电子商务安全与支付 3 加密技术.ppt

第第3 3章章 加密技术加密技术3.1 数据加密概述数据加密概述3.2 对称密钥密码体制对称密钥密码体制3.3 非对称密钥密码体制非对称密钥密码体制3.4 密钥管理密钥管理3.5 数字信封技术数字信封技术本章学习目标本章学习目标 数据加密技术数据加密技术 对称密钥密码体制对称密钥密码体制 非对称密钥密码体制非对称密钥密码体制 密钥管理密钥管理 数字信封技术数字信封技术3.1数据加密概述数据加密概述 我们将源信息称之为明文。我们将源信息称之为明文。为了保护明文，将其通过某种方式变为了保护明文，将其通过某种方式变换成局外人难以识别的另外一种形式，即换成局外人难以识别的另外一种形式，即密文。密文。这个变换处理的过程称之为加密。这个变换处理的过程称之为加密。密文可以经过相应的逆变换还原成为密文可以经过相应的逆变换还原成为明文。仅变换处理的过程称之为解密。明文。仅变换处理的过程称之为解密。整个加密和解密过程可以用图整个加密和解密过程可以用图3-1来表示。来表示。明文通过加密变换成为密文，网上交易的明文通过加密变换成为密文，网上交易的各方使用密文进行通信，密文通过解密还原为各方使用密文进行通信，密文通过解密还原为明文。明文。图3-1 加密和解密明文 密文 原始明文加密解密 加密的基本思想是伪装明文以隐藏它的真实内容，加密的基本思想是伪装明文以隐藏它的真实内容，即将明文即将明文X伪装成密文伪装成密文Y，伪装的操作称为加密。，伪装的操作称为加密。其逆过程，即由密文恢复出原明文的过程称为解其逆过程，即由密文恢复出原明文的过程称为解密。通常所说的密码体制是指一个加密系统所采密。通常所说的密码体制是指一个加密系统所采用的基本工作方式，它的两个基本构成要素是密用的基本工作方式，它的两个基本构成要素是密码算法和密钥。对明文进行加密时所采用的一组码算法和密钥。对明文进行加密时所采用的一组规则称为加密算法，它是一些公式、法则或者程规则称为加密算法，它是一些公式、法则或者程序。传送消息的预定对象称为接收者，它对密文序。传送消息的预定对象称为接收者，它对密文进行解密时所采用的一组规则称为解密算法。加进行解密时所采用的一组规则称为解密算法。加密和解密算法的操作通常都是在一组密钥控制下密和解密算法的操作通常都是在一组密钥控制下进行的，分别称为加密密钥和解密密钥。进行的，分别称为加密密钥和解密密钥。早在公元前早在公元前50年，古罗马的凯撒在高卢战争中就年，古罗马的凯撒在高卢战争中就采用过加密方法。我们用最简单的凯撒密码来采用过加密方法。我们用最简单的凯撒密码来说明一个加密系统的构成。凯撒密码算法就是说明一个加密系统的构成。凯撒密码算法就是把每个英文字母向前推移把每个英文字母向前推移K位。例如，位。例如，K=3便便有明文和密文的对应关系如下：有明文和密文的对应关系如下：明文：明文：a b c d e f g h I g k l m n o p q r s t u v w x y z密文：密文：D E F G H I J K L M N 0 P Q R S T U V W X Y Z A B C为了保护信息保密性，抗击密码分析，保密系统应为了保护信息保密性，抗击密码分析，保密系统应当满足下述要求：当满足下述要求：（1）系统即使达不到理论上是不可攻破的，也应当）系统即使达不到理论上是不可攻破的，也应当为实际上不可攻破的。就是说，从截获的密文或某为实际上不可攻破的。就是说，从截获的密文或某些已知明文密文对，要决定密钥或者任意明文在计些已知明文密文对，要决定密钥或者任意明文在计算上是不可行的。算上是不可行的。（2）系统的保密性不依赖于对加密体制或者算法的）系统的保密性不依赖于对加密体制或者算法的保密，而依赖于密钥，这就是著名的保密，而依赖于密钥，这就是著名的Kerckhoff原则。原则。（3）加密和解密算法适用于所有密钥空间中的元素。）加密和解密算法适用于所有密钥空间中的元素。（4）整个系统便于实现和使用方便。）整个系统便于实现和使用方便。1.单钥体制单钥体制 加密解密密文明文明文图图3.2 秘密密钥加密方法加密和解密使用同一个密钥秘密密钥加密方法加密和解密使用同一个密钥2.