密钥分配与密钥管理.ppt

《密钥分配与密钥管理.ppt》由会员分享，可在线阅读，更多相关《密钥分配与密钥管理.ppt（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、密钥分配与密钥管理密钥分配与密钥管理 2/805.1 单钥加密体制的密钥分配单钥加密体制的密钥分配5.1.1 密钥分配的基本方法密钥分配的基本方法两个用户（主机、进程、应用程序）在用单钥密码体制进两个用户（主机、进程、应用程序）在用单钥密码体制进行保密通信时，首先必须有一个行保密通信时，首先必须有一个共享的秘密密钥共享的秘密密钥，为防止，为防止攻击者得到密钥，还必须攻击者得到密钥，还必须时常更新密钥时常更新密钥。因此，。因此，密码系统密码系统的强度也依赖于密钥分配技术的强度也依赖于密钥分配技术两个用户两个用户A和和B获得共享密钥的方法有以下获得共享密钥的方法有以下4种：种：l 密钥由密钥由A选

2、取并通过物理手段发送给选取并通过物理手段发送给Bl 密钥密钥由第三方选取由第三方选取并通过物理手段发送给并通过物理手段发送给A和和Bl 如果如果A、B事先已有一密钥，则其中一方选取新密钥后，用已事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方有的密钥加密新密钥并发送给另一方l 如果如果A和和B与与第三方第三方C分别有一保密信道，则分别有一保密信道，则C为为A、B选取密钥选取密钥后，分别在两个保密信道上发送给后，分别在两个保密信道上发送给A、B3/80第第1和第和第2种方法称为人工发送种方法称为人工发送l在通信网中，在通信网中，若只有个别用户想进行保密通信若只有个别用

3、户想进行保密通信，密，密钥的人工发送还是可行的。然而钥的人工发送还是可行的。然而如果所有用户都要如果所有用户都要求支持加密服务求支持加密服务，则任意一对希望通信的用户都必，则任意一对希望通信的用户都必须有一共享密钥。如果有须有一共享密钥。如果有n个用户，则密钥数目为个用户，则密钥数目为n(n-1)/2。因此当。因此当n很大时，密钥分配的代价非常大，很大时，密钥分配的代价非常大，密钥的人工发送是不可行的密钥的人工发送是不可行的4/80对于第对于第3种方法种方法l攻击者一旦获得一个密钥就可获取以后所有的密钥；攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户而且用这种方法对所有

4、用户分配初始密钥时，代价分配初始密钥时，代价仍然很大仍然很大。5/80第第4种方法比较常用种方法比较常用l其中的第三方通常其中的第三方通常是一个负责为用户分配密钥的密钥是一个负责为用户分配密钥的密钥分配中心分配中心(KDC)。l这时每一用户必须和密钥分配中心有一个共享密钥，这时每一用户必须和密钥分配中心有一个共享密钥，称为称为主密钥。（可通过第二种方法）主密钥。（可通过第二种方法）l通过主密钥分配给一对用户的密钥通过主密钥分配给一对用户的密钥ks称为会话密钥称为会话密钥，用于这一对用户之间的保密通信。用于这一对用户之间的保密通信。l通信完成后，会话密钥即被销毁通信完成后，会话密钥即被销毁。如上

5、所述，如果用。如上所述，如果用户数为户数为n，则会话密钥数为，则会话密钥数为n(n-1)/2。但主密钥数却只。但主密钥数却只需需n个，所以个，所以主密钥可通过物理手段发送主密钥可通过物理手段发送。6/80密钥分配的密钥分配的一个实例一个实例如如图图：假假定定两两个个用用户户A、B分分别别与与密密钥钥分分配配中中心心KDC(key distribution center)有有一一个个共共享享的的主主密密钥钥KA和和KB，A希希望望与与B建建立立一一个个共共享享的的一一次次性性会话密钥会话密钥，可通过以下几步来完成：，可通过以下几步来完成：A向向KDC发出会话密钥请求发出会话密钥请求表示请求的消息

