第7章 密鑰管理技術(shù)

1、1/43l第第1 1章章 密碼學(xué)概述密碼學(xué)概述 l第第2 2章章 古典密碼技術(shù)古典密碼技術(shù)l第第3 3章章 分組密碼分組密碼l第第4 4章章 公鑰密碼體制公鑰密碼體制 l第第5 5章章 散列函數(shù)與消息鑒別散列函數(shù)與消息鑒別 l第第6 6章章 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù) l第第7 7章章 密鑰管理技術(shù)密鑰管理技術(shù)l第第8 8章章 身份鑒別技術(shù)身份鑒別技術(shù) l第第9 9章章 序列密碼基礎(chǔ)序列密碼基礎(chǔ) l第第1010章章 密碼技術(shù)應(yīng)用密碼技術(shù)應(yīng)用 課程主要內(nèi)容課程主要內(nèi)容四川大學(xué)電子信息院2/437.1 密鑰管理概述密鑰管理概述 1.1.密鑰管理的重要性密鑰管理的重要性 所有的密碼技術(shù)都所有的密碼技術(shù)

2、都依賴依賴于密鑰。于密鑰。 現(xiàn)代密碼體制要求加密算法是可以公開評(píng)估現(xiàn)代密碼體制要求加密算法是可以公開評(píng)估的，整個(gè)密碼系統(tǒng)的安全性并不取決于對(duì)密碼算的，整個(gè)密碼系統(tǒng)的安全性并不取決于對(duì)密碼算法的保密或者是對(duì)加密設(shè)備等的保護(hù)。法的保密或者是對(duì)加密設(shè)備等的保護(hù)。 決定整個(gè)密碼體制安全性的因素將是密鑰的決定整個(gè)密碼體制安全性的因素將是密鑰的保密性保密性（“一切秘密予于密鑰之中！一切秘密予于密鑰之中！”）：）： 密碼算法可以公開，密碼設(shè)備可以丟失，但密碼算法可以公開，密碼設(shè)備可以丟失，但它們都不危及密碼體制的安全性；但一旦密鑰丟它們都不危及密碼體制的安全性；但一旦密鑰丟失，非法用戶將會(huì)有可能竊取信息。失

3、，非法用戶將會(huì)有可能竊取信息。四川大學(xué)電子信息學(xué)院3/437.1 密鑰管理概述密鑰管理概述 1.1.密鑰管理的重要性密鑰管理的重要性 （續(xù)）（續(xù)）在考慮密碼系統(tǒng)的應(yīng)用設(shè)計(jì)時(shí)，特別是在商用在考慮密碼系統(tǒng)的應(yīng)用設(shè)計(jì)時(shí)，特別是在商用系統(tǒng)的設(shè)計(jì)時(shí)，需要解決的核心問(wèn)題是密鑰管系統(tǒng)的設(shè)計(jì)時(shí)，需要解決的核心問(wèn)題是密鑰管理問(wèn)題，而不是密碼算法問(wèn)題。理問(wèn)題，而不是密碼算法問(wèn)題。 例如商用系統(tǒng)可以使用公開了的、經(jīng)過(guò)大量例如商用系統(tǒng)可以使用公開了的、經(jīng)過(guò)大量評(píng)估分析認(rèn)為抗攻擊能力比較強(qiáng)的算法。評(píng)估分析認(rèn)為抗攻擊能力比較強(qiáng)的算法。 密鑰的管理本身是一個(gè)很復(fù)雜的課題，而且密鑰的管理本身是一個(gè)很復(fù)雜的課題，而且是保證安全

4、性的是保證安全性的關(guān)鍵點(diǎn)關(guān)鍵點(diǎn)。四川大學(xué)電子信息學(xué)院4/432.2.密鑰管理的概念密鑰管理的概念 密鑰管理是一門綜合性的技術(shù)，涉及密鑰的產(chǎn)生、檢驗(yàn)、分發(fā)、密鑰管理是一門綜合性的技術(shù)，涉及密鑰的產(chǎn)生、檢驗(yàn)、分發(fā)、傳遞、保管、使用、銷毀的全部過(guò)程，還與密鑰的行政管理制度以傳遞、保管、使用、銷毀的全部過(guò)程，還與密鑰的行政管理制度以及人員的素質(zhì)密切相關(guān)。及人員的素質(zhì)密切相關(guān)。 3.3.密鑰管理的目的密鑰管理的目的 維持系統(tǒng)中各實(shí)體之間的密鑰關(guān)系，以抗擊各種可能的威脅：維持系統(tǒng)中各實(shí)體之間的密鑰關(guān)系，以抗擊各種可能的威脅：密鑰的泄露密鑰的泄露秘密密鑰或公開密鑰的身份的真實(shí)性喪失秘密密鑰或公開密鑰的身份的

5、真實(shí)性喪失未經(jīng)授權(quán)使用未經(jīng)授權(quán)使用4. 4. 密鑰管理系統(tǒng)的要求密鑰管理系統(tǒng)的要求密鑰難以被非法竊?。幻荑€難以被非法竊??；在在一定條件一定條件下獲取了以前的密鑰用處也很?。幌芦@取了以前的密鑰用處也很小；密鑰的分配和更換過(guò)程對(duì)用戶是透明的。密鑰的分配和更換過(guò)程對(duì)用戶是透明的。四川大學(xué)電子信息學(xué)院5/43 適應(yīng)于對(duì)密鑰管理系統(tǒng)的要求，現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與數(shù)適應(yīng)于對(duì)密鑰管理系統(tǒng)的要求，現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)的密鑰管理系統(tǒng)的設(shè)計(jì)大都采用了層次化的密鑰結(jié)構(gòu)。據(jù)庫(kù)系統(tǒng)的密鑰管理系統(tǒng)的設(shè)計(jì)大都采用了層次化的密鑰結(jié)構(gòu)。 5. 5. 密鑰的組織結(jié)構(gòu)密鑰的組織結(jié)構(gòu) 四川大學(xué)電子信息學(xué)院6/43(1)

6、區(qū)分密鑰管理的策略和機(jī)制區(qū)分密鑰管理的策略和機(jī)制策略是密鑰管理系統(tǒng)的高級(jí)指導(dǎo)。策略著重原則指導(dǎo)，策略是密鑰管理系統(tǒng)的高級(jí)指導(dǎo)。策略著重原則指導(dǎo)，而不著重具體實(shí)現(xiàn)。密鑰管理機(jī)制是實(shí)現(xiàn)和執(zhí)行策略的技而不著重具體實(shí)現(xiàn)。密鑰管理機(jī)制是實(shí)現(xiàn)和執(zhí)行策略的技術(shù)機(jī)構(gòu)和方法。術(shù)機(jī)構(gòu)和方法。 (2) 全程安全原則全程安全原則必須在密鑰的產(chǎn)生、存儲(chǔ)、備份、分發(fā)、組織、使用、必須在密鑰的產(chǎn)生、存儲(chǔ)、備份、分發(fā)、組織、使用、更新、終止和銷毀等的全過(guò)程中對(duì)密鑰采取妥善的安全管更新、終止和銷毀等的全過(guò)程中對(duì)密鑰采取妥善的安全管理。理。 (3) 最小權(quán)利原則最小權(quán)利原則應(yīng)當(dāng)只分發(fā)給用戶進(jìn)行某一事務(wù)處理所需的最小的密應(yīng)當(dāng)只分發(fā)

