第2章公開密鑰密碼學(xué)2.1

公開密鑰密碼系統(tǒng)的原理2.2

RSA

算法2.3密鑰管理2.4

Diffie-Hellman密鑰交換算法jian

un

an

nd

tech大2

.

0基本概念對(duì)稱密碼體制的缺陷：·密鑰分配問題：

通信雙方要進(jìn)行加密通信，需要通過秘密的安全信道協(xié)商加密密鑰，而這種

安全信道可能很難實(shí)現(xiàn)；密鑰管理問題：

在有多個(gè)用戶的網(wǎng)絡(luò)中，任何兩個(gè)用戶之間都需要有共享的秘密鑰，當(dāng)網(wǎng)絡(luò)

中的用戶n很大時(shí)，需要管理的密鑰數(shù)目是非

常大

。·沒有簽名功能：

當(dāng)主體A

收到主體B的電子文擋(電子數(shù)據(jù))時(shí)，無法向

第三方證明此電子文

檔確實(shí)來源于B。jian

u

t

技ienceand

tech大2

.

0基本概念·

1976年，

W.Diffie

和M.E.Hellman

發(fā)表了“密碼學(xué)

的新方向

(New

Directions

inCryptography)”一文，提出了公鑰密碼學(xué)

(P

ublic-keycryptography)

的思想，在公鑰密碼體制

(Public-key

cryptosystem)

中加密密鑰和解密密鑰是不同的，加密密鑰可以

公開傳播而不會(huì)危及密碼體制的安全性?！?/p>

通信的一方利用某種數(shù)學(xué)方法可以產(chǎn)生一個(gè)密鑰對(duì)，一個(gè)稱為公鑰

(Public-key),另外

一個(gè)稱為

私鑰

(Private-key)

。

該密鑰對(duì)中的公鑰與私鑰是

不同的，但又是相互對(duì)應(yīng)的，并且由公鑰不能推

導(dǎo)出對(duì)應(yīng)的私鑰。選擇某種算法(可以公開)能

做到：用公鑰加密的數(shù)據(jù)只有使用與該公鑰配對(duì)

的私鑰才能解密。jian

un

e

nd

tech大基本概念(續(xù))·

公鑰加密算法的核心——單向陷門函數(shù)，即從一個(gè)方向求值是容易的。但其逆向計(jì)

算卻很困難，從而在實(shí)際上成為不可行?！?/p>

定義1.設(shè)f

是一個(gè)函數(shù)，如果對(duì)任意給定

的x,計(jì)算y,使得y=f(x)是容易計(jì)算的，但對(duì)

于任意給定的

，計(jì)算x,

使得x=f1()是難

解的，即求

f

的逆函數(shù)是難解的，則稱

f是

一個(gè)單向函數(shù)。jian

un

an

nd

tech大基本概念

(

續(xù)

)●定義2.設(shè)

f

是一個(gè)函數(shù)，t

是與

f有關(guān)的一個(gè)參數(shù)。對(duì)于任意給定的x,

計(jì)算y,

使得y=f(x)是容易的。如果當(dāng)不知參數(shù)

t時(shí)，計(jì)算的逆函數(shù)是難解的，但當(dāng)知道參數(shù)

時(shí)，計(jì)算函數(shù)的逆函數(shù)是容易的，則稱

是一個(gè)單向陷門函數(shù)，其中參數(shù)稱為陷

門

。t江藥科技大學(xué)jiangsu

university

of

science

and

technology基本概念公開密鑰密碼體制于1976年由W.Diffie

和

M.Hellman提出，同時(shí)R.Merkle

也獨(dú)立提出了這一體

制?？捎糜诒Ｃ芡ㄐ?，也可用于數(shù)字簽字。這一

體制的出現(xiàn)在密碼學(xué)史上是劃時(shí)代的事件，它為

解決計(jì)算機(jī)信息網(wǎng)中的安全提供了新的理論和技

術(shù)基礎(chǔ)。自1976年以來，公開密鑰技術(shù)有了飛速發(fā)展，

不僅提出了多種算法，而且出現(xiàn)了不少安全產(chǎn)品。

本章將介紹其中的一些主要體制。包括可用于密

鑰分配、加解密的雙鑰算法。

一個(gè)好的系統(tǒng)，不

僅算法要好，還要求能與其它部分，如協(xié)議等進(jìn)

行有機(jī)的組合。jian

un

e

nd

tech大WhitfieldDiffie,IACRFellow(2004)Fortheinventionof

public-keycryptography.Whit

Diffieand

Marty

HellmanMarty

Hellman

and

Whit

DiffieSn

n

?※常規(guī)密鑰密碼體制存在的問

題：■

密鑰分配問題■

層次密鑰結(jié)構(gòu)未根本解決問題■

Eks[M];