6、由两个数据项组成表示请求的消息由两个数据项组成:第第1项项Request是是A和和B的身份的身份第第2项项是是这这次次业业务务的的惟惟一一识识别别符符N1，称称N1为为一一次次性性随随机机数数，可可以以是是时时戳戳、计数器或随机数计数器或随机数每每次次的的N1都都应应不不同同，且且为为防防止止假假冒冒，应应使使敌敌手手对对N1难难以以猜猜测测。因因此此用用随随机机数数作作为为这这个个识识别别符符最最为为合适。合适。防重放，防篡改防重放，防篡改7/80 KDC为为A的请求发出应答的请求发出应答l应答由应答由KA加密，只有加密，只有A能成功解密，且能成功解密，且A可相信这一消息的确是由可相信这一消

7、息的确是由KDC 发出的。发出的。l消息中包括消息中包括A希望得到的两项内容希望得到的两项内容：l一次性会话密钥一次性会话密钥KS；lA在在中发出的请求，包括一次性随机数中发出的请求，包括一次性随机数N1，目的是使，目的是使A将收到的将收到的应答与发出的请求相比较，看是否匹配应答与发出的请求相比较，看是否匹配lA能验证自己发出的请求在被能验证自己发出的请求在被KDC收到之前，是否被他人篡改收到之前，是否被他人篡改lA还能根据一次性随机数相信收到的应答不是重放的过去的应答还能根据一次性随机数相信收到的应答不是重放的过去的应答l消息中还有消息中还有B希望得到的两项内容：希望得到的两项内容：l一次性

8、会话密钥一次性会话密钥KS；lA的身份（例如的身份（例如A的网络地址）的网络地址）IDA。l这两项由这两项由KB加密，将由加密，将由A转发给转发给B，以建立，以建立A、B之间的连接之间的连接l并用于向并用于向B证明证明A的身份。的身份。8/80 A存储会话密钥存储会话密钥KS，并向，并向B转发转发EKBKSIDAl因为转发的是由因为转发的是由KB加密后的密文，所以转发过程不会被窃听加密后的密文，所以转发过程不会被窃听lB收到后，可得会话密钥收到后，可得会话密钥KS，并从，并从IDA可知另一方是可知另一方是A，而且还从，而且还从EKB知道知道KS的确来自的确来自KDCl这一步完成后，会话密钥就安

9、全地分配给了这一步完成后，会话密钥就安全地分配给了A、B。然而还能继。然而还能继续以下两步工作：续以下两步工作：B用会话密钥用会话密钥KS加密另一个一次性随机数加密另一个一次性随机数N2，并将加，并将加密结果发送给密结果发送给A A以以f(N2)作为对作为对B的应答，其中的应答，其中f是对是对N2进行某种变换进行某种变换(例如加例如加1)的函数，并将应答用会话密钥加密后发送给的函数，并将应答用会话密钥加密后发送给Bl这两步可使这两步可使B相信第相信第步收到的消息不是一个重放步收到的消息不是一个重放l注意：注意：第第步就已完成密钥分配，步就已完成密钥分配，第第、两步结合第两步结合第步执行步执行的

10、是认证功能的是认证功能9/805.1.3 密钥的分层控制密钥的分层控制网络中如果用户数目非常多且分布的地域非常广，则需要使网络中如果用户数目非常多且分布的地域非常广，则需要使用多个用多个KDC的分层结构的分层结构l在每个小范围（如一个在每个小范围（如一个LAN或一个建筑物）内，都建立一个或一个建筑物）内，都建立一个本地本地KDC。同一范围的用户在进行保密通信时，由本地同一范围的用户在进行保密通信时，由本地KDC为他们分配密钥为他们分配密钥l如果两个不同范围的用户想获得共享密钥，则可通过各自的本地如果两个不同范围的用户想获得共享密钥，则可通过各自的本地KDC，而，而两个本地两个本地KDC的沟通又

