現(xiàn)代密碼學(xué)第5章密鑰分配與密鑰管理5.1單鑰加密體制的密鑰分配5.2公鑰加密體制的密鑰管理5.3隨機(jī)數(shù)的產(chǎn)生5.4秘密分割第5章密鑰分配與密鑰管理5.1單鑰加密體制的密鑰分配5.1.1密鑰分配的基本方法5.1.2一個(gè)實(shí)例5.1.3密鑰的分層控制5.1.4會(huì)話密鑰的有效期5.1.5無中心的密鑰控制5.1.6密鑰的控制使用第5章密鑰分配與密鑰管理5.1.1密鑰分配的基本方法兩個(gè)用戶（主機(jī)、進(jìn)程、應(yīng)用程序）在用單鑰密碼體制進(jìn)行保密通信時(shí)，首先必須有一個(gè)共享的秘密密鑰，而且為防止攻擊者得到密鑰，還必須時(shí)常更新密鑰。因此，密碼系統(tǒng)的強(qiáng)度也依賴于密鑰分配技術(shù)。密鑰的方法有以下幾種：（1）密鑰由A選取并通過物理手段發(fā)送給B；（2）密鑰由第三方選取并通過物理手段發(fā)送給A和B；（3）如果A、B事先已有一密鑰，則其中一方選取新密

鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方；（4）如果A和B與第三方C分別有一保密信道，則C

為A、B選取密鑰后，分別在兩個(gè)保密信道上發(fā)送

給A、B。第5章密鑰分配與密鑰管理前兩種方法稱為人工發(fā)送。在通信網(wǎng)中，若只有個(gè)別用戶想進(jìn)行保密通信，密鑰的人工發(fā)送還是可行的。然而如果所有用戶都要求支持加密服務(wù)，則任一對(duì)希望通信的用戶都必須有一共享密鑰。如果有個(gè)用戶，則密鑰數(shù)目為。因此當(dāng)

很大時(shí)，密鑰分配的代價(jià)非常大，密鑰的人工發(fā)送是不可行的。對(duì)第三種方法，攻擊者一旦獲得一個(gè)密鑰就可獲取以后所有的密鑰；再者對(duì)所有用戶分配初始密鑰時(shí)，代價(jià)仍然很大。第5章密鑰分配與密鑰管理第四種方法比較常用，其中的第三方通常是一個(gè)負(fù)責(zé)為用戶分配密鑰的密鑰分配中心。如上所述，如果用戶數(shù)為，則會(huì)話密鑰數(shù)為但主密鑰數(shù)卻只需個(gè)，所以主密鑰可通過物理手段發(fā)送。這時(shí)每一用戶必須和密鑰分配中心有一個(gè)共享密鑰，稱為主密鑰。通過主密鑰分配給一對(duì)用戶的密鑰稱為會(huì)話密鑰，用于這一對(duì)用戶之間的保密通信。通信完成后，會(huì)話密鑰即被銷毀。第5章密鑰分配與密鑰管理5.1.2一個(gè)實(shí)例圖5-1是密鑰分配的一個(gè)實(shí)例。假定兩個(gè)用戶A、B分別與密鑰分配中心KDC(KeyDistributionCenter)有一個(gè)共享的主密鑰和，A希望與B建立一個(gè)共享的一次性會(huì)話密鑰，可通過以下幾步：（1）A向KDC發(fā)出會(huì)話密鑰請(qǐng)求。表示請(qǐng)求的消息由兩個(gè)數(shù)據(jù)項(xiàng)組成：

一是A和B的身份；二是這次業(yè)務(wù)的惟一識(shí)別符稱為一次性隨機(jī)數(shù)，可以是時(shí)戳、計(jì)數(shù)器或隨機(jī)數(shù)。

每次請(qǐng)求所用的都應(yīng)不同，且為防止假冒，應(yīng)使敵手對(duì)

難以猜測(cè)。

因此用隨機(jī)數(shù)作為這個(gè)識(shí)別符最為合適。第5章密鑰分配與密鑰管理圖5-1 密鑰分配實(shí)例第5章密鑰分配與密鑰管理消息中包括A希望得到的兩項(xiàng)：一次性會(huì)話密鑰；A在（1）中發(fā)出的請(qǐng)求，包括一次性隨機(jī)數(shù)，目的是使A將收到的應(yīng)答與發(fā)出的請(qǐng)求相比較，看是否匹配。因此A能驗(yàn)證自己發(fā)出的請(qǐng)求在被KDC收到之前，未被他人篡改。

而且A還能根據(jù)一次性隨機(jī)數(shù)相信自己收到的應(yīng)答不是重放的過去的應(yīng)答。（2）KDC為A的請(qǐng)求發(fā)出應(yīng)答。應(yīng)答是由加密的消息，因此只有A才能成功地對(duì)這一消息解密，并且A可相信這一消息的確是由KDC發(fā)出的。第5章密鑰分配與密鑰管理消息中包括B希望得到的兩項(xiàng)：一次性會(huì)話密鑰；A的身份（例如A的網(wǎng)絡(luò)地址）；這兩項(xiàng)由加密，將由A轉(zhuǎn)發(fā)給B，以建立A、B之間的連接并用于向B證明A的身份。（3）A存儲(chǔ)會(huì)話密鑰，并向B轉(zhuǎn)發(fā)。

因?yàn)檗D(zhuǎn)發(fā)的是由加密后的密文，所以轉(zhuǎn)發(fā)過程不會(huì)被竊聽。B收到后，可得會(huì)話密鑰，并從可知另一方是A，而且還從知道的確來自KDC。這一步完成后，會(huì)話密鑰就安全地分配給了A、B。然而還能繼續(xù)以下兩步：第5章密鑰分配與密鑰管理（4）B用會(huì)話密鑰加密另一個(gè)一次性隨機(jī)數(shù)，并