7、給用戶進(jìn)行某一事務(wù)處理所需的最小的密鑰集合。鑰集合。 (4) 責(zé)任分離原則責(zé)任分離原則一個(gè)密鑰應(yīng)當(dāng)專職一種功能，不要讓一個(gè)密鑰兼任幾一個(gè)密鑰應(yīng)當(dāng)專職一種功能，不要讓一個(gè)密鑰兼任幾種功能。種功能。6. 6. 密鑰管理的原則密鑰管理的原則四川大學(xué)電子信息學(xué)院7/43(5) 密鑰分級(jí)原則密鑰分級(jí)原則可減少受保護(hù)的密鑰的數(shù)量，又可簡(jiǎn)化密鑰的管理工可減少受保護(hù)的密鑰的數(shù)量，又可簡(jiǎn)化密鑰的管理工作。一般可將密鑰劃分為三級(jí)：主密鑰，二級(jí)密鑰，初級(jí)作。一般可將密鑰劃分為三級(jí)：主密鑰，二級(jí)密鑰，初級(jí)密鑰。密鑰。 (6) 密鑰更新原則密鑰更新原則密鑰必須按時(shí)更新。否則，即使是采用很強(qiáng)的密碼算密鑰必須按時(shí)更新。否則

8、，即使是采用很強(qiáng)的密碼算法，使用時(shí)間越長(zhǎng)，敵手截獲的密文越多，破譯密碼的可法，使用時(shí)間越長(zhǎng)，敵手截獲的密文越多，破譯密碼的可能性就越大。能性就越大。(7) 密鑰應(yīng)當(dāng)有足夠的長(zhǎng)度密鑰應(yīng)當(dāng)有足夠的長(zhǎng)度密碼安全的一個(gè)必要條件是密鑰有足夠的長(zhǎng)度。密鑰密碼安全的一個(gè)必要條件是密鑰有足夠的長(zhǎng)度。密鑰越長(zhǎng)，密鑰空間就越大，攻擊就越困難，因而也就越安全。越長(zhǎng)，密鑰空間就越大，攻擊就越困難，因而也就越安全。 (8) 密碼體制不同，密鑰管理也不相同密碼體制不同，密鑰管理也不相同由于傳統(tǒng)密碼體制與公開密鑰密碼體制是性質(zhì)不同的由于傳統(tǒng)密碼體制與公開密鑰密碼體制是性質(zhì)不同的兩種密碼，因此它們?cè)诿荑€管理方而有很大的不同。

9、兩種密碼，因此它們?cè)诿荑€管理方而有很大的不同。 密鑰管理的原則（續(xù)）密鑰管理的原則（續(xù)）四川大學(xué)電子信息學(xué)院8/43(1)初級(jí)密鑰初級(jí)密鑰 最底層的密鑰，直接對(duì)數(shù)據(jù)進(jìn)行加密和解密。最底層的密鑰，直接對(duì)數(shù)據(jù)進(jìn)行加密和解密。 初級(jí)文件密鑰初級(jí)文件密鑰 ：用于文件保密的初級(jí)密鑰用于文件保密的初級(jí)密鑰 會(huì)話密鑰：會(huì)話密鑰：一般由系統(tǒng)自動(dòng)產(chǎn)生，且對(duì)用戶一般由系統(tǒng)自動(dòng)產(chǎn)生，且對(duì)用戶是不可見的。是不可見的。 在一次通信或數(shù)據(jù)交換中，用在一次通信或數(shù)據(jù)交換中，用戶之間所使用的密鑰。會(huì)話密鑰可由通信用戶之間所使用的密鑰。會(huì)話密鑰可由通信用戶之間進(jìn)行協(xié)商得到。它一般是動(dòng)態(tài)地、僅戶之間進(jìn)行協(xié)商得到。它一般是動(dòng)態(tài)地、

10、僅在需要進(jìn)行會(huì)話數(shù)據(jù)加密時(shí)產(chǎn)生，并在使用在需要進(jìn)行會(huì)話數(shù)據(jù)加密時(shí)產(chǎn)生，并在使用完畢后立即清除掉。完畢后立即清除掉。典型的三層密鑰體系典型的三層密鑰體系四川大學(xué)電子信息學(xué)院9/43(2) 密鑰加密密鑰密鑰加密密鑰 密鑰加密密鑰一般是用來(lái)對(duì)傳送的會(huì)話密密鑰加密密鑰一般是用來(lái)對(duì)傳送的會(huì)話密鑰或文件加密密鑰進(jìn)行加密時(shí)所采用的密鑰，鑰或文件加密密鑰進(jìn)行加密時(shí)所采用的密鑰，也稱為也稱為二級(jí)密鑰二級(jí)密鑰。密鑰加密密鑰實(shí)際是。密鑰加密密鑰實(shí)際是用來(lái)保用來(lái)保護(hù)通信或文件數(shù)據(jù)的會(huì)話密鑰或文件加密密鑰護(hù)通信或文件數(shù)據(jù)的會(huì)話密鑰或文件加密密鑰。在通信網(wǎng)中，一般在每個(gè)節(jié)點(diǎn)都分配有一個(gè)這在通信網(wǎng)中，一般在每個(gè)節(jié)點(diǎn)都分配有

11、一個(gè)這類密鑰，同時(shí)，為了安全，各節(jié)點(diǎn)的密鑰加密類密鑰，同時(shí)，為了安全，各節(jié)點(diǎn)的密鑰加密密鑰應(yīng)互不相同。密鑰應(yīng)互不相同。(3) 主密鑰主密鑰主密鑰對(duì)應(yīng)于層次化密鑰結(jié)構(gòu)中的最高層主密鑰對(duì)應(yīng)于層次化密鑰結(jié)構(gòu)中的最高層次，它是對(duì)密鑰加密密鑰進(jìn)行加密的密鑰。次，它是對(duì)密鑰加密密鑰進(jìn)行加密的密鑰。典型的三層密鑰體系典型的三層密鑰體系四川大學(xué)電子信息學(xué)院10/43(1) 安全性大大提高安全性大大提高 下層的密鑰被破譯將不會(huì)影響到上層密鑰的安全。在下層的密鑰被破譯將不會(huì)影響到上層密鑰的安全。在少量最初的處于最高層次的密鑰注入系統(tǒng)之后，下面各層少量最初的處于最高層次的密鑰注入系統(tǒng)之后，下面各層密鑰的內(nèi)容，可以按

12、照某種協(xié)議不斷地變化（例如可以通密鑰的內(nèi)容，可以按照某種協(xié)議不斷地變化（例如可以通過(guò)使用安全算法以及高層密鑰動(dòng)態(tài)地產(chǎn)生低層密鑰）。過(guò)使用安全算法以及高層密鑰動(dòng)態(tài)地產(chǎn)生低層密鑰）。 靜止的密鑰系統(tǒng)靜止的密鑰系統(tǒng) 動(dòng)態(tài)的密鑰系統(tǒng)動(dòng)態(tài)的密鑰系統(tǒng)(2) 為密鑰管理自動(dòng)化帶來(lái)了方便為密鑰管理自動(dòng)化帶來(lái)了方便 開放式的網(wǎng)絡(luò)應(yīng)用環(huán)境不可能再進(jìn)行人工密鑰分配。開放式的網(wǎng)絡(luò)應(yīng)用環(huán)境不可能再進(jìn)行人工密鑰分配。 層次化密鑰結(jié)構(gòu)中，除了一級(jí)密鑰需要由人工裝入以層次化密鑰結(jié)構(gòu)中，除了一級(jí)密鑰需要由人工裝入以外，其他各層的密鑰均可以由密鑰管理系統(tǒng)按照某種協(xié)議外，其他各層的密鑰均可以由密鑰管理系統(tǒng)按照某種協(xié)議進(jìn)行自動(dòng)地分配