Em[Ks]■簽名驗(yàn)證問題Diffie和Hellman

在1976年取得了

一

項(xiàng)驚人的突

破，

他們研究得到

一

種解決方法，

并且這

個(gè)方法與過去4000年間的所有密碼編碼學(xué)方

法

都截然不同。z

系

科

技ianas

university

o

enceJidn

gst嶺teno大and2.1.1

公

開

密

鑰

密

碼系統(tǒng)·公開密鑰算法要求每個(gè)參與方擁有用一對(duì)

密

鑰，

一

個(gè)公開，另一

個(gè)保密。用一

個(gè)密

鑰進(jìn)行加密，而用另一個(gè)不同

但

是

有

關(guān)的

密鑰進(jìn)行解密。

這些算法有以下重要特

性：

1

)

僅

僅

知

道密

碼

算

法和

加密密鑰而要確定

解密密鑰，在計(jì)算上是不可能的。另外，某些算法

，

比

如RSA

,

還具有下列特

性

：2)兩個(gè)相關(guān)密鑰中任何一個(gè)都可以用作加

密而讓另外一個(gè)用作解密。jian

un

e

nd

tech大※公開密鑰密碼體制的特點(diǎn)：■

公開密鑰算法基于數(shù)學(xué)函數(shù)而不是替代和

置換?！龉_密鑰密碼體制中的密鑰是非對(duì)稱的，它用到兩個(gè)不同的密鑰，

這對(duì)于保密通信、密鑰分配和鑒別等領(lǐng)域都有著深遠(yuǎn)的影響?！?/p>

公開密鑰密碼成功地解決了計(jì)算機(jī)網(wǎng)絡(luò)安

全的身份鑒別、數(shù)字簽名等問

題

，推

動(dòng)

了

包括電子商務(wù)在內(nèi)的一大批網(wǎng)絡(luò)應(yīng)用的不

斷深入發(fā)

展?！?/p>

使

密鑰管理變得容易了。■

加密和解密較常規(guī)密鑰密碼體制慢

。jian

un

an

nd

tech大需

要險(xiǎn)

清得幾個(gè)問題：■

“公開密鑰加密方法要比傳統(tǒng)的加密方法更加安全”。事實(shí)上，任何加密方案的安全程度都依賴于密鑰的長(zhǎng)度和破譯密碼所包含的工作量?！?/p>

“公開密鑰密碼體制是一種通用技術(shù)，它

已使傳統(tǒng)密碼體制成為陳舊”。其實(shí)正相反，由于當(dāng)前公開密鑰加密在計(jì)算上的巨大開銷，在可預(yù)見的將來常規(guī)加密并不會(huì)被拋棄?！觥肮_密鑰的密鑰分配實(shí)現(xiàn)起來很簡(jiǎn)單”。事實(shí)上仍需要某種形式的協(xié)議。jia

u

y科ofsc

a

h·公開密鑰加密過程中的重要步驟如下：1.

產(chǎn)

生

密

鑰2.

公開密鑰3.

加

密

用

B

的

公

開

密

鑰

加

密這

個(gè)

報(bào)

文c=EkuB

[p]4.解

密

用

自

己

的私有密鑰(保密密鑰)解

密報(bào)

文p=DKRBIc]jiang

un

科ofsc技ience

an大dtech江益科拉大學(xué)jiangsu

university

of

science

and

technology·

公開密鑰用于加密：A

的

公開密鑰環(huán)M

BB

的公開

密鑰明文輸入加密算法(例如RSA)發(fā)送方A加密解密算法(加密算法

的反向過程)明文輸出接收方BB的私有

密鑰傳輸?shù)拿芪慕砜评髮W(xué)公開

密鑰

用于鑒別：1.

如果A

想給B

發(fā)送

一

個(gè)簽名報(bào)文，他就用自己的

私有(保密)密鑰加密這個(gè)報(bào)文。2.B收到這個(gè)報(bào)文后就用A的公開密鑰鑒別該報(bào)文。B的公開密鑰環(huán)明文輸入

加密算法(例如RSA)鑒別MA的私有密鑰環(huán)接收方B

A的公開密鑰解密算法(加密算法

的反向過程)發(fā)送方A傳輸?shù)拿芪拿魑妮敵?/p>

jian

un

an

n密

鑰

廣

生：

本地產(chǎn)生

一對(duì)密鑰·

密

鑰

控制：私

鑰保

密，

公

鑰公開·

密鑰更新：

產(chǎn)生，公開公鑰取代舊公鑰·

區(qū)分常規(guī)密鑰加密和公開密鑰加密這兩個(gè)

體

制

：

常規(guī)加密中使用的密鑰稱為秘

密

密

鑰(secret

key),公開密鑰加密中使用的兩個(gè)

密鑰則稱為公開密鑰(public

key)和

私有密鑰(private

key)。·

符

號(hào)