双钥体制双钥体制加密加密解密解密明文明文密文密文明文明文公开钥匙公开钥匙秘密钥匙秘密钥匙图图3.3 公开密钥加密方法加密和解密使用不同的密钥公开密钥加密方法加密和解密使用不同的密钥3.23.2对称密钥密码体制对称密钥密码体制3.2.13.2.1流密码流密码流流密密码码的的原原理理是是将将明明文文划划分分成成字字符符（如如单单个个字字母母）或或其其编编码码的的基基本本单单元元（如如0 0、1 1数数字字），字字符符分分别别与与密密钥钥流流作作用用进进行行加加密密，解解密密时时以以同同步步产产生生的的同同样样的的密密钥钥流流来来实实现现。流流密密码码强强度度完完全全依依赖赖于于密密钥钥流流产产生生器器所所生生成成序序列列的的随随机机性性和和不不可可预预测测性性。其其核核心心问问题题是是密密钥钥流流生生成成器器的的设设计计。保保持持收收发发两两端端密密钥钥流流的的精精确确同同步步是是实实现现可可靠靠解解密的关键技术。密的关键技术。1.1.同步流密码（同步流密码（SSCSSC，Synchronous Stream Synchronous Stream CipherCipher）同步流密码的密钥流独立于明文，对于明文而言，这类加同步流密码的密钥流独立于明文，对于明文而言，这类加密变换是无记忆的，但它是时变的。因为同一明文字符在密变换是无记忆的，但它是时变的。因为同一明文字符在不同时刻由于密钥不同而被加密成不同的密文字符。此类不同时刻由于密钥不同而被加密成不同的密文字符。此类密码只要收发两端的密钥流生成器的初始密钥和初始状态密码只要收发两端的密钥流生成器的初始密钥和初始状态相同，输出的密钥就一样。因此，保持两端精确同步才能相同，输出的密钥就一样。因此，保持两端精确同步才能正常工作，一旦失步就不能正确解密，必须等到重新同步正常工作，一旦失步就不能正确解密，必须等到重新同步才能恢复正常工作。这是其主要缺点。但由于其对失步的才能恢复正常工作。这是其主要缺点。但由于其对失步的敏感性，使得系统在有窜扰者进行注入、删除、重放等主敏感性，使得系统在有窜扰者进行注入、删除、重放等主动攻击时异常敏感，有利于检测。此类体制的优点是传输动攻击时异常敏感，有利于检测。此类体制的优点是传输中出现的一些偶然错误只影响相应位的恢复消息，没有差中出现的一些偶然错误只影响相应位的恢复消息，没有差错传播。错传播。2.2.自同步流密码（自同步流密码（SSSCSSSC，Self Synchronous Self Synchronous Stream CipherStream Cipher）密文密文cici不仅与当前输入不仅与当前输入mimi有关，而且与以前的输入有关，而且与以前的输入m1m1，m2m2，mi-1mi-1有关。一般在有限的有关。一般在有限的n n级存储下将与级存储下将与mi-1mi-1，mi-nmi-n有关。一种有有关。一种有n n级移位寄存器存储的密文反馈型流密码，级移位寄存器存储的密文反馈型流密码，每个密文数字将影响以后每个密文数字将影响以后n n个输入明文数字的加密结果。此个输入明文数字的加密结果。此时的密钥流。由于时的密钥流。由于cici与与mimi的关系，的关系，kiki最终是受输入明文数最终是受输入明文数字影响的。自同步流密码传输过程中有一位（如字影响的。自同步流密码传输过程中有一位（如cici位）出位）出错，在解密过程中，它将在移位寄存器中存活错，在解密过程中，它将在移位寄存器中存活n n个节拍，因个节拍，因而会影响其后而会影响其后n n位密钥的正确性，相应恢复的明文消息连续位密钥的正确性，相应恢复的明文消息连续n n位会受到影响。其差错传播是有限的，但接收端只要连续位会受到影响。其差错传播是有限的，但接收端只要连续正确收到正确收到n n位密文，则在相同密钥位密文，则在相同密钥KiKi作用下就会产生相同的作用下就会产生相同的密钥，因而它具有自同步能力。这种自恢复同步性使得它密钥，因而它具有自同步能力。这种自恢复同步性使得它对窜扰者的一些主动攻击不像同步流密码体制那样敏感，对窜扰者的一些主动攻击不像同步流密码体制那样敏感，它将明文每个字符扩散在密文多个字符中，从而强化了其它将明文每个字符扩散在密文多个字符中，从而强化了其抗统计分析的能力。抗统计分析的能力。3.2.2分组密码分组密码分分组组密密码码即即对对固固定定长长度度的的一一组组明明文文进进行行加加密密的的算算法法，它它将将明明文文按按一一定定的的位位长长分分组组，明明文文组组和和密密钥钥组组的的全全部部经经过过加加密密运运算算得得到到密密文文组组。