第7章 密鑰管理技術(shù)

1/43第1章密碼學(xué)概述 第2章古典密碼技術(shù) 第3章分組密碼第4章公鑰密碼體制第5章散列函數(shù)與消息鑒別

第6章數(shù)字簽名技術(shù)第7章密鑰管理技術(shù)第8章身份鑒別技術(shù)第9章序列密碼基礎(chǔ)第10章密碼技術(shù)應(yīng)用課程主要內(nèi)容四川大學(xué)電子信息院2/437.1

密鑰管理概述1.密鑰管理的重要性

所有的密碼技術(shù)都依賴于密鑰。現(xiàn)代密碼體制要求加密算法是可以公開評估的，整個密碼系統(tǒng)的安全性并不取決于對密碼算法的保密或者是對加密設(shè)備等的保護。決定整個密碼體制安全性的因素將是密鑰的保密性（“一切秘密予于密鑰之中！”）：

密碼算法可以公開，密碼設(shè)備可以丟失，但它們都不危及密碼體制的安全性；但一旦密鑰丟失，非法用戶將會有可能竊取信息。四川大學(xué)電子信息學(xué)院3/437.1

密鑰管理概述1.密鑰管理的重要性（續(xù)）在考慮密碼系統(tǒng)的應(yīng)用設(shè)計時，特別是在商用系統(tǒng)的設(shè)計時，需要解決的核心問題是密鑰管理問題，而不是密碼算法問題。例如商用系統(tǒng)可以使用公開了的、經(jīng)過大量評估分析認(rèn)為抗攻擊能力比較強的算法。密鑰的管理本身是一個很復(fù)雜的課題，而且是保證安全性的關(guān)鍵點。四川大學(xué)電子信息學(xué)院4/432.密鑰管理的概念密鑰管理是一門綜合性的技術(shù)，涉及密鑰的產(chǎn)生、檢驗、分發(fā)、傳遞、保管、使用、銷毀的全部過程，還與密鑰的行政管理制度以及人員的素質(zhì)密切相關(guān)。3.密鑰管理的目的維持系統(tǒng)中各實體之間的密鑰關(guān)系，以抗擊各種可能的威脅：密鑰的泄露秘密密鑰或公開密鑰的身份的真實性喪失未經(jīng)授權(quán)使用4.密鑰管理系統(tǒng)的要求密鑰難以被非法竊取；在一定條件下獲取了以前的密鑰用處也很?。幻荑€的分配和更換過程對用戶是透明的。四川大學(xué)電子信息學(xué)院5/43

適應(yīng)于對密鑰管理系統(tǒng)的要求，現(xiàn)有的計算機網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的密鑰管理系統(tǒng)的設(shè)計大都采用了層次化的密鑰結(jié)構(gòu)。5.密鑰的組織結(jié)構(gòu)四川大學(xué)電子信息學(xué)院6/43區(qū)分密鑰管理的策略和機制 策略是密鑰管理系統(tǒng)的高級指導(dǎo)。策略著重原則指導(dǎo)，而不著重具體實現(xiàn)。密鑰管理機制是實現(xiàn)和執(zhí)行策略的技術(shù)機構(gòu)和方法。(2)全程安全原則 必須在密鑰的產(chǎn)生、存儲、備份、分發(fā)、組織、使用、更新、終止和銷毀等的全過程中對密鑰采取妥善的安全管理。(3)最小權(quán)利原則 應(yīng)當(dāng)只分發(fā)給用戶進行某一事務(wù)處理所需的最小的密鑰集合。(4)責(zé)任分離原則 一個密鑰應(yīng)當(dāng)專職一種功能，不要讓一個密鑰兼任幾種功能。6.密鑰管理的原則四川大學(xué)電子信息學(xué)院7/43(5)密鑰分級原則 可減少受保護的密鑰的數(shù)量，又可簡化密鑰的管理工作。一般可將密鑰劃分為三級：主密鑰，二級密鑰，初級密鑰。(6)密鑰更新原則 密鑰必須按時更新。否則，即使是采用很強的密碼算法，使用時間越長，敵手截獲的密文越多，破譯密碼的可能性就越大。(7)密鑰應(yīng)當(dāng)有足夠的長度 密碼安全的一個必要條件是密鑰有足夠的長度。密鑰越長，密鑰空間就越大，攻擊就越困難，因而也就越安全。(8)密碼體制不同，密鑰管理也不相同 由于傳統(tǒng)密碼體制與公開密鑰密碼體制是性質(zhì)不同的兩種密碼，因此它們在密鑰管理方而有很大的不同。密鑰管理的原則（續(xù)）四川大學(xué)電子信息學(xué)院8/43初級密鑰