將加密結(jié)果發(fā)送給A。（5）A以作為對(duì)B的應(yīng)答，其中是對(duì)進(jìn)行某

種變換（例如加1）的函數(shù)，并將應(yīng)答用會(huì)話密鑰加密

后發(fā)送給B。這兩步可使B相信第（3）步收到的消息不是一個(gè)重放。注意：第（3）步就已完成密鑰分配，第（4）、（5）兩步結(jié)合第（3）步執(zhí)行的是認(rèn)證功能。第5章密鑰分配與密鑰管理5.1.3 密鑰的分層控制網(wǎng)絡(luò)中如果用戶數(shù)目非常多而且分布的地域非常廣，一個(gè)KDC就無法承擔(dān)為用戶分配密鑰的重任。問題的解決方法是使用多個(gè)KDC的分層結(jié)構(gòu)。

例如，在每個(gè)小范圍（如一個(gè)LAN或一個(gè)建筑物）內(nèi)，都建立一個(gè)本地KDC。同一范圍的用戶在進(jìn)行保密通信時(shí)，由本地KDC為他們分配密鑰。

如果兩個(gè)不同范圍的用戶想獲得共享密鑰，則可通過各自的本地KDC，而兩個(gè)本地KDC的溝通又需經(jīng)過一個(gè)全局KDC。這樣就建立了兩層KDC。

類似地，根據(jù)網(wǎng)絡(luò)中用戶的數(shù)目及分布的地域，可建立三層或多層KDC。第5章密鑰分配與密鑰管理5.1.4 會(huì)話密鑰的有效期會(huì)話密鑰更換的越頻繁，系統(tǒng)的安全性就越高。因?yàn)閿呈旨词公@得一個(gè)會(huì)話密鑰，卻只能獲得很少的密文。

但另一方面，會(huì)話密鑰更換的太頻繁，又將延遲用戶之間的交換，同時(shí)還造成網(wǎng)絡(luò)負(fù)擔(dān)。

所以在決定會(huì)話密鑰的有效期時(shí)，應(yīng)權(quán)衡矛盾的兩個(gè)方面。分層結(jié)構(gòu)可減少主密鑰的分布，因?yàn)榇蠖鄶?shù)主密鑰是在本地KDC和本地用戶之間共享。再者，分層結(jié)構(gòu)還可將虛假KDC的危害限制到一個(gè)局部區(qū)域。第5章密鑰分配與密鑰管理無連接協(xié)議（如面向業(yè)務(wù)的協(xié)議），無法明確地決定更換密鑰的頻率。為安全起見，用戶每進(jìn)行一次交換，都用新的會(huì)話密鑰。

然而這又失去了無連接協(xié)議主要的優(yōu)勢(shì)，即對(duì)每個(gè)業(yè)務(wù)都有最少的費(fèi)用和最短的延遲。

比較好的方案是在某一固定周期內(nèi)或?qū)σ欢〝?shù)目的業(yè)務(wù)使用同一會(huì)話密鑰。對(duì)面向連接的協(xié)議，在連接未建立前或斷開時(shí)，會(huì)話密鑰的有效期可以很長(zhǎng)。而每次建立連接時(shí)，都應(yīng)使用新的會(huì)話密鑰。如果邏輯連接的時(shí)間很長(zhǎng)，則應(yīng)定期更換會(huì)話密鑰。第5章密鑰分配與密鑰管理5.1.5 無中心的密鑰控制用密鑰分配中心為用戶分配密鑰時(shí)，要求所有用戶都信任KDC，同時(shí)還要求對(duì)KDC加以保護(hù)。

如果密鑰的分配是無中心的，則不必有以上兩個(gè)要求。

然而如果每個(gè)用戶都能和自己想與之建立聯(lián)系的另一用戶安全地通信，則對(duì)有個(gè)用戶的網(wǎng)絡(luò)來說，主密鑰應(yīng)多達(dá)個(gè)。

當(dāng)很大時(shí)，這種方案無實(shí)用價(jià)值，但在整個(gè)網(wǎng)絡(luò)的局部范圍卻非常有用。無中心的密鑰分配時(shí)，兩個(gè)用戶A和B建立會(huì)話密鑰需經(jīng)過以下3步，看圖5-2：第5章密鑰分配與密鑰管理圖5-2 無中心的密鑰分配第5章密鑰分配與密鑰管理（1）A向B發(fā)出建立會(huì)話密鑰的請(qǐng)求和一個(gè)一次性隨機(jī)

數(shù)。（2）B用與A共享的主密鑰對(duì)應(yīng)答的消息加密，

并發(fā)送給A。應(yīng)答的消息中有B選取的會(huì)話密鑰、B的身份、和另一個(gè)一次性隨機(jī)數(shù)。（3）A使用新建立的會(huì)話密鑰對(duì)加密后返回給B。兩個(gè)用戶A和B建立會(huì)話密鑰需經(jīng)過以下3步:第5章密鑰分配與密鑰管理5.1.6 密鑰的控制使用因?yàn)槊荑€可根據(jù)其不同用途分為會(huì)話密鑰和主密鑰兩種類型，所以我們還希望對(duì)密鑰的使用方式加以某種控制，會(huì)話密鑰又稱為數(shù)據(jù)加密密鑰，主密鑰又稱為密鑰加密密鑰。如果主密鑰泄露了，則相應(yīng)的會(huì)話密鑰也將泄露，因此主密鑰的安全性應(yīng)高于會(huì)話密鑰的安全性。一般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理上安全的，如果把主密鑰當(dāng)作會(huì)話密鑰注入加密設(shè)備，那么其安全性則降低。單鑰體制中的密鑰控制技術(shù)有:第5章密鑰分配與密鑰管理

1.密鑰標(biāo)簽

用于DES的密鑰控制，將DES的64比特密鑰中的8個(gè)校驗(yàn)位作為控制使用這一密鑰的標(biāo)簽。一個(gè)比特表示這個(gè)密鑰是會(huì)話密鑰還是主密鑰。一個(gè)比特表示這個(gè)密鑰是否能用于解密。一個(gè)比特表示這個(gè)密鑰是否能用于加密。其它比特?zé)o特定含義，留待以后使用。

標(biāo)簽中各比特的含義為：?jiǎn)舞€體制中的密鑰控制技術(shù)有:由于標(biāo)簽是在密鑰之中，在分配密鑰時(shí)，標(biāo)簽與密鑰一起被加密，因此可對(duì)標(biāo)簽起到保護(hù)。第5章密鑰分配與密鑰管理本方案的缺點(diǎn)：（1）標(biāo)簽的長(zhǎng)度被限制為8比特，限制了它的靈活性和