解解密密时时密密文文组组和和密密钥钥组组经经过过解解密密运运算算（加加密密运运算算的的逆逆运运算算），还还原原成成明明文文组组。它它与与流流密密码码的的不不同同之之处处在在于于输输出出的的每每一一位位数数字字不不只只是是与与相相应应时时刻刻输输入入的的明明文文数数字字有有关关，而而是是与与一一组组长长为为m m的明文数字有关。的明文数字有关。分分组组密密码码中中最最著著名名的的两两个个分分组组密密码码算算法法是是DESDES（Data Data Encryption Encryption StandardStandard）数数 据据 加加 密密 标标 准准 和和IDEAIDEA（International International Data Data Encryption Encryption AlgorithmAlgorithm）国际数据加密算法。）国际数据加密算法。美国美国NSBNSB规定了分组密码运行的规定了分组密码运行的4 4种模式：种模式：（1 1）电子码本（）电子码本（ECBECB）模式）模式（2 2）密码反馈（）密码反馈（CFBCFB）模式）模式（3 3）密码反馈链接（）密码反馈链接（CBCCBC）模式）模式（4 4）输出反馈（）输出反馈（OFBOFB）模式）模式3.2.3 DES算法1 1DESDES的产生和发展的产生和发展DESDES密密码码是是19771977年年由由美美国国国国家家标标准准局局公公布布的的第第一一个个分分组组密密码。码。DESDES自自19771977年年由由美美国国国国防防部部采采用用，它它的的标标准准在在ANSI ANSI X.3.92X.3.92和和X3.106X3.106中中都都有有说说明明。因因为为担担心心这这种种方方法法被被敌敌对国使用，美国政府不允许出口此种算法的加密软件。对国使用，美国政府不允许出口此种算法的加密软件。每每隔隔5 5年年，由由美美国国国国家家保保密密局局（NSANSA）对对DESDES做做出出评评估估，并并重新批准它是否继续作为联邦加密标准。重新批准它是否继续作为联邦加密标准。2 2DESDES算法算法DESDES加加密密算算法法可可分分为为加加密密处处理理、加加密密变变换换及及子子密密钥钥的的生生成成几几个个部部分分。算算法法输输入入的的是是6464比比特特的的明明文文，在在6464比比特特的的密密钥钥控控制制下下，通通过过初初始始换换位位IPIP变变成成T0=IP(T)T0=IP(T)，再再对对T0T0进进行行分分块块，左左边边的的3232位位记记为为L0L0，右右边边的的3232位位记记为为R0R0，经经过过1616次次的的加加密密变变换换，最最后后通通过过逆逆初初始始变变换换（也也称称最最后后变变换换）得得到到6464比比特特的的密密文文。密密文文的的每每一一比比特特都都是是由由明明文的每一比特和密钥的每一比特联合确定的。文的每一比特和密钥的每一比特联合确定的。加密过程可用数学公式表示如下：（3-1），其其中中的的圈圈函函数数f f对对3232比比特特的的串串做做如如下下操操作作：首首先先将将这这3232比比特特的的串串扩扩展展成成4848比比特特的的串串。其其次次将将这这4848比比特特的的串串和和4848比比特特的的密密钥钥进进行行组组合合并并将将组组合合结结果果作作为为8 8个个不不同同S S盒盒的的输输入入，每每个个S S盒盒的的输输入入是是6 6比比特特，输输出出是是4 4比比特特。然然后后将将S S盒盒的的3232比比特特做做置置换换，作作为为圈圈函函数数f f的的输输出。出。（3-2）DESDES的的解解密密与与DESDES的的加加密密一一样样，只只不不过过是是子子密密钥钥的的顺顺序序相相反反。虽虽然然DESDES的的描描述述是是相相当当长长的的，但但是是DESDES的的加加密密解解密密需需要要完完成成的的只只是是简简单单的的算算术术运运算算，即即比比特特串串的的异异或或处处理理的的组组合合，因因此此速速度度快快，密密钥钥生生成成容容易易，能能以以硬硬件件或或软软件件的的方方式式非非常常有有效效地地实实现现。DESDES的的硬硬件件实实现现的的加加密密速速率率大大约约为为20Mb/s20Mb/s；DESDES的的软软件件实实现现的的速速率率大大约约为为400Kb/s400Kb/s500Kb/s500Kb/s。