約

定：

Kab,Km,K,

KUa,KR·

加密：EKab[P],Ekua[P],ErRa[P](簽

名

)·

解密：

DKab[C],DkRa[C],Dkua[C](鑒別)d

tech大江蘇科技大學(xué)用公開密鑰進(jìn)行加密的方法：Y=Eku?(X)X=DkR?(Y)密碼分析者終點(diǎn)BX解密算法

目的端源點(diǎn)AX報(bào)文源點(diǎn)KUb公開密鑰密碼系統(tǒng)：保密KRb密鑰對(duì)產(chǎn)生源Y加密算法z

彭

技

大

學(xué)ienos

ers

c

ecB;

井

行

鑒

o

的

六

法

·A

給

B

發(fā)送報(bào)文，傳輸之前

用A

的私有密鑰對(duì)它進(jìn)行加

密(簽

名)。

B用

A的公開密鑰將這個(gè)報(bào)文解密(

鑒別)。Y=

EKRa(X)X=Dku?(Y)密碼分析者→kRKRa

KUa密鑰對(duì)產(chǎn)生源公開密鑰密碼系統(tǒng)：鑒別源點(diǎn)AX報(bào)文源點(diǎn)終點(diǎn)BX

解密算法加密算法終點(diǎn)·

該報(bào)文是

用A的私有密鑰加密的，只

有A才

可能發(fā)送了這個(gè)報(bào)文。

整個(gè)的加密報(bào)文就

可以當(dāng)作一個(gè)數(shù)字簽名。得不到A的私有密

鑰就不可能對(duì)報(bào)文進(jìn)行改動(dòng)，因此報(bào)文的發(fā)

送

者和數(shù)據(jù)的完整性同時(shí)得到了證實(shí)。江蘇科拉大學(xué)jiangsu

university

of

science

and

technology江藥科技大學(xué)jiangsu

university

of

science

and

technology·用公開密鑰進(jìn)行加密和鑒別的方法：Z=EKu.[EKRa(x)]KUb

KRb密鑰對(duì)

產(chǎn)生源公開密鑰密碼系統(tǒng)：保密和鑒別X=Dkua[DKR?(Z)]源點(diǎn)AKRa

KUa密鑰對(duì)產(chǎn)生源Z解密算法X加密算法Y解密算法Y加密算法報(bào)文

終點(diǎn)報(bào)文

源點(diǎn)終點(diǎn)BX2.1.2

公開密鑰密碼系統(tǒng)的應(yīng)用1)

加密/解密2)

數(shù)字簽名3)密

鑰

交

換

交換會(huì)話密鑰不同算法的應(yīng)用范圍：算

法

加密/解密

RSA

是Diffie-Hellman

否DSS

否是

是

否數(shù)字簽名江茲科拉大學(xué)是

否

是密鑰交換jiangsu

university

of

science

and

technology加密解密安全條件加密速度方

便

性密鑰數(shù)量功

能同一密鑰密鑰必須保密快密鑰初始分配不便N(N-1)/2加密江茲科拉大學(xué)2.1.3常規(guī)加密和公開密鑰加密的比較公開密鑰加密不同密鑰其中一個(gè)保密慢密鑰公開方便2N加密，簽名，密鑰分配常規(guī)加密Return2.2

RSA算

法RSA

密

碼

體

制MIT

三位年青數(shù)學(xué)家R.L.Rivest,A.Shamir

和

L.Adleman

發(fā)現(xiàn)了一種用數(shù)論構(gòu)造雙鑰的方法，稱作

MIT

體制，后來被廣泛稱之為RSA

體制。它既可用于

加密、又可用于數(shù)字簽字，易懂且易于實(shí)現(xiàn)，是目前

仍然安全并且逐步被廣泛應(yīng)用的一種體制。國(guó)際上一

些標(biāo)準(zhǔn)化組織ISO

、ITU

、及SWIFT等均已接受RSA體制作為標(biāo)準(zhǔn)。在Internet中所采用的PGP(Pretty

Good

Privacy)中也將RSA作為傳送會(huì)話密鑰和數(shù)字簽字的標(biāo)

準(zhǔn)算法。jian

un

e

nd

tech大RonaldL.Rivest2.2

RSA算

法·

公開密鑰密碼系統(tǒng)中最

常用的

是RSA

算法(Rivest,

Shamir,Adleman)

。·RSA

是分組密碼體

制1

.