13、、更換、銷毀等。進(jìn)行自動(dòng)地分配、更換、銷毀等。層次化的密鑰結(jié)構(gòu)的好處層次化的密鑰結(jié)構(gòu)的好處四川大學(xué)電子信息學(xué)院11/437. 密鑰的生成密鑰的生成 對(duì)于一個(gè)密碼體制，如何產(chǎn)生好的密鑰是非常關(guān)鍵，密鑰對(duì)于一個(gè)密碼體制，如何產(chǎn)生好的密鑰是非常關(guān)鍵，密鑰選擇的不當(dāng)將會(huì)極大地影響密碼體制的安全性。選擇的不當(dāng)將會(huì)極大地影響密碼體制的安全性。 好的密鑰應(yīng)當(dāng)具有良好的隨機(jī)性和密碼特性好的密鑰應(yīng)當(dāng)具有良好的隨機(jī)性和密碼特性(例如避免弱例如避免弱密鑰的出現(xiàn)等密鑰的出現(xiàn)等)。 因此，密鑰的生成一般都首先通過(guò)密鑰產(chǎn)生器借助于某種因此，密鑰的生成一般都首先通過(guò)密鑰產(chǎn)生器借助于某種噪聲源產(chǎn)生具有較好統(tǒng)計(jì)分布特性的序列，

14、然后再對(duì)這些序列噪聲源產(chǎn)生具有較好統(tǒng)計(jì)分布特性的序列，然后再對(duì)這些序列進(jìn)行各種隨機(jī)性檢驗(yàn)以確保其具有較好的密碼特性。進(jìn)行各種隨機(jī)性檢驗(yàn)以確保其具有較好的密碼特性。四川大學(xué)電子信息學(xué)院12/43密鑰的生成（續(xù)）密鑰的生成（續(xù)） 不向?qū)哟蔚拿荑€產(chǎn)生的方式一般也不相同：不向?qū)哟蔚拿荑€產(chǎn)生的方式一般也不相同： (1) 主密鑰：主密鑰：雖然一般它的密鑰量很小，但作為雖然一般它的密鑰量很小，但作為整個(gè)密碼系統(tǒng)整個(gè)密碼系統(tǒng)的核心的核心，需要嚴(yán)格保證它的隨機(jī)性，避免可預(yù)測(cè)性。因此，主，需要嚴(yán)格保證它的隨機(jī)性，避免可預(yù)測(cè)性。因此，主密鑰通常采用擲硬幣、骰子或使用其它物理噪聲發(fā)生器的方法密鑰通常采用擲硬幣、骰子或

15、使用其它物理噪聲發(fā)生器的方法來(lái)產(chǎn)生。來(lái)產(chǎn)生。 (2) 二級(jí)密鑰二級(jí)密鑰: 可以采用偽隨機(jī)數(shù)生成器、安全算法可以采用偽隨機(jī)數(shù)生成器、安全算法(例如，可例如，可以在主機(jī)主密鑰的控制下由以在主機(jī)主密鑰的控制下由ANSI X9.17所給出的算法產(chǎn)生所給出的算法產(chǎn)生)或或電子學(xué)噪聲源產(chǎn)生。電子學(xué)噪聲源產(chǎn)生。 (3) 會(huì)話密鑰會(huì)話密鑰: 可以在密鑰加密密鑰的控制下通過(guò)安全算法可以在密鑰加密密鑰的控制下通過(guò)安全算法動(dòng)動(dòng)態(tài)地產(chǎn)生態(tài)地產(chǎn)生。13/43目的：目的： 密鑰分配與密鑰協(xié)商過(guò)程都是用以在保密通信雙方之密鑰分配與密鑰協(xié)商過(guò)程都是用以在保密通信雙方之間建立通信所使用的密鑰的協(xié)議間建立通信所使用的密鑰的協(xié)議(

16、或機(jī)制或機(jī)制)。 在這種協(xié)議在這種協(xié)議(或機(jī)制或機(jī)制)運(yùn)行結(jié)束時(shí)，參與協(xié)議運(yùn)行的雙方都運(yùn)行結(jié)束時(shí)，參與協(xié)議運(yùn)行的雙方都將得到相同的密鑰，同時(shí)，所得到的密鑰對(duì)于其他任何方將得到相同的密鑰，同時(shí)，所得到的密鑰對(duì)于其他任何方(除除可能的可信管理機(jī)構(gòu)外可能的可信管理機(jī)構(gòu)外)都是不可知的。都是不可知的。（1）密鑰分配）密鑰分配 是這樣一種機(jī)制，保密通信中的一方利用此機(jī)制生成并選是這樣一種機(jī)制，保密通信中的一方利用此機(jī)制生成并選擇秘密密鑰，然后將其安全傳送給通信的另一方或通信的其擇秘密密鑰，然后將其安全傳送給通信的另一方或通信的其他多方。他多方。 典型協(xié)議：典型協(xié)議：Kerboros密鑰分配協(xié)議密鑰分配協(xié)

17、議7.2 秘密密鑰分配與協(xié)商秘密密鑰分配與協(xié)商密鑰預(yù)分配：密鑰預(yù)分配：TA(可信管理機(jī)構(gòu)可信管理機(jī)構(gòu)TA ,Trust Authority)預(yù)先分配預(yù)先分配密鑰，用戶之間的通信將使用預(yù)先分配好的密鑰。密鑰，用戶之間的通信將使用預(yù)先分配好的密鑰。密鑰在線分配：密鑰在線分配：在用戶需要進(jìn)行通信時(shí)在用戶需要進(jìn)行通信時(shí)TA才進(jìn)行密鑰分配的才進(jìn)行密鑰分配的過(guò)程，一般需要有一個(gè)在線過(guò)程，一般需要有一個(gè)在線TA，例如著名的，例如著名的Kerberos體制。體制。14/43（2）密鑰協(xié)商）密鑰協(xié)商 通常是一種協(xié)議，利用該協(xié)議，通信雙方可以在一個(gè)公開通常是一種協(xié)議，利用該協(xié)議，通信雙方可以在一個(gè)公開的信道上通過(guò)

18、相互傳送一些消息來(lái)共同建立一個(gè)安全的共享的信道上通過(guò)相互傳送一些消息來(lái)共同建立一個(gè)安全的共享秘密密鑰。在密鑰協(xié)商中，雙方共同建立的秘密密鑰通常是秘密密鑰。在密鑰協(xié)商中，雙方共同建立的秘密密鑰通常是雙方輸入消息的一個(gè)函數(shù)。雙方輸入消息的一個(gè)函數(shù)。典型協(xié)議：典型協(xié)議： Diffie-Hellman密鑰交換密鑰交換協(xié)議協(xié)議 可信的管理機(jī)構(gòu)可信的管理機(jī)構(gòu)TA (Trust Authority)，它的作用可能包括：，它的作用可能包括：驗(yàn)證用戶身份；產(chǎn)生、選擇和傳送秘密密鑰給用戶等。驗(yàn)證用戶身份；產(chǎn)生、選擇和傳送秘密密鑰給用戶等。秘密密鑰分配與協(xié)商（續(xù)）秘密密鑰分配與協(xié)商（續(xù)）四川大學(xué)電子信息學(xué)院15/4