DESDES专用芯片的加密和解密的速率大约为专用芯片的加密和解密的速率大约为1G 1G b/sb/s。从技术上说，对从技术上说，对DESDES的批评主要集中在以下的批评主要集中在以下3 3个方面：个方面：（1 1）作作为为分分组组密密码码，DESDES的的加加密密单单位位仅仅有有6464位位二二进进制制，这这对对于于数数据据传传输输来来说说太太小小。因因为为每每个个区区组组仅仅含含8 8个个字字符符，而而且且其其中中某些位还要用于奇偶校验或其他通讯开销。某些位还要用于奇偶校验或其他通讯开销。（2 2）密密钥钥仅仅有有5656位位二二进进制制未未免免太太短短，各各次次迭迭代代中中使使用用的的密密钥钥KiKi 是是递递推推产产生生的的，这这种种相相关关必必然然降降低低了了密密码码体体制制的的安安全全性性。目目前前，有有人人认认为为：在在现现有有的的技技术术条条件件下下用用穷穷举举法法寻寻找找正正确确密密钥钥已已趋趋于于可可行行，所所以以若若要要安安全全保保护护1010年年以以上上的的数数据据最最好好不不用用DESDES算法。算法。（3 3）实实现现替替代代函函数数SiSi所所用用的的S S盒盒的的设设计计原原理理尚尚未未公公开开，其其中中可可能能留留有有隐隐患患。更更有有人人担担心心DESDES算算法法中中有有“陷陷阱阱”，知知道道秘秘密密的人可以很容易地进行密文解密。的人可以很容易地进行密文解密。在在今今天天，出出于于安安全全性性考考虑虑，DESDES密密码码算算法法已已失失去去了了其其实实用用价价值值，采采用用128128位位密密钥钥的的IDEAIDEA或或RC4RC4等等密密码码算算法法，以以及及168168位位密密钥钥的的三三重重DESDES密密码码算算法法，安安全全性性要要比比DESDES密密码码算算法法高高得得多多。近近年年来来，美美国国倡倡导导新新的的数数据据加加密密标标准准方方案案AESAES计计划划，吸吸引引了了一一大大批批候候选选方方案案，取取代代DESDES密密码码算算法法已已成必然。成必然。4 4DESDES的变形算法的变形算法DESDES算算法法目目前前已已广广泛泛用用于于电电子子商商务务系系统统中中。随随着着研研究究的的发发展展，针针对对以以上上DESDES的的缺缺陷陷，DESDES算算法法在在基基本本不不改改变变加加密密强强度度的的条条件件下下，发发展展了了许许多多变变形形DESDES。人人们们提提出出了了解解几几种增强种增强DESDES安全性的方法，主要有以下几种：安全性的方法，主要有以下几种：（1 1）多重）多重DESDES。（2 2）三重）三重DESDES。（3 3）S S盒可选择的盒可选择的DESDES（也称带用交换（也称带用交换S S盒的盒的DESDES算法）。算法）。（4 4）具有独立子密钥的）具有独立子密钥的DESDES。（5 5）G-DESG-DES。3.2.4 其他分组密码算法1 1IDEAIDEA2 2FEAL-8FEAL-8密码密码3 3SAFER K-64SAFER K-64算法算法4 4RC5RC5算法算法5 5SkipjackSkipjack算法算法3.2.5 AES算法NISTNIST对对AESAES候候选选算算法法有有3 3条条基基本本要要求求：是是对对称称密密码码体体制制，亦亦即即秘秘密密密密钥钥算算法法；算算法法应应为为分分组组密密码码算算法法；算算法法明明密密文文分分组组长长度度为为128128比比特特，应应支支持持128128比比特特、192192比特、比特、256256比特的密钥长度。比特的密钥长度。AESAES比比DESDES支支持持更更长长的的密密钥钥。除除非非一一些些对对AESAES的的攻攻击击速速度度比比密密钥钥耗耗尽尽（Key Key ExhaustionExhaustion）还还要要快快，否否则则AESAES可保持超过可保持超过2020年之久的安全。年之久的安全。3.3 非对称密钥密码体制非对称密钥密码体制非对称密钥密码体制（公开密钥密码体制）最大的特非对称密钥密码体制（公开密钥密码体制）最大的特点是采用两个密钥，将加密和解密分开，一个公开作点是采用两个密钥，将加密和解密分开，一个公开作为加密密钥，一个为用户专用作为解密密钥，通信双为加密密钥，一个为用户专用作为解密密钥，通信双方无须事先交换密钥就可以进行保密通信。