BIT2密碼理論與應(yīng)用

密碼理論與應(yīng)用孫建偉計(jì)算機(jī)網(wǎng)絡(luò)攻防對(duì)抗實(shí)驗(yàn)室北京理工大學(xué)提綱密碼技術(shù)概述對(duì)稱機(jī)密體制與算法公鑰密碼體制與算法數(shù)字摘要算法數(shù)字簽名與完整性保護(hù)數(shù)字證書與PKI體系密碼學(xué)概述我們需要哪些安全機(jī)制？認(rèn)證完整性機(jī)密性密碼學(xué)是安全通信的基礎(chǔ)對(duì)稱加密非對(duì)稱加密哈希函數(shù)（Hash）密碼學(xué)的發(fā)展歷史(1)自人類社會(huì)出現(xiàn)戰(zhàn)爭(zhēng)便產(chǎn)生了密碼

Phaistos圓盤，一種直徑約為160mm的Cretan-Mnoan粘土圓盤，始于公元前17世紀(jì)。表面有明顯字間空格的字母，至今還沒(méi)有破解。JuliusCaesar發(fā)明了凱撒密碼密碼學(xué)的發(fā)展歷史(2)1834年，倫敦大學(xué)的實(shí)驗(yàn)物理學(xué)教授惠斯頓發(fā)明了電機(jī)，這是通信向機(jī)械化、電氣化躍進(jìn)的開始，也為密碼通信采用在線加密技術(shù)提供了前提條件。1920年，美國(guó)電報(bào)電話公司的弗納姆發(fā)明了弗納姆密碼。其原理是利用電傳打字機(jī)的五單位碼與密鑰字母進(jìn)行模2相加。密碼學(xué)的發(fā)展歷史(3)兩次世界大戰(zhàn)大大促進(jìn)了密碼學(xué)的發(fā)展。二戰(zhàn)中美國(guó)陸軍和海軍使用的條形密碼設(shè)備M-138-T4。根據(jù)1914年P(guān)arkerHitt的提議而設(shè)計(jì)。25個(gè)可選取的紙條按照預(yù)先編排的順序編號(hào)和使用，主要用于低級(jí)的軍事通信。Kryha密碼機(jī)大約在1926年由AlexandervoKryha發(fā)明。這是一個(gè)多表加密設(shè)備，密鑰長(zhǎng)度為442，周期固定。一個(gè)由數(shù)量不等的齒的輪子引導(dǎo)密文輪不規(guī)則運(yùn)動(dòng)。密碼學(xué)的發(fā)展歷史(4)兩次世界大戰(zhàn)大大促進(jìn)了密碼學(xué)的發(fā)展。轉(zhuǎn)輪密碼機(jī)ENIGMA，由ArthurScherbius于1919年發(fā)明，面板前有燈泡和插接板；4輪ENIGMA在1942年裝備德國(guó)海軍，英國(guó)從1942年2月到12月都沒(méi)能解讀德國(guó)潛艇的信號(hào)。英國(guó)的TYPEX打字密碼機(jī)，是德國(guó)3輪ENIGMA的改進(jìn)型密碼機(jī)。它在英國(guó)通信中使用廣泛，且在破譯密鑰后幫助破解德國(guó)信號(hào)。密碼學(xué)的發(fā)展歷史(5)1949年香農(nóng)發(fā)表了一篇題為《保密系統(tǒng)的通信理論》的著名論文，該文首先將信息論引入了密碼，從而把已有數(shù)千年歷史的密碼學(xué)推向了科學(xué)的軌道，奠定了密碼學(xué)的理論基礎(chǔ)。1976年，美國(guó)密碼學(xué)家W.Diffie和M.Hellman在一篇題為《密碼學(xué)的新方向》一文中提出了一個(gè)嶄新的思想，不僅加密算法本身可以公開，甚至加密用的密鑰也可以公開。1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布了數(shù)據(jù)加密標(biāo)準(zhǔn)DES2001年11月26日，正式頒布AES為美國(guó)國(guó)家標(biāo)準(zhǔn)。

