第4章 网络安全的密码学基础

1、第4章 网络安全的密码学基础(jch)密码学概述密码系统设计与分析对称密码体制 公钥密码体制Hash函数数字签名密码学与安全协议(xiy)密码学在网络安全中的应用清华大学出版社 北京交通大学出版社共七十七页4.1密码学概述 网络(wnglu)安全是一门涉及计算机、网络(wnglu)、通信、信息安全、数学等多学科的综合性交叉学科。密码技术是网络(wnglu)安全的核心技术之一，通过密码技术可以实现网络(wnglu)信息的保密性、完整性、认证性及追踪性等 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.1.1 密码学起源(qyun)及发展阶段密码学的起源要追溯到几千年前，当时用于军

2、事和外交通信。 第一个阶段是从古代到1949年，可称为古典密码学阶段。这个阶段是密码学诞生的前夜时期。这一时期的密码技术可以说是一种(y zhn)艺术。这个时期的密码专家常常凭直觉、猜测和信念来进行密码设计和分析，而不是凭推理和证明。 清华大学出版社 北京交通大学出版社共七十七页第二个阶段是从1949年到1975年。这个阶段密码学是一种科学。1949年，香农（Shannon）在贝尔系统技术杂志上发表的论文“保密系统的通信理论”，为私钥密码系统奠定了理论基础，从此(cngc)密码学成为一门科学。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页第三个阶段是从1976年至今。1976年，

3、Diffie和Hellman 发表的“密码学的新方向”一文建立了公钥密码系统，导致了密码学上的一次革命。他们(t men)首次证明了在发送端和接收端无密钥传输的保密通信是可能的。这个阶段出现了一些重大成果，如1977年Rivest，Shamir和Adleman提出了RSA公钥密码算法 .清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.1.2 密码学的基本概念1.密码学简介密码学(cryptology)是研究信息系统安全保密的科学。密码学主要包括两个分支：密码编码学(cryptography)和密码分析学(cryptanalysis)。编码的目的是设计各种密码体制用以保障各种安全，

4、而密码分析学主要是从攻击者的角度来说，分析的目的则是试图攻破各种密码体制、研究加密(ji m)信息的破译或信息的伪造。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页2.密码系统的模型及特性一个密码系统可以用五元组（P，C，K，E，D）表示，这里P是明文消息(xio xi)空间，C是密文消息空间，K是密钥消息空间，E是加密算法，D是解密算法，并且E是P与K 到C的一个映射：P K C；D是C与K到 P的一个映射：C K P。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页 密码系统(xtng)模型明文空间Pm接收者m非法接入者搭线信道（主动攻击）c Cjd密码分析员m

5、加密密钥源K1k1解密密钥源K2k2密钥信道c加密器c = (m)解密器m =(c)清华大学出版社 北京交通(jiotng)大学出版社共七十七页为保护信息的机密性，密码系统应当满足如下条件：(1) 系统即使达不到理论上是不可破的，即密码分析者得出正确的明文或密钥的概率是0，也应当为实际上不可破的。就是说，从截获的密文或某些(mu xi)已知明文-密文对，要决定密钥或任意明文在计算上是不可行的。(2) 系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥。这是著名的Kerckhoff原则。(3) 加密和解密算法适用于所有密钥空间中的元素。(4) 系统便于实现和使用。 清华大学出版社 北京交通

6、(jiotng)大学出版社共七十七页3.密码体制(tzh)的分类 按密钥使用的特点，密码体制可以分为对称密码体制（symmetric cryptosystem）和非对称密码体制（asymmetric cryptosystem）。 对称密码体制可按加密方式分为序列密码（stream cipher）和分组密码（block cipher）。序列密码又称为流密码，就是将明文信息一次加密一个比特(b t)或多个比特(b t)形成密码字符串。分组密码是一次对明文组进行加密。 清华大学出版社 北京交通大学出版社共七十七页4.2密码系统的设计(shj)与分析4.2.1密码系统的设计原则1.基本原则密码系统的设

7、计必须遵循一些基本原则:(1) 简单实用原则: 在已知密钥的情况下，容易通过加密算法和解密(ji m)算法计算密文和明文；但是在未知密钥的情况下，无法从加密算法或者解密(ji m)算法推导出明文或者密文。 (2) 抗攻击性原则: 在现有的计算环境下，能够抵抗各种密码分析，例如：已知密文，如果不知道密钥，则无法从其中推出密钥和明文。 (3) 算法公开化原则：一个设计良好的密码体制，它的加密算法和解密算法均可公开，不可公开的是私有密钥。 清华大学出版社 北京交通大学出版社共七十七页2. Shannon的观点关于密码设计，Shannon在一篇论文里面提出了一些基本观点：(1) 组合密码系统的观点。为

