1、第4章 網絡安全的密碼學基礎(jch)密碼學概述密碼系統設計與分析對稱密碼體制 公鑰密碼體制Hash函數數字簽名密碼學與安全協議(xiy)密碼學在網絡安全中的應用清華大學出版社 北京交通大學出版社共七十七頁4.1密碼學概述 網絡(wnglu)安全是一門涉及計算機、網絡(wnglu)、通信、信息安全、數學等多學科的綜合性交叉學科。密碼技術是網絡(wnglu)安全的核心技術之一，通過密碼技術可以實現網絡(wnglu)信息的保密性、完整性、認證性及追蹤性等 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.1.1 密碼學起源(qyun)及發展階段密碼學的起源要追溯到幾千年前，當時用于軍

2、事和外交通信。 第一個階段是從古代到1949年，可稱為古典密碼學階段。這個階段是密碼學誕生的前夜時期。這一時期的密碼技術可以說是一種(y zhn)藝術。這個時期的密碼專家常常憑直覺、猜測和信念來進行密碼設計和分析，而不是憑推理和證明。 清華大學出版社 北京交通大學出版社共七十七頁第二個階段是從1949年到1975年。這個階段密碼學是一種科學。1949年，香農（Shannon）在貝爾系統技術雜志上發表的論文“保密系統的通信理論”，為私鑰密碼系統奠定了理論基礎，從此(cngc)密碼學成為一門科學。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁第三個階段是從1976年至今。1976年，

3、Diffie和Hellman 發表的“密碼學的新方向”一文建立了公鑰密碼系統，導致了密碼學上的一次革命。他們(t men)首次證明了在發送端和接收端無密鑰傳輸的保密通信是可能的。這個階段出現了一些重大成果，如1977年Rivest，Shamir和Adleman提出了RSA公鑰密碼算法 .清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.1.2 密碼學的基本概念1.密碼學簡介密碼學(cryptology)是研究信息系統安全保密的科學。密碼學主要包括兩個分支：密碼編碼學(cryptography)和密碼分析學(cryptanalysis)。編碼的目的是設計各種密碼體制用以保障各種安全，

4、而密碼分析學主要是從攻擊者的角度來說，分析的目的則是試圖攻破各種密碼體制、研究加密(ji m)信息的破譯或信息的偽造。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁2.密碼系統的模型及特性一個密碼系統可以用五元組（P，C，K，E，D）表示，這里P是明文消息(xio xi)空間，C是密文消息空間，K是密鑰消息空間，E是加密算法，D是解密算法，并且E是P與K 到C的一個映射：P K C；D是C與K到 P的一個映射：C K P。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁 密碼系統(xtng)模型明文空間Pm接收者m非法接入者搭線信道（主動攻擊）c Cjd密碼分析員m

5、加密密鑰源K1k1解密密鑰源K2k2密鑰信道c加密器c = (m)解密器m =(c)清華大學出版社 北京交通(jiotng)大學出版社共七十七頁為保護信息的機密性，密碼系統應當滿足如下條件：(1) 系統即使達不到理論上是不可破的，即密碼分析者得出正確的明文或密鑰的概率是0，也應當為實際上不可破的。就是說，從截獲的密文或某些(mu xi)已知明文-密文對，要決定密鑰或任意明文在計算上是不可行的。(2) 系統的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰。這是著名的Kerckhoff原則。(3) 加密和解密算法適用于所有密鑰空間中的元素。(4) 系統便于實現和使用。 清華大學出版社 北京交通

6、(jiotng)大學出版社共七十七頁3.密碼體制(tzh)的分類 按密鑰使用的特點，密碼體制可以分為對稱密碼體制（symmetric cryptosystem）和非對稱密碼體制（asymmetric cryptosystem）。 對稱密碼體制可按加密方式分為序列密碼（stream cipher）和分組密碼（block cipher）。序列密碼又稱為流密碼，就是將明文信息一次加密一個比特(b t)或多個比特(b t)形成密碼字符串。分組密碼是一次對明文組進行加密。 清華大學出版社 北京交通大學出版社共七十七頁4.2密碼系統的設計(shj)與分析4.2.1密碼系統的設計原則1.基本原則密碼系統的設