最底層的密鑰，直接對數(shù)據(jù)進行加密和解密。初級文件密鑰：用于文件保密的初級密鑰會話密鑰：一般由系統(tǒng)自動產(chǎn)生，且對用戶是不可見的。在一次通信或數(shù)據(jù)交換中，用戶之間所使用的密鑰。會話密鑰可由通信用戶之間進行協(xié)商得到。它一般是動態(tài)地、僅在需要進行會話數(shù)據(jù)加密時產(chǎn)生，并在使用完畢后立即清除掉。典型的三層密鑰體系四川大學(xué)電子信息學(xué)院9/43(2)密鑰加密密鑰

密鑰加密密鑰一般是用來對傳送的會話密鑰或文件加密密鑰進行加密時所采用的密鑰，也稱為二級密鑰。密鑰加密密鑰實際是用來保護通信或文件數(shù)據(jù)的會話密鑰或文件加密密鑰。在通信網(wǎng)中，一般在每個節(jié)點都分配有一個這類密鑰，同時，為了安全，各節(jié)點的密鑰加密密鑰應(yīng)互不相同。(3)主密鑰

主密鑰對應(yīng)于層次化密鑰結(jié)構(gòu)中的最高層次，它是對密鑰加密密鑰進行加密的密鑰。典型的三層密鑰體系四川大學(xué)電子信息學(xué)院10/43(1)安全性大大提高

下層的密鑰被破譯將不會影響到上層密鑰的安全。在少量最初的處于最高層次的密鑰注入系統(tǒng)之后，下面各層密鑰的內(nèi)容，可以按照某種協(xié)議不斷地變化（例如可以通過使用安全算法以及高層密鑰動態(tài)地產(chǎn)生低層密鑰）。

靜止的密鑰系統(tǒng)→動態(tài)的密鑰系統(tǒng)(2)為密鑰管理自動化帶來了方便開放式的網(wǎng)絡(luò)應(yīng)用環(huán)境不可能再進行人工密鑰分配。層次化密鑰結(jié)構(gòu)中，除了一級密鑰需要由人工裝入以外，其他各層的密鑰均可以由密鑰管理系統(tǒng)按照某種協(xié)議進行自動地分配、更換、銷毀等。層次化的密鑰結(jié)構(gòu)的好處四川大學(xué)電子信息學(xué)院11/437.密鑰的生成

對于一個密碼體制，如何產(chǎn)生好的密鑰是非常關(guān)鍵，密鑰選擇的不當(dāng)將會極大地影響密碼體制的安全性。好的密鑰應(yīng)當(dāng)具有良好的隨機性和密碼特性(例如避免弱密鑰的出現(xiàn)等)。

因此，密鑰的生成一般都首先通過密鑰產(chǎn)生器借助于某種噪聲源產(chǎn)生具有較好統(tǒng)計分布特性的序列，然后再對這些序列進行各種隨機性檢驗以確保其具有較好的密碼特性。四川大學(xué)電子信息學(xué)院12/43密鑰的生成（續(xù)）

不向?qū)哟蔚拿荑€產(chǎn)生的方式一般也不相同：

(1)主密鑰：雖然一般它的密鑰量很小，但作為整個密碼系統(tǒng)的核心，需要嚴(yán)格保證它的隨機性，避免可預(yù)測性。因此，主密鑰通常采用擲硬幣、骰子或使用其它物理噪聲發(fā)生器的方法來產(chǎn)生。

(2)二級密鑰:

可以采用偽隨機數(shù)生成器、安全算法(例如，可以在主機主密鑰的控制下由ANSIX9.17所給出的算法產(chǎn)生)或電子學(xué)噪聲源產(chǎn)生。

(3)會話密鑰:

可以在密鑰加密密鑰的控制下通過安全算法動態(tài)地產(chǎn)生。13/43目的：密鑰分配與密鑰協(xié)商過程都是用以在保密通信雙方之間建立通信所使用的密鑰的協(xié)議(或機制)。在這種協(xié)議(或機制)運行結(jié)束時，參與協(xié)議運行的雙方都將得到相同的密鑰，同時，所得到的密鑰對于其他任何方(除可能的可信管理機構(gòu)外)都是不可知的。（1）密鑰分配

是這樣一種機制，保密通信中的一方利用此機制生成并選擇秘密密鑰，然后將其安全傳送給通信的另一方或通信的其他多方。典型協(xié)議：Kerboros密鑰分配協(xié)議7.2秘密密鑰分配與協(xié)商密鑰預(yù)分配：TA(可信管理機構(gòu)TA,TrustAuthority)預(yù)先分配密鑰，用戶之間的通信將使用預(yù)先分配好的密鑰。密鑰在線分配：在用戶需要進行通信時TA才進行密鑰分配的過程，一般需要有一個在線TA，例如著名的Kerberos體制。14/43（2）密鑰協(xié)商

通常是一種協(xié)議，利用該協(xié)議，通信雙方可以在一個公開的信道上通過相互傳送一些消息來共同建立一個安全的共享秘密密鑰。在密鑰協(xié)商中，雙方共同建立的秘密密鑰通常是雙方輸入消息的一個函數(shù)。典型協(xié)議：Diffie-Hellman密鑰交換協(xié)議可信的管理機構(gòu)TA(TrustAuthority)，它的作用可能包括：驗證用戶身份；產(chǎn)生、選擇和傳送秘密密鑰給用戶等。秘密密鑰分配與協(xié)商（續(xù)）四川大學(xué)電子信息學(xué)院15/43被動威脅：竊聽；主動威脅：篡改、重放、冒充；主動攻擊的目的：

(1)欺騙通信雙方接受一個過期失效的密鑰；

(2)讓通信雙方確信對手是另一方，然后與其建立一個有效的共享密鑰。密鑰分配協(xié)議和密鑰協(xié)商協(xié)議的目的就是在協(xié)議結(jié)束時，通信雙方具有一個相同的秘密密鑰k，并且k不被其他人員知道?？梢韵胂螅谥鲃拥膶κ执嬖诘那闆r下，設(shè)計一個滿足上述目的的協(xié)議是比較困難的。對密鑰分配、密鑰協(xié)商的安全威脅：四川大學(xué)電子信息學(xué)院16/43密鑰分配基本方法密鑰由A選定，然后通過物理手段傳給B。密鑰由第三方C選定，然后通過物理手段傳給A和B。如果A和B事先已經(jīng)有一個密鑰，則一方可以使用原來的舊密鑰去加密新密鑰，并通過普通信道發(fā)送給另一方。如果A和B與第三方C分別有一個安全信道，則C為A和B選定密鑰后，通過安全信道發(fā)送給A和B。四川大學(xué)電子信息學(xué)院17/43密鑰分配基本方法人工分法需要第三方特點方法①是否有n個用戶時，密鑰數(shù)為Cn2。因此，當(dāng)n很大時，人工分發(fā)密鑰不可行。方法②是是方法③否否分配初始密鑰代價大，為Cn2。攻擊者一旦獲得一個密鑰就可以獲取以后所有的密鑰。方法④否是雖然會話密鑰數(shù)為Cn2，但要通過人工發(fā)送的主密鑰只需n個。四川大學(xué)電子信息學(xué)院18/43(1)無KDC的對稱密鑰分發(fā)（KeyDistributionCenter,KDC）方法：用雙方共享的共享主密鑰加密會話密鑰③A使用新建立的會話密鑰ks對NB加密后返回給B。（前提：A、B已安全擁有共享主密鑰Km，每個節(jié)點需保存n－1個主密鑰）發(fā)起方A響應(yīng)方B(1)IDA||IDB||NA(2)EKm[ks||IDA||IDB||NA||NB](3)Eks[NB]①A向B發(fā)出建立會話密鑰的請求和一個現(xiàn)時(NA)。②B用與A共享的主密鑰Km對應(yīng)答的消息加密，并發(fā)送給A。應(yīng)答的加密消息中有B選取的會話密鑰ks、A、B的身份、