功能。（2）由于標(biāo)簽是以密文形式傳送，只有解密后才能使用，

因而限制了對(duì)密鑰使用的控制方式。

2.控制矢量這一方案比上一方案靈活。方案中對(duì)每一會(huì)話密鑰都指定了一個(gè)相應(yīng)的控制矢量，控制矢量分為若干字段，分別用于說明在不同情況下密鑰是被允許使用還是不被允許使用，且控制矢量的長(zhǎng)度可變。第5章密鑰分配與密鑰管理控制矢量是在KDC產(chǎn)生密鑰時(shí)加在密鑰之中的，過程由圖5-3（a）所示。首先由一雜湊函數(shù)將控制矢量壓縮到與加密密鑰等長(zhǎng)，然后與主密鑰異或后作為加密會(huì)話密鑰的密鑰，即其中是控制矢量，是雜湊函數(shù)，是主密鑰，是會(huì)話密鑰。會(huì)話密鑰的恢復(fù)過程由圖5-3（b）所示，表示為第5章密鑰分配與密鑰管理KDC在向用戶發(fā)送會(huì)話密鑰時(shí)，同時(shí)以明文形式發(fā)送控制矢量。用戶只有使用與KDC共享的主密鑰以及KDC發(fā)送來的控制矢量才能恢復(fù)會(huì)話密鑰，因此還必須保留會(huì)話密鑰和它的控制矢量之間的對(duì)應(yīng)關(guān)系。與使用8比特的密鑰標(biāo)簽相比，使用控制矢量有兩個(gè)優(yōu)點(diǎn):（1）控制矢量的長(zhǎng)度沒有限制，因此可對(duì)密鑰的使用施

加任意復(fù)雜的控制。（2）控制矢量始終是以明文形式存在，因此可在任一階

段對(duì)密鑰的使用施加控制。第5章密鑰分配與密鑰管理(a)結(jié)合 (b)去除圖5-3 控制矢量的使用方式第5章密鑰分配與密鑰管理5.2公鑰加密體制的密鑰管理5.2.1公鑰的分配5.2.2用公鑰加密分配單鑰密碼體制的密鑰5.2.3Diffie-Hellman密鑰交換第5章密鑰分配與密鑰管理5.2公鑰加密體制的密鑰管理前一節(jié)介紹了單鑰密碼體制中的密鑰分配問題，而公鑰加密的一個(gè)主要用途：

分配單鑰密碼體制使用的密鑰。本節(jié)介紹兩個(gè)內(nèi)容：

一是公鑰密碼體制所用的公開密鑰的分配；

二是如何用公鑰體制來分配單鑰密碼體制所需的密鑰。5.2.1 密鑰的控制使用公鑰的分配方法有以下幾類。第5章密鑰分配與密鑰管理1．公開發(fā)布指用戶將自己的公鑰發(fā)給每一其它用戶，或向某一團(tuán)體廣播。例如PGP（PrettyGoodPrivacy）中采用了RSA算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公開（公共）區(qū)域，如因特網(wǎng)郵件列表。這種方法雖然簡(jiǎn)單，但有一個(gè)非常大的缺點(diǎn)，即任何人都可偽造這種公開發(fā)布。

如果某個(gè)用戶假裝是用戶A并以A的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在A發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所有意欲發(fā)向A的加密消息，而且假冒者還能用偽造的密鑰獲得認(rèn)證。第5章密鑰分配與密鑰管理2．公用目錄表指建立一個(gè)公用的公鑰動(dòng)態(tài)目錄表，目錄表的建立、維護(hù)以及公鑰的分布由某個(gè)可信的實(shí)體或組織承擔(dān)，稱這個(gè)實(shí)體或組織為公用目錄的管理員。與第一種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：（1）管理員為每個(gè)用戶都在目錄表中建立一個(gè)目錄，目

錄中有兩個(gè)數(shù)據(jù)項(xiàng)，一是用戶名，二是用戶的公開鑰。（2）每一用戶都親自或以某種安全的認(rèn)證通信在管理者

那里為自己的公開鑰注冊(cè)。第5章密鑰分配與密鑰管理（3）用戶如果由于自己的公開鑰用過的次數(shù)太多或由于

與公開鑰相關(guān)的秘密鑰己被泄露，則可隨時(shí)用新密

鑰替換現(xiàn)有的密鑰。（4）管理員定期公布或定期更新目錄表。例如，象電話

號(hào)碼本一樣公布目錄表或在發(fā)行量很大的報(bào)紙上公

布目錄表的更新。（5）用戶可通過電子手段訪問目錄表，這時(shí)從管理員到

用戶必須有安全的認(rèn)證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受攻擊。如果敵手成功地獲取管理員的秘密鑰，就可偽造一個(gè)公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息，且公用目錄表還易受到敵手的竄擾。第5章密鑰分配與密鑰管理3．公鑰管理機(jī)構(gòu)如果在公鑰目錄表中對(duì)公鑰的分配施加更嚴(yán)密的控制，安全性將會(huì)更強(qiáng)。

與公用目錄表類似，這里假定有一個(gè)公鑰管理機(jī)構(gòu)來為各用戶建立、維護(hù)動(dòng)態(tài)的公鑰目錄，但同時(shí)對(duì)系統(tǒng)提出以下要求，即：每個(gè)用戶都可靠地知道管理機(jī)構(gòu)的公開鑰，而只有管理機(jī)構(gòu)自己知道相應(yīng)的秘密鑰。公開鑰的分配步驟如下，如圖5-4：（1）用戶A向公鑰管理機(jī)構(gòu)發(fā)送一帶時(shí)戳的消息，消息

