第5章-消息认证、数字签名和密钥管理-改剖析.ppt

* 图5-12 采用DH密钥交换方法的通信过程 * 【例】假设在用户Alice和Bob之间交换密钥。选择素数p=353以及本原根α=3。 （1）Alice和Bob分别随机选择私有信息xA=97和xB=233，然后计算各自的公开信息yA和yB。 Alice计算yA： yA≡397 (mod 353) ≡40 (mod 353) Bob计算yB： yB≡3233 (mod 353) ≡248(mod 353) （2）Alice和Bob相互向对方发送自己的公开信息yA、yB，以便双方计算共有密钥。 Alice计算Kab： Kab≡24897(mod 353) ≡160 (mod 353) Bob计算Kba： Kba≡40233 (mod 353) ≡160 (mod 353) 显然A和B计算的Kab= Kba，即为双方共有密钥，将用于对双方保密通信的会话钥进行分配。 * 5.3.5 公钥分配（4.6） 公钥密码体制的密钥分配与对称密码体制的密钥分配有着本质的差别。由于对称密码体制只有一个密钥，因此在密钥分配中必须同时确保密钥的秘密性、真实性和完整性。 而公开密钥密码体制中有两个密钥，私钥由自己保管，不需要进行分配。但公钥是公开的，如果不加以保护，任何人都可以伪造。因此公钥密码体制不需要保证公钥的秘密性，只需确保公钥的真实性和完整性，以确保公钥不被攻击者替换或篡改。 公钥的分配方法可归纳为四种：公开发布、公用目录表、公钥授权和公钥证书。 * 1、公开发布 公开发布指用户将自己的公钥发给其他用户，或广播给某一团体。 这种方法虽然简单，但有一个较大的缺点，即任何人都可伪造这个公开发布的公钥。如果某个用户假装是用户A，并以A的名义向另一用户发送或广播自己的公钥，则这一假冒者可解密所有受骗发向A的加密消息，而且假冒者还能用伪造的密钥获得认证。 2、公用目录表 公用目录表指一个公用的公钥动态目录表，公用目录表的建立、维护以及公钥的分布由某个可信的实体或组织承担，称这个实体或组织为公用目录的管理员。该方法有以下组成部分： * （1）管理员为每个用户在目录表中建立一个目录，目录中有两个数据项：一是用户名，二是用户的公钥。 （2）每一用户都亲自或以某种安全的认证通信在管理者那里为自己的公钥注册。 （3）用户可以随时用新密钥替换现有的密钥。这可能由于自己的公钥用过的次数太多或由于与公钥相关的私钥已泄漏。 （4）管理员定期公布或定期更新目录表。例如，像电话号码本一样公布目录表或在发行量很大的报纸上公布目录表的更新。 （5）用户可通过电子手段访问目录表。此时，从管理员到用户必须有安全的认证通信。 这种方案的安全性明显高于公开发布方法的安全性，但仍易受到攻击。如果攻击者成功地获得管理员的私人密钥，就可伪造一个公钥目录表，以后既可以假冒任一用户又可以监听发往任一用户的消息。 * 3、公钥授权 与公用目录表类似，假定有一个公钥管理机构来为用户建立、维护动态的公钥目录，但同时每个用户都可靠地知道管理机构的公钥，而只有管理机构自己知道相应的私钥。 图5-13是典型的公钥分配方案。 在这个分配方案中完成了两个功能： 一是获得需要的公钥； 二是双方相互认证。 * 图5-13公钥授权分配方案 * 公钥分配过程如下： （1）A向公钥管理机构发送一个带时间戳的消息。消息中有获取B当前公钥的请求。 （2）公钥管理机构对A的请求作出应答。应答用一个消息来表示，该消息由管理机构用自己的私钥Prauth签名。因此A能用公钥管理机构的公钥验证，并且使A相信这个消息的确来源于公钥管理机构。该消息包括以下内容： B的公钥PUb，A可用它对将发往B的消息加密。 A的请求，用于A验证收到的应答的确是对相应请求的应答，且还能验证自己最初发出的请求在被公钥管理机构收到之前是否被篡改。 原始的时间戳Time1，以使A相信公钥管理机构发来的消息不是旧消息，因此消息中的公钥的确是B当前的公钥。 * 图5-13公钥授权分配方案 * （3）A用B的公钥PUb对一个消息加密后发往B，这个消息有两个数据项：一是A的身份IDA，二是一个临时交互号N1，用于唯一标识这一过程。 （4）、（5）B以相同的方式从公钥管理机构获取A的公钥（与步骤（1）、（2）类似）。此时，A和B都已安全地得到对方的公钥，可以进行相互之间的保密通信。 （6）B用A的公钥PUa对一个消息加密发往A，这个消息包括数据项：一是A的临时交互号N1，二是B产生的一个临时交互号N2。因为只有B能解密（3）的消息，