7、計必須遵循一些基本原則:(1) 簡單實用原則: 在已知密鑰的情況下，容易通過加密算法和解密(ji m)算法計算密文和明文；但是在未知密鑰的情況下，無法從加密算法或者解密(ji m)算法推導出明文或者密文。 (2) 抗攻擊性原則: 在現有的計算環境下，能夠抵抗各種密碼分析，例如：已知密文，如果不知道密鑰，則無法從其中推出密鑰和明文。 (3) 算法公開化原則：一個設計良好的密碼體制，它的加密算法和解密算法均可公開，不可公開的是私有密鑰。 清華大學出版社 北京交通大學出版社共七十七頁2. Shannon的觀點關于密碼設計，Shannon在一篇論文里面提出了一些基本觀點：(1) 組合密碼系統的觀點。為

8、了易于實現，實際應用中常常將較簡單且容易實現的密碼系統進行組合，形成較復雜、密鑰量較大的密碼系統。Shannon 提出了兩種可能的組合方法。第一種是概率加權和方法，即以一定的概率隨機地從多個子密碼系統中選擇一個用于加密當前的明文。第二種是乘積方法。(2) 挫敗統計分析的觀點。用統計分析可以破譯多種密碼系統。為挫敗統計分析，Shannon 提出了兩種方法。第一種是在加密之前(zhqin)將語言的一些多余度去掉。例如，在計算機系統中，在加密之前(zhqin)，可以采利用Huffman 編碼除去多余度來壓縮一個文件。第二種是利用擴散（diffusion）和混淆（confusion）這兩種技術來擴散或

9、混淆多余度。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.2.2密碼(m m)分析的概念與方法1.密碼分析(fnx)的基本概念密碼分析是在不知道密鑰的情況下恢復出明文或密鑰。密碼分析也可以發現密碼體制的弱點，最終得到密鑰或明文。 清華大學出版社 北京交通大學出版社共七十七頁2.密碼分析與攻擊類型根據密碼分析者破譯(p y)時具有的條件，通常攻擊類型可分為如下四種：唯密文攻擊（ciphertext-only attack）、已知明文攻擊（known plaintext attack）、選擇明文攻擊（chosen plaintext attack）和選擇密文攻擊（chosen

10、ciphertext attack）。 以上四種攻擊類型中，唯密文攻擊最弱，選擇密文攻擊最強，攻擊強度按順序遞增。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁3.攻擊密碼系統的方法(fngf)攻擊密碼系統的方法有窮舉破譯法（exhaustive attack method）和分析法。 分析法可分為確定性分析法和統計分析法這兩類。確定性分析法是利用一個或幾個已知量(如，已知密文或明文-密文對)用數學關系式表示出所求未知量(如密鑰等)。統計分析法是利用明文的已知統計規律進行破譯。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁已有的密碼分析技術有很多，如代數攻擊，差

11、分攻擊，線性攻擊，相關攻擊等。如何對差分密碼分析和線性密碼分析進行改進，降低它們的復雜度仍是現在(xinzi)理論研究的熱點 。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.密碼(m m)系統的安全性判斷衡量一個密碼系統的安全性通常有兩種方法：無條件安全性和實際(shj)安全性。無條件安全性也稱為理論安全性。如果密碼分析者具有無限計算資源（如時間、設備、資金等）也無法破譯密碼，那么這個密碼體制是無條件安全的。 清華大學出版社 北京交通大學出版社共七十七頁實際安全性分為計算安全性和可證明安全性。如果在原理上可破譯一個(y )密碼系統，但用所有可用資源也不可能完成所要求的計算量，