生成密鑰①首先任意選取兩個(gè)大素?cái)?shù)p、q,

使

：n=pq

n稱

為模則歐拉函數(shù)φ(n)為：φ(n)=(p-1)(q-1)②然后，任意選取一個(gè)與φ(n)互

素

的小整數(shù)e作

為

公

開的加密指數(shù)。③由e求出秘密的解密指數(shù)d

:de=k(φ(n))+1=1

modφ(n)ji

科ityofsci

an

nd

tech大

公鑰(n,e);私

鑰(n,d)因

子p、q與私鑰一起保存或銷毀。2.RSA

加密/解密算法RSA

加密：將明文數(shù)字化并分組，使明文分組m滿足：

O≤m<n。對(duì)每塊進(jìn)行加密變換：c=Eku(m)=me

mod

n解密

過程：

m=DKR(c)=cdmod

n在

RSA

體

制

下，加密算法和解密算法之間，

有下面的關(guān)系成立：DkR(Eku(m))=(me)d=m

mod

nEku(Dkr(m))=(md)e=m

mod

nia

u

科yofscie

n.

讓由

費(fèi)

馬

定

理

：m(P-1)=1

mod

p將它們兩邊取k(q-1)次

冪

，并

乘

以m

得

：左邊=mk(p-1)(q-1)+1=mk[p(n)]+1=med右

邊=m即

：med=m(modp)同

樣，

將p換

成q

也得相同的結(jié)果。即

：med=m

(mod

q)所以對(duì)于n=pq

有med=m(mod

pq)=m(mod

n)"an

ur

ndtech大(1)

設(shè)計(jì)密鑰①設(shè)素?cái)?shù)p=3,

q=17。②計(jì)

算n:

n=pq=3×17=51③計(jì)算φ(n):φ(n)=(p-1)(q-1)=2×16=32選取e=13,e

與φ(n)=32互素。因此公開的加密密鑰是：n=51,e=13

。然后根據(jù)下式求d,先

試

一

下(p-1)和(q-1)的最大公約數(shù)ka=k[φ(n)]+1在這個(gè)例子中，k=2,

所

以

：解

密

指

數(shù)d=(2×32+1)/13=65/13=5,解

密

密

鑰d=5,江蘇科拉大學(xué)jianasu

university

of

science

and

technologyn=51

。(2)甲方把轉(zhuǎn)換成等效數(shù)字的明文“2”發(fā)

送給乙方

：①甲方用公開的加密密鑰e、n將

明

文加

密

成密

文c:c

=me

mod

n=213mod

51=8192

mod

51=32②乙方用自己秘密保存的解密密鑰d、

n

將

密文轉(zhuǎn)換成明文：m=cd

mod

n=32?mod51=322×322×32

mod51=1024×1024×32

mod

51=4×4×32

mod

51=512

mod

51=

2江藥科技大學(xué)jiangsu

university

of

science

and

technology江彭科技大學(xué)ja19

0

mnirerslye

的三個(gè)發(fā)明人在

《科學(xué)美國(guó)人》雜志的數(shù)

學(xué)游戲?qū)诹粝铝?/p>

一個(gè)129位的十進(jìn)制數(shù)(426

bit)密鑰，

懸賞$100,估計(jì)破譯時(shí)間為4億億年后。1994年Atkins等人動(dòng)用網(wǎng)上的1600臺(tái)計(jì)算機(jī)，耗

時(shí)8個(gè)月，成功地破譯了該密碼?！?999年一個(gè)國(guó)際密碼研究小組在RSA

公司舉辦的RSA密鑰競(jìng)賽中榮獲冠軍。該小組

用7個(gè)月時(shí)間，使用世

界各地11個(gè)地點(diǎn)292臺(tái)計(jì)算機(jī)，其中160臺(tái)SGI

和SUN工作站及120臺(tái)PII

PC機(jī)

，確定了生成單個(gè)512位RSA密鑰所用的兩個(gè)素?cái)?shù)。-

512

bit154位10進(jìn)制數(shù)不夠安全-768

bit231位10進(jìn)制數(shù)個(gè)人應(yīng)用-1024

bit308位10進(jìn)制數(shù)商業(yè)應(yīng)用-

2048

bit616

位10進(jìn)制數(shù)重要場(chǎng)合-

ceAReturnPublicKeySystem

-RSAUS10,000·

2002年10月7日，以破解加密技術(shù)而著稱RSA-576=188198812920607963838697239461650439807163563379417382700763356422988859715234665485319060606504743045317388011303396716199692321205734031879550656996221305168759307650257059=(398075086424064937397125500550386491199064362342526708406385189575946388957261768583317)*(472772146107435302536223071973048224632914695302097116459852171130520711256363590397527)江茲科拉大學(xué)ChallengeNumberPrize($US)StatusSubmissionDateSubmitter(s)RSA-576$10,000FactoredDecember

3,2003J.Franke

etal.RSA-640$20,000NotFactoredRSA-704$30,000NotFactoredRSA-768$50,000NotFactoredRSA-896$75,000NotFactoredRSA-1024$100,000NotFactored?

CRYPTOBYTES?

TECH

NOTES?