密碼學(xué)基本概念明文：需要秘密傳送的消息。密文：明文經(jīng)過(guò)密碼變換后的消息。加密：由明文到密文的變換。解密：從密文恢復(fù)出明文的過(guò)程。破譯：非法接收者試圖從密文分析出明文的過(guò)程。加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組規(guī)則。解密算法：對(duì)密文進(jìn)行解密時(shí)采用的一組規(guī)則。密鑰：加密和解密時(shí)使用的一組秘密信息。一個(gè)密碼系統(tǒng)，通常簡(jiǎn)稱為密碼體制，由5部分組成：明文空間M全體明文的集合密文空間C全體密文的集合密鑰空間K全體密鑰的集合加密算法E一組由M到C的加密變換解密算法D一組由C到M的解密變換密碼體制基本組成信息加密傳輸?shù)倪^(guò)程加密:C=E(M,Ke)MCEKeCMKdD解密:M=D(C,Kd)M------明文C------密文Ke-----加密密鑰Kd-----解密密鑰E-------加密算法D------解密算法密碼系統(tǒng)的分類根據(jù)密鑰的使用方式分類對(duì)稱密碼體制（秘密鑰密碼體制）用于加密數(shù)據(jù)的密鑰和用于解密數(shù)據(jù)的密鑰相同，或者二者之間存在著某種明確的數(shù)學(xué)關(guān)系。加密：EK(M)=C解密：DK(C)=M非對(duì)稱密碼體制（公鑰密碼體制）用于加密的密鑰與用于解密的密鑰是不同的，而且從加密的密鑰無(wú)法推導(dǎo)出解密的密鑰。用公鑰KP對(duì)明文加密可表示為：EKP(M)=C用相應(yīng)的私鑰KS對(duì)密文解密可表示為：DKS(C)=M密碼系統(tǒng)的分類根據(jù)明文和密文的處理方式分類分組密碼體制（BlockCipher）

設(shè)M為明文，分組密碼將M劃分為一系列明文塊Mi，通常每塊包含若干字符，并且對(duì)每一塊Mi都用同一個(gè)密鑰Ke進(jìn)行加密。M=(M1,M2,…,Mn)，C=(C1,C2,

…,Cn,)，其中Ci=E(Mi,Ke)，i=1,2…,n。序列密碼體制（StreamCipher）將明文和密鑰都劃分為位(bit)或字符的序列，并且對(duì)明文序列中的每一位或字符都用密鑰序列中對(duì)應(yīng)的分量來(lái)加密。M=(M1,M2,…,Mn)，Ke=(ke1,ke2,…,ken)，C=(C1,C2,…,Cn)，其中Ci=E(mi,kei)，i=1,2,…,n。經(jīng)典密碼學(xué)經(jīng)典密碼（古典密碼）對(duì)于今天來(lái)說(shuō)，是極不安全的，是極易破解的，但其基本方法仍然是近、現(xiàn)代密碼學(xué)的基礎(chǔ)。經(jīng)典密碼運(yùn)用的兩種基本技術(shù)：代換法：將明文字母替換成其他字母、數(shù)字或符號(hào)置換法：明文的字母保持相同，但順序被打亂代換技術(shù)代換法，是將明文字母替換成其他字母、數(shù)字或符號(hào)的方法。Caesar密碼（已知的最早的代換密碼）例如：明晨五點(diǎn)發(fā)動(dòng)反攻明文：MINGCHENWUDIANFADONGFANGONG密文：PLQJFKHQZXGLDQIDGRQJIDQJRQJCaesar密碼如果讓每個(gè)字母等價(jià)于一個(gè)數(shù)值：a=0,b=1,…,z=25則加密公式為：

C=E(p)=(p+3)mod26更一般地：

C=E(p)=(p+k)mod26解密：p=D(C)=(C-k)mod26用窮舉分析可輕松破解Caesar密碼通常，加密和解密算法是已知的。需測(cè)試的密鑰只有25個(gè)。明文所用的語(yǔ)言是已知的，其意義易于識(shí)別。因此，為了提高窮舉分析的難度，密鑰空間必須很大。例如3-DES算法的密鑰長(zhǎng)度為168位，密鑰空間為2168。單表代換密碼使用一個(gè)密文字母表，并且用密文字母表中的一個(gè)字母來(lái)代替一個(gè)明文字母表中的一個(gè)字母。例如，明文a用c來(lái)代換，b用剩下的25個(gè)字母中隨機(jī)的一個(gè)來(lái)代換，c用剩下的24個(gè)字母中隨機(jī)的一個(gè)來(lái)代換，……，以此類推。這樣，密鑰空間為26！，約4*1026種可能的密鑰。最簡(jiǎn)單的多表代換密碼---Vigenère