而要从公方无须事先交换密钥就可以进行保密通信。而要从公钥和密文分析出明文和密钥在计算上是不可行的。若钥和密文分析出明文和密钥在计算上是不可行的。若以公钥作为加密密钥，以用户专用私钥作为解密密钥，以公钥作为加密密钥，以用户专用私钥作为解密密钥，则可实现多个用户加密的消息只能由一个用户解读，则可实现多个用户加密的消息只能由一个用户解读，可用于保密通信；反之，以用户私钥作为加密密钥而可用于保密通信；反之，以用户私钥作为加密密钥而以公钥作为解密密钥，则可以实现由一个用户加密的以公钥作为解密密钥，则可以实现由一个用户加密的消息而使多个用户解读，可用于数字签字。消息而使多个用户解读，可用于数字签字。3.3.1 RSA密码体制1 1RSARSA算法算法RSARSA公公钥钥密密码码算算法法是是基基于于数数论论中中的的同同余余理理论论。如如果果用用m m代代表表明明文文，c c代代表表密密文文，E(mE(m)代代表表加加密密运运算算，D(cD(c)代代表表解解密密运运算算，用用x=x=y(moduloy(modulo z)z)表表示示x x和和y y模模z z同同余余，则则加密和解密算法简单表示如下：加密和解密算法简单表示如下：c=E(m)=me(modulo n)c=E(m)=me(modulo n)m=D(c)=cd(modulo n)m=D(c)=cd(modulo n)2 2RSARSA的缺点的缺点（1 1）产产生生密密钥钥很很麻麻烦烦，受受到到素素数数产产生生技技术术的的限限制制，因因而而难以做到一次一密。难以做到一次一密。（2 2）分分组组长长度度太太大大，为为保保证证安安全全性性，n n至至少少也也要要600600比比特特以以上上，使使运运算算代代价价很很高高，尤尤其其是是速速度度较较慢慢，较较对对称称密密码码算算法法慢慢几几个个数数量量级级，且且随随着着大大数数分分解解技技术术的的发发展展，这这个个长长度度还还 在在 增增 加加，不不 利利 于于 数数 据据 格格 式式 的的 标标 准准 化化。目目 前前，SETSET（Secure Secure Electronic Electronic TransactionTransaction）协协议议中中要要求求CACA采采用用20482048比特长的密钥，其他实体使用比特长的密钥，其他实体使用10241024比特的密钥。比特的密钥。（3 3）由由于于进进行行的的都都是是大大数数计计算算，使使得得RSARSA最最快快的的情情况况也也比比DESDES慢慢上上100100倍倍，无无论论是是软软件件还还是是硬硬件件实实现现。速速度度一一直直是是RSARSA的缺陷，一般来说它只用于少量数据加密。的缺陷，一般来说它只用于少量数据加密。P2DR模型示意图 3 3RSARSA的安全性的安全性RSARSA算算法法之之所所以以具具有有安安全全性性，是是基基于于数数论论中中的的一一个个特特性性事事实实，即即将将两两个个大大的的质质数数合合成成一一个个大大数数很很容容易易，而而相相反反的的过过程程则则非非常常困困难难。在在当当今今技技术术条条件件下下，当当n n足足够够大大时时，为为了了找找到到d d，欲欲从从n n中中通通过过质质因因子子分分解解试试图图找找到到与与d d对对应应的的p p、q q是是极极其其困困难难甚甚至至是是不不可可能能的的。由由此此可可见见，RSARSA的的安安全全性性是是依依赖赖于于作作为为公公钥钥的的大大数数n n的的位位数数长长度度的的。为为保保证证足足够够的的安安全全性性，一一般般认认为为现现在在的的个个人人应应用用需需要要用用384384比比特特或或512512比比特特的的n n，公公司司需需要要用用10241024比比特特的的n n，极极其其重重要要的的场场合应该用合应该用20482048比特的比特的n n。4 4RSARSA的实用性的实用性基基于于RSARSA算算法法的的公公钥钥加加密密系系统统具具有有数数据据加加密密、数数字字签签名名（Digital Digital SignatureSignature）、信信息息源源识识别别及及密密钥钥交交换换等等功功能能，目目前前，RSARSA加加密密系系统统主主要要应应用用于于智智能能ICIC卡卡和和网网络络安安全全产产品品。