SUBMISSIONSCRYPTOGRAPHERS'TRACK?STAFF&ASSOCIATESCHALLENGESThe

Mew

RSA

Factoring

ChallengeTheRSAChallengeNumbers-The

RSA

FactoringChallenge

FAQ-FactorizationSubrmissionForm-RSA-576is

factored!-RSA-160is

factored!-RSA-155is

factored!-RSA-140

isfactored!The

RSALaboratoriesSecret-KeyChallengeDESChallenge

ⅢAlinktoeachof

theeightRSAchallengenumbersislistedbelow.Thenumbersaredesignated"RSA-XXX",whereX0Xisthenumber'slength,inbits.Thevaluesarepresentedasdecimalstrings,withthemostsignificant

digitfirst.Alsolistedarethenumberofdigits,thedecimalsum

ofthedigits

and

the

dollar

amount

to

be

awarded

for

a

successful

factorization.Each

challenge

number

may

be

downloaded

as

an

ASCll

text

file.The

entirechallengelistmaybedownloaded,inASClltextformat,usingthelinkbelow.Home:Cryptographic

Challenges:The

New

RSA

Factoring

ChallengeThe

RSAChallenge

Numbersjian

un

y科ofscie

an

nd

tech大RSA

Laboratories基SECURITYRSA

大素?cái)?shù)分解·RSA

security

公司懸賞的大數(shù)數(shù)分解問題·N=pq·RSA-576

—2003年12月3日，一個(gè)德國(guó)機(jī)

構(gòu)成功分解了RSA-576·RSA-640—

已經(jīng)分解了·

目前最大的數(shù)為RSA-2048懸賞金額US

$200,000jian

un

e

an

nd

tech大jian

un

e

n

RSA-

640(193decimal

digits)(3107418240490043721350750035888567930037346022842727545720161948823206440518081504556346829671723286782437916272838033415471073108501919548529007337724822783525742386454014691736602477652346609)=(1634733645809253848443133883865090859841783670033092312181110852389333100104508151212118167511579)*(1900871281664822113126851573935413975471896789968515493666638539088027103802104498957191261465571)d

tech大E/salabshodeasp?id=2093SECU

RITY完成AlinktoeachoftheeightRSAchallengenumbersis

listed

below.The

numbersare

designated

"RSA-XXXX,where

XXXXis

thenumber'slength,inbits.Thevaluesare

presentedas

decimal

strings,with

themostsignificant

digit

first.Alsolistedarethenumberofdigits,thedecimalsumofthedigitsandthedollaramounttobeawardedfor

a

successful

factorization.Eachchallengenumbermaybedownloadedas

anASCIltext

file.The

entirechallengelistmay

be

downloaded,in

ASCIl

text

format,using

the

link

below.DnwnlnadAIlChallenge

Numhers

In

Text

EnrmatChallengeNumberPrize($US)StatusSubmissionDateSubmitter(s)RSA-576$10,000FactoredDecember3,2003J.Franke

et

alRSA-640$20,000FactoredNovember

2,2005F.Bahr

et

al.RSA-704$30,000NotFactoredRSA-768$50,000NotFactoredRSA-896$75,000NotFactoredRSA-1024$100,000NotFactoredRSA-1536$150,000NotFactoredRSA-2048$200,000NotFactoredCryptographicChallengesThe

RSA

FactoringChallenge-The

RSA

LaboratoriesSecret-KeyChallenge-DESChallengeⅢThe

RSA

Factoring

Challenge-The

RSA

Challenge

Humbers-TheRSAFactoringChallenge

FAQ-FactorizationSubmission

Form-RSA-640

is-RSA-200

is-RSA-576

is-RSA-160

is-RSA-155is-RSA-140

isfactored!

factored!factored!factored!factored!factored!Home:OtherActivities:CryptographicChallenges:The

RSA

FactoringChallengeThe

RSAChallenge

NumbersRSASecurity-TheRSAChallengeHambers-MozillaFirefox檔案(F

編輯(

E

檢

視

V測(cè)覽G書籤

(B工具(T

説明(H).2

.

3密鑰管理公開密鑰加密的用途實(shí)際上包括兩個(gè)不同的方面：2.3.1

公

開

密

鑰

的

分

配2.3.2用公開密鑰分配秘密密鑰jian

un

an

nd

tech大2

.3

.

1公開密鑰的分配·

分配公開密鑰的技術(shù)方案有多種。

幾

乎所有這些方案都可以歸為下列幾類：公

開宣布

公開可以得到的目錄公開密鑰管理機(jī)構(gòu)公開密鑰證書

D江蘇科拉大學(xué)jiangsu

university

of

science

and

technologyD江茲科技大學(xué)公開密鑰的公開宣布·

宣布方法：(1)

一一發(fā)送(2)廣播發(fā)送(3)利用公開論壇發(fā)布(新聞組，郵件組)不受控制的公開密鑰分配優(yōu)點(diǎn)：方便。問題：偽造公開告示。ReturnKUaKUbKUaKUbABKUaKUbKUaKUh公開可以得到的目錄·由一

個(gè)受信任的系統(tǒng)或組織維持

一

個(gè)公開可以得

到的公開密鑰動(dòng)態(tài)目錄。目錄KUbB公開密鑰的出版1.