11、需经过一个全局的沟通又需经过一个全局KDC。这样就建立了两层。这样就建立了两层KDCl根据网络中用户的数目及分布的地域，可建立根据网络中用户的数目及分布的地域，可建立3层或多层层或多层KDC分层结构可减少主密钥的分布分层结构可减少主密钥的分布，因为大多数主密钥是在本地，因为大多数主密钥是在本地KDC和本地用户之间共享。和本地用户之间共享。分层结构还可将虚假分层结构还可将虚假KDC的危害限制到一个局部区域，的危害限制到一个局部区域，但但会会降低信任度降低信任度10/805.1.4 会话密钥的有效期会话密钥的有效期会话密钥更换得越频繁，系统的安全性就越高。会话密钥更换得越频繁，系统的安全性就越高。

12、l因为敌手即使获得一个会话密钥，也只能获得很少的密文。因为敌手即使获得一个会话密钥，也只能获得很少的密文。但另一方面，但另一方面，会话密钥更换得太频繁，又将延迟用户之间会话密钥更换得太频繁，又将延迟用户之间的交换的交换，同时还造成网络负担。，同时还造成网络负担。l所以在决定会话密钥的有效期时，应权衡矛盾的两个方面所以在决定会话密钥的有效期时，应权衡矛盾的两个方面对面向连接的协议对面向连接的协议(如如TCP)l在连接未建立前或断开时，会话密钥的有效期可以很长。而在连接未建立前或断开时，会话密钥的有效期可以很长。而每次每次建立连接时，都应使用新的会话密钥建立连接时，都应使用新的会话密钥。如果。如果

13、逻辑连接的时间很长，逻辑连接的时间很长，则应定期更换会话密钥则应定期更换会话密钥。无连接协议无连接协议(如用户数据报协议如用户数据报协议UDP)l无法明确地决定更换密钥的频率无法明确地决定更换密钥的频率。为安全起见，用户每进行一次。为安全起见，用户每进行一次交换，都用新的会话密钥。然而这又失去了无连接协议主要的优交换，都用新的会话密钥。然而这又失去了无连接协议主要的优势，即对每个业务都有最少的费用和最短的延迟。势，即对每个业务都有最少的费用和最短的延迟。比较好的方案比较好的方案是在某一固定周期内或对一定数目的业务使用同一会话密钥是在某一固定周期内或对一定数目的业务使用同一会话密钥。11/805

14、.1.5 无中心的密钥控制无中心的密钥控制用密钥分配中心为用户分配密钥时，用密钥分配中心为用户分配密钥时，要求所有要求所有用户都信任用户都信任KDC，同时，同时还要求对还要求对KDC加以保护加以保护。如果密钥的分配是无中心的，则不必有以上两如果密钥的分配是无中心的，则不必有以上两个要求个要求l然而如果每个用户都能和自己想与之建立联系的另然而如果每个用户都能和自己想与之建立联系的另一用户安全地通信，则对有一用户安全地通信，则对有n个用户的网络来说，主个用户的网络来说，主密钥应多达密钥应多达n(n-1)/2个。个。l当当n很大时，这种方案无实用价值很大时，这种方案无实用价值l但但在整个网络的局部范

15、围却非常有用在整个网络的局部范围却非常有用12/80无中心的密钥分配时，两个用户无中心的密钥分配时，两个用户A和和B建立会话密钥建立会话密钥需经过以下需经过以下3步：步：l A向向B发出建立会话密钥的请求和一个一次性随机数发出建立会话密钥的请求和一个一次性随机数N1l B用与用与A共享的主密钥共享的主密钥MKm对应答的消息加密，并发送对应答的消息加密，并发送给给Al应答的消息中有应答的消息中有B选取的会话密钥选取的会话密钥KS、B的身份的身份IDB、f(N1)和另一个和另一个一次性随机数一次性随机数N2l A使用新建立的会话密钥使用新建立的会话密钥KS对对f(N2)加密后返回给加密后返回给B1

16、3/805.1.6 密钥的控制使用密钥的控制使用密钥可根据其不同用途分为会话密钥和主密钥两种类型密钥可根据其不同用途分为会话密钥和主密钥两种类型l会话密钥又称为数据加密密钥会话密钥又称为数据加密密钥l主密钥又称为密钥加密密钥主密钥又称为密钥加密密钥l由于密钥用途不同，由于密钥用途不同，对密钥的使用方式也希望加以某种控制对密钥的使用方式也希望加以某种控制如果主密钥泄露了，则相应的会话密钥也将泄露，因此如果主密钥泄露了，则相应的会话密钥也将泄露，因此主主密钥的安全性应高于会话密钥的安全性密钥的安全性应高于会话密钥的安全性l一般一般在密钥分配中心以及终端系统中在密钥分配中心以及终端系统中主密钥都是物