NA和另一個現(xiàn)時NB

。對稱密碼體制的密鑰分配四川大學(xué)電子信息學(xué)院19/43前提：兩個用戶A、B分別與密鑰分配中心KDC有共享密鑰KA，KB。(2)有KDC的對稱密鑰分發(fā)方案密鑰分配過程④

EKS[N2]⑤EKS[f(N2)]③EKB[KS||IDA]B

A

KDC①IDA

||IDB

||N1②

EKA{KS

||IDA

||IDB

||N1||EKB(KS||IDA)}四川大學(xué)電子信息學(xué)院20/43KDC的分層如果網(wǎng)絡(luò)中的用戶數(shù)目非常多且地域分布非常廣，可采用分層結(jié)構(gòu)：在每個小范圍（如一個LAN或一個建筑物）內(nèi)建立一個本地KDC，負(fù)責(zé)該范圍內(nèi)的密鑰分配；如果兩個不同范圍的用戶想獲得共享密鑰，需要通過各自的本地KDC，并由兩個本地KDC經(jīng)過一個全局KDC完成密鑰分配。這樣就建立了兩層KDC結(jié)構(gòu)。層次化的優(yōu)勢：可減少主密鑰的分布，因為大多數(shù)主密鑰是在本地KDC和本地用戶之間共享；可將虛假KDC的危害限制到一個局部區(qū)域內(nèi)。四川大學(xué)電子信息學(xué)院21/43(3)會話密鑰Ks由通信方生成，由KDC分發(fā)A選擇會話密鑰Ks，用與密鑰分配中心KDC共享的密鑰Ka加密Ks與B的身份

，然后發(fā)給KDC

。KDC用與A共享的主密鑰Ka解密所收到的消息，用與B共享的密鑰Kb加密所得到的會話密鑰Ks及A的身份，然后發(fā)給B。A→KDC:EKa[Ks||IDB]B用Kb解密所收到的消息，從而得到與A的會話密鑰KDC→B:EKb[Ks||IDA]四川大學(xué)電子信息學(xué)院22/43(4)基于公鑰密碼體制的對稱密鑰分配由于公開密鑰加密算法效率低，不宜直接用來加密數(shù)據(jù)，但用于分配常規(guī)密碼體制的密鑰卻非常適合。（混和密碼系統(tǒng)）簡單的共享密鑰分配下圖示出簡單使用公鑰加密算法建立會話密鑰ks的過程。(1)A給B傳輸一個請求報文KUA||IDA;(2)B產(chǎn)生一個秘密密鑰ks，并用A的公鑰加密后的EKUA[ks]傳輸給A;(3)A計算DKRA

[EKUA[ks]]來恢復(fù)這個秘密密鑰。因為只有A可以解密這個報文，所以只有A和B才會知道kS

。發(fā)起方A響應(yīng)方B(1)KUA||IDA(2)EKUA[kS]23/43思考：出現(xiàn)該問題的原因？A

B

E被E截獲E保存A的公鑰，然后生成自己的公鑰、密鑰對，并用自己公鑰替換A的公鑰后，發(fā)給B。被E截獲E截獲消息后，用自己的私鑰解讀會話密匙，再用A的公鑰加密會話密匙后發(fā)給A?，F(xiàn)在A和B知道了會話密鑰，但未意識到會話密鑰已被E截獲。A和B在用這個會話密鑰進行通信時，E就可以實施監(jiān)聽。簡單分配–中間人攻擊四川大學(xué)電子信息學(xué)院24/43具有保密性和認(rèn)證性的密鑰分配

此密鑰分配過程具有保密性和認(rèn)證性，因此既可以防止被動攻擊，有可防止主動攻擊。A

B

前提A、B雙方已完成公鑰交換其中A的公鑰記為PKA；B的公鑰記為PKB其中SKA為用戶A的私鑰四川大學(xué)電子信息學(xué)院25/437.3公開密鑰加密體制下的密鑰管理

1)公開密鑰的分配公開密鑰的分配方式有以下幾類：①公開發(fā)布：②公用目錄表；③公鑰管理機構(gòu)；④公鑰證書四川大學(xué)電子信息學(xué)院26/437.3公開密鑰加密體制下的密鑰管理（1）公開發(fā)布