管理機(jī)構(gòu)為每個(gè)參與者維護(hù)

一

個(gè)目錄項(xiàng)

{名字，公開密鑰}。2.

管理

機(jī)

構(gòu)

定

期發(fā)表這個(gè)目錄或者對(duì)目錄進(jìn)行的更

新。例如，可以出版一個(gè)很像電話號(hào)碼簿的打印版本，或者可以在一份發(fā)行量很大的報(bào)紙上列出更新的內(nèi)容。江藥科技大學(xué)jiangsu

university

of

science

and

technology3.

每個(gè)參與者在目錄管理機(jī)構(gòu)登記一個(gè)公開密

鑰

。登記必須面對(duì)面進(jìn)行，或者通過某種安

全的經(jīng)過認(rèn)證的通信方式進(jìn)行。4

.

參與者可以隨時(shí)用新的密鑰更換原來的密鑰。5

.

參與者可能以電子方式訪問目錄。

為了這個(gè)目的，從管理機(jī)構(gòu)到參與者的通信必須是安全

的、經(jīng)過鑒別的通信?！?/p>

這個(gè)方案明顯比各個(gè)參與者單獨(dú)進(jìn)行公開告示

更加安全。Return江茲科拉大學(xué)發(fā)

送SYN

消

息(SEQ=x)接收sYN消息(SEQ=y,ACK=x+1)發(fā)

送

確

認(rèn)(ACK=y+1)接

收sYN

消

息(SEQ=x)發(fā)送SYN消息(SEQ=y,ACK=x+1)接收確認(rèn)(ACK=y+1)TCP通過三次握手建立連接序號(hào)來達(dá)到同步(確認(rèn))jian

un

an

nd

tech大江益科拉大學(xué)公

開

密

鑰

管

理

機(jī)

構(gòu)●

假

定：(1)中心管理機(jī)構(gòu)維護(hù)

一

個(gè)所有參與者的公開密鑰動(dòng)態(tài)目錄。(2)每個(gè)參與者都可靠地知道管理機(jī)構(gòu)的

一

個(gè)公開密鑰，而只有管理機(jī)構(gòu)才知道對(duì)應(yīng)的私有密鑰。公開密鑰管理機(jī)構(gòu)發(fā)起者

響應(yīng)者(6)EKUa[NI

N?1-(7)EKUb[N?J一公開密鑰分配的情形(5)EKRautn[KUall3EKUbIDA

日N1_(1)請(qǐng)求Ⅱ時(shí)間1(2)EKRaunIKUbI(4)請(qǐng)求Ⅱ時(shí)間2請(qǐng)求Ⅱ時(shí)間1j請(qǐng)

求I

時(shí)

間

2

1BA公開密鑰證書·證書方案：每

個(gè)

證書包

含一個(gè)公開密鑰以及其

他信息，它由一個(gè)證書管理機(jī)構(gòu)制作，并發(fā)給

具有相匹配的私有密鑰的參與者。一個(gè)參與者

通過傳輸它的證書將其密鑰信息傳送給另一個(gè)

參

與者

，其他參與者可以驗(yàn)證證書是否是管理

機(jī)構(gòu)制作的?！褡C書方案要

求：1.

證

書可閱讀2

.

證

書可

驗(yàn)

證(非偽造品；時(shí)效性)3.

證

書制作和更新在證書管理機(jī)構(gòu)jian

un

an

nd

tech大

江茲科拉大學(xué)證書方案：每個(gè)參與者都向證書管理機(jī)構(gòu)提出申請(qǐng)，(提供公開密鑰并

請(qǐng)求頒發(fā)證書)。申請(qǐng)必須是面對(duì)面

的或者是通過某種安全的經(jīng)過鑒別的方式進(jìn)行的。對(duì)于參與者A

來說，管理機(jī)構(gòu)提供如下形式的證書：CA=EKRauthIT,IDA,KUa]證書管理機(jī)構(gòu)KUbCB=EKRauthl

時(shí)間

2

.IDB.KUb】KUaCA=EKRaun時(shí)間1,IDA,KUa]B公開密鑰證書的交換A

江彭科拉大學(xué)可以將證書傳遞給任何其他的參與者，后者以如下方式對(duì)證書進(jìn)行驗(yàn)

證：DKUauth[CA]=Dkuauth[EKRauthIT,IDA,KUa]]=(T,IDA,KUa)接受者使用管理機(jī)構(gòu)的公開密鑰KUauth

將證書解密。

因?yàn)檫@個(gè)證書只能以管理機(jī)構(gòu)的公開密鑰進(jìn)行解讀，

這就驗(yàn)證了證書的確來自證書管理機(jī)構(gòu)。時(shí)