8、了易于实现，实际应用中常常将较简单且容易实现的密码系统进行组合，形成较复杂、密钥量较大的密码系统。Shannon 提出了两种可能的组合方法。第一种是概率加权和方法，即以一定的概率随机地从多个子密码系统中选择一个用于加密当前的明文。第二种是乘积方法。(2) 挫败统计分析的观点。用统计分析可以破译多种密码系统。为挫败统计分析，Shannon 提出了两种方法。第一种是在加密之前(zhqin)将语言的一些多余度去掉。例如，在计算机系统中，在加密之前(zhqin)，可以采利用Huffman 编码除去多余度来压缩一个文件。第二种是利用扩散（diffusion）和混淆（confusion）这两种技术来扩散或

9、混淆多余度。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.2.2密码(m m)分析的概念与方法1.密码分析(fnx)的基本概念密码分析是在不知道密钥的情况下恢复出明文或密钥。密码分析也可以发现密码体制的弱点，最终得到密钥或明文。 清华大学出版社 北京交通大学出版社共七十七页2.密码分析与攻击类型根据密码分析者破译(p y)时具有的条件，通常攻击类型可分为如下四种：唯密文攻击（ciphertext-only attack）、已知明文攻击（known plaintext attack）、选择明文攻击（chosen plaintext attack）和选择密文攻击（chosen

10、ciphertext attack）。 以上四种攻击类型中，唯密文攻击最弱，选择密文攻击最强，攻击强度按顺序递增。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页3.攻击密码系统的方法(fngf)攻击密码系统的方法有穷举破译法（exhaustive attack method）和分析法。 分析法可分为确定性分析法和统计分析法这两类。确定性分析法是利用一个或几个已知量(如，已知密文或明文-密文对)用数学关系式表示出所求未知量(如密钥等)。统计分析法是利用明文的已知统计规律进行破译。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页已有的密码分析技术有很多，如代数攻击，差

11、分攻击，线性攻击，相关攻击等。如何对差分密码分析和线性密码分析进行改进，降低它们的复杂度仍是现在(xinzi)理论研究的热点 。清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.密码(m m)系统的安全性判断衡量一个密码系统的安全性通常有两种方法：无条件安全性和实际(shj)安全性。无条件安全性也称为理论安全性。如果密码分析者具有无限计算资源（如时间、设备、资金等）也无法破译密码，那么这个密码体制是无条件安全的。 清华大学出版社 北京交通大学出版社共七十七页实际安全性分为计算安全性和可证明安全性。如果在原理上可破译一个(y )密码系统，但用所有可用资源也不可能完成所要求的计算量，

12、就称该密码系统是计算安全的。如果能证明破译密码体制的困难性等价于解某已知数学难题，就称该密码体制是可证明安全的。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.3对称(duchn)密码体制4.3.1对称密码体制的基本概念对称密码体制又称私钥或单钥或传统密码体制。该体制中，通常加密(ji m)密钥和解密密钥一样，目前仍然是使用最为广泛的加密(ji m)类型。自1997年美国颁布数据加密(ji m)标准（DES）密码算法作为美国数据加密(ji m)标准以来，对称密码体制得到了迅速发展，在世界各国得到了广泛应用。 清华大学出版社 北京交通大学出版社共七十七页加密器EK解密器DK密文

13、明文明文K密钥产生器K秘密通道 私钥密码(m m)体制模型 清华大学出版社 北京(bi jn)交通大学出版社共七十七页私钥秘密体制的安全使用需要满足以下两个要求：1)加密算法必须是足够强的。即使敌手拥有一定数量的密文和产生每个密文的明文，也不能破译密文或发现密钥。2)发送者和接收者必须在某种安全形式下获得密钥并且必须保证密钥安全。如果有人发现该密钥，而且知道相应(xingyng)算法，那么就能解读使用该密钥加密的任何通信。清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.3.2对称密码体制的分类按加密方式对称密码体制可以(ky)分为序列密码和分组密码，序列密码也称为流密码。清华大

