第4章 密码学应用

第四章密码学应用密钥的生命周期及密钥管理的概念对称密钥体制、公钥体制的密钥管理方法消息认证的原理和方法PKI的原理数字证书的应用PGP的原理及使用3/21/20241海南师范大学计教系4.1密钥管理密钥管理是密码学的一个重要研究领域，也是密码学领域最困难的部分。不仅涉及技术上的问题，还与行政管理制度以及掌握机密的人员素质有关。3/21/20242海南师范大学计教系一个密钥管理系统应具备以下几个特点：密钥难以被非法窃取；在一定条件下窃取密钥也没有用；密钥的分配和更换过程透明等3/21/20243海南师范大学计教系4.1.1密钥产生及管理概述

一个密钥在生存期（授权使用该密钥的周期）内一般要经历以下几个阶段：l

密钥的产生l

密钥的分配l

启用密钥/停用密钥l

替换密钥或更新密钥l

撤销密钥l

销毁密钥

3/21/20244海南师范大学计教系（1）密钥的产生与分配产生：产生密钥应考虑密钥空间、弱密钥、随机过程的选择等问题好的密钥一般是由自动处理设备产生的随机位串，这就要求有一个可靠的随机数生成器ANSIX9.17标准规定了一种密钥产生方法，产生密钥的加密算法是TripleDES。3/21/20245海南师范大学计教系（2）密钥的存储和备份存储：把自己的口令和密码记在脑子里把密钥存储在硬件的介质上，如ROM密钥和智能卡（密钥平均分成两份来存储——更安全的方法）用密钥加密密钥的方法来对难于记忆的密钥进行加密保存3/21/20246海南师范大学计教系备份：密钥托管方案和秘密共享协议来解决密钥的备份问题。密钥托管就是用户将自己的密钥交给一个安全员，由安全员保证将所有密钥安全保存起来。（前提：安全员是可信任的）秘密共享协议（P88）

3/21/20247海南师范大学计教系（3）密钥的撤销和销毁撤销：密钥都有一定的有效期，如果密钥使用的时间越长，它泄露的机会就越多；如果一个密钥已泄露，那么这个密钥使用的时间越长，损失就越大；密钥使用越久，其受攻击的可能性和可行性也越大；对同一密钥加密的多个密文进行密码分析比较容易。因此，密钥在使用一段时间后，如果发现与密钥相关的系统出现安全问题，怀疑某一密钥已受到威胁或发现密钥的安全级别不够高等情况，该密钥应该被撤销并停止使用

另应设定一定的有效期限，过了此期限后密钥自动撤消并重新生成和启用新的密钥。3/21/20248海南师范大学计教系销毁：密钥的销毁则要清除一个密钥所有的踪迹。当和一个密钥有关的所有保密性活动都中止以后，应该安全地销毁密钥及所有的密钥拷贝。对于自己进行内存管理的计算机，密钥可以很容易地进行复制和存储在多个地方，在计算机操作系统控制销毁过程的情况下，很难保证安全的销毁密钥。谨慎的做法是写一个特殊的删除程序，让它查看的所有磁盘，寻找在未用存贮区上的密钥副本，并将它们删除。还要记住删除所有临时文件或交换文件的内容。3/21/20249海南师范大学计教系4.1.2对称密码体制的密钥管理（1）密钥分配中心KDCKDC与每一个用户之间共享一个不同的永久密钥，当两个用户A和B要进行通信时，由KDC产生一个双方会话使用的密钥K，并分别用两个用户的永久密钥KA、KB来加密会话密钥发给他们，即将KA(K)发给A，KB(K)发给B；A、B接收到加密的会话密钥后，将之解密得到K，然后用K来加密通信数据。

3/21/202410海南师范大学计教系KeyDistributionSessionkey(会话密钥):Dataencryptedwithaone-timesessionkey.