間戳T

用于驗(yàn)證證書的時(shí)效性。

時(shí)間戳防止下列情

形的出現(xiàn)：

A的私有密鑰被敵對(duì)方獲知。

A

產(chǎn)生

一個(gè)新的私有/公開密鑰對(duì)并向證書管理機(jī)構(gòu)申請(qǐng)

一個(gè)新的證書。同時(shí)敵對(duì)方將老的證書重放給B,

如果B

用被泄露的私有密鑰對(duì)應(yīng)的公開密鑰加密報(bào)文，

敵對(duì)方就可以解讀這些報(bào)文。

時(shí)間戳起的作用就像

一個(gè)失效日期。如果一個(gè)證書過分陳舊，就可以認(rèn)為它已經(jīng)過期。ReturnZ

彭

身

技

大

學(xué)2.3.2

用

公

開

密

鑰

分

配

秘密

密鑰一般的層次化的密鑰結(jié)構(gòu)密鑰分級(jí)：三級(jí)：對(duì)數(shù)據(jù)加密的密鑰二級(jí)：對(duì)三級(jí)密鑰加密的密鑰一級(jí)：對(duì)二級(jí)密鑰保護(hù)的密鑰注入

注入密鑰協(xié)議主密鑰

主密鑰密鑰協(xié)議密鑰加密密鑰

密鑰加密密鑰密鑰協(xié)議會(huì)話密鑰明文加密會(huì)話密鑰解密密文密文明文2

.3

.

2用公開密鑰分配秘密密鑰·

一旦公開密鑰已經(jīng)分配或者已經(jīng)可以得到，就可以進(jìn)行安全通信。但很少有用戶完全

用公開密鑰加密進(jìn)行通信，

因

為公開密鑰

加密速度慢。

合理的做法是將公開密鑰加

密當(dāng)作一個(gè)分配常規(guī)加密所用的秘密密鑰

的

工

具。1

.

簡(jiǎn)單的秘密密鑰分配-(2)EKuaKgl一用公開密鑰加密來建立會(huì)話密鑰的簡(jiǎn)單方法

江蘇科技大學(xué)AB希望和B

通信，

則使用下列步驟：1.A

產(chǎn)生一

個(gè)私有/公開密鑰對(duì){KUa,KRa}

并

給B傳

輸一個(gè)報(bào)文，其中包含KUa

和A

的一

個(gè)標(biāo)識(shí)符IDA。2.B

產(chǎn)

生一個(gè)秘密密鑰Ks,

并

將

其

用A

的公開密鑰加

密后傳輸給A。3.

A

計(jì)算DKRaEkua[Ks]]

來恢復(fù)這個(gè)秘密密鑰。因?yàn)橹挥?/p>

A

可以解密這個(gè)報(bào)文，所以只有A

和B

才會(huì)知道K

s。4.A棄用KUa

和KRa,

B棄用KUa。A

和B

現(xiàn)在就可以使用常規(guī)加密和會(huì)話密鑰進(jìn)行安全通

信。信息交互完成以后，A

和B

都丟

棄Ks

。

在通信之

前不存在密鑰，

而在通信完成以后也不存在密鑰，

因

而密鑰泄露的危險(xiǎn)被減小到最低程度。蘇科拉大學(xué)jia·(

問

題)此協(xié)議容易受到主動(dòng)攻擊。如果攻擊

方C

控制了中間的通信信道，那么C

就

可

以

用下列方式破壞通信而不被發(fā)覺：KUa/KRa

KUc/KRcKsKUa||IDA

KUc||IDAA

CBEkua[Ks]

Ekuc[Ks]攻擊方BDks[Eks[pl]

江茲科拉大學(xué)Eks[p]C攻擊方A發(fā)

送SYN

消

息(SEQ=x)接收sYN消息(SEQ=y,ACK=x+1)發(fā)

送

確

認(rèn)(ACK=y+1)接

收sYN

消

息(SEQ=x)發(fā)送SYN消息(SEQ=y,ACK=x+1)接收確認(rèn)(ACK=y+1)TCP通過三次握手建立連接序號(hào)來達(dá)到同步(確認(rèn))江茲科拉大學(xué)jiangsu

university

of

science

and

technology江茲科技大學(xué)2.具有保密和鑒別能力的秘密密鑰分配下圖給出了

一種防止被動(dòng)和主動(dòng)兩種攻擊的防護(hù)方法。

出發(fā)點(diǎn)是假

定A

和B己

經(jīng)

通

過

前邊描述的方案之一交換了公開密鑰。(1)Ekub[N

i

IDA](2)EKuaIN?|IN?

.B響應(yīng)者A發(fā)起者(4)EKUB[EKRalKsl]秘密密鑰的公開密鑰分配3

.