中有獲取用戶B的當(dāng)前公鑰的請(qǐng)求。第5章密鑰分配與密鑰管理圖5-4公鑰管理機(jī)構(gòu)分配公鑰第5章密鑰分配與密鑰管理（2）管理機(jī)構(gòu)對(duì)A的請(qǐng)求作出應(yīng)答，應(yīng)答由一個(gè)消息表示，該消息由管理機(jī)構(gòu)用自己的秘密鑰加密，因此A能用管理機(jī)構(gòu)的公開鑰解密，并使A相信這個(gè)消息的確是來源于管理機(jī)構(gòu)。應(yīng)答的消息中有以下幾項(xiàng)：B的公鑰，A可用它對(duì)將發(fā)往B的消息加密；A的請(qǐng)求，用于A驗(yàn)證收到的應(yīng)答的確是對(duì)相應(yīng)請(qǐng)求的應(yīng)答，且還能驗(yàn)證自己最初發(fā)出的請(qǐng)求在被管理機(jī)構(gòu)收到以前未被篡改。最初的時(shí)間戳，以使A相信管理機(jī)構(gòu)發(fā)來的消息不是一個(gè)舊消息，因此消息中的公開鑰的確是B當(dāng)前的公鑰。第5章密鑰分配與密鑰管理（3）A用B的公開鑰對(duì)一個(gè)消息加密后發(fā)往B，這個(gè)消息

有兩個(gè)數(shù)據(jù)項(xiàng)，一是A的身份，二是一個(gè)一次性

隨機(jī)數(shù)，用于惟一地標(biāo)識(shí)這次業(yè)務(wù)。（4）、（5）B以相同方式從管理機(jī)構(gòu)獲取A的公開鑰。

這時(shí)，A和B都已安全地得到了對(duì)方的公鑰，所以可

進(jìn)行保密通信。然而，他們也許還希望有以下兩步，

以認(rèn)證對(duì)方。（6）B用對(duì)一個(gè)消息加密后發(fā)往A，該消息的數(shù)據(jù)項(xiàng)

有A的一次性隨機(jī)數(shù)和B產(chǎn)生的一個(gè)新一次性隨機(jī)

數(shù)。因?yàn)橹挥蠦能解密（3）的消息，所以A收到

的消息中的可使其相信通信的另一方的確是B。第5章密鑰分配與密鑰管理（7）A用B的公開鑰對(duì)加密后返回給B，可使B相信

通信的另一方的確是A。以上過程共發(fā)送了7個(gè)消息，其中前4個(gè)消息用于獲取對(duì)方的公開鑰。用戶得到對(duì)方的公開鑰后存下可供以后使用，這樣就不必再發(fā)送前4個(gè)消息了，然而還必需定期地通過密鑰管理中心獲取通信對(duì)方的公開鑰，以免對(duì)方的公開鑰更新后無法保證當(dāng)前的通信。4．公鑰證書上述公鑰管理機(jī)構(gòu)分配公開鑰時(shí)也有缺點(diǎn)，由于每一用戶要想和他人聯(lián)系都需求助于管理機(jī)構(gòu)，所以管理機(jī)構(gòu)有可能成為系統(tǒng)的瓶頸，而且由管理機(jī)構(gòu)維護(hù)的公鑰目錄表也易被敵手竄擾。第5章密鑰分配與密鑰管理分配公鑰的另一方法是公鑰證書，用戶通過公鑰證書相互之間交換自己的公鑰而無需與公鑰管理機(jī)構(gòu)聯(lián)系。公鑰證書由證書管理機(jī)構(gòu)CA(CertificateAuthority)為用戶建立，其中的數(shù)據(jù)項(xiàng)有與該用戶的秘密鑰相匹配的公開鑰及用戶的身份和時(shí)戳等，所有的數(shù)據(jù)項(xiàng)經(jīng)CA用自己的秘密鑰簽字后就形成證書，即證書的形式為

其中是用戶A的身份，是A的公鑰，

是當(dāng)前時(shí)戳，是CA的秘密鑰，即是為用戶A產(chǎn)生的證書。產(chǎn)生過程如圖5-5所示。第5章密鑰分配與密鑰管理圖5-5證書的產(chǎn)生過程第5章密鑰分配與密鑰管理用戶可將自己的公開鑰通過公鑰證書發(fā)給另一用戶，接收方可用CA的公鑰對(duì)證書加以驗(yàn)證，即因?yàn)橹挥杏肅A的公鑰才能解讀證書，接收方從而驗(yàn)證了證書的確是由CA發(fā)放的，且也獲得了發(fā)方的身份和公開鑰。時(shí)戳

為接收方保證了收到的證書的新鮮性，用以防止發(fā)方或敵方重放一舊證書。因此時(shí)戳可被當(dāng)作截止日期，證書如果過舊，則被吊銷。第5章密鑰分配與密鑰管理5.2.2用公鑰加密分配單鑰密碼體制的密鑰公開鑰分配完成后，用戶就可用公鑰加密體制進(jìn)行保密通信。然而由于公鑰加密的速度過慢，以此進(jìn)行保密通信不太合適，但用于分配單鑰密碼體制的密鑰卻非常合適。圖5-6簡(jiǎn)單使用公鑰加密算法建立會(huì)話密鑰1.簡(jiǎn)單分配第5章密鑰分配與密鑰管理圖5-6表示簡(jiǎn)單使用公鑰加密算法建立會(huì)話密鑰的過程，如果A希望與B通信，可通過以下幾步建立會(huì)話密鑰：（1）A產(chǎn)生自己的一對(duì)密鑰，并向B發(fā)送||，其中表示A的身份。（2）B產(chǎn)生會(huì)話密鑰，并用A的公開鑰對(duì)加

密后發(fā)往A。（3）A由恢復(fù)會(huì)話密鑰。因?yàn)橹挥蠥能解

讀，所以僅A、B知道這一共享密鑰。（4）A銷毀，B銷毀。1.簡(jiǎn)單分配第5章密鑰分配與密鑰管理這種分配法盡管簡(jiǎn)單，但卻由于A、B雙方在通信前和完成通信后，都未存儲(chǔ)密鑰，因此，密鑰泄露的危險(xiǎn)性為最小，且可防止雙方的通信被敵手監(jiān)聽。這一協(xié)議易受到主動(dòng)攻擊，如果敵手E已接入A、B雙方的通信信道，就可以以下不被察覺的方式截獲雙方的通信：第5章密鑰分配與密鑰管理A、B現(xiàn)在可以用單鑰加密算法以作為會(huì)話密鑰進(jìn)行保密通信，通信完成后，又都將銷毀。（1）與上面的（1）相同。（2）E截獲A的發(fā)送后，建立自己的一對(duì)密鑰并將||發(fā)送給B。（3）B產(chǎn)生會(huì)話密鑰后，將發(fā)送出去。第5章密鑰分配與密鑰管理（4）E截獲B發(fā)送的消息后，由解讀。（5）E再將發(fā)往A。現(xiàn)在A和B知道，但并未意識(shí)到已被E截獲。A、B在用通信時(shí)，E就可以實(shí)施監(jiān)聽。2.具有保密性和認(rèn)證性的密鑰分配圖5-7所示的密鑰分配過程具有保密性和認(rèn)證性，因此既可防止被動(dòng)攻擊，又可防止主動(dòng)攻擊。假定A、B雙方已完成公鑰交換，可按以下步驟建立共享會(huì)話密鑰：第5章密鑰分配與密鑰管理（1）A用B的公開鑰加密A的身份和一個(gè)一次性隨