12、就稱該密碼系統是計算安全的。如果能證明破譯密碼體制的困難性等價于解某已知數學難題，就稱該密碼體制是可證明安全的。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.3對稱(duchn)密碼體制4.3.1對稱密碼體制的基本概念對稱密碼體制又稱私鑰或單鑰或傳統密碼體制。該體制中，通常加密(ji m)密鑰和解密密鑰一樣，目前仍然是使用最為廣泛的加密(ji m)類型。自1997年美國頒布數據加密(ji m)標準（DES）密碼算法作為美國數據加密(ji m)標準以來，對稱密碼體制得到了迅速發展，在世界各國得到了廣泛應用。 清華大學出版社 北京交通大學出版社共七十七頁加密器EK解密器DK密文

13、明文明文K密鑰產生器K秘密通道 私鑰密碼(m m)體制模型 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁私鑰秘密體制的安全使用需要滿足以下兩個要求：1)加密算法必須是足夠強的。即使敵手擁有一定數量的密文和產生每個密文的明文，也不能破譯密文或發現密鑰。2)發送者和接收者必須在某種安全形式下獲得密鑰并且必須保證密鑰安全。如果有人發現該密鑰，而且知道相應(xingyng)算法，那么就能解讀使用該密鑰加密的任何通信。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.3.2對稱密碼體制的分類按加密方式對稱密碼體制可以(ky)分為序列密碼和分組密碼，序列密碼也稱為流密碼。清華大

14、學出版社 北京(bi jn)交通大學出版社共七十七頁1.序列密碼的基本原理與設計分析序列密碼一次加密一個明文符號，運算速度快，加密、解密易實現，所以序列密碼在許多領域有著廣泛的應用，如序列密碼RC4 用于許多網絡和安全(nqun)協議中，A5 用于全球移動通信系統GSM (the Global System for Mobile Communications)， 用于藍牙（Bluetooth）技術，序列密碼主要應用于政府、軍隊等。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁序列密碼模型(mxng) 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁2.分組密碼的基本原理

15、與設計分析分組密碼是將明文消息編碼表示后的數字序列, 劃分成長為m的組x = (,)，各組分別在密鑰k = (,) 控制的加密(ji m)算法加密(ji m)下變換成長為n 的密文c = (,)。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁分組密碼(m m)模型 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.3.3 DES密碼(m m)算法分析1.DES密碼算法簡介1972年，美國標準局NBS（現在的NIST）公開征求用于計算機通信數據保密的方案。隨后(suhu)IBM公司的W.Tuchman和C.Meyers等研究人員提交了一個數據加密算法Lucifer，

16、該算法被美國標準局采用，在經過一系列研究討論和簡單修改后于1977年正式批準為數據加密標準DES。 清華大學出版社 北京交通大學出版社共七十七頁2.DES算法的加密過程在DES中采用了多輪循環加密來擴散和混淆明文。DES將明文消息按64比特分組，密鑰長度也是64比特，但是實際使用時密鑰長度是56比特，另外8比特用作奇偶校驗位（即每個字節(z ji)的最后一位用作奇偶校驗,使得每一個字節(z ji)含有奇數個1，因此可以檢錯）。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁DES算法加密過程(guchng)如下： 輸入64比特的明文，首先經過初始矩陣IP置換； 在56比特的輸入密

17、鑰控制下，進行16輪相同的迭代加密處理過程，即在16個48比特子密鑰控制下進行16輪乘積變換； 最后通過簡單的換位和逆初始置換，得到64比特的輸出密文。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁 DES加密算法框圖(kungt) 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.DES加密(ji m)的子密鑰生成過程 DES 子密鑰的生成(shn chn) 清華大學出版社 北京交通大學出版社共七十七頁5. DES的運行(ynxng)模式為了能在各種應用 場合使用(shyng) DES， 美國 在 FIPS PUS 74 和 81 中定義了 DES 的 4 種運行模

18、式 清華大學出版社 北京交通大學出版社共七十七頁清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.4公鑰密碼(m m)體制4.4.1公鑰密碼體制的基本概念1.公鑰密碼體制簡介公鑰密碼體制，又稱為雙鑰或非對稱密碼體制。密碼系統有兩個密鑰，即加密密鑰和解密密鑰不同。 這兩個密鑰一個是公開的，一個是秘密的，分別稱為公開密鑰（公鑰）和私有密鑰（私鑰），公開密鑰是對外公開的，即所有人都可知，私有密鑰是只有特定(tdng)的用戶才能擁有，這是公鑰密碼體制與對稱密碼體制最大的不同。公鑰密碼學的產生是為了解決對稱密碼體制中最困難的兩個問題：密鑰分配問題和數字簽名問題。 清華大學出版社 北京交通大學