17、理上安全的主密钥都是物理上安全的l如果如果把主密钥当作会话密钥注入加密设备，那么其安全性则降低把主密钥当作会话密钥注入加密设备，那么其安全性则降低14/80单钥体制中的密钥控制技术有以下两种单钥体制中的密钥控制技术有以下两种:(1)密钥标签密钥标签l用于用于DES的密钥控制，将的密钥控制，将DES的的64比特密钥中的比特密钥中的8个校验位作为控制使个校验位作为控制使用这一密钥的标签。标签中各比特的含义为：用这一密钥的标签。标签中各比特的含义为：l一个比特表示这个密钥是会话密钥还是主密钥；一个比特表示这个密钥是会话密钥还是主密钥；l一个比特表示这个密钥是否能用于加密；一个比特表示这个密钥是否能用

18、于加密；l一个比特表示这个密钥是否能用于解密；一个比特表示这个密钥是否能用于解密；l其他比特无特定含义，留待以后使用。其他比特无特定含义，留待以后使用。l由于标签是在密钥之中，在分配密钥时，由于标签是在密钥之中，在分配密钥时，标签与密钥一起被加密标签与密钥一起被加密，因此，因此可对标签起到保护作用。可对标签起到保护作用。本方案的缺点本方案的缺点：l第一，标签的长度被限制为第一，标签的长度被限制为8比特，限制了它的灵活性和功能；比特，限制了它的灵活性和功能；l第二，由于标签是以密文形式传送，只有解密后才能使用，因而限制了第二，由于标签是以密文形式传送，只有解密后才能使用，因而限制了对密钥使用的控

19、制方式。对密钥使用的控制方式。15/80(2)控制矢量控制矢量l对每一会话密钥都指定了一个相应的控制矢量对每一会话密钥都指定了一个相应的控制矢量，控制矢，控制矢量量分为若干字段分为若干字段，分别用于说明，分别用于说明在不同情况下密钥是被在不同情况下密钥是被允许使用还是不被允许使用允许使用还是不被允许使用，且，且控制矢量的长度可变控制矢量的长度可变l控制矢量是在控制矢量是在KDC产生密钥时加在密钥之中的产生密钥时加在密钥之中的16/80首先由一杂凑函数将控制矢量压缩到与加密密钥等长，然后与首先由一杂凑函数将控制矢量压缩到与加密密钥等长，然后与主密钥异或后作为加密会话密钥的密钥，即主密钥异或后作为

20、加密会话密钥的密钥，即lH=h(CV);Kin=Km H;Kout=EKm HKSl其中其中CV是控制矢量，是控制矢量，h是杂凑函数，是杂凑函数，Km是主密钥，是主密钥，KS是会话密钥是会话密钥会话密钥的恢复过程表示为会话密钥的恢复过程表示为:lKS=DKm HEKm H KSKDC在向用户发送会话密钥时，同时以明文形式发送控制矢量在向用户发送会话密钥时，同时以明文形式发送控制矢量l用户用户只有使用与只有使用与KDC共享的主密钥以及共享的主密钥以及KDC发送来的控制矢量才能恢复发送来的控制矢量才能恢复会话密钥，因此会话密钥，因此必须保留会话密钥和它的控制矢量之间的对应关系必须保留会话密钥和它的

21、控制矢量之间的对应关系与使用与使用8比特的密钥标签相比，比特的密钥标签相比，控制矢量有两个优点控制矢量有两个优点:l第一，控制矢量的长度无限制，可对密钥的使用施加任意复杂的控制第一，控制矢量的长度无限制，可对密钥的使用施加任意复杂的控制l第二，控制矢量始终以明文形式存在，可在任一阶段对密钥的使用施加第二，控制矢量始终以明文形式存在，可在任一阶段对密钥的使用施加控制控制17/805.2 公钥加密体制的密钥管理公钥加密体制的密钥管理l本节介绍两方面内容：本节介绍两方面内容：l一是公钥密码体制所用的一是公钥密码体制所用的公开密钥的分配公开密钥的分配l二二是是如如何何用用公公钥钥体体制制来来分分配配单

