yùn)算公式陸續(xù)被提出［16］，并且使得超橢圓曲線上的標(biāo)量乘運(yùn)算速度越來越接近于橢圓曲線上的標(biāo)量乘計(jì)算。隨著近兩年來橢圓曲線上的運(yùn)算公式又有了新的發(fā)展，超橢圓曲線上的運(yùn)算也需要新的技術(shù)和改進(jìn)，才能保持其相對于橢圓曲線密碼體制的優(yōu)勢和生命力。

2　邊信道攻擊及其影響

近幾年來出現(xiàn)的邊帶信道攻擊將密碼體制的有效實(shí)現(xiàn)與安全性聯(lián)系在一起，為密碼分析開辟了一個(gè)新的領(lǐng)域，成為密碼分析者的有力工具。在傳統(tǒng)的模型中，Alice和Bob在一個(gè)不安全的信道上通信時(shí)，會(huì)使用密碼算法來保證通信的保密性。這樣，理想狀態(tài)下系統(tǒng)的安全性就只依賴于密鑰的保密性和密碼算法的安全性。但是，在實(shí)際應(yīng)用中，通信各方一般都是各種設(shè)備，比如個(gè)人電腦、智能卡或者移動(dòng)電話。在這類設(shè)備上實(shí)現(xiàn)密碼協(xié)議時(shí)，必然要運(yùn)行某種密碼算法并且保護(hù)密鑰的安全。但是，在處理不同的數(shù)據(jù)時(shí)，設(shè)備所消耗的功率、運(yùn)行時(shí)間等必然不同，而這種信息一般與密鑰是相關(guān)的，通過這些信息就可以推斷出密鑰的某些信息。這樣，系統(tǒng)的安全性不僅依賴于算法和協(xié)議的安全性，還依賴于算法和協(xié)議的安全實(shí)現(xiàn)。由于用來實(shí)施邊帶信道攻擊的設(shè)備相對來說比較易得，而智能卡廣泛應(yīng)用于安全領(lǐng)域和應(yīng)用中，所以這種攻擊對于現(xiàn)有的密碼體制來說具有巨大的威脅。

第一個(gè)邊帶信道攻擊是由Kocher［17］提出的，通過收集設(shè)備在運(yùn)算時(shí)所消耗的功耗、電壓、以及電磁輻射等信息，來推測密鑰的信息。時(shí)間攻擊是第一種邊帶信道攻擊，由Kocher［18］在1996年提出，并且在PC上用來攻擊多個(gè)密碼算法，如RSA、DSA等。時(shí)間攻擊被Dhem等人于1998年第一次應(yīng)用到智能卡上。由于絕大多數(shù)密碼算法在程序?qū)崿F(xiàn)時(shí)，總會(huì)包含有程序分支，而導(dǎo)致處理不同的數(shù)據(jù)時(shí)會(huì)消耗不同的時(shí)間，于是這種變化就可以泄漏密鑰信息，這就是時(shí)間攻擊的原理。功耗攻擊［18］和差錯(cuò)攻擊［19］也是常見的幾種攻擊方法，它們通過分析密碼設(shè)備在執(zhí)行密碼算法時(shí)所用的時(shí)間、消耗的功率或者發(fā)射的電磁波等信息，來分析設(shè)備中保存的私鑰。

針對邊信道攻擊的抵抗方法通常為加入一些冗余操作，或者通過代數(shù)變換設(shè)計(jì)新的密碼執(zhí)行算法，來去除各種邊信道信息。但是這些方法都會(huì)使密碼算法的運(yùn)行效率大為降低。如何設(shè)計(jì)一個(gè)既安全又高效的算法，成為一個(gè)重要的工作。

時(shí)間攻擊并不常用來攻擊橢圓曲線密碼體制，功耗分析是應(yīng)用在橢圓曲線密碼體制上最多的一種邊帶信道攻擊，也是研究得最為深入的一種，而功耗分析的方法與時(shí)間攻擊的方法在原理上有類似之處，其抵抗方法也有相似之處。

有時(shí)，密碼分析者甚至可以通過比如改變設(shè)備的電壓等方法，在密碼設(shè)備中引入錯(cuò)誤數(shù)據(jù)，來破解密碼體制。差錯(cuò)攻擊由Boneh［19］等人在1997年提出，并應(yīng)用到一個(gè)RSA CRT體制上來到到私鑰。在這種攻擊中，攻擊者試圖在智能卡運(yùn)算的過程中，改變輸入的功率（或是輸入的時(shí)鐘），來強(qiáng)行改變一個(gè)寄存器里的值，這樣密碼算法就會(huì)用一個(gè)錯(cuò)誤的數(shù)據(jù)來運(yùn)算。通過比較正常的輸出和產(chǎn)生差錯(cuò)后的輸出，就可以得到模數(shù)的分解。例如，設(shè)RSA CRT簽名體制中，模數(shù)N=pq，于是其簽名運(yùn)算為