19、出版社共七十七頁公鑰密碼算法的基本要求公鑰密碼算法應滿足以下要求： 接收方 B 產生(chnshng)密鑰對（公開鑰 PKB 和秘密鑰 SKB） 在計算上是容易的。 發方 A 用收方的公開鑰對消息 m 加密以產生密文 c， 即c = EPKBm在計算上是容易的。 收方 B 用自己的秘密鑰對 c 解密， 即m = DSKBc在計算上是容易的。 敵手由 B 的公開鑰 PKB 求秘密鑰 SKB 在計算上是不可行的。 敵手由密文 c 和 B 的公開鑰 PKB 恢復明文 m 在計算上是不可行的。 加、解密次序可換， 即EPKBDSKB（m） = DSKBEPKB（m）。 清華大學出版社 北京交通(jio

20、tng)大學出版社共七十七頁單向陷門函數的性質(xngzh)單向函數是滿足下列性質的函數：函數是一一映射，即每個函數值都存在唯一的逆；并且計算函數值很容易，但求逆不可行。即y = f(x) 容易計算，但x =(y) 不可行。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁公鑰密碼體制(tzh)加密和認證模型公鑰密碼體制有加密模型和認證模型。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.4.2公鑰密碼體制(tzh)的特點及應用公鑰密碼體制(tzh)有如下一些特點：加密和解密能力分開?？梢詫崿F多個用戶加密的消息只能由一個用戶解讀（用于公共網絡中實現保密通信）?？蓪?/p>

21、現只能由一個用戶加密消息而使多個用戶可以解讀（可用于認證系統中對消息進行數字簽字）。無需事先分配密鑰。重要特點：僅根據密碼算法和加密密鑰來確定解密密鑰在計算上不可行。有些算法如RSA還具有特點：兩個密鑰中任何一個都可用來加密，另一個用來解密。清華大學出版社 北京交通大學出版社共七十七頁清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.4.3 RSA密碼算法(sun f)分析1.RSA密碼算法簡介最早提出的滿足要求的公鑰密碼算法是RSA。1976年Deffie和Hellman提出公鑰密碼思想之后，1977年麻省理工學院的Ron Rivest、Adi Shamir和Len Adlema

22、n三位學者提出了RSA(Rivest-Shamir-Adleman)公鑰密碼算法，該算法于1978年首次(shu c)發表，從此至今，RSA算法是被使用最多的公鑰密碼算法。 清華大學出版社 北京交通大學出版社共七十七頁Rivest、Shamir 和 Adleman 研制的方案使用了指數表達式。RSA算法是一種(y zhn)分組密碼，明文M以分組為單位加密，其中每個分組是小于某個數 n 的二進制數值。也就是說，分組大小必須小于或等于 log2（n）。對于某個明文分組 M 和密文分組 C，明文和密文都是從0到n-1之間的整數。當前，密鑰長度（指n的二進制位數）在1024位到2048位之間是合適的。

23、RSA算法基于大整數質因子分解非常困難這一數學難題，這里大整數通常有幾百位長。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁已知明文的某塊分組M，公鑰(e，n)，私鑰(d，n)，相應密文分組為C，則RSA加密(ji m)算法的加密(ji m)過程如下：C = EPK (M) = mod n RSA算法加密和解密過程是等價的，解密過程如下：M = DSK (C) = mod n發送方和接收方都必須知道 n 的值。 發送方知道 e 的值， 而只有接收方知道 d 的值。 因此， 這是一種公開密鑰為 PK= e， n， 且私有密鑰為SK = d， n的公開密鑰加密算法。 清華大學出版社