一

個(gè)混合方案·

另

一種使用公開密鑰加密分配秘密密鑰的方式是IBM主機(jī)使用的混合方法，這種方案保留了密鑰分配中

心

(KDC),這個(gè)KDC

與每個(gè)用戶共享一個(gè)秘密主

密

鑰

Km

并用這個(gè)主密鑰加密分配秘密的會(huì)話密鑰K

,。

公開密鑰方案被用來分配主密鑰，使用這種三層分配

方式的理

由如下：·

性

能：

在

許

多

應(yīng)

用

中

，會(huì)話密鑰變化頻繁。

用公開

密鑰加密分配會(huì)話密鑰會(huì)使系統(tǒng)的總體性能下降。使用三層結(jié)構(gòu)，公開密鑰加密只用來偶爾更新用戶

和KDC

之間的主密鑰?！は蚝蠹嫒菪裕?/p>

混合方案容易結(jié)合到現(xiàn)存的KDC

方

案

中

，軟件更改量小?！ぴ黾?/p>

一

個(gè)公開密鑰層提供了一

種安全有效的分配主密鑰的方法。

Return

江茲科拉大學(xué)對(duì)稱密碼技術(shù)密鑰分配---集中式共享密鑰

Km

KDC1:IDA//IDB//N?2:EkmIKs//IDA//IDB//N1//ErmIKs//IDAHA3:Ekm[Ks//IDAI4:Ek,[N2]5:Es

[f

(N2)]共享密鑰KmB江茲科技大學(xué)對(duì)稱密碼技術(shù)的密鑰分配方案①A→KDC:IDA//IDB//N1。A

向KDC發(fā)出會(huì)話密鑰請(qǐng)求。請(qǐng)

求

的消息由兩個(gè)數(shù)據(jù)項(xiàng)組成：一是A和B的身份IDA和ID,

二是本次

業(yè)務(wù)的唯一標(biāo)識(shí)符N1,每次請(qǐng)求所用的N1都應(yīng)不同，常用一個(gè)

時(shí)間戳、一個(gè)計(jì)數(shù)器或一個(gè)隨機(jī)數(shù)作為這個(gè)標(biāo)識(shí)符。為防止攻

擊者對(duì)N1的猜測(cè)，用隨機(jī)數(shù)作為這個(gè)標(biāo)識(shí)符最合適。②KDC→A:Eka[Ks//IDA//ID?//N1//Ek[Ks//IDA]]

。

KDC對(duì)A的請(qǐng)求發(fā)出應(yīng)答。應(yīng)答是由共享加密秘鑰K

加密的信息

,

因

此

只

有A才能成功地對(duì)這一信息解密，并A相信信息的

確是由KDC發(fā)出的。江蘇科拉大學(xué)jiangsu

university

of

science

and

technology對(duì)稱密碼技術(shù)的密鑰分配方案③A→

B:E?[Ks//IDA]

。A收到KDC響應(yīng)的信息后，同時(shí)將會(huì)話密鑰Ks存儲(chǔ)起來，同時(shí)將經(jīng)過KDC與B的共享密鑰加密過的信息傳

送給B。B收到后，得到會(huì)話密鑰Ks,并

從ID可知對(duì)方是A,而且

還叢EKm知道Ks確實(shí)來自KDC。由于A轉(zhuǎn)發(fā)的是加密后密文，所以轉(zhuǎn)

發(fā)過程不會(huì)被竊聽。B→A:E[N2]。

B用會(huì)話密鑰加密另一個(gè)隨機(jī)數(shù)N2,并

將

加密結(jié)果發(fā)送給A,

并告訴A,B

當(dāng)前是可以通信的。A→B:Es[f(N2)]。A

響應(yīng)B發(fā)送的信息N2,

并對(duì)N2進(jìn)行某種

函數(shù)變換(如f函數(shù)),同時(shí)用會(huì)話密鑰Ks進(jìn)行加密，發(fā)送給B。實(shí)際上在第③步已經(jīng)完成了密鑰的分配，第④、⑤兩步結(jié)合第③步執(zhí)行的是認(rèn)證功能，使B能夠確認(rèn)所收到的信息不是一個(gè)重放。jian

un

e

nd

tech大2.4

Diffie-Hellman密鑰交換算法※Diffie與Hellman

在其開創(chuàng)公鑰體制的文章中給

出了公鑰密碼的思想。這篇論文中給出的算法

常被稱為Diffie-Hellman

密鑰交換算法，它

是

第一個(gè)公開發(fā)表的公開密鑰密碼算法。嚴(yán)格地

說，它并不能完成信息的加/解密功能，只能用于網(wǎng)絡(luò)環(huán)境中的密鑰交換。目前許多商用產(chǎn)品都使用這種密鑰交換技術(shù)。

該算法的目

的是使兩個(gè)用戶安全地交換一個(gè)密

鑰，以便于今后的報(bào)文加密，本算法僅限于密

鑰交