機(jī)數(shù)后發(fā)往B，其中用于惟一地標(biāo)識(shí)這一業(yè)務(wù)。（2）B用A的公開鑰加密A的一次性隨機(jī)數(shù)和B新產(chǎn)生的一次性隨機(jī)數(shù)后發(fā)往A。因?yàn)橹挥蠦能

解讀（1）中的加密，所以B發(fā)來的消息中的存在可

使A相信對(duì)方的確是B。圖5-7具有保密性和認(rèn)證性的密鑰分配第5章密鑰分配與密鑰管理（3）A用B的公鑰對(duì)加密后返回給B，以使B相

信對(duì)方的確是A。（4）A選一會(huì)話密鑰，然后將發(fā)給B，其中用B的公開鑰加密是為保證只有B能解讀加

密結(jié)果，用A的秘密鑰加密是保證該加密結(jié)果只有A

能發(fā)送。第5章密鑰分配與密鑰管理（5）B以恢復(fù)會(huì)話密鑰。5.2.3 Diffie-Hellman密鑰交換Diffie-Hellman密鑰交換是W.Diffie和M.Hellman于1976年提出的第一個(gè)公鑰密碼算法，已在很多商業(yè)產(chǎn)品中得以應(yīng)用。算法的惟一目的：

使得兩個(gè)用戶能夠安全地交換密鑰，得到一個(gè)共享的會(huì)話密鑰，算法本身不能用于加、解密。算法的安全性基于求離散對(duì)數(shù)的困難性。圖5-8表示Diffie-Hellman密鑰交換過程，其中p是大素?cái)?shù)，a是p的本原根，p和a作為公開的全程元素。第5章密鑰分配與密鑰管理用戶A選擇一保密的隨機(jī)整數(shù)，并將發(fā)送給用戶B。類似地，用戶B選擇一保密的隨機(jī)整數(shù)，并將發(fā)送給用戶A。然后A和B分別由和計(jì)算出的就是共享密鑰，這是因?yàn)橐颍潜Ｃ艿?，敵手只能得到p

，a，，，要想得到K，則必須得到，中的一個(gè)，這意味著需要求離散對(duì)數(shù)。因此敵手求K

是不可行的。第5章密鑰分配與密鑰管理【例5-1】p=97，a=5，A和B分別秘密選=36，=58，并分別計(jì)算，。

在交換，后，分別計(jì)算，圖5-8 Diffie-Hellman密鑰交換第5章密鑰分配與密鑰管理5.3隨機(jī)數(shù)的產(chǎn)生5.3.1隨機(jī)數(shù)的使用5.3.2隨機(jī)數(shù)源5.3.3偽隨機(jī)數(shù)產(chǎn)生器5.3.4基于密碼算法的隨機(jī)數(shù)產(chǎn)生器5.3.5隨機(jī)比特產(chǎn)生器第5章密鑰分配與密鑰管理5.3隨機(jī)數(shù)的產(chǎn)生隨機(jī)數(shù)在密碼學(xué)中起著重要的作用。這一節(jié)首先介紹隨機(jī)數(shù)在密碼學(xué)中的作用，然后介紹產(chǎn)生隨機(jī)數(shù)的一些方法。5.3.1 隨機(jī)數(shù)的使用很多密碼算法都需使用隨機(jī)數(shù)，例如：相互認(rèn)證，如在圖5-1、5-2、5-4和5-7所示的密鑰分配中，都使用了一次性隨機(jī)數(shù)來防止重放攻擊。會(huì)話密鑰的產(chǎn)生，用隨機(jī)數(shù)作為會(huì)話密鑰。鑰密碼算法中密鑰的產(chǎn)生，用隨機(jī)數(shù)作為公鑰密碼算法中的密鑰，如圖5-5；或以隨機(jī)數(shù)來產(chǎn)生公鑰密碼算法中的密鑰，如圖5-8。第5章密鑰分配與密鑰管理在隨機(jī)數(shù)的上述應(yīng)用中，都要求隨機(jī)數(shù)序列滿足隨機(jī)性和不可預(yù)測(cè)性。1．隨機(jī)性以下兩個(gè)準(zhǔn)則常用來保障數(shù)列的隨機(jī)性：均勻分布：

數(shù)列中每個(gè)數(shù)出現(xiàn)的頻率應(yīng)相等或近似相等。(2)獨(dú)立性：數(shù)列中任意一數(shù)都不能由其它數(shù)推出。數(shù)列是否滿足均勻分布可通過檢測(cè)得出，而是否滿足獨(dú)立性則無法檢測(cè)。相反卻有很多檢測(cè)方法能證明數(shù)列不滿足獨(dú)立性。第5章密鑰分配與密鑰管理通常檢測(cè)數(shù)列是否滿足獨(dú)立性的方法是在對(duì)數(shù)列進(jìn)行了足夠多次檢測(cè)后都不能證明不滿足獨(dú)立性，就可比較有把握地相信該數(shù)列滿足獨(dú)立性。在設(shè)計(jì)密碼算法時(shí)，由于真隨機(jī)數(shù)難以獲得，經(jīng)常使用似乎是隨機(jī)的數(shù)列，這樣的數(shù)列稱為偽隨機(jī)數(shù)列，這樣的隨機(jī)數(shù)稱為偽隨機(jī)數(shù)。2．不可預(yù)測(cè)性在諸如相互認(rèn)證和會(huì)話密鑰的產(chǎn)生等應(yīng)用中，不僅要求數(shù)列具有隨機(jī)性而且要求對(duì)數(shù)列中以后的數(shù)是不可預(yù)測(cè)的。對(duì)于真隨機(jī)數(shù)列來說，數(shù)列中每個(gè)數(shù)都獨(dú)立于其它數(shù)，因此是不可預(yù)測(cè)的。對(duì)于偽隨機(jī)數(shù)來說，就需要特別注意防止敵手從數(shù)列前邊的數(shù)預(yù)測(cè)出后邊的數(shù)。第5章密鑰分配與密鑰管理5.3.2 隨機(jī)數(shù)源真隨機(jī)數(shù)很難獲得，物理噪聲產(chǎn)生器，如離子輻射脈沖檢測(cè)器、氣體放電管、漏電容等都可作為隨機(jī)數(shù)源，但在網(wǎng)絡(luò)安全系統(tǒng)中很少采用，一方面是因?yàn)閿?shù)的隨機(jī)性和精度不夠，另一方面這些設(shè)備又很難連接到網(wǎng)絡(luò)系統(tǒng)中。一種方法是將高質(zhì)量的隨機(jī)數(shù)作為隨機(jī)數(shù)庫編輯成書，供用戶使用。