19、3被動(dòng)威脅：被動(dòng)威脅：竊聽；主動(dòng)威脅：主動(dòng)威脅：篡改、重放、冒充；主動(dòng)攻擊的目的：主動(dòng)攻擊的目的： (1) 欺騙通信雙方接受一個(gè)過(guò)期失效的密鑰；欺騙通信雙方接受一個(gè)過(guò)期失效的密鑰； (2) 讓通信雙方確信對(duì)手是另一方，然后與其建立一個(gè)有效讓通信雙方確信對(duì)手是另一方，然后與其建立一個(gè)有效的共享密鑰。的共享密鑰。 密鑰分配協(xié)議和密鑰協(xié)商協(xié)議的目的就是在協(xié)議結(jié)束時(shí)，密鑰分配協(xié)議和密鑰協(xié)商協(xié)議的目的就是在協(xié)議結(jié)束時(shí)，通信雙方具有一個(gè)相同的秘密密鑰通信雙方具有一個(gè)相同的秘密密鑰 k，并且，并且k不被其他人員知不被其他人員知道。道。 可以想象，在主動(dòng)的對(duì)手存在的情況下，設(shè)計(jì)一個(gè)滿足可以想象，在主動(dòng)的對(duì)手存

20、在的情況下，設(shè)計(jì)一個(gè)滿足上述目的的協(xié)議是比較困難的。上述目的的協(xié)議是比較困難的。對(duì)密鑰分配、密鑰協(xié)商的安全威脅：對(duì)密鑰分配、密鑰協(xié)商的安全威脅：四川大學(xué)電子信息學(xué)院16/43密鑰分配基本方法密鑰分配基本方法 密鑰由密鑰由A選定，然后通過(guò)選定，然后通過(guò)物理手段物理手段傳給傳給B。 密鑰由密鑰由第三方第三方C選定，然后通過(guò)選定，然后通過(guò)物理手段物理手段傳給傳給A和和B。 如果如果A和和B事先已經(jīng)有一個(gè)密鑰，則一方可以使用事先已經(jīng)有一個(gè)密鑰，則一方可以使用原來(lái)的舊密鑰去加密新密鑰，并通過(guò)原來(lái)的舊密鑰去加密新密鑰，并通過(guò)普通普通信道信道發(fā)送發(fā)送給另一方。給另一方。 如果如果A和和B與與第三方第三方C分

21、別有一個(gè)分別有一個(gè)安全安全信道信道，則，則C為為A和和B選定密鑰后，通過(guò)選定密鑰后，通過(guò)安全安全信道信道發(fā)送給發(fā)送給A和和B。四川大學(xué)電子信息學(xué)院17/43密鑰分配基本方法密鑰分配基本方法人工人工分法分法需要需要第三方第三方特點(diǎn)特點(diǎn)方法方法是是否否有有n個(gè)用戶時(shí)，密鑰數(shù)為個(gè)用戶時(shí)，密鑰數(shù)為Cn2 。因此，。因此，當(dāng)當(dāng)n很大時(shí)，人工分發(fā)密鑰不可行。很大時(shí)，人工分發(fā)密鑰不可行。方法方法是是是是方法方法否否否否分配分配初始密鑰初始密鑰代價(jià)大，為代價(jià)大，為Cn2。攻擊者一旦獲得一個(gè)密鑰就可以獲攻擊者一旦獲得一個(gè)密鑰就可以獲取以后所有的密鑰。取以后所有的密鑰。方法方法否否是是雖然會(huì)話密鑰數(shù)為雖然會(huì)話密鑰

22、數(shù)為Cn2 ，但要通過(guò)人，但要通過(guò)人工發(fā)送的主密鑰只需工發(fā)送的主密鑰只需n 個(gè)。個(gè)。四川大學(xué)電子信息學(xué)院18/43(1) 無(wú)無(wú)KDC的對(duì)稱密鑰分發(fā)的對(duì)稱密鑰分發(fā)（Key Distribution Center, KDC）方法：用雙方共享的共享主密鑰加密會(huì)話密鑰方法：用雙方共享的共享主密鑰加密會(huì)話密鑰 A使用新建立的會(huì)話密鑰使用新建立的會(huì)話密鑰ks對(duì)對(duì)NB加密后返回給加密后返回給B。（前提：（前提：A、B已安全擁有共享主密鑰已安全擁有共享主密鑰Km，每個(gè)節(jié)點(diǎn)需保存每個(gè)節(jié)點(diǎn)需保存 n1 個(gè)主密鑰）個(gè)主密鑰）發(fā)起方發(fā)起方A響應(yīng)方響應(yīng)方B(1) IDA|IDB |NA(2) EKm ks | IDA|

23、IDB |NA |NB (3) EksNB A向向B發(fā)出建立會(huì)話密鑰的請(qǐng)求和一個(gè)現(xiàn)時(shí)發(fā)出建立會(huì)話密鑰的請(qǐng)求和一個(gè)現(xiàn)時(shí)(NA)。 B用與用與A共享的主密鑰共享的主密鑰 Km對(duì)應(yīng)答的消息加密，并發(fā)送給對(duì)應(yīng)答的消息加密，并發(fā)送給A。應(yīng)答的加。應(yīng)答的加密消息中有密消息中有B選取的會(huì)話密鑰選取的會(huì)話密鑰ks 、A、B的身份的身份 、 NA和另一個(gè)現(xiàn)時(shí)和另一個(gè)現(xiàn)時(shí)NB 。對(duì)稱密碼體制的密鑰分配對(duì)稱密碼體制的密鑰分配四川大學(xué)電子信息學(xué)院19/43前提：前提：兩個(gè)用戶兩個(gè)用戶A、B分別與密鑰分配中心分別與密鑰分配中心KDC有共享密有共享密鑰鑰KA，KB。(2) 有有KDC的對(duì)稱密鑰分發(fā)方案的對(duì)稱密鑰分發(fā)方案密

24、鑰分配過(guò)程密鑰分配過(guò)程 EKSN2 EKSf(N2) EKBKS | IDAB A KDC IDA | IDB | N1 EKA KS | IDA | IDB | N1 | EKB(KS|IDA) 四川大學(xué)電子信息學(xué)院20/43KDCKDC的分層的分層如果網(wǎng)絡(luò)中的用戶數(shù)目非常多且地域分布非常廣如果網(wǎng)絡(luò)中的用戶數(shù)目非常多且地域分布非常廣 ，可采，可采用分層結(jié)構(gòu)用分層結(jié)構(gòu) ：n在每個(gè)小范圍（如一個(gè)在每個(gè)小范圍（如一個(gè)LAN或一個(gè)建筑物）內(nèi)建立一或一個(gè)建筑物）內(nèi)建立一個(gè)本地個(gè)本地KDC，負(fù)責(zé)該范圍內(nèi)的密鑰分配；，負(fù)責(zé)該范圍內(nèi)的密鑰分配； n如果兩個(gè)不同范圍的用戶想獲得共享密鑰，需要通過(guò)如果兩個(gè)不同范

25、圍的用戶想獲得共享密鑰，需要通過(guò)各自的本地各自的本地KDC，并由兩個(gè)本地，并由兩個(gè)本地KDC經(jīng)過(guò)一個(gè)全局經(jīng)過(guò)一個(gè)全局KDC完成密鑰分配。這樣就建立了兩層完成密鑰分配。這樣就建立了兩層KDC結(jié)構(gòu)。結(jié)構(gòu)。 層次化的優(yōu)勢(shì)：層次化的優(yōu)勢(shì)：n可減少主密鑰的分布，因?yàn)榇蠖鄶?shù)主密鑰是在本地可減少主密鑰的分布，因?yàn)榇蠖鄶?shù)主密鑰是在本地KDC和本地用戶之間共享；和本地用戶之間共享；n可將虛假可將虛假KDC的危害限制到一個(gè)局部區(qū)域內(nèi)。的危害限制到一個(gè)局部區(qū)域內(nèi)。 四川大學(xué)電子信息學(xué)院21/43(3)會(huì)話密鑰會(huì)話密鑰Ks由由通信方通信方生成，由生成，由KDC分發(fā)分發(fā)1) A選擇會(huì)話密鑰選擇會(huì)話密鑰Ks，用與密鑰分配

