第04章 用对称密码实现保密性.ppt

3. 密钥分配 控制密钥的使用方式方案2 每个会话密钥都有一个由许多字段组成的相关的控制向量，各个字段规定这个密钥的用途和限制。控制向量的长度可以变化。在KDC处产生密钥的时候控制向量就与密钥以加密的方式耦合在一起。 控制向量与密钥的耦合以及去耦的过程 如下： 3. 密钥分配 控制密钥的使用方式方案2 1. 控制向量被通过一个散列函数产生一个长度等于加密密钥长度的输出。 2. 散列值然后被与主密钥进行异或以产生一个输出，这个输出被用作加密会话密钥的密钥输入。 散列值 = H = h(CV) 密钥输入 = Km⊕H 密文 = EKm⊕H[Ks] 3. 会话密钥通过相反的操作恢复成明文。 Ks = DKm⊕H[EKm⊕H[Ks]] 当一个会话密钥被从KDC传递给一个用户时，和它一起传递的还有一个明文形式的控制向量。会话密钥只能通过使用用户和KDC共享的主密钥和控制向量来恢复，因而会话密钥和它的控制向量之间的联系得到了保持。 使用控制向量与使用一个8 bit的标记相比有两个好处。首先，对控制向量的长度没有限制，这就可以使我们对密钥的使用施加任意复杂的控制。第二，在所有操作阶段控制向量都是以明文方式存在的，因而对密钥使用的控制可以在多个位置进行。 4. 随机数产生 随机数的用途示例： 在相互认证方案，要用到现时进行握手以便防止重放攻击。使用随机数充当现时会挫败敌对方确定或猜测现时的努力。 会话密钥的产生，这可能是由密钥分配中心进行的，也可能是由参与者一方进行的。 RSA公开密钥加密算法中的密钥产生。 随机数的评定 随机程度 均匀分布：这一系列数值的分布应该是均匀的；也就是说，每个数出现的频率应该近似相等。（好评定） 独立性：系列中的任意一个数都无法从其他数推测得到。（难评定） 不可预测程度 保证敌对方从序列前边的元素无法预测出将来的元素。 4. 随机数产生 随机数的来源 真正的随机数的来源难以得到。物理的噪声发生器，比如离子辐射事件的脉冲检测器、气体放电管和带泄露的电容，是一个可能的来源。然而这些设备在网络安全应用中用处很小。这种数值的随机性和精确性都有问题，更不用说对于一个互联网络中的每个系统都附加这么一个设备本身也很不方便。 找到已经发表的高质量的随机数，然而这些随机数对于一个有相当规模的网络安全应用的可能需要来说数量有限。另外，虽然这些书中的数确实有着统计上的随机性，它们却是可以预测的，因为敌对方知道了你用的是哪本书也可以得到一本。 密码编码应用通常使用算法技术来产生随机数。这些算法是确定性的，因此产生的数值序列并不是统计随机的。然而，如果算法很好，所得的序列就可以通得过许多随机性的合理测试。这些数经常被称为伪随机数。 4. 随机数产生 目前评价一个随机数产生器的三种准则 T1：这个函数应该是一个完整周期的产生函数。 也就是说，这个函数应该在重复之前产生出0到m之间的所有数。 T2：产生的序列应该看起来是随机的。这个序列本身不是随机的，因为它是以确定性的方法产生的，但是有许多统计测验可以用来评价一个序列具有的随机程度。 T3：这个函数应该用32 bit运算器高效实现。 4. 随机数产生 线性同余方法伪随机数产生器 随机数序列[Xn]通过下列迭代方程得到： Xn+1 = (aXn + c) mod m 其中： m ：模数，m＞0 a：乘数，0≤a＜m c：增量，0≤c＜m X0：初始值或种子，0≤X0＜m 如果m、a、c和X0都是整数，那么这个技术就将产生一系列的整数，其中每个都在0≤Xn＜m的范围内。 数值m、a、c的选择对于做出一个好的随机数产生器十分关键。例如考虑a = c = 1，这样产生的序列明显不能令人满意。再考虑a = 7，c = 0，m = 32和X0 = 1，这将产生出序列{7，17，23，1，7，等等}，它也明显不能令人满意。在所有可能的32个值中，这个序列才用了4个，因而这个序列被称为具有周期4。如果将a的值改为5，那么序列变为{1，5，25，29，17，21，9，13，1，等等}，在这里周期增加为8。 我们希望m很大，以便可能产生出一个很长序列的不同的随机数。一个常用的准则是将m选为几乎等于一个给定计算机所能表示的最大非负整数。因而，通常选择的m值是一个接近或等于231的数。 4. 随机数产生 线性同余方法伪随机数产生器 只要对a，c和m选取适当的值，算法就可以通过评价一个随机数产生器的三种准则的测验。对于T1这个准则，可以证明如果m是素数而c = 0，那么对于一定的a值，这个产生函数的周期就是m - 1，只有数值0不在其中。对于32 bit算术来