14、学出版社 北京(bi jn)交通大学出版社共七十七页1.序列密码的基本原理与设计分析序列密码一次加密一个明文符号，运算速度快，加密、解密易实现，所以序列密码在许多领域有着广泛的应用，如序列密码RC4 用于许多网络和安全(nqun)协议中，A5 用于全球移动通信系统GSM (the Global System for Mobile Communications)， 用于蓝牙（Bluetooth）技术，序列密码主要应用于政府、军队等。清华大学出版社 北京交通(jiotng)大学出版社共七十七页序列密码模型(mxng) 清华大学出版社 北京(bi jn)交通大学出版社共七十七页2.分组密码的基本原理

15、与设计分析分组密码是将明文消息编码表示后的数字序列, 划分成长为m的组x = (,)，各组分别在密钥k = (,) 控制的加密(ji m)算法加密(ji m)下变换成长为n 的密文c = (,)。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页分组密码(m m)模型 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.3.3 DES密码(m m)算法分析1.DES密码算法简介1972年，美国标准局NBS（现在的NIST）公开征求用于计算机通信数据保密的方案。随后(suhu)IBM公司的W.Tuchman和C.Meyers等研究人员提交了一个数据加密算法Lucifer，

16、该算法被美国标准局采用，在经过一系列研究讨论和简单修改后于1977年正式批准为数据加密标准DES。 清华大学出版社 北京交通大学出版社共七十七页2.DES算法的加密过程在DES中采用了多轮循环加密来扩散和混淆明文。DES将明文消息按64比特分组，密钥长度也是64比特，但是实际使用时密钥长度是56比特，另外8比特用作奇偶校验位（即每个字节(z ji)的最后一位用作奇偶校验,使得每一个字节(z ji)含有奇数个1，因此可以检错）。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页DES算法加密过程(guchng)如下： 输入64比特的明文，首先经过初始矩阵IP置换； 在56比特的输入密

17、钥控制下，进行16轮相同的迭代加密处理过程，即在16个48比特子密钥控制下进行16轮乘积变换； 最后通过简单的换位和逆初始置换，得到64比特的输出密文。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页 DES加密算法框图(kungt) 清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.DES加密(ji m)的子密钥生成过程 DES 子密钥的生成(shn chn) 清华大学出版社 北京交通大学出版社共七十七页5. DES的运行(ynxng)模式为了能在各种应用 场合使用(shyng) DES， 美国 在 FIPS PUS 74 和 81 中定义了 DES 的 4 种运行模

18、式 清华大学出版社 北京交通大学出版社共七十七页清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.4公钥密码(m m)体制4.4.1公钥密码体制的基本概念1.公钥密码体制简介公钥密码体制，又称为双钥或非对称密码体制。密码系统有两个密钥，即加密密钥和解密密钥不同。 这两个密钥一个是公开的，一个是秘密的，分别称为公开密钥（公钥）和私有密钥（私钥），公开密钥是对外公开的，即所有人都可知，私有密钥是只有特定(tdng)的用户才能拥有，这是公钥密码体制与对称密码体制最大的不同。公钥密码学的产生是为了解决对称密码体制中最困难的两个问题：密钥分配问题和数字签名问题。 清华大学出版社 北京交通大学

19、出版社共七十七页公钥密码算法的基本要求公钥密码算法应满足以下要求： 接收方 B 产生(chnshng)密钥对（公开钥 PKB 和秘密钥 SKB） 在计算上是容易的。 发方 A 用收方的公开钥对消息 m 加密以产生密文 c， 即c = EPKBm在计算上是容易的。 收方 B 用自己的秘密钥对 c 解密， 即m = DSKBc在计算上是容易的。 敌手由 B 的公开钥 PKB 求秘密钥 SKB 在计算上是不可行的。 敌手由密文 c 和 B 的公开钥 PKB 恢复明文 m 在计算上是不可行的。 加、解密次序可换， 即EPKBDSKB（m） = DSKBEPKB（m）。 清华大学出版社 北京交通(jio

20、tng)大学出版社共七十七页单向陷门函数的性质(xngzh)单向函数是满足下列性质的函数：函数是一一映射，即每个函数值都存在唯一的逆；并且计算函数值很容易，但求逆不可行。即y = f(x) 容易计算，但x =(y) 不可行。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页公钥密码体制(tzh)加密和认证模型公钥密码体制有加密模型和认证模型。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.4.2公钥密码体制(tzh)的特点及应用公钥密码体制(tzh)有如下一些特点：加密和解密能力分开。可以实现多个用户加密的消息只能由一个用户解读（用于公共网络中实现保密通信）。可实