26、中心，用與密鑰分配中心KDC共共享的密鑰享的密鑰Ka加密加密Ks與與B的身份的身份 ，然后發(fā)給，然后發(fā)給KDC 。2) KDC用與用與A共享的主密鑰共享的主密鑰Ka解密所收到的消息，解密所收到的消息，用與用與B共享的密鑰共享的密鑰Kb加密所得到的會(huì)話密鑰加密所得到的會(huì)話密鑰Ks及及A的身份，然后發(fā)給的身份，然后發(fā)給B。AKDC : EKaKs | IDB 3) B用用Kb解密所收到的消息，從而得到與解密所收到的消息，從而得到與A的會(huì)話密的會(huì)話密鑰鑰KDCB : EKbKs |IDA四川大學(xué)電子信息學(xué)院22/43(4)基于公鑰密碼體制的對(duì)稱密鑰分配基于公鑰密碼體制的對(duì)稱密鑰分配 由于由于公開密鑰

27、加密算法公開密鑰加密算法效率低效率低，不宜直接用來(lái)加密數(shù)據(jù)，但用，不宜直接用來(lái)加密數(shù)據(jù)，但用于分配常規(guī)密碼體制的密鑰卻非常適合。于分配常規(guī)密碼體制的密鑰卻非常適合。（混和密碼系統(tǒng)）（混和密碼系統(tǒng)） 簡(jiǎn)單的共享密鑰分配簡(jiǎn)單的共享密鑰分配 下圖示出簡(jiǎn)單使用公鑰加密算法建立會(huì)話密鑰下圖示出簡(jiǎn)單使用公鑰加密算法建立會(huì)話密鑰ks的過(guò)程。的過(guò)程。(1) A給給B傳輸一個(gè)請(qǐng)求報(bào)文傳輸一個(gè)請(qǐng)求報(bào)文 KUA|IDA ;(2) B產(chǎn)生一個(gè)秘密密鑰產(chǎn)生一個(gè)秘密密鑰ks ，并用，并用A的公鑰加密后的的公鑰加密后的EKUA ks傳輸給傳輸給A;(3) A計(jì)算計(jì)算DKRA EKUAks來(lái)恢復(fù)這個(gè)秘密密鑰。因?yàn)橹挥衼?lái)恢復(fù)這

28、個(gè)秘密密鑰。因?yàn)橹挥蠥可以解密這個(gè)報(bào)文，可以解密這個(gè)報(bào)文，所以只有所以只有A和和B才會(huì)知道才會(huì)知道kS 。發(fā)起方發(fā)起方A響應(yīng)方響應(yīng)方B(1) KUA|IDA(2) EKUAkS 23/43思考：出現(xiàn)該問(wèn)題的原因？思考：出現(xiàn)該問(wèn)題的原因？A AAID|PK B E EPKSKE被被E截獲截獲AAID|PK KE SPKEAEID|PK E保存保存A的公鑰，的公鑰，然后生成自己的然后生成自己的公鑰、密鑰對(duì)，公鑰、密鑰對(duì)，并用自己公鑰替并用自己公鑰替換換A的公鑰后，的公鑰后，發(fā)給發(fā)給B。被被E截獲截獲E截獲消息后，截獲消息后，用自己的私鑰解用自己的私鑰解讀會(huì)話密匙，再讀會(huì)話密匙，再用用A的公鑰加密的

29、公鑰加密會(huì)話密匙后發(fā)給會(huì)話密匙后發(fā)給A。KE SPKA現(xiàn)在現(xiàn)在A和和B知道了知道了會(huì)話密鑰，會(huì)話密鑰，但但未意識(shí)到未意識(shí)到會(huì)話密鑰已會(huì)話密鑰已被被E截獲。截獲。A和和B在用這個(gè)在用這個(gè)會(huì)話密鑰進(jìn)行會(huì)話密鑰進(jìn)行通通信時(shí)，信時(shí)，E就可以實(shí)施監(jiān)聽。就可以實(shí)施監(jiān)聽。簡(jiǎn)單分配簡(jiǎn)單分配 中間人攻擊中間人攻擊四川大學(xué)電子信息學(xué)院24/43具有保密性和認(rèn)證性的密鑰分配具有保密性和認(rèn)證性的密鑰分配此密鑰分配過(guò)程具有保密性和認(rèn)證性，因此既可以防止被此密鑰分配過(guò)程具有保密性和認(rèn)證性，因此既可以防止被動(dòng)攻擊，有可防止主動(dòng)攻擊。動(dòng)攻擊，有可防止主動(dòng)攻擊。A N|NE 21PKA KE,NE sSK2PKAB ID|NE

30、 A1PKBB 前提前提A、B雙方已完成公鑰雙方已完成公鑰交換交換其中其中A的公鑰記為的公鑰記為PKA； B的公鑰記為的公鑰記為PKB其中其中SKA為用戶為用戶A的私鑰的私鑰四川大學(xué)電子信息學(xué)院25/437.3 公開密鑰加密體制下的密鑰管理公開密鑰加密體制下的密鑰管理 1) 公開密鑰的分配公開密鑰的分配 公開密鑰公開密鑰的分配方式有以下幾類：的分配方式有以下幾類： 公開發(fā)布公開發(fā)布： 公用目錄表；公用目錄表； 公鑰管理機(jī)構(gòu)；公鑰管理機(jī)構(gòu)； 公鑰證書公鑰證書 四川大學(xué)電子信息學(xué)院26/437.3 公開密鑰加密體制下的密鑰管理公開密鑰加密體制下的密鑰管理（1 1）公開發(fā)布）公開發(fā)布 用戶將自己的公

31、鑰發(fā)給每一個(gè)其他用戶，或向用戶將自己的公鑰發(fā)給每一個(gè)其他用戶，或向某一團(tuán)體廣播。某一團(tuán)體廣播。缺點(diǎn)：任何人都可以偽造這種公開發(fā)布。缺點(diǎn)：任何人都可以偽造這種公開發(fā)布。X 123n. . .X 公鑰X 公鑰X 公鑰X 公鑰四川大學(xué)電子信息學(xué)院27/437.3 公開密鑰加密體制下的密鑰管理公開密鑰加密體制下的密鑰管理（2 2）公用目錄公用目錄表表 建立建立一個(gè)公用的公鑰動(dòng)態(tài)目錄表，公用目錄表的建立、一個(gè)公用的公鑰動(dòng)態(tài)目錄表，公用目錄表的建立、維護(hù)以及公鑰的分配必須由一個(gè)受信任的實(shí)體或組織承擔(dān)，維護(hù)以及公鑰的分配必須由一個(gè)受信任的實(shí)體或組織承擔(dān)，稱這個(gè)實(shí)體或組織為公用目錄表的管理員稱這個(gè)實(shí)體或組織為

32、公用目錄表的管理員。該方案有以下內(nèi)容：該方案有以下內(nèi)容：1. 1. 管理員為每個(gè)用戶維護(hù)一個(gè)目錄項(xiàng)管理員為每個(gè)用戶維護(hù)一個(gè)目錄項(xiàng) 用戶，公鑰用戶，公鑰 。2. 2. 用戶經(jīng)過(guò)安全認(rèn)證通信在目錄管理員處登記公鑰。用戶經(jīng)過(guò)安全認(rèn)證通信在目錄管理員處登記公鑰。3. 3. 用戶可以隨時(shí)用新的密鑰更換原來(lái)的密鑰。用戶可以隨時(shí)用新的密鑰更換原來(lái)的密鑰。4. 4. 管理員定期公布或更新目錄表。管理員定期公布或更新目錄表。5. 5. 用戶可通過(guò)電子方式訪問(wèn)目錄表用戶可通過(guò)電子方式訪問(wèn)目錄表。四川大學(xué)電子信息學(xué)院28/437.3 公開密鑰加密體制下的密鑰管理公開密鑰加密體制下的密鑰管理用戶名用戶名公鑰公鑰USE

