简单使用公钥加密算法建立会话密钥-Read.PPT

第7章 密钥管理 密 钥 长 度 决定密钥长度需要考虑多方面的因素： 数据价值有多大？ 数据要多长的安全期？ 攻击者的资源情况怎样？ 选择比需要的密钥长度更长的密钥。 不同安全需求的密钥长度 硬件穷举攻击对称密钥的平均时间估计（ 1995年） 攻击难度相当的对称密钥密码和公钥密码的密钥长度（位） 密钥生成 尽量避免容易记忆的安全性差的密钥： 如用户的姓名、简写字母、帐户姓名和其他有关的个人信息等； 字典攻击。 最好的密钥还是随机密钥 ，但不容易记忆。 随机数 随机性，评价随机性通常有两个准则： 均匀分布性，比较容易检测； 独立性 ，一般只能通过反向验证（即无法证明不满足独立性）来保证其独立性。 不可预测性 由随机数列的相互独立性来保证。 伪随机数生成器 线性同余算法。 基于密码算法的随机数生成器 循环加密； DES的输出反馈（OFB）模式； ANSI X9.17密钥生成器。 BBS(Blum-Blum-Shub)生成器。 线性同余算法 有四个参数 模数m (m0)； 乘数a (0≤am)； 增量c (0≤cm)； 种子X0 (0≤X0m)； 由迭代公式 得到随机数数列{Xn}。 线性同余算法的性能 迭代函数应是整周期的，即数列中的数在重复之前应产生0到m之间的所有数。 产生的数列看上去是随机的。虽然实际上数列是确定的（因为算法和参数是确定的），但是可以通过各种统计检测来评价数列的随机性。 迭代函数能有效地运用32位/64位运算来实现。 线性同余算法的问题 算法本身并不具有随机性，生成的数列实际上是确定的。 如果能确定X0,X1,X2,X3，就可以通过以下方程组解出a,c和m ： 解决办法：可以通过利用系统时钟修改随机数数列来改进 每产生N个数后利用当前的时钟值模m作为新种子； 直接把当前的时钟值模m加到每个随机数上。 循环加密方式生成伪随机数 DES的输出反馈（OFB）模式 ANSI X9.17密钥生成器 是密码强度最高的伪随机数生成器之一。 目前已经在PGP等许多应用中被采纳。 用来生成密钥的加密算法是三重DES。 BBS(Blum-Blum-Shub)生成器 已经被证明的密码强度最高的伪随机数生成器。 工作流程如下： 首先选择两个大素数p,q，满足 ，令 。 再选一个随机数s，使s余n互素。 然后按照以下算法产生比特序列 ： 非线性密钥空间 非线性密钥空间是指所有密钥的密码强度并不相等，即采用某种特殊保密形式的密钥会进行正常的加解密（称为强算法密钥），而其他的密钥都会引起加解密设备采用非常弱的算法加解密（称为弱算法密钥）。 密 钥 分 配 解决两个主要问题： 引进自动密钥分配机制，减轻负担，提高系统的效率； 尽可能减少系统中驻留的密钥量，提高安全性。 密 钥 分 配 典型的两类自动密钥分配途径： 集中式分配方案：利用网络中的密钥分配中心(key distribution center,KDC)来集中管理系统中的密钥，密钥分配中心接收系统中用户的请求，为用户提供安全地分配密钥的服务。 分布式分配方案 ：分布式分配方案是指网络中各主机具有相同的地位，它们之间的密钥分配取决于它们自己的协商，不受任何其他方面的限制。 通常采取两种方案的混合：主机采用分布式方式分配密钥，而主机对于终端或它所属的通信子网中的密钥可采用集中方式分配。 对称密钥分配的基本方法 ① 密钥由A选取并通过物理手段发送给B； ② 密钥由第三方选取并通过物理手段发送给A和B； ③ 如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方； ④ 如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。 密钥分配实例 假定两个用户A、B分别与密钥分配中心有一个共享的主密钥KA和KB，A希望与B建立一个逻辑连接，并希望有一个一次性会话密钥来保护该连接上的数据传送 ，分配过程见下图： 密钥分配实例 1．A向KDC发出会话密钥请求。表示请求的消息由两个数据项组成，一是A和B的身份，二是这次业务的惟一识别符 ，每次请求所用的 都应不同，且为防止假冒，应使敌手对 难以猜测，因此用随机数作为这个识别符最为合适。 2．KDC对A的请求发出应答。应答是由 加密的消息，因此只有A才能成功地对这一消息解密，并且A可相信这一消息的确是由KDC发出的。消息中包括A希望得到的两项： 一次性会话密钥 ； A在第1步中发出的请求，包括