21、现只能由一个用户加密消息而使多个用户可以解读（可用于认证系统中对消息进行数字签字）。无需事先分配密钥。重要特点：仅根据密码算法和加密密钥来确定解密密钥在计算上不可行。有些算法如RSA还具有特点：两个密钥中任何一个都可用来加密，另一个用来解密。清华大学出版社 北京交通大学出版社共七十七页清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.4.3 RSA密码算法(sun f)分析1.RSA密码算法简介最早提出的满足要求的公钥密码算法是RSA。1976年Deffie和Hellman提出公钥密码思想之后，1977年麻省理工学院的Ron Rivest、Adi Shamir和Len Adlema

22、n三位学者提出了RSA(Rivest-Shamir-Adleman)公钥密码算法，该算法于1978年首次(shu c)发表，从此至今，RSA算法是被使用最多的公钥密码算法。 清华大学出版社 北京交通大学出版社共七十七页Rivest、Shamir 和 Adleman 研制的方案使用了指数表达式。RSA算法是一种(y zhn)分组密码，明文M以分组为单位加密，其中每个分组是小于某个数 n 的二进制数值。也就是说，分组大小必须小于或等于 log2（n）。对于某个明文分组 M 和密文分组 C，明文和密文都是从0到n-1之间的整数。当前，密钥长度（指n的二进制位数）在1024位到2048位之间是合适的。

23、RSA算法基于大整数质因子分解非常困难这一数学难题，这里大整数通常有几百位长。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页已知明文的某块分组M，公钥(e，n)，私钥(d，n)，相应密文分组为C，则RSA加密(ji m)算法的加密(ji m)过程如下：C = EPK (M) = mod n RSA算法加密和解密过程是等价的，解密过程如下：M = DSK (C) = mod n发送方和接收方都必须知道 n 的值。 发送方知道 e 的值， 而只有接收方知道 d 的值。 因此， 这是一种公开密钥为 PK= e， n， 且私有密钥为SK = d， n的公开密钥加密算法。 清华大学出版社

24、北京交通(jiotng)大学出版社共七十七页要使这个算法能够(nnggu)满足公开密钥加密的要求， 必须符合如下条件：有可能找到 e、d、n 的值， 使得对所有 M n 有 Med= M mod n。对于所有 M n 的值， 要计算和相对来说是简单的。在给定 e 和 n 时， 判断出 d 是不可行的。清华大学出版社 北京交通(jiotng)大学出版社共七十七页3RSA算法(sun f)举例清华大学出版社 北京交通(jiotng)大学出版社共七十七页4RSA算法的安全性分析RSA 的安全性是基于分解大整数的困难性假定， 之所以为假定是因为至今还未能证明分解大整数就是 NP 问题(wnt)， 也许

25、有尚未发现的多项式时间分解算法。即给定大整数n，将n分解为两个素数因子p与q，在数学上至今没有有效的方法予以解决。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.5 Hash函数4.5.1. Hash函数的基本概念Hash函数也称为散列函数。Hash函数是一种将任意长度(chngd)的消息压缩到某一固定长度(chngd)的消息摘要的函数。消息摘要也称为报文摘要，它是由Hash函数来完成。设H是散列函数，m是消息，h是报文摘要，则h = H(m)。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页密码学中的Hash函数H，应具有如下性质：(1) H函数的输入为任意大

26、小的数据块。(2) H产生固定长度的输出。(3) 对任意给定x，计算H(x) 容易，用硬件和软件都可以实现(shxin)。(4) 对任意给定的Hash值h，找到满足H(x) = h的x是计算上不可行的，称为单向性。(5) 已知 x， 找出 y（yx） 使得 H（y） = H（x） 在计算上是不可行的。如果单向杂凑函数满足这一性质， 则称其为弱单向散列函数。(6) 找出任意两个不同的输入 x、y， 使得 H（y）= H（x） 在计算上是不可行的。如果单向杂凑函数满足这一性质， 则称其为强单向散列函数。第(5)和第(6)个条件给出了散列函数无碰撞性的概念，如果散列函数对不同的输入可产生相同的输出，

