密钥分配与密钥理.pptVIP

*/80 ② B用PKA加密N1和B新产生的一次性随机数N2后发往A。B发来的消息中N1的存在可使A相信对方的确是B ③ A用PKB对N2加密后返回给B，使B相信对方的确是A ④ A选一会话密钥KS，然后将M=EPKB[ESKA[KS]]发给B，其中用B的公开钥加密是为保证只有B能解读加密结果，用A的秘密钥加密是保证该加密结果只有A能发送 ⑤ B以DPKA[DSKB[M]]恢复会话密钥 注意：这个方案其实是有漏洞的，即第4条消息容易被重放，假设敌手知道上次通话时协商的会话密钥Ks，以及A对Ks的签名和加密，则通过简单的重放即可实现对B的欺骗，解决的方法是将第3和第4条消息合并发送 */80 方案的修改 修改后的过程 */80 5.2.3 Diffie-Hellman 密钥交换 DH密钥交换是W.Diffie和M.Hellman于1976年提出的第一个公钥密码算法，已在很多商业产品中得以应用 算法的唯一目的是使得两个用户能够安全地交换密钥，得到一个共享地会话密钥，算法本身不能用于加、解密 算法的安全性基于求离散对数的困难性 过程如图，其中p是大素数，a是p的本原根，p和a作为公开的全程元素 */80 用户A选择一保密的随机整数XA，并将YA=aXA mod p发送给用户B。类似地，用户B选择一保密的随机整数XB，并将YB=aXB mod p发送给用户A。然后A和B分别由K=YBXA mod p和K=YAXB mod p计算出的就是共享密钥，这是因为 YBXA mod p=(aXB mod p)XA mod p=(aXB)XA mod p =aXBXA mod p = aXAXB mod p=(aXA mod p)XB mod p =YAXB mod p 因XA，XB是保密的，敌手只能得到p，a，YA，YB，要想得到K，则必须得到XA，XB中的一个，这意味着需求离散对数。因此敌手求K是不可行的。 例如：p＝97，a＝5，A和B分别秘密地选XA＝36，XB=58，并分别计算YA=536mod97＝50，YB=558mod97＝44，在交换YA，YB后，分别计算 K=YBXA mod97＝4436mod97＝75 K=YAXB mod97＝5058mod97＝75 简单的DH协议(未进行认证)容易受到中间人攻击 密钥分配与密钥管理 */80 5.1 单钥加密体制的密钥分配 5.1.1 密钥分配的基本方法 两个用户（主机、进程、应用程序）在用单钥密码体制进行保密通信时，首先必须有一个共享的秘密密钥，为防止攻击者得到密钥，还必须时常更新密钥。因此，密码系统的强度也依赖于密钥分配技术 两个用户A和B获得共享密钥的方法有以下4种： ① 密钥由A选取并通过物理手段发送给B ② 密钥由第三方选取并通过物理手段发送给A和B ③ 如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方 ④ 如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B */80 第1和第2种方法称为人工发送 在通信网中，若只有个别用户想进行保密通信，密钥的人工发送还是可行的。然而如果所有用户都要求支持加密服务，则任意一对希望通信的用户都必须有一共享密钥。如果有n个用户，则密钥数目为n(n-1)/2。因此当n很大时，密钥分配的代价非常大，密钥的人工发送是不可行的 */80 对于第3种方法 攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户分配初始密钥时，代价仍然很大。 */80 第4种方法比较常用 其中的第三方通常是一个负责为用户分配密钥的密钥分配中心(KDC)。 这时每一用户必须和密钥分配中心有一个共享密钥，称为主密钥。（可通过第二种方法） 通过主密钥分配给一对用户的密钥ks称为会话密钥，用于这一对用户之间的保密通信。 通信完成后，会话密钥即被销毁。如上所述，如果用户数为n，则会话密钥数为n(n-1)/2。但主密钥数却只需n个，所以主密钥可通过物理手段发送。 */80 5.1.2密钥分配的一个实例 如图：假定两个用户A、B分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥KA和KB，A希望与B建立一个共享的一次性会话密钥，可通过以下几步来完成： ① A向KDC发出会话密钥请求 表示请求的消息由两个数据项组成: 第1项Request是A和B的身份 第2项是这次业务的惟一识别符N1，称N1为一次性随机数，可以是时戳、计数器或随机数 每次的N1都应不同，且为防止假冒，应使敌手对N1难以猜测。因此用随机数作为这