24、北京交通(jiotng)大學出版社共七十七頁要使這個算法能夠(nnggu)滿足公開密鑰加密的要求， 必須符合如下條件：有可能找到 e、d、n 的值， 使得對所有 M n 有 Med= M mod n。對于所有 M n 的值， 要計算和相對來說是簡單的。在給定 e 和 n 時， 判斷出 d 是不可行的。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁3RSA算法(sun f)舉例清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4RSA算法的安全性分析RSA 的安全性是基于分解大整數的困難性假定， 之所以為假定是因為至今還未能證明分解大整數就是 NP 問題(wnt)， 也許

25、有尚未發現的多項式時間分解算法。即給定大整數n，將n分解為兩個素數因子p與q，在數學上至今沒有有效的方法予以解決。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.5 Hash函數4.5.1. Hash函數的基本概念Hash函數也稱為散列函數。Hash函數是一種將任意長度(chngd)的消息壓縮到某一固定長度(chngd)的消息摘要的函數。消息摘要也稱為報文摘要，它是由Hash函數來完成。設H是散列函數，m是消息，h是報文摘要，則h = H(m)。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁密碼學中的Hash函數H，應具有如下性質：(1) H函數的輸入為任意大

26、小的數據塊。(2) H產生固定長度的輸出。(3) 對任意給定x，計算H(x) 容易，用硬件和軟件都可以實現(shxin)。(4) 對任意給定的Hash值h，找到滿足H(x) = h的x是計算上不可行的，稱為單向性。(5) 已知 x， 找出 y（yx） 使得 H（y） = H（x） 在計算上是不可行的。如果單向雜湊函數滿足這一性質， 則稱其為弱單向散列函數。(6) 找出任意兩個不同的輸入 x、y， 使得 H（y）= H（x） 在計算上是不可行的。如果單向雜湊函數滿足這一性質， 則稱其為強單向散列函數。第(5)和第(6)個條件給出了散列函數無碰撞性的概念，如果散列函數對不同的輸入可產生相同的輸出，

27、 則稱該函數具有碰撞性。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.5.2 Hash函數的構造方法構造單向散列函數的方法有很多，目前主要有以下幾種：(1) 利用某些數學困難問題，如因子分解問題、離散對數問題等。(2) 利用一些私鑰密碼體制如DES等，這種散列函數的安全性與所使用的基礎密碼算法相關。(3) 直接構造散列函數，這類算法不基于任何假設和密碼體制，如經典的散列算法消息摘要(zhiyo)算法MD5和安全散列算法SHA-1等。清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.5.3散列函數的密碼分析如果有兩個不同的消息，它們的散列函數值相同，那么就稱這兩個消

28、息是碰撞消息或這兩個消息碰撞。通常假設敵手知道Hash算法。敵手的主要攻擊目標是找到一對或更多對碰撞消息。目前已有一些攻擊Hash算法和計算碰撞消息的方法，其中有些方法是一般方法，可用于攻擊任何類型的Hash算法，如生日攻擊。還有些方法是特殊方法，只能用于攻擊某類特殊類型的Hash算法，如中間相遇攻擊適用于攻擊具有分組鏈結構的Hash算法，修正分組攻擊適用于攻擊基于模算術的Hash算法。此外，差分攻擊也可以(ky)用于攻擊某些Hash算法。針對Hash算法的一些弱點也可對它進行攻擊，如可利用Hash算法的代數結構對其進行攻擊。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.6

29、數字簽名4.6.1數字簽名的基本概念所謂數字簽名就是附加在數據單元上的一些數據,或是對數據單元所作的密碼變換(binhun)。這種數據或變換(binhun)允許數據單元的接收者用以確認數據單元的來源和數據單元的完整性并保護數據，防止被人(例如接收者)進行偽造。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁數字簽名必須具有以下(yxi)特征：數字簽名必須能驗證簽名者、簽名日期和時間。數字簽名必須能認證被簽的消息內容。當雙方關于簽名的真偽發生爭執(zhngzh)時，數字簽名應能由第三方仲裁以解決爭執(zhngzh)。根據這些特征，數字簽名應滿足以下條件：簽名必須是與消息相關的二進制位