其中d1=d mod（p-1），d2=d mod（q-1），CRT（cp，cq）表示利用中國大數(shù)定理求解。當(dāng)在運(yùn)算過程中強(qiáng)行出現(xiàn)一個(gè)差錯(cuò)時(shí)，假設(shè)最終運(yùn)算結(jié)果為是c′p、c′q和c′=CRT（cp，cq），于是可以用歐幾里德算法計(jì)算q=gcd（c′-c，n），這就得到了N=pq的分解。

將差錯(cuò)攻擊擴(kuò)展到其他基于群的密碼體制上是很自然的事情，所有針對橢圓曲線的差錯(cuò)攻擊，都是在計(jì)算標(biāo)量乘kP的過程中強(qiáng)行引入一個(gè)差錯(cuò)，使得計(jì)算不再是在原來的曲線上，而是在一個(gè)更弱的曲線上。這樣，可以計(jì)算或者部分計(jì)算標(biāo)量k的值。

密碼設(shè)備的運(yùn)算，必然產(chǎn)生電磁輻射，就如同功耗分析和時(shí)間攻擊，電磁輻射也會(huì)泄漏運(yùn)算的信息。具體的攻擊方法參見文獻(xiàn)［20］。

邊帶信道攻擊已經(jīng)成為攻擊移動(dòng)設(shè)備和智能卡所的最有效的攻擊方法之一。抵抗邊帶信道攻擊，有硬件實(shí)現(xiàn)的方法，也有軟件實(shí)現(xiàn)的方法。常用的抵抗邊帶信道攻擊的方法主要有兩個(gè)：從硬件設(shè)計(jì)上來實(shí)現(xiàn)，或者是從代數(shù)方面設(shè)計(jì)安全的算法來實(shí)現(xiàn)。硬件設(shè)計(jì)上的抵抗方法主要是通過破壞功耗曲線和增強(qiáng)信號(hào)的噪聲來降低攻擊的有效性，但是信號(hào)處理或者是增加分析數(shù)據(jù)的數(shù)量可以輕易克服這種抵抗方法，并且這些方法對抵抗電磁輻射攻擊和時(shí)間攻擊都是基本無效的。于是出現(xiàn)了更強(qiáng)的抵抗方法：雙軌道編碼（dual rails encoding），可以從理論上去除海明重量和功率消耗之間的聯(lián)系。但是這種方法大大增加了電路的規(guī)模、體積和成本，在很多情況下并不適用。生產(chǎn)商還可以將同步技術(shù)改為異步，這樣會(huì)使得對功耗曲線的分析變得困難。而同時(shí)，DPA分析方法的不斷改進(jìn)［18］，也使得單純的硬件上的抵抗攻擊變得脆弱。軟件的方法，即通過代數(shù)變換設(shè)計(jì)可以抵抗邊信道攻擊的密碼算法，幾乎不增加成本，并且可以靈活適應(yīng)各種新出現(xiàn)的攻擊，是當(dāng)前研究的一個(gè)熱點(diǎn)。

為了加解密算法的快速執(zhí)行，RSA在使用公鑰進(jìn)行加密時(shí)，經(jīng)常選用小數(shù)（比如3、5）。但是在公鑰選取5的情況下，密碼分析已經(jīng)表明RSA的安全性會(huì)有所降低，必須避免。這樣公鑰參數(shù)只能在大于3的整數(shù)中選取。

在量子計(jì)算中，整數(shù)分解問題和離散對數(shù)問題都是可解的，基于這兩個(gè)困難問題的密碼算法也就失去了應(yīng)用價(jià)值。

3　結(jié)語

為實(shí)現(xiàn)信息安全，在網(wǎng)絡(luò)設(shè)備配置及協(xié)議中應(yīng)用了大量的密碼算法。但是隨著密碼分析技術(shù)的進(jìn)步和計(jì)算機(jī)計(jì)算能力的提升，暫時(shí)安全的密碼算法已經(jīng)逐步變得不再安全，如果使用了不恰當(dāng)參數(shù)的密碼算法，將會(huì)對整個(gè)系統(tǒng)安全性從根本上造成損害。對常見密碼算法的安全性進(jìn)行分析，通過比較得出使用更安全的算法或者增大算法的參數(shù)，可以進(jìn)一步實(shí)現(xiàn)密碼算法的理論安全，可以作為日常網(wǎng)絡(luò)設(shè)備配置及選用時(shí)的參考，從而避免誤用造成的安全性降低。

［1］Shannon CE.Communication theory of secrecy systems.Bell System Technical Journal，28（1949），656-715.