然而與網(wǎng)絡(luò)安全對(duì)隨機(jī)數(shù)巨大的需求相比，這種方式提供的隨機(jī)數(shù)數(shù)目非常有限。再者，雖然這時(shí)的隨機(jī)數(shù)的確可被證明具有隨機(jī)性，但由于敵手也能得到這個(gè)隨機(jī)數(shù)源，而難以保證隨機(jī)數(shù)的不可預(yù)測(cè)性。第5章密鑰分配與密鑰管理因此網(wǎng)絡(luò)安全中所需的隨機(jī)數(shù)都籍助于安全的密碼算法來產(chǎn)生。但由于算法是確定性的，因此產(chǎn)生的數(shù)列不是隨機(jī)的。然而如果算法設(shè)計(jì)得好，產(chǎn)生的數(shù)列就能通過各種隨機(jī)性檢驗(yàn)，這種數(shù)就是偽隨機(jī)數(shù)。5.3.3 偽隨機(jī)數(shù)產(chǎn)生器最為廣泛使用的偽隨機(jī)數(shù)產(chǎn)生器是線性同余算法。

算法有四個(gè)參數(shù)：模數(shù)，乘數(shù)，增量，初值即種子；

由以下迭代公式得到隨機(jī)數(shù)數(shù)列：如果都為整數(shù)，則產(chǎn)生的隨機(jī)數(shù)數(shù)列也都是整數(shù)，且。第5章密鑰分配與密鑰管理和的取值是產(chǎn)生高質(zhì)量隨機(jī)數(shù)的關(guān)鍵。例如取，則結(jié)果數(shù)列中每一個(gè)數(shù)都是前一個(gè)數(shù)增1，結(jié)果顯然不能令人滿意。

如果，則產(chǎn)生的數(shù)列為，在32個(gè)可能值中只有4個(gè)出現(xiàn)，數(shù)列的周期為4，因此結(jié)果仍不能令人滿意。如果取其它值不變，則產(chǎn)生的數(shù)列為，周期增加到8。為使隨機(jī)數(shù)數(shù)列的周期盡可能大，應(yīng)盡可能大。普遍原則是選接近等于計(jì)算機(jī)能表示的最大整數(shù)，如接近或等于。第5章密鑰分配與密鑰管理評(píng)價(jià)線性同余算法的性能有以下三個(gè)標(biāo)準(zhǔn)：（1）迭代函數(shù)應(yīng)是整周期的，即數(shù)列中的數(shù)在重復(fù)之前

應(yīng)產(chǎn)生出之間的所有數(shù)。（2）產(chǎn)生的數(shù)列看上去應(yīng)是隨機(jī)的。因?yàn)閿?shù)列是確定性

產(chǎn)生的，因此不可能是隨機(jī)的，但可用各種統(tǒng)計(jì)檢

測(cè)來評(píng)價(jià)數(shù)列具有多少隨機(jī)性。（3）迭代函數(shù)能有效地利用32位運(yùn)算實(shí)現(xiàn)。通過精心選取和，可使以上三個(gè)標(biāo)準(zhǔn)得以滿足。

對(duì)第三條來說，為了方便32位運(yùn)算的實(shí)現(xiàn)，可取、為。對(duì)第一條來說，如果為素?cái)?shù)（即為素?cái)?shù)）且

，則當(dāng)是的一個(gè)本原根，即滿足：第5章密鑰分配與密鑰管理時(shí)，產(chǎn)生的數(shù)列是整周期的。例如即為的一個(gè)本原根，由此得到的隨機(jī)數(shù)產(chǎn)生器

已被廣泛應(yīng)用。Knuth給出了使迭代函數(shù)達(dá)到整周期的充要條件：定理5-1線性同余算法達(dá)到整周期的充要條件是：（1）；（2）對(duì)所有滿足的素?cái)?shù)，有；（3）若滿足，則滿足；通常，我們可取，其中是一整數(shù)，也是一整數(shù)，即可滿足定理5-1的條件。第5章密鑰分配與密鑰管理線性同余算法除了初值的選取具有隨機(jī)性外，算法本身并不具有隨機(jī)性，因?yàn)檫x定后，以后的數(shù)就被確定性地產(chǎn)生了。這個(gè)性質(zhì)可用于對(duì)該算法的密碼分析，如果敵手知道正在使用的是線性同余算法并知道算法的參數(shù)，則一旦獲得數(shù)列中的一個(gè)數(shù)，就可得到以后的所有數(shù)。甚至敵手如果只知道正在使用的是線性同余算法以及產(chǎn)生的數(shù)列中的極少一部分，就足以確定出算法的參數(shù)。

假定敵手能確定，就可通過以下方程組解出和。第5章密鑰分配與密鑰管理改進(jìn)的方法是利用系統(tǒng)時(shí)鐘修改隨機(jī)數(shù)數(shù)列。