选选用用RSARSA算算法法作作为为公公共共钥钥加加密密系系统统的的主主要要算算法法的的原原因因是是算算法法安安全全性性好好。在在模模长长为为10241024比比特特时时，可可以以认认为为RSARSA密密码码系系统统的的可可选选密密钥钥个个数数足足够够多多，可可以以得得到到随随机机、安安全全的的密密钥钥对对。公公共共钥钥加加密密系系统统多多用用于于分分布布式式计计算算环环境境，密密钥钥分分配配和和管管理理易易于于实实现现，局局部部攻攻击击难难以以对对整整个个系系统统的的安安全全造造成成威威胁胁。目目前前还还没没有有攻破实际应用系统的例子。攻破实际应用系统的例子。5 5RSARSA算法和算法和DESDES算法的比较算法的比较（1 1）在在加加密密、解解密密的的处处理理效效率率方方面面，DESDES算算法法优优于于RSARSA算算法法。因因为为DESDES密密钥钥的的长长度度只只有有5656比比特特，可可以以利利用用软软件件和和硬硬件件实实现现高高速速处处理理；RSARSA算算法法需需要要进进行行诸诸如如200200比比特特整整数数的的乘乘幂幂和和求求模模等等多多倍字长的处理，处理速度明显慢于倍字长的处理，处理速度明显慢于DESDES算法。算法。（2 2）在在密密钥钥的的管管理理方方面面，RSARSA算算法法比比DESDES算算法法更更加加优优越越。因因为为RSARSA算算法法可可采采用用公公开开形形式式分分配配加加密密密密钥钥，对对加加密密密密钥钥的的更更新新也也很很容容易易，并并且且对对不不同同的的通通信信对对象象，只只需需对对自自己己的的解解密密密密钥钥保保密密即即可可；DESDES算算法法要要求求通通信信前前对对密密钥钥进进行行秘秘密密分分配配，密密钥钥的的更更换换困难，对不同的通信对象，困难，对不同的通信对象，DESDES需要产生和保管不同的密钥。需要产生和保管不同的密钥。（3 3）在在安安全全性性方方面面，DESDES算算法法和和RSARSA算算法法的的安安全全性性都都较较好好，还还没有在短时间内破译它们的有效方法。没有在短时间内破译它们的有效方法。（4 4）在在签签名名和和认认证证方方面面，RSARSA算算法法能能够够容容易易地地进进行行数数字字签签名名和和身份认证。身份认证。6 6基于基于DESDES和和RSARSA的新的加密方案的新的加密方案基本原理是：数据通信之前，用基本原理是：数据通信之前，用DESDES算法对消息明文加密，算法对消息明文加密，同时用同时用RSARSA算法对算法对DESDES密钥进行加密和实现数字签名。密钥进行加密和实现数字签名。设发送方为设发送方为A A（加密密钥为（加密密钥为KeaKea，解密密钥为，解密密钥为KdaKda），接收），接收方为方为B B（加密密钥为（加密密钥为KebKeb，解密密钥为，解密密钥为KdbKdb），上述加密方），上述加密方案的具体实现步骤如下：案的具体实现步骤如下：（1 1）发送方生成用于）发送方生成用于DESDES加密的密钥加密的密钥K K，为了提高数据的，为了提高数据的安全性，每一个密钥安全性，每一个密钥K K只用一次。只用一次。（2 2）发送方从密钥服务器中获取接收方的）发送方从密钥服务器中获取接收方的RSARSA的公开加密的公开加密密钥密钥KebKeb，并用，并用KebKeb加密加密DESDES的密钥的密钥K K形成密文形成密文CkCk。（3 3）发送方生成需要签名的信息，并用自己的）发送方生成需要签名的信息，并用自己的RSARSA的解密的解密密钥密钥KdaKda和和KebKeb共同形成数字签名。共同形成数字签名。（4 4）发送方用）发送方用K K加密明文和签名的信息，然后连同加密明文和签名的信息，然后连同CkCk一起一起形成密文形成密文C C发往接收方。发往接收方。（5 5）接收方接收到）接收方接收到C C后，先用自己的解密密钥后，先用自己的解密密钥KdbKdb解密出解密出C C中的中的DESDES密钥密钥K K，再利用，再利用K K解密出明文和签名信息。解密出明文和签名信息。（6 6）接收方用发送方的公开密钥）接收方用发送方的公开密钥KeaKea和自己的解密密钥和自己的解密密钥KdbKdb对签名信息进行身份认证，然后对签名信息做适当处对签名信息进行身份认证，然后对签名信息做适当处理后（例如填写自己的标识号等），再形成自己的数字签理后（例如填写自己的标识号等），再形成自己的数字签名信息发往发送方。