33、R 1KEY 1USER 2KEY 2. . . . .USER nKEY n公用公用目錄目錄表表媒體媒體用戶用戶管理員管理員登記登記更新更新發(fā)布發(fā)布讀讀/寫寫缺點(diǎn)：缺點(diǎn)：如果敵手獲取了管理員如果敵手獲取了管理員的密鑰，的密鑰，就可以偽造一個(gè)公就可以偽造一個(gè)公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息，而且公用目錄表還易受到敵手的竄擾。的消息，而且公用目錄表還易受到敵手的竄擾。查詢查詢四川大學(xué)電子信息學(xué)院29/437.3 公開密鑰加密體制下的密鑰管理公開密鑰加密體制下的密鑰管理（3 3）公鑰管理機(jī)構(gòu)公鑰管理機(jī)構(gòu) 與公用目錄表類似，

34、這里假定有一個(gè)公鑰管理機(jī)與公用目錄表類似，這里假定有一個(gè)公鑰管理機(jī)構(gòu)來(lái)為各用戶建立、維護(hù)動(dòng)態(tài)的公鑰目錄，但同時(shí)對(duì)系構(gòu)來(lái)為各用戶建立、維護(hù)動(dòng)態(tài)的公鑰目錄，但同時(shí)對(duì)系統(tǒng)提出以下要求：統(tǒng)提出以下要求： 1. 每個(gè)用戶都可靠的知道管理機(jī)構(gòu)的公鑰。每個(gè)用戶都可靠的知道管理機(jī)構(gòu)的公鑰。 2. 只有管理機(jī)構(gòu)自己知道相應(yīng)的密鑰。只有管理機(jī)構(gòu)自己知道相應(yīng)的密鑰。缺點(diǎn)：缺點(diǎn)：由于每個(gè)用戶要想和他人聯(lián)系都需求助管理機(jī)構(gòu)，由于每個(gè)用戶要想和他人聯(lián)系都需求助管理機(jī)構(gòu)，所以管理機(jī)構(gòu)有可能成為系統(tǒng)的瓶頸，而且由管理機(jī)構(gòu)維所以管理機(jī)構(gòu)有可能成為系統(tǒng)的瓶頸，而且由管理機(jī)構(gòu)維護(hù)的公鑰目錄表也易被敵手竄擾。護(hù)的公鑰目錄表也易被敵手

35、竄擾。四川大學(xué)電子信息學(xué)院30/437.3 公開密鑰加密體制下的密鑰管理公開密鑰加密體制下的密鑰管理公鑰管理機(jī)構(gòu)分配公鑰公鑰管理機(jī)構(gòu)分配公鑰 EPKAN1 | N2 EPKBN2 EPKBIDA | N1B A 公鑰公鑰管理機(jī)構(gòu)管理機(jī)構(gòu) ESKAUPKB|IDB|T1 IDA | T2 IDB|T1 ESKAUPKA|IDA|T2 前提前提A、B雙方可信擁有雙方可信擁有CA的的 公鑰公鑰PKAU CA私鑰記為私鑰記為SKAU 公鑰證書公鑰證書 利用利用在線服務(wù)器在線服務(wù)器分配公鑰時(shí)，管理機(jī)構(gòu)可能成為系統(tǒng)的分配公鑰時(shí)，管理機(jī)構(gòu)可能成為系統(tǒng)的瓶頸。瓶頸。 而采用公鑰證書的方案，則允許用戶通過(guò)公鑰證

36、書相互而采用公鑰證書的方案，則允許用戶通過(guò)公鑰證書相互之間交換公鑰而無(wú)需與公鑰管理機(jī)構(gòu)聯(lián)系之間交換公鑰而無(wú)需與公鑰管理機(jī)構(gòu)聯(lián)系。具體具體有如下要求：有如下要求： 1) 任何參與者都可以閱讀任何參與者都可以閱讀證書，以證書，以確定證書確定證書擁有者和擁有者和公公鑰；鑰； 2) 任何參與者都可以驗(yàn)證證書任何參與者都可以驗(yàn)證證書是否真正由證書是否真正由證書管理管理機(jī)構(gòu)頒發(fā)；機(jī)構(gòu)頒發(fā)； 3) 只有證書管理機(jī)構(gòu)才能只有證書管理機(jī)構(gòu)才能制作、更新公鑰證書；制作、更新公鑰證書； 4) 任何參與者都可以任何參與者都可以驗(yàn)證公鑰證書驗(yàn)證公鑰證書的時(shí)效性的時(shí)效性。7.3 公開密鑰加密體制下的密鑰管理（續(xù)）公開密鑰

37、加密體制下的密鑰管理（續(xù)） 公鑰證書公鑰證書由證書管理機(jī)構(gòu)由證書管理機(jī)構(gòu)CA(Certificate Authority)為用戶為用戶建立。建立。CA實(shí)際上是一個(gè)可信的第三方，能確認(rèn)用戶身份，通常是企業(yè)實(shí)際上是一個(gè)可信的第三方，能確認(rèn)用戶身份，通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)和管理。性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)和管理。 公鑰數(shù)字證書則是一種數(shù)字標(biāo)識(shí)，是一個(gè)經(jīng)證書授權(quán)中心數(shù)公鑰數(shù)字證書則是一種數(shù)字標(biāo)識(shí)，是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的、包含用戶信息及公開密鑰等信息的數(shù)據(jù)文件。字簽名的、包含用戶信息及公開密鑰等信息的數(shù)據(jù)文件。公鑰數(shù)字證書公鑰數(shù)字證書的基

38、本形式為：的基本形式為：, ,CAAAAKRAACT IDKUST IDKU接收方可用接收方可用CA的公鑰的公鑰KUCA對(duì)證書加以驗(yàn)證：對(duì)證書加以驗(yàn)證： , ,CACACAKUAKUAAKRAAVCVT IDKUST IDKUtrue7.3 公開密鑰加密體制下的密鑰管理（續(xù)）公開密鑰加密體制下的密鑰管理（續(xù)）四川大學(xué)電子信息學(xué)院33/43 采用采用這種方法可以做到在用戶交換公鑰時(shí)，不需要聯(lián)系這種方法可以做到在用戶交換公鑰時(shí)，不需要聯(lián)系一個(gè)公開密鑰管理機(jī)構(gòu)，而且同直接從公開密鑰管理機(jī)構(gòu)一個(gè)公開密鑰管理機(jī)構(gòu)，而且同直接從公開密鑰管理機(jī)構(gòu)得到公鑰一樣可靠。得到公鑰一樣可靠。CA證書證書-用戶信息用戶