27、 则称该函数具有碰撞性。清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.5.2 Hash函数的构造方法构造单向散列函数的方法有很多，目前主要有以下几种：(1) 利用某些数学困难问题，如因子分解问题、离散对数问题等。(2) 利用一些私钥密码体制如DES等，这种散列函数的安全性与所使用的基础密码算法相关。(3) 直接构造散列函数，这类算法不基于任何假设和密码体制，如经典的散列算法消息摘要(zhiyo)算法MD5和安全散列算法SHA-1等。清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.5.3散列函数的密码分析如果有两个不同的消息，它们的散列函数值相同，那么就称这两个消

28、息是碰撞消息或这两个消息碰撞。通常假设敌手知道Hash算法。敌手的主要攻击目标是找到一对或更多对碰撞消息。目前已有一些攻击Hash算法和计算碰撞消息的方法，其中有些方法是一般方法，可用于攻击任何类型的Hash算法，如生日攻击。还有些方法是特殊方法，只能用于攻击某类特殊类型的Hash算法，如中间相遇攻击适用于攻击具有分组链结构的Hash算法，修正分组攻击适用于攻击基于模算术的Hash算法。此外，差分攻击也可以(ky)用于攻击某些Hash算法。针对Hash算法的一些弱点也可对它进行攻击，如可利用Hash算法的代数结构对其进行攻击。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.6

29、数字签名4.6.1数字签名的基本概念所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换(binhun)。这种数据或变换(binhun)允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页数字签名必须具有以下(yxi)特征：数字签名必须能验证签名者、签名日期和时间。数字签名必须能认证被签的消息内容。当双方关于签名的真伪发生争执(zhngzh)时，数字签名应能由第三方仲裁以解决争执(zhngzh)。根据这些特征，数字签名应满足以下条件：签名必须是与消息相关的二进制位

30、串。签名必须使用发送方某些独有的信息，以防伪造和否认。产生数字签名比较容易。识别和验证数字签名比较容易。伪造数字签名在计算上是不可行的。无论是从给定的数字签名伪造消息，还是从给定的消息伪造数字签名在计算上都是不可行的。保存数字签名的拷贝是可行的。清华大学出版社 北京交通大学出版社共七十七页4.6.2常用的数字签名算法简介目前(mqin)大多数数字签名都是基于公钥密码算法，如RSA数字签名算法、美国的数字签名标准DSS，也有少数基于对称密码体制，如Hash签名方法。清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.6.3数字签名的系统描述数字签名系统包括：签名算法(sun f)（对

31、应加密算法(sun f)）、验证算法(sun f)（对应解密算法(sun f)）、签名方（对应发送方）、验证方（对应接收方）和签名关键值。数字签名技术是密码学的一种应用。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.6.4数字签名及验证过程基于公钥密码体制进行数字签名利用私钥的唯一性。签名方首先利用自己的私钥SK对消息或消息摘要进行加密，加密后得到的密文作为签名，连同相应的明文(mngwn)一起发送给接收方。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页清华大学出版社 北京(bi jn)交通大学出版社共七十七页清华大学出版社 北京交通(jiotng)大学出版

32、社共七十七页4.6.5数字签名的分类(fn li)目前对数字签名的分类方法有以下几种：(1)基于数学难题的分类整数的因子分解问题，如 算法(sun f)；离散对数问题，如、等算法；椭圆曲线离散对数问题，如算法。(2)基于签名用户的分类单用户签名；多用户签名，如群签名、环签名。(3)签名人对消息是否可见普通签名和盲签名。清华大学出版社 北京交通大学出版社共七十七页(4)基于签名人是否受别人委托普通数字签名；代理签名方案。(5)根据签名算法的进行分类用非对称加密算法进行加密的数字签名；任何拥有发送方公开密钥的人都可以验证数字签名的正确性。(6)依据数字签名的执行方式分数字签名的执行方式有两类： 直

33、接方式和具有仲裁的方式。(7) 基于数字签名是否具有恢复特性(txng)的分类一类是具有消息自动恢复的特性；另一类是不具有消息自动恢复的特性。清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.6.6 RSA数字签名算法RSA算法不仅可用于加密(ji m)，而且也可用于数字签名。RSA签名算法是当前使用最普遍的签名方案。使用RSA加密(ji m)算法时，发送方使用接收方的公钥对消息加密(ji m)，接收方使用自己的私钥对收到的密文解密。而使用RSA签名算法时，发送方（签名方）使用自己的私钥对消息签名，接收方（验证方）使用发送方的公钥验证签名。 清华大学出版社 北京交通(jiotng)