AttheconclusionofthesessionthekeyisdestroyedPermanentkey(永久密钥):Usedbetweenentitiesforthepurposeofdistributingsessionkeys3/21/202411海南师范大学计教系3/21/202412海南师范大学计教系（2）基于公钥体制的密钥分配假设通信双方为A和B。使用公钥体制交换对称密钥的过程是这样的：首先A通过一定的途径获得B的公钥；然后A随机产生一个对称密钥K，并用B的公钥加密对称密钥K发送给B；B接收到加密的密钥后，用自己的私钥解密得到密钥K。在这个对称密钥的分配过程中，不再需要在线的密钥分配中心，也节省了大量的通信开销。

3/21/202413海南师范大学计教系4.1.3公开密钥体制的密钥管理

必须有一种措施保证公共密钥的完整性，实现公钥和公钥持有人身份的绑定。主要有两种公钥管理模式，一种采用证书的方式，另一种是PGP采用的分布式密钥管理模式。（1）公钥证书公钥证书是由一个可信的人或机构签发的，它包括证书持有人的身份标识、公钥等信息，并由证书颁发者对证书签字。在这种公钥管理机制中，首先必须有一个可信的第三方，来签发和管理证书，这个机构通常称为CA（CertificateAuthority）。3/21/202414海南师范大学计教系（2）分布式密钥管理在某些情况下，集中的密钥管理方式是不可能的，比如：没有通信双方都信任的CA。用于PGP的分布式密钥管理，采用了通过介绍人（introducer）的密钥转介方式，更能反映出人们的社会自然交往，而且人们也能自由地选择信任的人来介绍，非常适用于分散的用户群。3/21/202415海南师范大学计教系4.2消息认证4.2.1数据完整性验证

消息的发送者用要发送的消息和一定的算法生成一个附件，并将附件与消息一起发送出去；消息的接收者收到消息和附件后，用同样的算法与接收到的消息生成一个新的附件；把新的附件与接收到的附件相比较，如果相同，则说明收到的消息是正确的，否则说明消息在传送中出现了错误。

3/21/202416海南师范大学计教系附件又称为封装、完整性校验值、消息认证码（MAC）、消息完整性码（MIC）3/21/202417海南师范大学计教系（1）使用对称密钥体制产生消息认证码发送者把消息m分成若干个分组（m1,m2…..mi），利用分组密密码算法来产生MAC，其过程如图4-3所示。

图4-3利用分组密码产生MAC的过程3/21/202418海南师范大学计教系（2）使用散列函数来产生消息认证码散列函数可以将任意长度的输入串转化成固定长度的输出串，将定长的输出串来做消息的认证码。

3/21/202419海南师范大学计教系4.2.2单向散列函数单向散列函数（one-wayhashfunction），也叫压缩函数、收缩函数，它是现代密码学的中心，是许多协议的另一个结构模块。散列函数长期以来一直在计算机科学中使用，散列函数是把可变长度的输入串（叫做预映射，pre-image）转换成固定长度的输出串（叫做散列值）的一种函数单向散列函数是在一个方向上工作的散列函数，即从预映射的值很容易计算出散列值，但要从一个特定的散列值得出预映射的值则非常难。

3/21/202420海南师范大学计教系4.2.3消息摘要算法MD5

MD5以512bit的分组来处理输入文本，每一分组又划分为16个32bit的子分组。算法的输出由4个32bit分组组成，将它们级联形成一个128bit的散列值。首先填充消息使其长度恰好为一个比512的倍数仅小64bit的数。填充方法是在消息后面附一个1，然后填充上所需要的位数的0，然后在最后的64位上附上填充前消息的长度值。这样填充后，可使消息的长度恰好为512的整数倍，且保证不同消息在填充后不相同。首先要对四个32bit的变量进行初始化，这四个变量称为链接变量（chainingvariable）。A=0x01234567B=0x89abcdefC=0xfedcba98D=0x765432103/21/202421海南师范大学计教系MD5一次循环过程

3/21/202422海南师范大学计教系4.2.4数字签名数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人（如接收者）伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时，第三方（仲裁机构）就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出，从而实现抗抵赖服务。另外，数字签名应是所发送数据的函数，即签名与消息相关，从而防止数字签名的伪造和重用。3/21/202423海南师范大学计教系数字签名技术DigitalSignature数字签名的含义数字签名的简单定义：数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文，作为相应明文的签名，使明文信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。对数字签名的基本要求签名接收者能容易地验证签字者对消息所做的数字签名；任何人，包括签名接收者，都不能伪造签名者的签字；发生争议时，可由第三方解决争议。3/21/202424海南师范大学计教系2、

数字签名的实现方法

（1）使用对称加密和仲裁者实现数字签名

3/21/202425海南师范大学计教系（2）使用公开密钥体制进行数字签名公开密钥体制的发明，使数字签名变得更简单，它不再需要第三方去签名和验证。签名的实现过程如下：A用他的私人密钥加密消息，从而对文件签名；A将签名的消息发送给B；B用A的公开密钥解消息，从而验证签名；

