【正文】 ≡248(mod 353) ? （ 2） Alice和 Bob相互向對方發(fā)送自己的公開信息 yA、yB，以便雙方計算共有密鑰。 Alice計算 Kab： Kab≡24897(mod 353) ≡160 (mod 353) Bob計算 Kba： Kba≡40233 (mod 353) ≡160 (mod 353) ? 顯然 A和 B計算的 Kab= Kba，即為雙方共有密鑰，用于對雙方保密通信的會話鑰進行分配。 57 公鑰分配（ ） ? 公鑰密碼體制的密鑰分配與對稱密碼體制的密鑰分配有著本質的差別 。 由于對稱密碼體制只有一個密鑰 ，因此在密鑰分配中必須同時確保密鑰的秘密性 、 真實性和完整性 。 ? 而公開密鑰密碼體制中有兩個密鑰 ， 私鑰由自己保管 ，不需要進行分配 。 但公鑰是公開的 ， 如果不加以保護 ，任何人都可以偽造 。 因此公鑰密碼體制不需要保證公鑰的秘密性 ， 只需確保公鑰的真實性和完整性 ， 以確保公鑰不被攻擊者替換或篡改 。 ? 公鑰的分配方法可歸納為四種：公開發(fā)布 、 公用目錄表 、 公鑰授權和公鑰證書 。 58 公鑰分配（ ） 公開發(fā)布 ? 公開發(fā)布指用戶將自己的公鑰發(fā)給其他用戶，或廣播給某一團體。 ? 這種方法雖然簡單，但有一個較大的缺點，即任何人都可偽造這個公開發(fā)布的公鑰。如果某個用戶假裝是用戶 A，并以 A的名義向另一用戶發(fā)送或廣播自己的公鑰，則這一假冒者可解密所有受騙發(fā)向 A的加密消息，而且假冒者還能用偽造的密鑰獲得認證。 公用目錄表 ? 公用目錄表指一個公用的公鑰動態(tài)目錄表，公用目錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔，稱這個實體或組織為公用目錄的管理員。該方法有以下組成部分： 59 公鑰分配（ ） ? （ 1）管理員為每個用戶在目錄表中建立一個目錄，目錄中有兩個數(shù)據(jù)項：一是用戶名，二是用戶的公鑰。 ? （ 2）每一用戶都親自或以某種安全的認證通信在管理者那里為自己的公鑰注冊。 ? （ 3）用戶可以隨時用新密鑰替換現(xiàn)有的密鑰。這可能由于自己的公鑰用過的次數(shù)太多或由于與公鑰相關的私鑰已泄漏。 ? （ 4）管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。 ? （ 5）用戶可通過電子手段訪問目錄表。此時，從管理員到用戶必須有安全的認證通信。 ? 這種方案的安全性明顯高于公開發(fā)布方法的安全性，但仍易受到攻擊。如果攻擊者成功地獲得管理員的私人密鑰，就可偽造一個公鑰目錄表，以后既可以假冒任一用戶又可以監(jiān)聽發(fā)往任一用戶的消息。 60 公鑰分配（ ） 公鑰授權 ? 與公用目錄表類似，假定有一個公鑰管理機構來為用戶建立、維護動態(tài)的公鑰目錄，但同時每個用戶都可靠地知道管理機構的公鑰，而只有管理機構自己知道相應的私鑰。圖 513是典型的公鑰分配方案，在這個分配方案中完成了兩個功能，一是獲得需要的公鑰；二是雙方相互認證。 公鑰分配過程如下： ? （ 1） A向公鑰管理機構發(fā)送一個帶時間戳的消息。消息中有獲取 B當前公鑰的請求。 ? （ 2）公鑰管理機構對 A的請求作出應答。應答用一個消息來表示，該消息由管理機構用自己的私鑰 PRauth加密。因此 A能用公鑰管理機構的公鑰驗證，并且使A相信這個消息的確來源于公鑰管理機構。該消息包括以下內容： 61 公鑰分配（ ） ? B的公鑰 PUb， A可用它對將發(fā)往 B的消息加密。 ? A的請求，用于 A驗證收到的應答的確是對相應請求的應答，且還能驗證自己最初發(fā)出的請求在被公鑰管理機構收到之前是否被篡改。 ? 原始的時間戳 Time1，以使 A相信公鑰管理機構發(fā)來的消息不是舊消息，因此消息中的公鑰的確是 B當前的公鑰。 ? （ 3） A用 B的公鑰 PUb對一個消息加密后發(fā)往 B，這個消息有兩個數(shù)據(jù)項：一是 A的身份 IDA，二是一個臨時交互號 N1，用于唯一標識這一過程。 ? （ 4）、（ 5） B以相同的方式從公鑰管理機構獲取 A的公鑰（與步驟（ 1）、（ 2）類似）。此時， A和 B都已安全地得到對方的公鑰，可以進行相互之間的保密通信。 62 公鑰分配（ ） ? （ 6） B用 A的公鑰 PUa對一個消息加密發(fā)往 A，這個消息包括數(shù)據(jù)項：一是 A的臨時交互號 N1，二是 B產(chǎn)生的一個臨時交互號 N2。因為只有 B能解密（ 3）的消息，所以 A收到的消息中的 N1可使其相信通信的另一方的確是 B。 ? （ 7） A用 B的公鑰 PUb對 N2+1加密后返回給 B，可使其相信通信的另一方的確是 A。 ? 以上過程共發(fā)送了 7個消息，其中前 4個消息用于獲取對方的公鑰。用戶得到對方的公鑰后保存起來可供以后使用，這樣就不必在發(fā)送前 4個消息了。然而還必須定期地通過公鑰管理機構獲取通信對方的公鑰，以免對方的公鑰更新后無法保證當前的通信。 63 圖 513公鑰授權分配方案 64 公鑰分配（ ） 公鑰證書 ? 公鑰授權中的管理機構有可能成為系統(tǒng)的瓶頸，而且由管理機構維護的公鑰目錄表也易被攻擊者篡改。分配公鑰的另一方法是公鑰證書，用戶通過交換公鑰證書來互相交換自己的公鑰而無須與公鑰管理機構聯(lián)系。 ? 公鑰證書由證書管理機構 CA（ Certificate Authority）為用戶建立，其中包括與該用戶的私鑰相匹配的公鑰、用戶的身份和時間戳等信息，所有信息經(jīng) CA用自己的私鑰簽名后就形成證書。即 CA用私鑰 PRCA簽名后用戶 A的公鑰證書為： ? 由于證書是由 CA私鑰簽名，任何其他人不能偽造該證書。 im e )||||( TPUIDDC AAPRA CA?65 公鑰分配（ ） ? 使用公鑰證書分配公鑰過程非常簡單，用戶可將自己的公鑰通過公鑰證書發(fā)給另一用戶，接收方可以用CA的公鑰 PUCA對證書進行驗證，即 ? 因為只用用 CA的公鑰才能解讀證書，接收方從而驗證了證書的確是由 CA簽發(fā)的，并且也獲得了發(fā)送方 A的身份 IDA和公鑰 PUA。時間戳 Time保證了接收方收到的是新證書，防止重放舊證書。 ? 由以上可知，使用公鑰證書分配公鑰時，用戶只需要事先從 CA處獲得證書，就可以相互交換證書得到對方的公鑰，因此不像公鑰授權分配方法那樣，每次分配都要求助于公鑰管理機構。 )||||())||||(()( T im ePUIDT im ePUIDDECE AAAAPRPUAPU CACACA ??66 本章總結 ? （ 1）認證的基本概念； ? （ 2）消息認證碼和 HMAC算法； ? （ 3） Hash函數(shù)及 MD5； ? （ 4）數(shù)字簽名及 DSA算法； ? （ 5）對稱密鑰的分配方法； ? （ 6）公鑰分配和公鑰證書。 67 思考及作業(yè)題 ? 為什么需要消息認證？（題 ） ? 散列函數(shù)和消息認證碼有什么區(qū)別？各自可以提供什么功能？（題 ） ? 數(shù)字簽名和散列函數(shù)的應用用什么不同？（題 ） ? 數(shù)字簽名需要滿足哪些條件？（題 ） ? 利用公鑰密碼體制進行數(shù)字簽名的過程是怎樣的？ ? 基于公鑰密碼體制分配對稱密鑰時，假設 A和 B之間需要傳輸數(shù)據(jù)， A產(chǎn)生一個會話鑰，請回答下列問題：（題 ） ? （ 1）在事前通信時，發(fā)送方 A應該得到什么密鑰？ ? （ 2）會話鑰的作用是什么？ ? 兩個用戶 A和 B使用 DiffieHellman密鑰交換方法來交換密鑰，假設公共素數(shù) p為 71，本原根 a為 7。 A和 B分別選擇秘密數(shù)為 5和 12，求共有密鑰。（題 ） 68 第五章完