39、信息有效期有效期用戶公鑰用戶公鑰用戶用戶CACA用戶信息用戶信息打包打包用戶公鑰用戶公鑰簽名簽名 私鑰私鑰有效期有效期CA7.3 公開密鑰加密體制下的密鑰管理（續(xù)）公開密鑰加密體制下的密鑰管理（續(xù)）四川大學(xué)電子信息學(xué)院34/43一一個(gè)標(biāo)準(zhǔn)的個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：數(shù)字證書包含以下一些內(nèi)容：l 證書證書的版本信息；的版本信息；l 序列序列號(hào)號(hào)：一個(gè)有惟一性的整數(shù)值，與該證書唯一聯(lián)系。l 簽名簽名算法標(biāo)識(shí)符；算法標(biāo)識(shí)符；l 證書證書發(fā)行機(jī)構(gòu)名稱及標(biāo)識(shí)符；發(fā)行機(jī)構(gòu)名稱及標(biāo)識(shí)符；（采用x.500格式）l 證書證書有效期：有效期：由兩個(gè)日期組成，證書有效起始、結(jié)束時(shí)間。l 證書證書持

40、有人名稱及標(biāo)識(shí)符；持有人名稱及標(biāo)識(shí)符；（采用x.500格式）l 證書證書持有人的公開密鑰、算法標(biāo)識(shí)及參數(shù)；持有人的公開密鑰、算法標(biāo)識(shí)及參數(shù)；l 證書證書發(fā)行機(jī)構(gòu)對(duì)證書的數(shù)字簽名。發(fā)行機(jī)構(gòu)對(duì)證書的數(shù)字簽名。 國(guó)內(nèi)目前已經(jīng)建有數(shù)十家國(guó)內(nèi)目前已經(jīng)建有數(shù)十家CA體系，但還沒有國(guó)家級(jí)的體系，但還沒有國(guó)家級(jí)的根根CA，這就給各這就給各CA之間的之間的交叉認(rèn)證交叉認(rèn)證帶來(lái)困難。帶來(lái)困難。7.3 公開密鑰加密體制下的密鑰管理（續(xù)）公開密鑰加密體制下的密鑰管理（續(xù)）四川大學(xué)電子信息學(xué)院35/43X.509證書格式版本號(hào)證書序列號(hào)簽名算法標(biāo)識(shí)簽發(fā)此證書的CA名稱證書有效期用戶名稱用戶公鑰信息（算法、參數(shù)、公鑰）四

41、川大學(xué)電子信息學(xué)院36/43X.509證書格式簽發(fā)者唯一標(biāo)識(shí)簽發(fā)者唯一標(biāo)識(shí)用戶唯一標(biāo)識(shí)用戶唯一標(biāo)識(shí)擴(kuò)展項(xiàng)擴(kuò)展項(xiàng)簽名（算法、參數(shù)、簽名（算法、參數(shù)、簽名）簽名）四川大學(xué)電子信息學(xué)院37/43公鑰數(shù)字證書示例 四川大學(xué)電子信息學(xué)院38/43數(shù)字證書認(rèn)證過(guò)程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證證書真實(shí)性的認(rèn)證證書真實(shí)性的認(rèn)證證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)證書持有人的確認(rèn) 檢查證書中簽名實(shí)體序列檢查證書中簽名實(shí)體序列號(hào)是否與簽發(fā)者證書的序號(hào)是否與簽發(fā)者證書的序列號(hào)一致。列號(hào)一致。四川大學(xué)電子信息學(xué)院39/43數(shù)字證書認(rèn)

42、證過(guò)程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證證書真實(shí)性的認(rèn)證證書真實(shí)性的認(rèn)證證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)證書持有人的確認(rèn) 檢查日期是否有效、合法：檢查日期是否有效、合法：1.用戶證書的有效期和私鑰有用戶證書的有效期和私鑰有效期是否在效期是否在CA證書的有效期內(nèi)。證書的有效期內(nèi)。否則交易是不安全的。否則交易是不安全的。2. 用戶證書的有效期中的起始用戶證書的有效期中的起始時(shí)間應(yīng)在時(shí)間應(yīng)在CA證書的私鑰有效期證書的私鑰有效期內(nèi)。否則證書是不安全的。內(nèi)。否則證書是不安全的。四川大學(xué)電子信息學(xué)院40/43數(shù)字證書認(rèn)證過(guò)

43、程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證證書真實(shí)性的認(rèn)證證書真實(shí)性的認(rèn)證證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)證書持有人的確認(rèn) “黑名單查詢黑名單查詢”，向證書，向證書庫(kù)查詢證書吊銷列表。庫(kù)查詢證書吊銷列表。四川大學(xué)電子信息學(xué)院41/43數(shù)字證書認(rèn)證過(guò)程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證證書真實(shí)性的認(rèn)證證書真實(shí)性的認(rèn)證證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)證書持有人的確認(rèn) 證書用途：證書用途：主機(jī)、用戶、加密、簽名驗(yàn)主機(jī)、用戶、加密、簽名驗(yàn)證證

44、四川大學(xué)電子信息學(xué)院42/43數(shù)字證書認(rèn)證過(guò)程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證證書真實(shí)性的認(rèn)證證書真實(shí)性的認(rèn)證證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)證書持有人的確認(rèn) 驗(yàn)證證書的驗(yàn)證證書的CA數(shù)字簽名有數(shù)字簽名有效性（基于證書效性（基于證書CA的驗(yàn)證的驗(yàn)證公鑰）公鑰）四川大學(xué)電子信息學(xué)院43/43數(shù)字證書認(rèn)證過(guò)程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證最終用戶實(shí)體證書的確認(rèn)最終用戶實(shí)體證書的確認(rèn) 證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)證書持有人的

45、確認(rèn) 所謂證書鏈的認(rèn)證是想通過(guò)證所謂證書鏈的認(rèn)證是想通過(guò)證書鏈追溯到可信賴的書鏈追溯到可信賴的CA的根。的根。四川大學(xué)電子信息學(xué)院44/43證書認(rèn)證過(guò)程證書認(rèn)證過(guò)程 序列號(hào)驗(yàn)證序列號(hào)驗(yàn)證有效期驗(yàn)證有效期驗(yàn)證證書作廢列表查詢證書作廢列表查詢證書使用策略的認(rèn)證證書使用策略的認(rèn)證最終用戶實(shí)體證書的確認(rèn)最終用戶實(shí)體證書的確認(rèn) 證書鏈的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)（按需進(jìn)行）證書持有人的確認(rèn)（按需進(jìn)行） 基于基于“三趟消息三趟消息”機(jī)制。機(jī)制。四川大學(xué)電子信息學(xué)院45/437.4 Diffie-Hellman密鑰協(xié)商密鑰協(xié)商 1976年年Diffie和和Hellman在其里程碑意義的文章中，雖在其里

46、程碑意義的文章中，雖然給出了密碼的思想，但是沒有給出真正意義上的公鑰密然給出了密碼的思想，但是沒有給出真正意義上的公鑰密碼實(shí)例。也沒能找出一個(gè)真正帶陷門的單向函數(shù)，然而他碼實(shí)例。也沒能找出一個(gè)真正帶陷門的單向函數(shù)，然而他們給出單向函數(shù)的實(shí)例。并且基于此提出們給出單向函數(shù)的實(shí)例。并且基于此提出Diffie-Hellman密密鑰協(xié)商算法。這個(gè)算法的安全性是鑰協(xié)商算法。這個(gè)算法的安全性是基于有限域中計(jì)算離散基于有限域中計(jì)算離散對(duì)數(shù)的困難性。對(duì)數(shù)的困難性。 1）Diffie-Hellman密鑰交換協(xié)議描述密鑰交換協(xié)議描述 準(zhǔn)備：準(zhǔn)備：Alice和Bob協(xié)商好一個(gè)大素?cái)?shù)q和q的一個(gè)本原元本原元 ， 1