3/21/202426海南师范大学计教系（3）使用公开密钥体制与单向散列函数进行数字签名利用单向散列函数，产生消息的指纹，用公开密钥算法对指纹加密，形成数字签名。过程如图4-6所示。过程描述如下：l

A使消息M通过单向散列函数H，产生散列值，即消息的指纹或称消息验证码；l

A使用私人密钥对散列值进行加密，形成数字签名s；l

A把消息与数字签名一起发送给B；l

B收到消息和签名后，用A的公开密钥解密数字签名s；再用同样的算法对消息运算生成散列值；l

B把自己生成的散列值与解密的数字签名相比较，看是否匹配，从而验证签名。3/21/202427海南师范大学计教系（4）加入时间标记的签名（5）多重签名（6）盲签名

3/21/202428海南师范大学计教系4.3Kerberos认证交换协议4.3.1Kerberos模型的工作原理和步骤

3/21/202429海南师范大学计教系（1）客户请求Kerberos认证服务器AS发给接入TGS的门票。Client

AS的消息：c,tgs（2）Kerberos在其数据库中查找客户实体，产生会话密钥Kc,tgs，使用Kc对之加密，生成允许客户使用的TGS的票据Tc,tgs（Tc,tgs中包括：客户实体名、地址、TGS名、时间印记、时限、会话密钥Kc,tgs等），并用Kerberos与TGS之间的秘密密钥加密，然后把两个加密消息发给客户。AS

Client的消息：{Kc,tgs}Kc，{Tc,tgs}Ktgs（3）客户用自己的秘密密钥解密消息得到会话密钥Kc,tgs，然后生成一个认证单Ac,s（Ac,s中包括客户实体名、地址、时间标记），并使用Kc,tgs加密，然后向TGS发出请求，申请接入应用服务器的门票。Client

TGS的消息：{Ac,s}Kc,tgs，{Tc,tgs}Ktgs3/21/202430海南师范大学计教系（4）TGS对Tc,tgs消息解密获得Kc,tgs，用Kc,tgs对加密的认证单解密获得Ac,s，并与Tc,tgs中的数据进行比较，然后由TGS产生客户和服务器之间使用的会话密钥Kc,s，并将Kc,s加入到客户向该服务器提交的Ac,s中，生成门票Tc,s，然后用目标服务器的秘密密钥Ks将此门票加密。TGS

Client的消息：{Kc,s}Kc,tgs，{Tc,s}Ks（5）客户对消息解密获得Kc,s，客户制作一个新的认证单Ac,s，并用Kc,s加密与{Tc,s}Ks一起发给目标服务器；服务器对{Tc,s}Ks解密获得Kc,s，利用Kc,s对{Ac,s}Kc,s解密获得Ac,s，将Ac,s与Tc,s的内容比较，如果无误，则服务器知道客户真实的身份，决定是否与之进行通信。Client

Server的消息：{Ac,s}Kc,s，{Tc,s}Ks如果客户需要对服务器的身份进行确认，也可以使用同样的方法。3/21/202431海南师范大学计教系4.3.2Kerberos的优势与缺陷Kerberos为网络中的所有实体提供了一个集中的、统一的认证管理机制，而一般的认证协议（如SSL）仅局限于客户与服务器两者之间的交换过程；运用Kerberos票据的概念，使一次性签放的机制得以实现，每张票据中都有一个时限，典型的为8小时，在时限到来之前，用户可以使用该票据多次连接使用应用服务器；Kerberos认证服务器与TGS产生的会话密钥Kc,tgs和Kcs保证了客户与TGS和Server之间消息传输的安全性；支持分布环境下的认证服务；支持双向的身份认证服务。3/21/202432海南师范大学计教系Kerberos仍存在着几个潜在的安全弱点。旧的鉴别码可能被存储和重用，尽管时间标记可以防止这种攻击，但在票据有效期内仍可能发生重用，并且鉴别码是基于网络中所有时钟同步的事实，如果能欺骗主机，使之时间发生错误，那么旧的鉴别码就会很容易地实现重放。另外Kerberos基于对称密码体系，因而在认证服务器AS和门票分配服务器TGS上都要存放大量的秘密密钥，而密钥的管理一直是对称密码学中一个比较棘手的问题，如果密钥管理不善，攻击者获得一个客户的秘密密钥后就可以假冒该客户的身份申请票据，从而导致整个认证的无效。并且使用对称加密算法，仅能保证数据的安全性，而无法保证数据的完整性，这是该协议一个主要的弱点。3/21/202433海南师范大学计教系4.4公钥基础设施——PKI