22、单钥钥密密码码体体制制所所需的密钥需的密钥这是公钥加密的一个主要用途这是公钥加密的一个主要用途18/805.2.1 公钥的分配公钥的分配1.公开发布公开发布l公开发布指用户将自己的公钥发给每一其他用户，或向公开发布指用户将自己的公钥发给每一其他用户，或向某一团体广播某一团体广播l如如PGP（pretty good privacy）中采用了）中采用了RSA算法，它的很多用算法，它的很多用户都是户都是将自己的公钥附加到消息上将自己的公钥附加到消息上，然后发送到公开（公共），然后发送到公开（公共）区域，如因特网邮件列表区域，如因特网邮件列表l缺点很明显缺点很明显，即任何人都可伪造这种公开发布，即任何

23、人都可伪造这种公开发布l如果某个用户假装是用户如果某个用户假装是用户A A并以并以A A的名义向另一用户发送或广播的名义向另一用户发送或广播自己的公开钥，则在自己的公开钥，则在A A发现假冒者以前，这一假冒者可解读所有发现假冒者以前，这一假冒者可解读所有意欲发向意欲发向A A的加密消息，而且假冒者还能用伪造的密钥获得认证的加密消息，而且假冒者还能用伪造的密钥获得认证19/802.公用目录表公用目录表l公用目录表指公用目录表指一个公用的公钥动态目录表一个公用的公钥动态目录表l公用目录表的建立、维护以及公钥的分布公用目录表的建立、维护以及公钥的分布由某个可信的实体由某个可信的实体或组织承担，称这个

24、实体或组织为公用目录的管理员或组织承担，称这个实体或组织为公用目录的管理员l该方案有以下一些组成部分该方案有以下一些组成部分：l 管理员管理员为每个用户为每个用户都在目录表中都在目录表中建立一个目录建立一个目录，目录中有，目录中有两个数据项两个数据项:用户名；用户的公开钥用户名；用户的公开钥l 每一用户都每一用户都亲自亲自或或以某种安全的认证通信以某种安全的认证通信在管理者那里在管理者那里为为自己的公开钥注册自己的公开钥注册l 用户如果由于自己的公开钥用过的次数太多或由于与公开用户如果由于自己的公开钥用过的次数太多或由于与公开钥相关的秘密钥已被泄露，钥相关的秘密钥已被泄露，可随时用新密钥替换现

25、有的密钥可随时用新密钥替换现有的密钥20/80l 管理员定期公布或定期更新目录表管理员定期公布或定期更新目录表例如，例如，像电话号码本像电话号码本一样公布目录表或在发行量很大的报纸上一样公布目录表或在发行量很大的报纸上公布目录表的更新公布目录表的更新l 用户可通过电子手段访问目录表，这时从管理员到用户用户可通过电子手段访问目录表，这时从管理员到用户必须有安全的认证通信必须有安全的认证通信l安全性高于公开发布，但仍易受攻击安全性高于公开发布，但仍易受攻击l如如果果敌敌手手成成功功地地获获取取管管理理员员的的秘秘密密钥钥（密密码码），就就可可伪伪造造一一个个公公钥钥目目录录表表，以以后后既既可可假

26、假冒冒任任一一用用户户又又能能监监听听发发往往任任一一用用户的消息。户的消息。l公用目录表还易受到敌手的窜扰公用目录表还易受到敌手的窜扰(破坏破坏)l用户需要登录到公钥目录表中自己查找收方的公钥用户需要登录到公钥目录表中自己查找收方的公钥21/803.公钥管理机构公钥管理机构l为为防止用户自行对公钥目录表操作防止用户自行对公钥目录表操作所带来的安全威胁，假定有一所带来的安全威胁，假定有一个公钥管理机构来为各用户建立、维护动态的公钥目录个公钥管理机构来为各用户建立、维护动态的公钥目录l即由用户提出请求，公钥管理机构即由用户提出请求，公钥管理机构通过认证信道通过认证信道将用户所需要查将用户所需要查