維吉尼亞密碼選擇一個(gè)詞組作為密鑰，密鑰中每個(gè)字母用來(lái)確定一個(gè)代換表，每個(gè)密鑰字母用來(lái)加密一個(gè)明文字母。例如密鑰字母為a，明文字母為c，則密文字母為0+2(mod26)=2，也就是c。直到所有的密鑰字母用完，后再?gòu)念^開始，使用第一個(gè)密鑰字母加密。也就是說(shuō)，密鑰循環(huán)使用。一個(gè)例子明文為attackbeginsatfive，密鑰為cipher，

attackbeginsatfive明文＋cipherciphercipher密鑰

----------------------------------------------

＝cbihgbdmvprjcbupzv密文去除空格后為cbihgbdmvprjcbupzv維吉尼亞密碼的密鑰維吉尼亞密碼的密鑰即字符串密鑰空間： 字符串長(zhǎng)度為M密鑰空間：26M置換技術(shù)在置換密碼中，明文的字母保持相同，但順序被打亂了。在簡(jiǎn)單的縱行換位密碼中，明文以固定的寬度水平地寫在一張圖表紙上，密文按垂直方向讀出，解密就是將密文按相同的寬度垂直地寫在圖表紙上，然后水平地讀出明文。Plaintext:COMPUTERGRAPHICSMAYBESLOWBUTATLEASTITSEXPENSIVECOMPUTERGRAPHICSMAYBESLOWBUTATLEASTITSEXPENSIVECiphertext:CAELPOPSEEMHLANPIOSSUCWTITSBIVEMUTERATSGYAERBTX

這種簡(jiǎn)單的技巧對(duì)于密碼分析者來(lái)說(shuō)是微不足道的?？稍谥脫Q前，把列的次序打亂，列的次序就是算法的密鑰。置換技術(shù)的密鑰設(shè)列的數(shù)量為N密鑰空間：N！代換技術(shù)與置換技術(shù)通常結(jié)合使用。一般地，可先利用代換技術(shù)加密，再用置換技術(shù)將密文再次加密。這是現(xiàn)代密碼學(xué)的對(duì)稱加密方法的基礎(chǔ)轉(zhuǎn)輪機(jī)---經(jīng)典密碼的機(jī)械階段20世紀(jì)20年代，隨著機(jī)械和機(jī)電技術(shù)的成熟，以及電報(bào)和無(wú)線電需求的出現(xiàn)，引起了密碼設(shè)備方面的一場(chǎng)革命——發(fā)明了轉(zhuǎn)輪密碼機(jī)（簡(jiǎn)稱轉(zhuǎn)輪機(jī)，Rotor），轉(zhuǎn)輪機(jī)的出現(xiàn)是密碼學(xué)發(fā)展的重要標(biāo)志之一。美國(guó)人EdwardHebern認(rèn)識(shí)到：通過(guò)硬件卷繞實(shí)現(xiàn)從轉(zhuǎn)輪機(jī)的一邊到另一邊的單字母代替，然后將多個(gè)這樣的轉(zhuǎn)輪機(jī)連接起來(lái)，就可以實(shí)現(xiàn)幾乎任何復(fù)雜度的多個(gè)字母代替。轉(zhuǎn)輪機(jī)由一個(gè)鍵盤和一系列轉(zhuǎn)輪組成，每個(gè)轉(zhuǎn)輪是26個(gè)字母的任意組合。轉(zhuǎn)輪被齒輪連接起來(lái)，當(dāng)一個(gè)轉(zhuǎn)輪轉(zhuǎn)動(dòng)時(shí)，可以將一個(gè)字母轉(zhuǎn)換成另一個(gè)字母。照此傳遞下去，當(dāng)最后一個(gè)轉(zhuǎn)輪處理完畢時(shí)，就可以得到加密后的字母。為了使轉(zhuǎn)輪密碼更安全，人們還把幾種轉(zhuǎn)輪和移動(dòng)齒輪結(jié)合起來(lái)，所有轉(zhuǎn)輪以不同的速度轉(zhuǎn)動(dòng)，并且通過(guò)調(diào)整轉(zhuǎn)輪上字母的位置和速度為破譯設(shè)置更大的障礙。轉(zhuǎn)輪機(jī)的工作原理每一個(gè)旋轉(zhuǎn)輪代表一個(gè)單表代換系統(tǒng)，旋轉(zhuǎn)一個(gè)引腳，再轉(zhuǎn)變?yōu)榱硪粋€(gè)單表代換系統(tǒng)。為使機(jī)器更安全，可把幾種轉(zhuǎn)輪和移動(dòng)的齒輪結(jié)合起來(lái)。因?yàn)樗修D(zhuǎn)輪以不同的速度移動(dòng)，n個(gè)轉(zhuǎn)輪的機(jī)器的周期是26n，即個(gè)單表代換系統(tǒng)。最后一個(gè)轉(zhuǎn)輪轉(zhuǎn)完一圈之后，它前面的轉(zhuǎn)輪就旋轉(zhuǎn)一個(gè)引腳，有點(diǎn)像時(shí)鐘的齒輪。轉(zhuǎn)輪機(jī)的經(jīng)典---ENIGMA1918年，德國(guó)發(fā)明家ArthurScherbius用二十世紀(jì)的電氣技術(shù)來(lái)取代已經(jīng)過(guò)時(shí)的鉛筆加紙的加密方法。他研究的結(jié)果就是永遠(yuǎn)被尊為經(jīng)典的ENIGMA。ENIGMA首先是作為商用加密機(jī)器得到應(yīng)用的。它的專利在1918年在美國(guó)得到確認(rèn)。售價(jià)大約相當(dāng)于現(xiàn)在的30000美元。二、對(duì)稱密碼體制與算法對(duì)稱密碼學(xué)概述分組密碼數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）流密碼對(duì)稱密碼學(xué)概述

