第11章密钥管理.pptVIP

　　上述第一种办法的使用在现实生活中是很普遍的。很多机构的内部网络在投入使用时，其初始的对称密钥往往是员工的身份证号码。当然，这种密钥的传送方式的安全性是值得商榷的。物理手段亲自递送、通过挂号信或电子邮件传送密钥等方法也属于这种类型。 　　上述第二种方法也是可以实现的，即便是参与的双方处在不安全的网络环境下。Diffie-Hellman密钥协商协议提供了第一个实用的解决办法，该协议能使互不认识的双方通过公共信道建立一个共享的密钥。 　　Diffie-Hellman密钥协商协议：假设p是一个大素数，g是GF(p)中的本原元，p和g是公开的。Alice和Bob可以通过执行下面的协议建立一个共享密钥。 　　(1) ?Alice随机选择a，满足1≤a≤p-1，计算c?=?ga并把c传送给Bob。 　　(2) ?Bob随机选择b，满足1≤b≤p-1，计算d?=?gb并把d传送给Alice。 　　(3) ?Alice计算共享密钥k=da=gab。 　　(4) ?Bob计算共享密钥k=cb=gab。 　　Diffie-Hellman密钥协商是一种指数密钥交换，其安全性基于循环群中离散对数难解问题。 　　例11-1 Diffie-Hellman密钥协商示例。 　　设Alice和Bob确定了两个素数p?=?47，g =?3。 　　(1) ?Alice随机选择a?=?8，计算c?=?ga?=?38 mod 47?=?28，并把c =?28传送给Bob。 　　(2) ?Bob随机选择b =?10，计算d?=?gb?=?310 mod 47?=?17，并把d =?17传送给Alice。 　　(3) ?Alice计算共享密钥k?=?da?=?178 mod 47?=?4。 　　(4) ?Bob计算共享密钥k?=?cb?=?2810 mod 47?=?4。 　　当然，上述示例中选取的p太小，无法抗击穷举攻击。实用中的 p应该选取大于512 bit。 　　Diffie-Hellman密钥协商协议能够抗击被动攻击，但假如一个主动攻击者Eve处在Alice和Bob之间，截获Alice发给Bob的消息然后扮演Bob，而同样又对Bob扮演Alice，则Eve能成功实施所谓的“中间人攻击”。因此，在实际应用中，Diffie-Hellman密钥协商必须结合认证技术使用。 　　上述第三种方法的实施，需要通信双方均与可信赖第三方有一个安全的通信信道。如下是利用可信赖第三方构建共享密钥的一个实例。 　　例11-2　如图11-1所示，假如可信赖第三方为KDC，提供密钥的产生、鉴别、分发等服务。用户A、B分别与密钥分配中心KDC有一个共享密钥KA和KB，A希望与B建立一个共享密钥，可通过以下几步来完成： 　　(1) ?A向KDC发出请求。表示请求的消息由两个数据项组成，第一项是A和B的身份，第二项是这次业务的唯一识别符N1，N1为一个随机数。每次请求所用的N1都应不同，以防止假冒。 　　(2)? KDC为A的请求发出应答。应答是由KA加密的消息，消息中包括A希望得到的与Ｂ的共享密钥KS和A在(1)中发出的请求。因此只有A才能成功地解密这一消息，并且A可相信这一消息的确是由KDC 发出的，而且A还能根据一次性随机数相信自己收到的应答不是重放的过去的应答。 　　(3) ?A存储密钥KS，并向B转发　　[KS‖IDA]。因为转发的是由KB加密后的密文，所以转发过程不会被窃听。B收到后，可得会话密钥KS，并从IDA可知另一方是A，而且还从知道KS的确来自KDC。 　　(4) ?B用共享密钥KS加密另一个一次性随机数N2，并将加密结果发送给A。 　　(5) ?A以f(N2)作为对B的应答，其中f是对N2进行某种变换的函数，并将应答用密钥KS加密后发送给B。 　　上述协议中，第(3)步完成后，共享密钥KS就已经安全地分配给了A和B，第(4)、(5)两步结合第(3)步执行的其实是认证功能，目的是使B相信第(3)步收到的消息不是一个重放。 11.2 公钥管理—数字证书与PKI 11.2.1 数字证书 　　在使用公钥体制的环境中，如何保证验证者得到的公钥是真实的？一个切实可行的办法是使用数字证书。 　　《现代汉语词典》对证书的解释是“由机关、学校、团体等发的证明资格或权力等的文件”。我们在生活中证明一个人真实身份的办法是查验由公安机关为其颁发的身份证。 　　数字证书也称公钥证书，是由一个可信机构颁发的、证明公钥持有者身份的一个电子凭据。如图11-2所示，可信机构在详细核实用户身份后，利用自己的私钥对核实的内容m进行签名生成S，(m,S)即为持有者的数字证书。 　　证书中m的内容一般包含持有者、持有者公钥、签发者、签发者使用的签名算法标识、证书序列号、有效期限等，目前广泛采用