27、找公钥传给用户找公钥传给用户l该认证信道该认证信道主要基于公钥管理机构的签名主要基于公钥管理机构的签名 22/80 用户用户A向公钥管理机构发送一个带时戳的消息，消息中向公钥管理机构发送一个带时戳的消息，消息中有获取用户有获取用户B的当前公钥的请求的当前公钥的请求 管理机构对管理机构对A的应答由一个消息表示，的应答由一个消息表示，该消息由管理机构该消息由管理机构用自己的秘密钥用自己的秘密钥SKAU加密加密，因此，因此A能用管理机构的公开钥能用管理机构的公开钥解密解密，并使，并使A相信这个消息的确是来源于管理机构相信这个消息的确是来源于管理机构l应答的消息中有以下几项：应答的消息中有以下几项：l

28、B的公钥的公钥PKB，A可用之对将发往可用之对将发往B的消息加密；的消息加密；lA的请求的请求，用于，用于A验证收到的应答的确是对相应请求的应答，且还验证收到的应答的确是对相应请求的应答，且还能验证自己最初发出的请求在被管理机构收到以前是否被篡改；能验证自己最初发出的请求在被管理机构收到以前是否被篡改；抗篡改抗篡改l最初的时戳最初的时戳，以使，以使A相信管理机构发来的消息不是一个旧消息，相信管理机构发来的消息不是一个旧消息，因此消息中的公开钥的确是因此消息中的公开钥的确是B当前的公钥当前的公钥抗重放抗重放23/80 A用用PKB对一个消息加密后发往对一个消息加密后发往B，包含两个数据项，包含两

29、个数据项:l一是一是A的身份的身份IDAl二是一次性随机数二是一次性随机数N1，用于惟一地标识这次业务，用于惟一地标识这次业务、步骤中：步骤中：B以相同方式从管理机构获取以相同方式从管理机构获取A的公开钥的公开钥l这时，这时，A和和B都已安全地得到了对方的公钥，所以可进行保密都已安全地得到了对方的公钥，所以可进行保密通信。前通信。前5个消息用于安全的获取对方的公开钥个消息用于安全的获取对方的公开钥l用户得到对方的公开钥后保存起来可供以后使用用户得到对方的公开钥后保存起来可供以后使用，这样就不必，这样就不必再发送消息再发送消息、了了l用户还可以通过以下两步进行相互认证：用户还可以通过以下两步进行

30、相互认证：B用用PKA加密一次性随机数加密一次性随机数N1和和B产生的一次性随机数产生的一次性随机数N2，发往，发往A，可使，可使A相信通信的另一方的确是相信通信的另一方的确是BA用用PKB对对N2加密后返回给加密后返回给B，可使，可使B相信通信另一方的确是相信通信另一方的确是Al必须定期地通过密钥管理中心获取通信对方的公开钥，以免对必须定期地通过密钥管理中心获取通信对方的公开钥，以免对方的公开钥更新后无法保证当前的通信方的公开钥更新后无法保证当前的通信24/80公钥管理机构方式的优缺点公钥管理机构方式的优缺点l每次密钥的获得由公钥管理机构查询并认证发送，用户每次密钥的获得由公钥管理机构查询并

31、认证发送，用户不需要查表，提高了安全性不需要查表，提高了安全性l但公钥管理机构必须一直在线，由于但公钥管理机构必须一直在线，由于每一用户要想和他每一用户要想和他人联系都需求助于管理机构人联系都需求助于管理机构，所以，所以管理机构有可能成为管理机构有可能成为系统的瓶颈系统的瓶颈l由管理机构维护的公钥目录表也易被敌手通过一定方式由管理机构维护的公钥目录表也易被敌手通过一定方式窜扰窜扰4.公钥证书公钥证书l用户通过公钥证书来互相交换自己的公钥而无须与公钥用户通过公钥证书来互相交换自己的公钥而无须与公钥管理机构联系管理机构联系l公钥证书由证书管理机构公钥证书由证书管理机构CA(certificate