47、q , q 和 無(wú)須保密，可為網(wǎng)絡(luò)上的所有用戶共享（稱為全局公開參數(shù)全局公開參數(shù)）。四川大學(xué)電子信息學(xué)院46/43當(dāng)用戶當(dāng)用戶 Alice 和和 Bob要進(jìn)行保密通信時(shí)，可以按如下步驟來(lái)做：要進(jìn)行保密通信時(shí)，可以按如下步驟來(lái)做：qsaramod(1) Alice選取大的隨機(jī)數(shù)選取大的隨機(jī)數(shù)ra，保密不公開，并計(jì)算，保密不公開，并計(jì)算 Bob選取大的選取大的隨機(jī)數(shù)隨機(jī)數(shù)rb，也保密不公開，并計(jì)算，也保密不公開，并計(jì)算qsbrbmod(2) Alice將將sa傳送給傳送給Bob；Bob將將sb傳送給傳送給Alice；(3) Alice計(jì)算：計(jì)算：qqqqsKbaabarrrrrbabmodmod)

48、mod(modBob計(jì)算：計(jì)算：qqqqsKbababrrrrrabamodmod)mod(modsrrbaabKqKKbamod顯然，Diffie-Hellman密鑰協(xié)商密鑰協(xié)商(續(xù)續(xù))四川大學(xué)電子信息學(xué)院47/43 敵方可利用的信息：敵方可利用的信息：q、 、sa、sb，因此對(duì)方要從這些信息因此對(duì)方要從這些信息確定會(huì)話密鑰，就被迫通過(guò)計(jì)算離散對(duì)數(shù)來(lái)確定密鑰。確定會(huì)話密鑰，就被迫通過(guò)計(jì)算離散對(duì)數(shù)來(lái)確定密鑰。qqqqsKbababrrrrrasmodmod)mod(mod如，先計(jì)算：如，先計(jì)算：rb = inda,q(sb)，再計(jì)算：，再計(jì)算： 【例例】 選擇全局公開參數(shù)，選擇全局公開參數(shù)，q

49、=97， =5 A、B分別選擇分別選擇秘密密鑰秘密密鑰ra=36，rb=58 A計(jì)算：計(jì)算：sa =536 50mod97； （有人稱為（有人稱為A的的“公鑰公鑰”） B計(jì)算：計(jì)算：sb=558 44mod97； （有人稱為（有人稱為B的的“公鑰公鑰”） A、B雙方交換雙方交換sa和和sb后，分別計(jì)算：后，分別計(jì)算： Kab =4436 75mod97； Kba =5058 75mod97； 顯然，顯然， Kab = Kba， 而攻擊者在已知而攻擊者在已知 q=97， =5 的情況下，的情況下，要從要從50，44計(jì)算出計(jì)算出 75 不容易。不容易。48/43產(chǎn)生產(chǎn)生 ra產(chǎn)生產(chǎn)生 rtAlic

50、eTrudy中中間間人人攻攻擊擊產(chǎn)生產(chǎn)生 rbBob2） Diffie-Hellman密鑰交換協(xié)議的安全問(wèn)題密鑰交換協(xié)議的安全問(wèn)題 q , , qsaramod qsbrbmod正正常常密密鑰鑰交交換換產(chǎn)生產(chǎn)生ra產(chǎn)生產(chǎn)生rbAliceBobAlice計(jì)算：計(jì)算：qqsKbaarrrbabmodmodBob計(jì)算：計(jì)算：qqsKbabrrraabmodmod q , , qsaramod q , , qstrtmod qstrtmod qsbrbmod偽密鑰偽密鑰qKatrrtamod偽密鑰偽密鑰qKbtrrtbmod四川大學(xué)電子信息學(xué)院49/43 算法本身的安全性依賴于有限域上計(jì)算離散對(duì)數(shù)算法

51、本身的安全性依賴于有限域上計(jì)算離散對(duì)數(shù)的困難性。但協(xié)議在實(shí)際應(yīng)用時(shí)，一定的困難性。但協(xié)議在實(shí)際應(yīng)用時(shí)，一定要引入某種鑒要引入某種鑒別機(jī)制別機(jī)制，否則就容易受到，否則就容易受到中間人攻擊中間人攻擊 (man-in-the-middle attack) 密鑰密鑰協(xié)商協(xié)議應(yīng)能同時(shí)鑒別參加者的身份，這種協(xié)商協(xié)議應(yīng)能同時(shí)鑒別參加者的身份，這種協(xié)議稱為鑒別密鑰協(xié)商協(xié)議稱為鑒別密鑰協(xié)商 。 如圖如圖示意的端示意的端-端密鑰協(xié)商協(xié)議（端密鑰協(xié)商協(xié)議（STS, Stop-To-Stop） 用戶用戶A用戶用戶BAr,(,)BBArrrKBESig(,)ABrrKAESig四川大學(xué)電子信息學(xué)院50/437.5 秘密

52、分割秘密分割 應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景 1.1.導(dǎo)彈控制發(fā)射，重要場(chǎng)所通行檢驗(yàn)，通常需要導(dǎo)彈控制發(fā)射，重要場(chǎng)所通行檢驗(yàn)，通常需要多人同時(shí)參與才能生效，需要將秘密分為多人多人同時(shí)參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數(shù)同時(shí)到場(chǎng)才掌管，并且由一定掌管秘密的人數(shù)同時(shí)到場(chǎng)才能恢復(fù)秘密能恢復(fù)秘密。2.2.金庫(kù)進(jìn)入；金庫(kù)進(jìn)入；3.3.門限簽名；門限簽名；四川大學(xué)電子信息學(xué)院51/43一個(gè)簡(jiǎn)單的秘密分割方案一個(gè)簡(jiǎn)單的秘密分割方案（1）Trent產(chǎn)生一隨機(jī)比特串產(chǎn)生一隨機(jī)比特串R，和消息，和消息M一樣長(zhǎng)。一樣長(zhǎng)。（2）Trent用用R異或異或M得到得到S：M R = S（3）Trent把把R給給

53、Alice，將，將S給給Bob。 為了重構(gòu)此消息，為了重構(gòu)此消息，Alice和和Bob只需一起做一步：只需一起做一步：（4）Alice和和Bob將他們的消息異或就可得到此消將他們的消息異或就可得到此消息：息：R S = M.四川大學(xué)電子信息學(xué)院52/43門限方案的一般概念門限方案的一般概念 秘密秘密s被分為被分為n個(gè)部分個(gè)部分,每個(gè)部分稱為每個(gè)部分稱為shadow,由一個(gè)由一個(gè)參與者持有，使得：參與者持有，使得： 由由k個(gè)或多于個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)個(gè)參與者所持有的部分信息可重構(gòu)s。 由少于由少于k個(gè)參與者所持有的部分信息則無(wú)法重構(gòu)個(gè)參與者所持有的部分信息則無(wú)法重構(gòu)s。 稱為稱為(k,n)秘密分割門限方案，秘密分割門限方案，k稱為門限值。稱為門限值。 若少于若少于k個(gè)參與者所持有的部分信息得不到個(gè)參與者所持有的部分信息得不到s的任何的任何信息稱該門限方案是完善的。信息稱該門限方案是完善的。四川大學(xué)電子信息學(xué)院53/43ShamirShamir門限方案的原理門限方案的原理基于多項(xiàng)式基于多項(xiàng)式Lagrange插值公式插值公式思路：思路： 設(shè)設(shè)(x1，y1),(xk，yk)是平面上是平面上k個(gè)點(diǎn)個(gè)點(diǎn)構(gòu)成的點(diǎn)集，構(gòu)成的點(diǎn)集，其中其中xi(i=1， ， k)各不各不相同，且相同，且線性無(wú)關(guān)線性無(wú)關(guān)，那那么在平面上存在唯一的么在平面上存在唯一的k 1次多