30、串。簽名必須使用發送方某些獨有的信息，以防偽造和否認。產生數字簽名比較容易。識別和驗證數字簽名比較容易。偽造數字簽名在計算上是不可行的。無論是從給定的數字簽名偽造消息，還是從給定的消息偽造數字簽名在計算上都是不可行的。保存數字簽名的拷貝是可行的。清華大學出版社 北京交通大學出版社共七十七頁4.6.2常用的數字簽名算法簡介目前(mqin)大多數數字簽名都是基于公鑰密碼算法，如RSA數字簽名算法、美國的數字簽名標準DSS，也有少數基于對稱密碼體制，如Hash簽名方法。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.6.3數字簽名的系統描述數字簽名系統包括：簽名算法(sun f)（對

31、應加密算法(sun f)）、驗證算法(sun f)（對應解密算法(sun f)）、簽名方（對應發送方）、驗證方（對應接收方）和簽名關鍵值。數字簽名技術是密碼學的一種應用。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.6.4數字簽名及驗證過程基于公鑰密碼體制進行數字簽名利用私鑰的唯一性。簽名方首先利用自己的私鑰SK對消息或消息摘要進行加密，加密后得到的密文作為簽名，連同相應的明文(mngwn)一起發送給接收方。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁清華大學出版社 北京(bi jn)交通大學出版社共七十七頁清華大學出版社 北京交通(jiotng)大學出版

32、社共七十七頁4.6.5數字簽名的分類(fn li)目前對數字簽名的分類方法有以下幾種：(1)基于數學難題的分類整數的因子分解問題，如 算法(sun f)；離散對數問題，如、等算法；橢圓曲線離散對數問題，如算法。(2)基于簽名用戶的分類單用戶簽名；多用戶簽名，如群簽名、環簽名。(3)簽名人對消息是否可見普通簽名和盲簽名。清華大學出版社 北京交通大學出版社共七十七頁(4)基于簽名人是否受別人委托普通數字簽名；代理簽名方案。(5)根據簽名算法的進行分類用非對稱加密算法進行加密的數字簽名；任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性。(6)依據數字簽名的執行方式分數字簽名的執行方式有兩類： 直

33、接方式和具有仲裁的方式。(7) 基于數字簽名是否具有恢復特性(txng)的分類一類是具有消息自動恢復的特性；另一類是不具有消息自動恢復的特性。清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.6.6 RSA數字簽名算法RSA算法不僅可用于加密(ji m)，而且也可用于數字簽名。RSA簽名算法是當前使用最普遍的簽名方案。使用RSA加密(ji m)算法時，發送方使用接收方的公鑰對消息加密(ji m)，接收方使用自己的私鑰對收到的密文解密。而使用RSA簽名算法時，發送方（簽名方）使用自己的私鑰對消息簽名，接收方（驗證方）使用發送方的公鑰驗證簽名。 清華大學出版社 北京交通(jiotng)

34、大學出版社共七十七頁4.7密鑰管理4.7.1密鑰管理的基本概念密碼系統的安全性依賴于密鑰。密鑰的安全管理是非常重要的，它是保障密碼系統安全的關鍵?，F實世界中，密鑰管理是密碼學中最困難的部分。密鑰管理包括密鑰的產生、裝入、分配、存儲、備份、更新、銷毀、撤銷、保密(bo m)等方面。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁一個好的密鑰管理系統應該做到： (1)密鑰難以被竊??； (2)在一定條件下密鑰被竊取也沒有用,密鑰有使用范圍和時間限制； (3)密鑰的分配和更換過程(guchng)對用戶透明,用戶不一定要親自管理密鑰清華大學出版社 北京交通(jiotng)大學出版社共七十七頁