32、authority)为用为用户建立户建立25/80l证书中的数据项有与该用户的秘密钥相匹配的公开钥及用证书中的数据项有与该用户的秘密钥相匹配的公开钥及用户的身份和时戳等，所有的数据项经户的身份和时戳等，所有的数据项经CA用自己的秘密钥签用自己的秘密钥签字后就形成证书字后就形成证书l证书的形式为证书的形式为CA=ESKCAT,IDA,PKAlIDA是用户是用户A的身份，的身份，PKA是是A的公钥，的公钥，T是当前时戳是当前时戳lSKCA是是CA的秘密钥，的秘密钥，CA即是为用户即是为用户A产生的证书产生的证书26/80l用户可将自己的公开钥通过公钥证书发给另一用户用户可将自己的公开钥通过公钥证书

33、发给另一用户，接收，接收方可用方可用CA的公钥的公钥PKCA对证书加以验证对证书加以验证l即即DPKCACA=DPKCAESKCAT,IDA,PKA=(T,IDA,PKA)l因为因为只有用只有用CA的公钥才能解读证书的公钥才能解读证书，接收方从而验证了，接收方从而验证了证书的确是由证书的确是由CA发放的，且也获得了发送方的身份发放的，且也获得了发送方的身份IDA和和公开钥公开钥PKAl时戳时戳T为接收方保证了收到的证书的新鲜性为接收方保证了收到的证书的新鲜性，用以，用以防止防止发发送方或敌方送方或敌方重放重放一旧证书。因此一旧证书。因此时戳可被当作截止日期时戳可被当作截止日期，证书如果过旧，则

34、被吊销证书如果过旧，则被吊销27/805.2.2 用公钥加密分配单钥密码体制的密钥用公钥加密分配单钥密码体制的密钥 公开钥分配完成后，用户就可用公钥加密体制进行保密通公开钥分配完成后，用户就可用公钥加密体制进行保密通信。然而由于信。然而由于公钥加密的速度过慢公钥加密的速度过慢，以此进行保密通信不，以此进行保密通信不太合适，但太合适，但用于分配单钥密码体制的密钥却非常合适用于分配单钥密码体制的密钥却非常合适1.简单分配简单分配l下图表示简单使用公钥加密算法建立会话密钥的过程，如果下图表示简单使用公钥加密算法建立会话密钥的过程，如果A希望希望与与B通信，可通过以下几步建立会话密钥：通信，可通过以下

35、几步建立会话密钥：28/80l A产生自己的一对密钥产生自己的一对密钥PKA,SKA，并向，并向B发送发送PKA|IDA，其中，其中IDA表示表示A的身份的身份l B产生会话密钥产生会话密钥KS，并用，并用A的公开钥的公开钥PKA对对KS加密后发往加密后发往Al A由由DSKAEPKAKS恢复会话密钥。因为只有恢复会话密钥。因为只有A能解读能解读KS，所以，所以仅仅A、B知道这一共享密钥。知道这一共享密钥。l A销毁销毁PKA,SKA，B销毁销毁PKA。A、B现在可以用单钥加密算法以现在可以用单钥加密算法以KS作为会话密钥进行保作为会话密钥进行保密通信，通信完成后，密通信，通信完成后，又都将又

36、都将KS销毁销毁这种分配法尽管简单，但却由于这种分配法尽管简单，但却由于A、B双方在通信前和完双方在通信前和完成通信后，成通信后，都未存储密钥都未存储密钥，因此，因此，密钥泄露的危险性为最密钥泄露的危险性为最小，且可防止双方的通信被敌手监听小，且可防止双方的通信被敌手监听,l每次公私钥由发方临时产生每次公私钥由发方临时产生但由于公钥缺少证书管理机构认证且非物理传输容易受到但由于公钥缺少证书管理机构认证且非物理传输容易受到主动攻击主动攻击29/80中间人攻击中间人攻击l如果敌手如果敌手E已接入已接入A、B双方的通信信道，就可通过以下不被察觉的双方的通信信道，就可通过以下不被察觉的方式截获双方的通