从广义上讲，PKI就是一个用公钥概念和技术实现的、为网络的数据和其它资源提供具有普适性安全服务的安全基础设施。PKI概念和内容是动态的、不断发展的。完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

3/21/202434海南师范大学计教系认证机关（CA）：CA是一个基于服务器的应用，是PKI的核心组成部分，是数字证书的申请及签发机关。CA从一个目录（directory）获取证书和公钥并将之发给认证过身份的申请者。在PKI框架中，CA扮演着一个可信的证书颁发者的角色，CA必须具备权威性；用户相信CA的行为和能力对于保障整个系统的安全性和可靠性是值得信赖的。数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。PKI系统对密钥、证书及废止证书列表的存储和管理，使用了一个基于LDAP协议的目录服务。与已注册证书的人进行安全通信，任何人都可以从该目录服务器获取注册者的公钥。3/21/202435海南师范大学计教系密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况的,PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。3/21/202436海南师范大学计教系4.4.2CA的功能（1）证书颁发申请者在CA的注册机构（RA）进行注册，申请证书。CA对申请者进行审核，审核通过则生成证书，颁发给申请者。证书的申请可采取在线申请和亲自到CA申请两种方式。证书的颁发也可采取两种方式，一是在线直接从CA下载，一是CA将证书制作成介质（磁盘或IC卡）后，由申请者带走。（2）证书更新当证书持有者的证书过期、证书被窃取、丢失时，通过更新证书方法，使其使用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。证书的更换实际上是重新颁发证书，因此证书的更换的过程和证书的申请流程基本情况一致。而证书的延期只是将证书有效期延长，其签名和加密信息的公/私密钥没有改变。3/21/202437海南师范大学计教系（3）证书撤销证书持有者可以向CA申请撤销证书。CA通过认证核实，即可履行撤销证书职责，通知有关组织和个人，并写入证书撤销列表CRL。有些人（如证书持有者的上级）也可申请撤销证书持有者的证书。（4）证书和CRL的公布CA通过LDAP（LightweightDirectoryAccessProtocol）服务器维护用户证书和证书撤销列表（CRL）。它向用户提供目录浏览服务，负责将新签发的证书或废止的证书加入到LDAP服务器上。这样用户通过访问LDAP服务器就能够得到他人的数字证书或能够访问CRL。（5）证书状态的在线查询通常CRL发布为一日一次，CRL的状态同当前证书状态有一定的滞后。证书状态的在线查询通过向OCSP（OnlineCertificateStatusProtocol）服务器发送OCSP查询包实现，包中含有待验证证书的序列号、验证时间戳。OCSP服务器返回证书的当前状态并对返回结果加以签名。在线证书状态查询比CRL更具有时效性。3/21/202438海南师范大学计教系CA对证书进行有效性和真实性的认证，在多个CA的系统中，由特定CA发放证书的所有用户组成一个域。同一域中的用户可以直接进行证书交换和认证，不同域的用户的公钥安全认证和递送。需要通过建立一个可信赖的证书链或证书通路实现。如图4-8为一个简单的证书链。若用户U1与用户U2进行安全通信，只需要涉及三个证书（U1、U2、CA1的证书），若U1与U3进行安全通信，则需要涉及五个证书（U1、CA1、PCA、CA3、U3）。（6）证书认证3/21/202439海南师范大学计教系（7）制定政策CA私钥的保护：CA签发证书所用的私钥要受到严格的保护，不能被毁坏，也不能非法使用。

CRL的更新频率：CA的管理员可以设定一个时间间隔，系统会按时更新CRL。通知服务：对于用户的申请和证书过期、废除等有关事宜的回复。保护CA服务器：必须采取必要的措施以保证CA服务器的安全。您必须保证该主机不被任何人直接访问，当然CA使用的http服务端口除外。审计与日志检查：为了安全起见，CA对一些重要的操作应记入系统日志。