用戶將自己的公鑰發(fā)給每一個其他用戶，或向某一團體廣播。

缺點：任何人都可以偽造這種公開發(fā)布。X123n...X公鑰X公鑰X公鑰X公鑰四川大學(xué)電子信息學(xué)院27/437.3公開密鑰加密體制下的密鑰管理（2）公用目錄表建立一個公用的公鑰動態(tài)目錄表，公用目錄表的建立、維護以及公鑰的分配必須由一個受信任的實體或組織承擔(dān)，稱這個實體或組織為公用目錄表的管理員。該方案有以下內(nèi)容： 1.管理員為每個用戶維護一個目錄項{用戶，公鑰}。 2.用戶經(jīng)過安全認(rèn)證通信在目錄管理員處登記公鑰。 3.用戶可以隨時用新的密鑰更換原來的密鑰。 4.管理員定期公布或更新目錄表。 5.用戶可通過電子方式訪問目錄表。四川大學(xué)電子信息學(xué)院28/437.3公開密鑰加密體制下的密鑰管理用戶名公鑰USER1KEY1USER2KEY2......USERnKEYn公用目錄表媒體用戶管理員登記更新發(fā)布讀/寫

缺點：如果敵手獲取了管理員的密鑰，就可以偽造一個公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息，而且公用目錄表還易受到敵手的竄擾。查詢四川大學(xué)電子信息學(xué)院29/437.3公開密鑰加密體制下的密鑰管理（3）公鑰管理機構(gòu)

與公用目錄表類似，這里假定有一個公鑰管理機構(gòu)來為各用戶建立、維護動態(tài)的公鑰目錄，但同時對系統(tǒng)提出以下要求：

1.每個用戶都可靠的知道管理機構(gòu)的公鑰。

2.只有管理機構(gòu)自己知道相應(yīng)的密鑰。

缺點：由于每個用戶要想和他人聯(lián)系都需求助管理機構(gòu)，所以管理機構(gòu)有可能成為系統(tǒng)的瓶頸，而且由管理機構(gòu)維護的公鑰目錄表也易被敵手竄擾。四川大學(xué)電子信息學(xué)院30/437.3公開密鑰加密體制下的密鑰管理公鑰管理機構(gòu)分配公鑰

⑥

EPKA[N1||N2]

⑦

EPKB[N2]

③

EPKB[IDA||N1]B

A

公鑰管理機構(gòu)②ESKAU[PKB||IDB||T1]④

IDA

||T2①

IDB||T1⑤ESKAU[PKA||IDA||T2]

前提A、B雙方可信擁有CA的

公鑰PKAU

CA私鑰記為SKAU④公鑰證書

利用在線服務(wù)器分配公鑰時，管理機構(gòu)可能成為系統(tǒng)的瓶頸。而采用公鑰證書的方案，則允許用戶通過公鑰證書相互之間交換公鑰而無需與公鑰管理機構(gòu)聯(lián)系。具體有如下要求：

1)任何參與者都可以閱讀證書，以確定證書擁有者和公鑰；

2)任何參與者都可以驗證證書是否真正由證書管理機構(gòu)頒發(fā)；

3)只有證書管理機構(gòu)才能制作、更新公鑰證書；

4)任何參與者都可以驗證公鑰證書的時效性。7.3公開密鑰加密體制下的密鑰管理（續(xù)）公鑰證書由證書管理機構(gòu)CA(CertificateAuthority)為用戶建立。CA實際上是一個可信的第三方，能確認(rèn)用戶身份，通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)和管理。公鑰數(shù)字證書則是一種數(shù)字標(biāo)識，是一個經(jīng)證書授權(quán)中心數(shù)字簽名的、包含用戶信息及公開密鑰等信息的數(shù)據(jù)文件。公鑰數(shù)字證書的基本形式為：接收方可用CA的公鑰KUCA對證書加以驗證：7.3公開密鑰加密體制下的密鑰管理（續(xù)）四川大學(xué)電子信息學(xué)院33/43