37、信：方式截获双方的通信：l 与上面的步骤与上面的步骤相同相同l E截获截获A的发送后，建立自己的一对密钥的发送后，建立自己的一对密钥PKE,SKE，并将，并将PKEIDA发送给发送给B。l B产生会话密钥产生会话密钥KS后，将后，将EPKEKS发送出去。发送出去。l E截获截获B发送的消息后，由发送的消息后，由DPKEEPKE KS解读解读KS。l E再将再将EPKAKS发往发往A。现在现在A和和B知道知道KS，但并未意识到，但并未意识到KS已被已被E截获。截获。A、B在用在用KS通信时，通信时，E就可以实施监听就可以实施监听30/802.具有保密性和认证性的密钥分配具有保密性和认证性的密钥分

38、配l既可防止被动攻击，又可防止主动攻击既可防止被动攻击，又可防止主动攻击l假定假定A、B双方已完成公钥交换双方已完成公钥交换，可按以下步骤建立共，可按以下步骤建立共享会话密钥：享会话密钥：l A用用PKB的公开钥的公开钥加密加密A的的身份身份IDA和一个一次性和一个一次性随机随机数数N1后发往后发往B，其中，其中N1用于惟一地标识这一业务用于惟一地标识这一业务31/80l B用用PKA加密加密N1和和B新产生的一次性随机数新产生的一次性随机数N2后发往后发往A。B发来的消息中发来的消息中N1的存在可使的存在可使A相信对方的确是相信对方的确是Bl A用用PKB对对N2加密后返回给加密后返回给B，

39、使，使B相信对方的确是相信对方的确是Al A选一会话密钥选一会话密钥KS，然后将，然后将M=EPKBESKAKS发给发给B，其中，其中用用B的公开钥加密的公开钥加密是为保证是为保证只有只有B能解读能解读加密结果，加密结果，用用A的秘密钥加密的秘密钥加密是保证该加密结果是保证该加密结果只有只有A能发送能发送l B以以DPKADSKBM恢复会话密钥恢复会话密钥l注意注意：这个方案其实是有漏洞的，即第：这个方案其实是有漏洞的，即第4条消息容易被重条消息容易被重放，假设敌手知道上次通话时协商的会话密钥放，假设敌手知道上次通话时协商的会话密钥Ks，以及，以及A对对Ks的签名和加密，则通过简单的重放即可实

40、现对的签名和加密，则通过简单的重放即可实现对B的欺的欺骗，解决的方法是将第骗，解决的方法是将第3和第和第4条消息合并发送条消息合并发送32/80方案的修改方案的修改修改后的过程修改后的过程33/80l用户用户A选择一保密的随机整数选择一保密的随机整数XA，并将，并将YA=aXA mod p发送给用户发送给用户B。类似地，用户类似地，用户B选择一保密的随机整数选择一保密的随机整数XB，并将，并将YB=aXB mod p发送发送给用户给用户A。然后。然后A和和B分别由分别由K=YBXA mod p和和K=YAXB mod p计算出计算出的就是共享密钥，这是因为的就是共享密钥，这是因为lYBXA m

41、od p=(aXB mod p)XA mod p=(aXB)XA mod p=aXBXA mod pl =aXAXB mod p=(aXA mod p)XB mod p=YAXB mod pl因因XA，XB是保密的，敌手只能得到是保密的，敌手只能得到p，a，YA，YB，要想得到，要想得到K，则必须得到则必须得到XA，XB中的一个，这意味着需求离散对数。因此敌手中的一个，这意味着需求离散对数。因此敌手求求K是不可行的。是不可行的。l例如：例如：p97，a5，A和和B分别秘密地选分别秘密地选XA36，XB=58，并，并分别计算分别计算YA=536mod9750，YB=558mod9744，在交换，在交换YA，YB后，分别计算后，分别计算lK=YBXA mod974436mod9775lK=YAXB mod975058mod9775简单的简单的DH协议协议(未进行认证未进行认证)容易受到中间人攻击容易受到中间人攻击