名信息发往发送方。（7 7）发送、接收双方均删除）发送、接收双方均删除DESDES密钥密钥K K。3.3.2 其他非对称密钥密码体制其他非对称密钥密码体制1 1ElgamalElgamal算法算法2 2背包公钥体制背包公钥体制3 3椭圆曲线密码技术（椭圆曲线密码技术（ECCECC）3.4 密钥管理3.4.1 密钥的生存周期密钥的生存周期 所谓一个密钥的生存周期是指授权使用该密钥所谓一个密钥的生存周期是指授权使用该密钥的周期。密钥从产生到终结的整个生存期中，的周期。密钥从产生到终结的整个生存期中，都需要加强保护。所有密钥的完整性也需要保都需要加强保护。所有密钥的完整性也需要保护，因为一个入侵者可能修改或替代密钥，从护，因为一个入侵者可能修改或替代密钥，从而危及机密性服务。另外，除了公钥密码系统而危及机密性服务。另外，除了公钥密码系统中的公钥外，所有的密钥都需要保密。在实际中的公钥外，所有的密钥都需要保密。在实际中，存储密钥的最安全的方法是将其放在物理中，存储密钥的最安全的方法是将其放在物理上安全的地方。上安全的地方。代理服务防火墙应用层数据控制及传输过程示意图 通常情况下，一个密钥的生存周期主要经历以下几个通常情况下，一个密钥的生存周期主要经历以下几个阶段：阶段：（1 1）密钥的产生也可能需要登记。）密钥的产生也可能需要登记。（2 2）密钥分发。）密钥分发。（3 3）启用密钥）启用密钥/停用密钥。停用密钥。（4 4）替换密钥或更新密钥。）替换密钥或更新密钥。（5 5）撤消密钥。）撤消密钥。（6 6）销毁密钥。）销毁密钥。3.4.2 保密密钥的分发保密密钥的分发密密钥钥分分发发技技术术是是指指将将密密钥钥发发送送到到数数据据交交换换的的两两方方而而其其他他人人无无法法看看到到的的方方法法。密密钥钥分分发发技技术术的的实实现现方方法法有有很很多多种种，对对交换双方交换双方A A和和B B来讲：来讲：可以由可以由A A选择密钥并实际传送到选择密钥并实际传送到B B；由第三方选择密钥，并实际传送到由第三方选择密钥，并实际传送到A A和和B B；如如果果A A和和B B已已经经在在使使用用密密钥钥了了，则则一一方方可可以以用用旧旧密密钥钥加加密密新密钥，然后再传送给另一方；新密钥，然后再传送给另一方；如如果果A A和和B B都都与与第第三三方方C C有有加加密密连连接接，则则C C就就可可以以通通过过对对A A和和B B的加密连接将密钥传送给的加密连接将密钥传送给A A和和B B。有屏蔽子网型防火墙3.4.3 3.4.3 公钥的分发公钥的分发很显然，公钥是公开的，分发公钥不需要保密。然而，公钥很显然，公钥是公开的，分发公钥不需要保密。然而，公钥的完整性却是必须的，绝不允许攻击者用别的值冒充成员的完整性却是必须的，绝不允许攻击者用别的值冒充成员A A的公钥，使得成员的公钥，使得成员B B相信该值是成员相信该值是成员A A的公钥。否则，下面的的公钥。否则，下面的攻击就会奏效：一个攻击者伪造一个声称来自攻击就会奏效：一个攻击者伪造一个声称来自A A的消息，并的消息，并使用他自己的私钥产生一个数字签名，然后攻击者用他自己使用他自己的私钥产生一个数字签名，然后攻击者用他自己的公钥替换的公钥替换A A的公钥，使得的公钥，使得B B相信这是相信这是A A的公钥。这样，攻击的公钥。这样，攻击者就可以成功地冒充者就可以成功地冒充A A了。了。由此可见，公钥的分发不像在电话簿上公布电话号码那样简由此可见，公钥的分发不像在电话簿上公布电话号码那样简单，它需要以某种特定的方式来分发。目前人们采用数字证单，它需要以某种特定的方式来分发。目前人们采用数字证书来分发公钥。数字证书要求使用可信任的第三方，即证书书来分发公钥。数字证书要求使用可信任的第三方，即证书权威机构。权威机构。多宿主机型防火墙 1 1数字证书数字证书数字证书是一条数字签名的消息，它通常用于证明某数字证书是一条数字签名的消息，它通常用于证明某个实体的公钥的有效性。数字证书是一个数据结构，个实体的公钥的有效性。数字证书是一个数据结构，具有一种公共的格式，它将某一成员的识别符和一个具有一种公共的格式，它将某一成员的识别符和一个公钥值绑定在一起。证书数据结构由某一证书权威机公钥值绑定在一起。