［2］Kahn D.The Codebreakers：The Story of Secret Writing，New York：Macmillan，1967.

［3］Menezes AJ Oorschot PC van and Vanstone SA.Handbook of Applied Cryptography.CRC Press，1997.

［4］Xiaoyun Wang and Hongbo Yu（2005）.“How to Break MD5 and Other Hash Functions”（PDF）.Advances in Cryptology-Lecture Notes in Computer Science 3494.pp.19-35.Retrieved 21 December 2009.

［5］Diffie W and Hellman ME.New directions in cryptography.IEEE Transactions on Information Theory，22（1976），644-645.

［6］Rivest RL Shamir A and Adleman L A method for obtaining digital signatures and public-key cryptosystems.Communications of the ACM，21（2）：120-126，1978.

［7］ElGamal T.A public-key cryptosystem and a signature scheme based on discrete logarithms.IEEE Transactions on Information Theory，It-31（4）：469-472，July 1985.

［8］National Institute of Standards and Technology.Digital Signature Standard，2000.FIPS Publication 186-2.

［9］Agnew G，Mullin R，Onyszchuk I and et al.An implementation for afastpublic-keycryptosystem，JournalofCryptology，Vol.3（1991）pp.63-79.

［10］Schnorr C.Efficient signature generation by smartcards.Journal of Cryptology，Vol.4（1991）pp.161-174.

［11］Koblitz N.Elliptic curve cryptosystems.Mathematics of Computation，vol.48，pp.203-209，1987.

［12］Miller V.Uses of elliptic curves in cryptography，Advances in Cryptology-CRYPTO’85，LNCS 218，pp.417-426，Springer-Verlag，1986.

［13］NealKoblitz，AlfredMenezes，IgorShparlinski.DiscreteLogarithms，Diffie-Hellman，and Reductions.IACR Cryptology ePrint Archive 2010：577（2010）.

［14］Koblitz N.Hyperelliptic cryptosystems.Journal of Cryptology.1：139-150，1989.

［15］Avanzi R，Cohen H，Doche C and et al.Handbook of Elliptic and Hyperelliptic Curve Cryptography，CRC Press，2005.

［16］Cantor G.Computing in the Jacobian of a hyperelliptic curve. Math.Comp.，48：95-101.

［17］Kocher P.Timing attacks on implementations of Diffie-Hellman，RSA，DSS，and other systems.CRYPTO’1996，LNCS 1109，pp. 104-113，Springer-Verlag，1996.

［18］Kocher P，Jaffe J，and Jun B.Differential power analysis.CRYPTO’1999，LNCS 1666，pp.388-397，Springer-Verlag，1999.

［19］Boneh D，DeMillo RA and Lipton RJ.On the importance of eliminating errors in cryptographic computations，J.Cryptology 14（2001），no.2，101-119.

［20］Christophe Doche and Laurent Habsieger.A Tree-Based Approach for Computing Double-Base Chains，Proceedings of the 13 th Australasian conference on Information Security and Privacy，Wollongong，Australia，LNCS 5107，pp.433-446，Springer-Verlag，2008.

The Security of Network Configuration Based on Cryptography Algorithms

LI Ming，WANG Sai，QU Yansheng，LIU Fanfan
（State Grid Shandong Electric Power Company，Jinan 250001，China）

A number of cryptography algorithms are employed in the operation of networks such as parameter setting，remote maintenance and command transport to realize the security of information.Along with the progress of cryptoanalysis and computers，the security protocols will be reduced greatly if the wrong parameter configuration is chosen，and the security of crytographic algorithms will break down.We summarize common cryptographic algorithms of the network equipment and protocols，analyze the security of different algorithms，and propose parameter configurations of different algorithms.The result would be used as a reference of daily network operational parameters configuration.

cryptograph；parameter；symmetric cryptology；public key cryptology

TP393

A

1007－9904（2015）10－0035－05

2015-08-22

李明（1982），男，工程師，博士，主要從事信息安全和密碼學(xué)等相關(guān)工作。