35、4.7.2密鑰的使用階段一般地，一個密鑰主要經歷密鑰產生(chnshng)、密鑰存儲、密鑰分配、密鑰啟用與停用、密鑰替換與更新、密鑰銷毀和密鑰撤銷幾個階段。清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.7.3密鑰有效期密鑰的使用不可無限期，任何密鑰都有有效期。密鑰的有效期指密鑰使用的生命期。對任何密碼應用，必須有一個(y )策略能檢測密鑰的有效期。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.7.4密鑰托管密鑰托管也稱為托管加密，其目的是保證對個人沒有絕對的隱私和絕對不可(bk)跟蹤的匿名性，即在強加密中結合對突發事件的解密能力。 清華大學出版社 北京(bi

36、jn)交通大學出版社共七十七頁4.8密碼學與安全協議4.8.1安全協議的基本概念安全協議，有時也稱作密碼協議，是以密碼學為基礎的消息交換協議，其目的是在網絡環境中提供各種安全服務。密碼學是網絡安全的基礎，但網絡安全不能單純依靠安全的密碼算法。安全協議是網絡安全的一個重要組成部分(z chn b fn)，我們需要通過安全協議進行實體之間的認證、在實體之間安全地分配密鑰或其它各種秘密、確認發送和接收的消息的非否認性等。清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.8.2安全協議的安全性質安全協議的安全性質主要有如下一些：(1) 認證性認證是最重要的安全性質之一，所有其它安全性質的

37、實現都依賴于此性質的實現。認證是分布式系統中的主體進行身份識別(shbi)的過程。主體與認證服務器共享一個秘密，主體通過證明其擁有此秘密，即可讓認證服務器識別(shbi)其身份。認證可以用來確認身份，對抗假冒攻擊的危險，并可用于獲得對人或事的信任。認證系統一般使用一個加密密鑰作為秘密，而加密體制具有這種性質。若主體沒有密鑰時，它將不能生成一個加密消息或解密經此密鑰加密的消息。主體通過用密鑰加密來證明它擁有此密鑰。安全協議的認證實現是基于密碼的。(2) 秘密性秘密性的目的是保護協議消息不被泄漏給未授權的人。保證秘密性最直接的方法是對消息加密，將消息從明文變成密文，沒有密鑰是無法解密消息的。清華大

38、學出版社 北京(bi jn)交通大學出版社共七十七頁(3) 完整性完整性的目的是保護協議消息不被非法篡改、刪除或替換。最常用的方法是封裝和簽名，即用加密或Hash函數產生一個消息的摘要附在傳送消息后，作為驗證消息完整性的憑證。(4) 不可否認性不可否認性是電子商務協議的一個重要(zhngyo)性質。協議主體必須對其行為負責，不能也無法事后抵賴。不可否認協議的目標有兩個：確認發送方非否認和確認接收方非否認。主體提供的證據通常以簽名消息的形式出現，從而將消息與消息的發送者進行了綁定。清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.8.3安全協議的缺陷分析 安全協議是許多分布式系統安全

39、的基礎，確保這些協議的安全運行是極為重要的。 S.Gritzalis和D.Spinellis根據安全缺陷產生(chnshng)的原因和相應的攻擊方法對安全缺陷進行了分類： 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁（1）基本協議缺陷（2）口令/密鑰猜測缺陷（3）陳舊（stale）消息缺陷（4）并行會話缺陷（5）內部協議缺陷（6）密碼(m m)系統缺陷清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.8.4安全(nqun)協議的分析 目前，對安全協議進行分析的方法主要有兩大類：一類是攻擊檢驗方法；一類是形式化的分析方法。 清華大學出版社 北京交通(jiotng)大學出版社共七十七頁4.9密碼學在網絡安全中的應用目前，已經提出了大量的實用網絡安全與管理安全協議，有代表的有：電子商務(din z shn w)協議，IPSec協議，TLS協議，簡單網絡管理協議（SNMP），PGP協議，PEM協議，S-HTTP協議，S/MIME協議等。實用安全協議的安全性分析特別是電子商務(din z shn w)協議，IPSec協議，TLS協議是當前協議研究中的另一個熱點。 清華大學出版社 北京(bi jn)交通大學出版社共七十七頁4.9.1 認證的應用密碼學不僅在保密方面有廣泛(gungfn)應用，而且在認證方面也有廣泛(gungfn)應用。Kerberos是