采用這種方法可以做到在用戶交換公鑰時，不需要聯(lián)系一個公開密鑰管理機構(gòu)，而且同直接從公開密鑰管理機構(gòu)得到公鑰一樣可靠。CA證書------------用戶信息有效期用戶公鑰用戶CA用戶信息打包用戶公鑰簽名私鑰有效期CA7.3公開密鑰加密體制下的密鑰管理（續(xù)）四川大學(xué)電子信息學(xué)院34/43一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：證書的版本信息；序列號：一個有惟一性的整數(shù)值，與該證書唯一聯(lián)系。簽名算法標(biāo)識符；證書發(fā)行機構(gòu)名稱及標(biāo)識符；（采用x.500格式）證書有效期：由兩個日期組成，證書有效起始、結(jié)束時間。證書持有人名稱及標(biāo)識符；（采用x.500格式）證書持有人的公開密鑰、算法標(biāo)識及參數(shù)；證書發(fā)行機構(gòu)對證書的數(shù)字簽名。

國內(nèi)目前已經(jīng)建有數(shù)十家CA體系，但還沒有國家級的根CA，這就給各CA之間的交叉認(rèn)證帶來困難。7.3公開密鑰加密體制下的密鑰管理（續(xù)）四川大學(xué)電子信息學(xué)院35/43X.509證書格式版本號證書序列號簽名算法標(biāo)識簽發(fā)此證書的CA名稱證書有效期用戶名稱用戶公鑰信息（算法、參數(shù)、公鑰）四川大學(xué)電子信息學(xué)院36/43X.509證書格式簽發(fā)者唯一標(biāo)識用戶唯一標(biāo)識擴展項簽名（算法、參數(shù)、簽名）四川大學(xué)電子信息學(xué)院37/43公鑰數(shù)字證書示例

四川大學(xué)電子信息學(xué)院38/43數(shù)字證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證證書真實性的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)

檢查證書中簽名實體序列號是否與簽發(fā)者證書的序列號一致。四川大學(xué)電子信息學(xué)院39/43數(shù)字證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證證書真實性的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)

檢查日期是否有效、合法：1.用戶證書的有效期和私鑰有效期是否在CA證書的有效期內(nèi)。否則交易是不安全的。2.

用戶證書的有效期中的起始時間應(yīng)在CA證書的私鑰有效期內(nèi)。否則證書是不安全的。四川大學(xué)電子信息學(xué)院40/43數(shù)字證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證證書真實性的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)

“黑名單查詢”，向證書庫查詢證書吊銷列表。四川大學(xué)電子信息學(xué)院41/43數(shù)字證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證證書真實性的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)

證書用途：主機、用戶、加密、簽名驗證……四川大學(xué)電子信息學(xué)院42/43數(shù)字證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證證書真實性的認(rèn)證證書鏈的認(rèn)證證書持有人的確認(rèn)

驗證證書的CA數(shù)字簽名有效性（基于證書CA的驗證公鑰）四川大學(xué)電子信息學(xué)院43/43數(shù)字證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證最終用戶實體證書的確認(rèn)

證書鏈的認(rèn)證證書持有人的確認(rèn)

所謂證書鏈的認(rèn)證是想通過證書鏈追溯到可信賴的CA的根。四川大學(xué)電子信息學(xué)院44/43證書認(rèn)證過程

序列號驗證有效期驗證證書作廢列表查詢證書使用策略的認(rèn)證最終用戶實體證書的確認(rèn)

證書鏈的認(rèn)證證書持有人的確認(rèn)（按需進行）

基于“三趟消息”機制。四川大學(xué)電子信息學(xué)院45/437.4Diffie-Hellman密鑰協(xié)商

1976年Diffie和Hellman在其里程碑意義的文章中，雖然給出了密碼的思想，但是沒有給出真正意義上的公鑰密碼實例。也沒能找出一個真正帶陷門的單向函數(shù)，然而他們給出單向函數(shù)的實例。并且基于此提出Diffie-Hellman密鑰協(xié)商算法。這個算法的安全性是基于有限域中計算離散對數(shù)的困難性。