34、大学出版社共七十七页4.7密钥管理4.7.1密钥管理的基本概念密码系统的安全性依赖于密钥。密钥的安全管理是非常重要的，它是保障密码系统安全的关键。现实世界中，密钥管理是密码学中最困难的部分。密钥管理包括密钥的产生、装入、分配、存储、备份、更新、销毁、撤销、保密(bo m)等方面。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页一个好的密钥管理系统应该做到： (1)密钥难以被窃取； (2)在一定条件下密钥被窃取也没有用,密钥有使用范围和时间限制； (3)密钥的分配和更换过程(guchng)对用户透明,用户不一定要亲自管理密钥清华大学出版社 北京交通(jiotng)大学出版社共七十七页

35、4.7.2密钥的使用阶段一般地，一个密钥主要经历密钥产生(chnshng)、密钥存储、密钥分配、密钥启用与停用、密钥替换与更新、密钥销毁和密钥撤销几个阶段。清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.7.3密钥有效期密钥的使用不可无限期，任何密钥都有有效期。密钥的有效期指密钥使用的生命期。对任何密码应用，必须有一个(y )策略能检测密钥的有效期。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.7.4密钥托管密钥托管也称为托管加密，其目的是保证对个人没有绝对的隐私和绝对不可(bk)跟踪的匿名性，即在强加密中结合对突发事件的解密能力。 清华大学出版社 北京(bi

36、jn)交通大学出版社共七十七页4.8密码学与安全协议4.8.1安全协议的基本概念安全协议，有时也称作密码协议，是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分(z chn b fn)，我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.8.2安全协议的安全性质安全协议的安全性质主要有如下一些：(1) 认证性认证是最重要的安全性质之一，所有其它安全性质的

37、实现都依赖于此性质的实现。认证是分布式系统中的主体进行身份识别(shbi)的过程。主体与认证服务器共享一个秘密，主体通过证明其拥有此秘密，即可让认证服务器识别(shbi)其身份。认证可以用来确认身份，对抗假冒攻击的危险，并可用于获得对人或事的信任。认证系统一般使用一个加密密钥作为秘密，而加密体制具有这种性质。若主体没有密钥时，它将不能生成一个加密消息或解密经此密钥加密的消息。主体通过用密钥加密来证明它拥有此密钥。安全协议的认证实现是基于密码的。(2) 秘密性秘密性的目的是保护协议消息不被泄漏给未授权的人。保证秘密性最直接的方法是对消息加密，将消息从明文变成密文，没有密钥是无法解密消息的。清华大

38、学出版社 北京(bi jn)交通大学出版社共七十七页(3) 完整性完整性的目的是保护协议消息不被非法篡改、删除或替换。最常用的方法是封装和签名，即用加密或Hash函数产生一个消息的摘要附在传送消息后，作为验证消息完整性的凭证。(4) 不可否认性不可否认性是电子商务协议的一个重要(zhngyo)性质。协议主体必须对其行为负责，不能也无法事后抵赖。不可否认协议的目标有两个：确认发送方非否认和确认接收方非否认。主体提供的证据通常以签名消息的形式出现，从而将消息与消息的发送者进行了绑定。清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.8.3安全协议的缺陷分析 安全协议是许多分布式系统安全

39、的基础，确保这些协议的安全运行是极为重要的。 S.Gritzalis和D.Spinellis根据安全缺陷产生(chnshng)的原因和相应的攻击方法对安全缺陷进行了分类： 清华大学出版社 北京(bi jn)交通大学出版社共七十七页（1）基本协议缺陷（2）口令/密钥猜测缺陷（3）陈旧（stale）消息缺陷（4）并行会话缺陷（5）内部协议缺陷（6）密码(m m)系统缺陷清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.8.4安全(nqun)协议的分析 目前，对安全协议进行分析的方法主要有两大类：一类是攻击检验方法；一类是形式化的分析方法。 清华大学出版社 北京交通(jiotng)大学出版社共七十七页4.9密码学在网络安全中的应用目前，已经提出了大量的实用网络安全与管理安全协议，有代表的有：电子商务(din z shn w)协议，IPSec协议，TLS协议，简单网络管理协议（SNMP），PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。实用安全协议的安全性分析特别是电子商务(din z shn w)协议，IPSec协议，TLS协议是当前协议研究中的另一个热点。 清华大学出版社 北京(bi jn)交通大学出版社共七十七页4.9.1 认证的应用密码学不仅在保密方面有广泛(gungfn)应用，而且在认证方面也有广泛(gungfn)应用。Kerberos是