3/21/202440海南师范大学计教系4.4.3PKI的体系结构

1、单个CA的PKI结构单个CA的PKI结构中，只有一个CA，它是PKI中的所有用户的信任点，为所有用户提供PKI服务。在这个结构中，所有用户都能通过该CA实现相互之间的认证。单个CA的PKI结构简单，容易实现；但对于具有大量的、不同群体用户的组织不太适应，其扩展性较差。2、分层结构的PKI一个以主从CA关系建立的PKI称为分层结构的PKI。在这种结构中，所有的用户都信任最高层的要CA，上一层CA向下一层CA发放公钥证书。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信，需解决跨域的认证问题，这一认证过程在于建立一个从根出发的可信赖的证书链。3/21/202441海南师范大学计教系3/21/202442海南师范大学计教系3、网络结构的PKI系统以对等的CA关系建立的交叉认证扩展了CA域之间的第三方信任关系，这样的PKI系统称为网状结构的PKI。交叉认证包括两个操作：一个操作是两个域之间信任关系的建立，这通常是一个一次性操作。在双边交叉认证的情况下，每个CA签发一张“交叉证书”；第二个操作由客户端软件来完成，这个操作就是验证由已经交叉认证的CA签发的用户证书的可信赖性，是一个经常性执行的操作。

3/21/202443海南师范大学计教系CA1和CA2通过互相颁发证书，来实现两个信任域内网络用户的相互认证。如果User1要验证User2证书的合法性，则首先要验证CA2对User2证书的签名，那它就要取得CA2的证书以获得CA2的公钥，因为User1信任CA1，则它信任由CA1给CA2颁发的证书，通过该证书，User1信任User2的证书。即形成一条信任路径：User1

CA1

CA2

User2.3/21/202444海南师范大学计教系4.5数字证书4.5.1数字证书的类型及格式证书中包含证书持有者的个人身份信息、公钥及CA的签名，在网络通讯中标识证书持有者的个人身份，可用于网上购物、网上证券、网上金融、网上拍卖、网上保险等多种应用系统。目前，个人证书主要以软盘为存储介质。

Web服务器证书是WebServer与用户浏览器之间建立安全连接时所使用的数字证书。WebServer申请了证书并装载成功，进行相关的配置后，即可与用户浏览器建立安全连接。可以要求浏览器客户端拥有数字证书，建立通信时WebServer和浏览器交换证书，验证对方身份后建立安全连接通道。代码签名证书是CA中心签发给软件开发者的数字证书，包含证书持有者的身份信息、公钥及CA的签名。软件开发者使用代码签名证书对软件进行签名

.企业证书中包含企业身份信息、公钥及CA的签名，在网络通讯中标识证书持有企业的身份，可用于网上税务申报、网上办公系统、网上招标投标、拍买拍卖、网上签约等多种应用系统。

3/21/202445海南师范大学计教系2、证书的格式VersionSerialnumberAlgorithmID&ParametersIssuernameValidityperiodSubjectnameSubjectpublickey&algorithm3/21/202446海南师范大学计教系4.5.3证书的验证证书的验证，是验证一个证书的有效性、完整性、可用性的过程。证书验证主要包括以下几方面的内容：验证证书签名的是否正确有效，这需要知道签发证书的CA的真正公钥，有时可能要涉及证书路径的处理。验证证书的完整性，即验证CA签名的证书散列值与单独计算出的散列值是否一致。验证证书是否在有效期内查看证书撤销列表，验证证书没有被撤销。验证证书的使用方式与任何声明的策略和使用限制一致。

3/21/202447海南师范大学计教系4.6PGPPGP最初是由菲利浦.齐默尔曼(Philip.Zimmermann)开始编写的、用于保护电子通信隐私的加密软件。PGP也使用了RSA公开密钥加密算法，它的第一版在1991年完成。随后Zimmermann把它送给了一位朋友。这位朋友把PGP在国际互联网上公布出来。短短的几天之内，PGP系统就被世界各地的文件传输服务器相继拷贝，传播开去。

3/21/202448海南师范大学计教系PGP软件有3个主要的功能：（1）使用强大的IDEA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读。（2）使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读。（3）使用公开密钥加密技术对文件或电子邮件作数字签名，鉴定人可以用起草人的公开密钥鉴别真伪。3/21/202449海南师范大学计教系4.6.2PGP的密钥管理PGP使用了4种类型的密钥：一次性会话对称密钥、公