1）Diffie-Hellman密鑰交換協(xié)議描述準(zhǔn)備：Alice和Bob協(xié)商好一個大素數(shù)q和q的一個本原元

α，1<α<q,q

和α無須保密，可為網(wǎng)絡(luò)上的所有用戶共享（稱為全局公開參數(shù)）。四川大學(xué)電子信息學(xué)院46/43當(dāng)用戶Alice和Bob要進行保密通信時，可以按如下步驟來做：(1)Alice選取大的隨機數(shù)ra，保密不公開，并計算Bob選取大的隨機數(shù)rb，也保密不公開，并計算(2)Alice將sa傳送給Bob；Bob將sb傳送給Alice；(3)Alice計算：Bob計算：Diffie-Hellman密鑰協(xié)商(續(xù))四川大學(xué)電子信息學(xué)院47/43

敵方可利用的信息：q、

α

、sa、sb，因此對方要從這些信息確定會話密鑰，就被迫通過計算離散對數(shù)來確定密鑰。如，先計算：rb

=inda,q(sb)，再計算：【例】選擇全局公開參數(shù)，q=97，

α=5A、B分別選擇秘密密鑰ra=36，rb=58A計算：sa

=536≡50mod97；（有人稱為A的“公鑰”）

B計算：sb=558≡44mod97；（有人稱為B的“公鑰”）

A、B雙方交換sa和sb后，分別計算：

Kab=4436≡75mod97；

Kba=5058≡75mod97；顯然，Kab=Kba，而攻擊者在已知q=97，

α

=5的情況下，要從{50，44}計算出75不容易。48/43產(chǎn)生

ra產(chǎn)生

rtAliceTrudy中間人攻擊產(chǎn)生

rbBob2）Diffie-Hellman密鑰交換協(xié)議的安全問題①q,α,②

正常密鑰交換產(chǎn)生ra產(chǎn)生rbAliceBobAlice計算：Bob計算：①q,α,②q,α,③

④

偽密鑰偽密鑰四川大學(xué)電子信息學(xué)院49/43

算法本身的安全性依賴于有限域上計算離散對數(shù)的困難性。但協(xié)議在實際應(yīng)用時，一定要引入某種鑒別機制，否則就容易受到中間人攻擊(man-in-the-middleattack)

密鑰協(xié)商協(xié)議應(yīng)能同時鑒別參加者的身份，這種協(xié)議稱為鑒別密鑰協(xié)商。

如圖示意的端-端密鑰協(xié)商協(xié)議（STS,Stop-To-Stop）用戶A用戶B四川大學(xué)電子信息學(xué)院50/437.5秘密分割[應(yīng)用場景]1.導(dǎo)彈控制發(fā)射，重要場所通行檢驗，通常需要多人同時參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數(shù)同時到場才能恢復(fù)秘密。2.金庫進入；3.門限簽名；四川大學(xué)電子信息學(xué)院51/43一個簡單的秘密分割方案（1）Trent產(chǎn)生一隨機比特串R，和消息M一樣長。（2）Trent用R異或M得到S：M⊕R=S（3）Trent把R給Alice，將S給Bob。為了重構(gòu)此消息，Alice和Bob只需一起做一步：（4）Alice和Bob將他們的消息異或就可得到此消息：R⊕S=M.四川大學(xué)電子信息學(xué)院52/43門限方案的一般概念秘密s被分為n個部分,每個部分稱為shadow,由一個參與者持有，使得：由k個或多于k個參與者所持有的部分信息可重構(gòu)s。由少于k個參與者所持有的部分信息則無法重構(gòu)s。稱為(k,n)秘密分割門限方案，k稱為門限值。若少于k個參與者所持有的部分信息得不到s的任何信息稱該門限方案是完善的。四川大學(xué)電子信息學(xué)院53/43Shamir門限方案的原理

基于多項式Lagrange插值公式思路：

設(shè){(x1，y1),…,(xk，yk)}是平面上k個點構(gòu)成的點集，其中xi(i=1，…，k)各不相同，且線性無關(guān)，那么在平面上存在唯一的k

－1次多項式f(x)通過這k個點。

若把秘密s取做多項式的f(0)，n個shadow取做f(xi)(i=1,…n)，那么利用其中任意k個shadow可以重構(gòu)多項式f(x)，從而可以得到秘密s。

(x1，y1)(x2，y2)(x3，y3)(xk，yk)XY四川大學(xué)電子信息學(xué)院54/43Shamir門限方案系統(tǒng)初始化

有限域GF(q