一種方法是每當(dāng)產(chǎn)生N個(gè)數(shù)后，就利用當(dāng)前的時(shí)鐘值模后作為新種子。另一種方法是直接將當(dāng)前的時(shí)鐘值加到每個(gè)隨機(jī)數(shù)上（模加）。下面考慮隨機(jī)數(shù)產(chǎn)生器的實(shí)現(xiàn)。算法實(shí)現(xiàn)時(shí)，需解決的主要問題是溢出。溢出產(chǎn)生的原因在于乘積運(yùn)算在模運(yùn)算之前，若能顛倒兩個(gè)運(yùn)算的順序，則可避免溢出。將迭代關(guān)系寫為，對(duì)算法做如下修改：若，則由于，其中，所以

即第5章密鑰分配與密鑰管理下設(shè)，其中，。當(dāng)時(shí)，以下算法可有效地解決溢出。令，即由的定義及知，當(dāng)時(shí)，和的取值都在之間，所以。容易驗(yàn)證，所以或1。第5章密鑰分配與密鑰管理的值可不通過它的定義，而直接由的值得出。這是因?yàn)?，所以?dāng)且僅當(dāng)時(shí)，；當(dāng)且僅當(dāng)時(shí)，。由此得：算法進(jìn)一步修改如下：設(shè)，，那么對(duì)線性同余算法，有以下一些常用的變形。第5章密鑰分配與密鑰管理1.冪形式冪形式的迭代公式為：其中是參數(shù)，是種子。根據(jù)參數(shù)的取法，冪形式又分為以下兩種：1）RSA產(chǎn)生器若參數(shù)取為RSA算法的參數(shù)，即是兩個(gè)大素?cái)?shù)的乘積，是RSA的秘密鑰，滿足，此時(shí)的隨機(jī)數(shù)產(chǎn)生器稱為RSA產(chǎn)生器。第5章密鑰分配與密鑰管理【例5-2】，滿足RSA產(chǎn)生器為

2）平方產(chǎn)生器若取2，，而、是滿足的大素?cái)?shù)，此時(shí)的隨機(jī)數(shù)產(chǎn)生器稱為平方產(chǎn)生器。其迭代公式為：2.離散指數(shù)形式離散指數(shù)形式的迭代公式為：其中是參數(shù)，是種子。第5章密鑰分配與密鑰管理5.3.4 基于密碼算法的隨機(jī)數(shù)產(chǎn)生器為了產(chǎn)生密碼中可用的隨機(jī)數(shù)，可使用加密算法。這一小節(jié)介紹三個(gè)具有代表性的例子。1.循環(huán)加密圖5-9 循環(huán)加密產(chǎn)生偽隨機(jī)數(shù)第5章密鑰分配與密鑰管理圖5-9是通過循環(huán)加密由主密鑰產(chǎn)生會(huì)話密鑰的示意圖，其中周期為N

的計(jì)數(shù)器用來為加密算法產(chǎn)生輸入。例如要想產(chǎn)生56比特的DES密鑰，可使用周期為的計(jì)數(shù)器，每產(chǎn)生一個(gè)密鑰后，計(jì)數(shù)器加1。因此本方案產(chǎn)生的偽隨機(jī)數(shù)以整周期循環(huán)，輸出數(shù)列中的每個(gè)值都是由計(jì)數(shù)器中的不同值得到，因此。

又因?yàn)橹髅荑€是受到保護(hù)的，所以知道前面的密鑰值想得到后面的密鑰在計(jì)算上是不可行的。為進(jìn)一步增加算法的強(qiáng)度，可用整周期的偽隨機(jī)數(shù)產(chǎn)生器代替計(jì)數(shù)器作為方案中加密算法的輸入。第5章密鑰分配與密鑰管理2.DES的輸出反饋（OFB）模式DES的OFB模式（如圖3-13所示）能用來產(chǎn)生密鑰并能用于流加密。加密算法的每一步輸出都為64比特，其中最左邊的個(gè)比特被反饋回加密算法。因此加密算法的一個(gè)個(gè)64比特輸出就構(gòu)成了一個(gè)具有很好統(tǒng)計(jì)特性的偽隨機(jī)數(shù)序列。同樣，如此產(chǎn)生的會(huì)話密鑰可通過對(duì)主密鑰的保護(hù)而得以保護(hù)。3.ANSIX9.17的偽隨機(jī)數(shù)產(chǎn)生器ANSIX9.17的偽隨機(jī)數(shù)產(chǎn)生器是密碼強(qiáng)度最高的偽隨機(jī)數(shù)產(chǎn)生器之一，已在包括PGP等許多應(yīng)用過程中被采納。第5章密鑰分配與密鑰管理圖5-10 ANSIX9.17偽隨機(jī)數(shù)產(chǎn)生器第5章密鑰分配與密鑰管理圖5-10是ANSIX9.17偽隨機(jī)數(shù)產(chǎn)生器的框圖，產(chǎn)生器有3個(gè)組成成分：（1）輸入：

輸入為兩個(gè)64比特的偽隨機(jī)數(shù)，其中表示當(dāng)前的日期和時(shí)間，每產(chǎn)生一個(gè)數(shù)后，都更新一次；是產(chǎn)生第個(gè)隨機(jī)數(shù)時(shí)的種子，其初值可任意設(shè)定，以后每次自動(dòng)更新。（2）密鑰：產(chǎn)生器用了3次三重DES加密，3次加密使用相同的兩個(gè)56比特的密鑰和，這兩個(gè)密鑰必須保密且不能用做他用。第5章密鑰分配與密鑰管理（3）輸出：輸出為一個(gè)64比特的偽隨機(jī)數(shù)和一個(gè)64比特的新種子，其中：EDE表示兩個(gè)密鑰的三重DES。本方案具有非常高的密碼強(qiáng)度，這是因?yàn)椴捎昧?12比特長(zhǎng)的密鑰和9個(gè)DES加密，同時(shí)還由于算法由兩個(gè)偽隨機(jī)數(shù)輸入驅(qū)動(dòng)，一個(gè)是當(dāng)前的日期和時(shí)間，另一個(gè)是算法上次產(chǎn)生的新種子。