证书数据结构由某一证书权威机构的成员进行数字签名。构的成员进行数字签名。假定一个用户提前知道权威认证机构的真实公钥，那假定一个用户提前知道权威认证机构的真实公钥，那么用户就能检查证书的签名的合法性。如果检查正确，么用户就能检查证书的签名的合法性。如果检查正确，用户就相信那个证书携带了要鉴别的成员的一个合法用户就相信那个证书携带了要鉴别的成员的一个合法的公钥。的公钥。堡垒主机型防火墙 版本版本号号序列序列号号签名算签名算法法颁发颁发者者有效有效期期主主体体主体主体公公钥信钥信息息颁发者颁发者唯唯一标识一标识符符扩扩展展签签名名图3.4 X.509版本3的证书结构版本号：表示证书的版本，如版本版本号：表示证书的版本，如版本1 1、版本、版本2 2、版本、版本3 3。序列号：由证书颁发者分配的本证书的唯一标识符。序列号：由证书颁发者分配的本证书的唯一标识符。签名算法：签名算法是由对象标识符加上相关参数组签名算法：签名算法是由对象标识符加上相关参数组成的标识符，用于说明本证书所用的数字签名算法。成的标识符，用于说明本证书所用的数字签名算法。例如，例如，SHA-1SHA-1和和RSARSA的对象标识符就用来说明该数字签的对象标识符就用来说明该数字签名是利用名是利用RSARSA对对SHA-1SHA-1杂凑加密。杂凑加密。颁发者：证书颁发者的可识别名，这是必须说明的。颁发者：证书颁发者的可识别名，这是必须说明的。有效期：证书有效的时间段，本字段由两项组成：有效期：证书有效的时间段，本字段由两项组成：在此日期前无效和在此日期后无效，即证书有效的在此日期前无效和在此日期后无效，即证书有效的第一天和最后一天。日期分别由第一天和最后一天。日期分别由UTCUTC时间或一般的时间或一般的时间表示，时间表示，RFC2459RFC2459中有详细的时间表示规则。中有详细的时间表示规则。主体：证书拥有者的可识别名，此字段必须非空。主体：证书拥有者的可识别名，此字段必须非空。主体公钥信息：主体的公钥以及算法标识符，这是主体公钥信息：主体的公钥以及算法标识符，这是必须说明的。必须说明的。颁发者唯一标识符：证书颁发者的唯一标识符仅在颁发者唯一标识符：证书颁发者的唯一标识符仅在版本版本2 2和版本和版本3 3中要求，属于可选项。该字段在实际中要求，属于可选项。该字段在实际应用中很少使用，应用中很少使用，RFC2459RFC2459也不推荐使用。也不推荐使用。扩展：可选的标准和专用功能字段。扩展：可选的标准和专用功能字段。签名：认证机构的数字签名等。签名：认证机构的数字签名等。2 2证书权威机构证书权威机构Bob1请求请求Alice的证书的证书2Alice的证书的证书CA签名签名CA3验证签名验证签名签签名名文文件件内容内容Hash函数函数CA指纹指纹CA指纹指纹CA的公钥的公钥解密解密CA指纹指纹4Alice的证书的证书Alice的公钥的公钥图3.5 通过证书权威机构获得一个数字证书 3.5 数字信封技术数字信封技术首先使用秘密密钥加密技术对要发送的数字信封技术首先使用秘密密钥加密技术对要发送的数据信息进行加密，然后利用公开密钥加密算法对秘数据信息进行加密，然后利用公开密钥加密算法对秘密密钥加密技术中使用的秘密密钥进行加密。其具体密密钥加密技术中使用的秘密密钥进行加密。其具体的实现方法和步骤的实现方法和步骤如下：如下：（1 1）在需要发送信息时，发送方首先生成一个秘密）在需要发送信息时，发送方首先生成一个秘密密钥。密钥。（2 2）利用生成的秘密密钥和秘密密钥加密算法对要）利用生成的秘密密钥和秘密密钥加密算法对要发送的信息加密。发送的信息加密。（3 3）发送方利用接收方提供的公开密钥对生）发送方利用接收方提供的公开密钥对生成的秘密密钥进行加密。成的秘密密钥进行加密。（4 4）发送方把加密后的密文通过网络传送给）发送方把加密后的密文通过网络传送给接收方。接收方。（5 5）接收方使用公开密钥加密算法，利用自）接收方使用公开密钥加密算法，利用自己的私钥将加密的秘密密钥还原成明文。己的私钥将加密的秘密密钥还原成明文。（6 6）接收方利用还原出的秘密密钥，使用秘）接收方利用还原出的秘密密钥，使用秘密密钥加密算法解密被发送方加密的信息，密密钥加密算法解密被发送方加密的信息，还原出的明文即是发送方要发送的数据信息。还原出的明文即是发送方要发送的数据信息。