而且即使某次產(chǎn)生的隨機(jī)數(shù)泄露了，但由于又經(jīng)一次EDE加密才產(chǎn)生新種子，所以別人即使得到也得不到，從而得不到新隨機(jī)數(shù)。第5章密鑰分配與密鑰管理5.3.5 隨機(jī)比特產(chǎn)生器在某些情況下，需要的是隨機(jī)比特序列，而不是隨機(jī)數(shù)序列，如流密碼的密鑰流。下面介紹幾個(gè)常用的隨機(jī)比特產(chǎn)生器。1.BBS（Blum-Blum-Shub）產(chǎn)生器BBS產(chǎn)生器是已經(jīng)過證明的密碼強(qiáng)度最強(qiáng)的偽隨機(jī)數(shù)產(chǎn)生器，它的整個(gè)過程如下：首先，選擇兩個(gè)大素?cái)?shù)，滿足，令。再選一隨機(jī)數(shù)，使得與互素。然后按以下算法產(chǎn)生比特序列：第5章密鑰分配與密鑰管理即在每次循環(huán)中取的最低有效位。BBS的安全性基于大整數(shù)分解的困難性，它是密碼上安全的偽隨機(jī)比特產(chǎn)生器。如果偽隨機(jī)比特產(chǎn)生器能通過下一比特檢驗(yàn)則稱為密碼上安全的偽隨機(jī)比特產(chǎn)生器，具體定義為：以偽隨機(jī)比特產(chǎn)生器的輸出序列的前個(gè)比特作為輸入，如果不存在多項(xiàng)式時(shí)間算法，能以大于的概率預(yù)測(cè)第個(gè)比特。換句話說，已知一個(gè)序列的前個(gè)比特，不存在實(shí)際可行的算法能以大于的概率預(yù)測(cè)下一比特是0還是1。第5章密鑰分配與密鑰管理【例5-3】，種子，結(jié)果由表5-1給出。表5-1 BBS產(chǎn)生器的一個(gè)例

020749

11137922011431351121231751217767111386300397048014114386048999201514863151740511161330151680649117106065174566311845870086944201913717119186894020480600101770460

第5章密鑰分配與密鑰管理2.Rabin產(chǎn)生器設(shè)是一整數(shù)，在之間均勻選擇兩個(gè)奇素?cái)?shù)、，滿足（這個(gè)條件保證是模和模的非平方剩余），令。迭代公式為：取則就是產(chǎn)生的隨機(jī)比特序列。第5章密鑰分配與密鑰管理3.離散指數(shù)比特產(chǎn)生器設(shè)是兩個(gè)整數(shù)，在之間均勻選擇一個(gè)奇素?cái)?shù)，設(shè)是的一個(gè)本原根。迭代公式為：取為的最高有效位其中為取上整數(shù)函數(shù)，則就是產(chǎn)生的隨機(jī)比特序列。第5章密鑰分配與密鑰管理5.4秘密分割5.4.1 秘密分割門限方案5.4.2 Shamir門限方案5.4.3 基于中國(guó)剩余定理的門限方案第5章密鑰分配與密鑰管理5.4.1 秘密分割門限方案在諸如導(dǎo)彈控制發(fā)射、重要場(chǎng)所的通行等情況都必須由兩人或多人同時(shí)參與才能生效，這時(shí)都需要將秘密分給多人掌管，并且必須有一定數(shù)目的掌管秘密的人同時(shí)到場(chǎng)才能恢復(fù)這一秘密。由此，引入門限方案（ThresholdSchemes）的一般概念。定義5-1

設(shè)秘密被分成個(gè)部分信息，每一部分信息稱為一個(gè)子密鑰或影子，由一個(gè)參與者持有，使得：（1）由個(gè)或多于個(gè)參與者所持有的部分信息可重

構(gòu)。第5章密鑰分配與密鑰管理（2）由少于個(gè)參與者所持有的部分信息則無法重構(gòu)。稱這種方案為-秘密分割門限方案，稱為方案的門限值。如果一個(gè)參與者或一組未經(jīng)授權(quán)的參與者在猜測(cè)秘密時(shí)，并不比局外人猜秘密時(shí)有優(yōu)勢(shì)，則稱這個(gè)方案是完善的，即-秘密分割門限方案是完善的，如果：（3）由少于個(gè)參與者所持有的部分信息得不到的任

何信息。下面介紹最具代表性的兩個(gè)秘密分割門限方案。第5章密鑰分配與密鑰管理5.4.1 Shamir門限方案Shamir門限方案是基于多項(xiàng)式的Lagrange插值公式的。插值是古典數(shù)值分析中的一個(gè)基本問題，問題如下：已知一個(gè)函數(shù)在個(gè)互不相同的點(diǎn)的函數(shù)值，尋求一個(gè)滿足的函數(shù)，用來逼近。稱為的插值函數(shù)，可取自不同的函數(shù)類，既可為代數(shù)多項(xiàng)式，也可為三角多項(xiàng)式或有理分式。若取為代數(shù)多項(xiàng)式，則稱插值問題為代數(shù)插值，稱為的插值多項(xiàng)式。常用的代數(shù)插值有Lagrange插值、Newton插值、Hermite插值。第5章密鑰分配與密鑰管理已知在個(gè)互不相同的點(diǎn)的函數(shù)值，可構(gòu)造次插值多項(xiàng)式為L(zhǎng)agrange插值：這個(gè)公式稱為L(zhǎng)agrange插值公式。上述問題也可認(rèn)為是已知次多項(xiàng)式的個(gè)互不相同的點(diǎn)的函數(shù)值，構(gòu)造多項(xiàng)式。若把密鑰取作，個(gè)子密鑰取作，那么利用其中的任意個(gè)子密鑰可重構(gòu)，從而可得密鑰，這種-秘密分割門限方案就是Shamir門限方案。第5章密鑰分配與密鑰管理這種方案也可按如下更一般的方式來構(gòu)造。

設(shè)是一有限域，其中是一大素?cái)?shù)，滿足,秘密是在上均勻選取的一個(gè)隨機(jī)數(shù)，表示為

。

個(gè)系數(shù)的選取也滿足。在上構(gòu)造一個(gè)次多項(xiàng)式個(gè)參與者記為,分配到的子密鑰為。如果任意個(gè)參與者要想得到秘密，可使用構(gòu)造如下的線性方程組：第5章密鑰分配與密鑰管理（5.1）因?yàn)榫幌嗤钥捎蒐agrange插值公式構(gòu)造如下的多項(xiàng)式：從而可得秘密。然而參與者僅