加密：EK（M）=C

解密：DK（C）=M

等效于DK（EK（M））=M數(shù)學(xué)變換函數(shù)密鑰K明文密文數(shù)學(xué)變換函數(shù)密鑰K明文密文對(duì)稱密碼學(xué)概述網(wǎng)絡(luò)信息M對(duì)稱密碼算法密鑰K密文C用戶A對(duì)稱密碼算法密文C用戶B信息M密鑰K對(duì)稱密碼學(xué)分類

塊密碼（分組密碼）

一次若干位一組地對(duì)明文進(jìn)行操作和運(yùn)算

流密碼（序列密碼）

每次一位地對(duì)明文進(jìn)行操作和運(yùn)算

工作方式

將明文分成固定長(zhǎng)度的組（塊），如64bit一組，用同一密鑰和算法對(duì)每一快加密，輸出也是固定長(zhǎng)度的密文。

主要算法

DES、3DES、IDEA、RC2、AES等。分組密碼數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）概述數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）,已經(jīng)有20多年的歷史；DES是一種對(duì)稱密碼算法，1976年11月23日DES被采納為美國(guó)國(guó)家標(biāo)準(zhǔn)；DES是第一個(gè)得到廣泛應(yīng)用的密碼算法；DES是一種分組加密算法，輸入的明文為64位，密鑰為56位，生成的密文為64位；DES已經(jīng)過(guò)時(shí)，基本上認(rèn)為不再安全。數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）算法

該算法分三個(gè)階段實(shí)現(xiàn)

1.給定明文X，通過(guò)一個(gè)固定的初始置換IP來(lái)排列X中的位，得到X0。

X0=IP（X）=L0R0

其中L0由X0前32位組成，R0由X0的后32位組成。

2.計(jì)算函數(shù)F的16次迭代,根據(jù)下述規(guī)則來(lái)計(jì)算LiRi(1<=i<=16）

Li=Ri-1,Ri=Li-1

F(Ri-1,Ki)

其中Ki是長(zhǎng)為48位的子密鑰。子密鑰K1，K2，…，K16是作為密鑰K（56位）的函數(shù)而計(jì)算出的。

3.對(duì)比特串R16L16使用逆置換IP-1得到密文Y。

Y=IP-1（R16L16）左半邊的處理過(guò)程可以分三個(gè)部分：(1)64位明文經(jīng)過(guò)初始置換被重新排列，然后分左右兩半，每半各32位；(2)左右兩半經(jīng)過(guò)16輪置換和代換迭代，即16次實(shí)施相同的變換。然后再左右兩半互換；(3)互換后的左右兩半合并，再經(jīng)過(guò)逆初始置換輸出64位密文。右半部則由56位密鑰，產(chǎn)生16個(gè)48位子密鑰，分別供左半邊的16輪迭代加密使用數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）算法圖示數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）

F函數(shù)說(shuō)明

F（Ri-1,Ki）函數(shù)F以長(zhǎng)度為32的比特串A=R（32bits）作第一個(gè)輸入，以長(zhǎng)度為48的比特串變?cè)狫=K(48bits)作為第二個(gè)輸入。產(chǎn)生的輸出為長(zhǎng)度為32的位串。

(1)對(duì)第一個(gè)變?cè)狝，由給定的擴(kuò)展函數(shù)E，將其擴(kuò)展成48位串E（A）;

(2)計(jì)算E（A）+J，并把結(jié)果寫成連續(xù)的8個(gè)6位串,B=b1b2b3b4b5b6b7b8;

(3)使用8個(gè)S盒，每個(gè)Sj是一個(gè)固定的416矩陣，它的元素取0~15的整數(shù)。給定長(zhǎng)度為6個(gè)比特串，如Bj=b1b2b3b4b5b6,計(jì)算Sj(Bj)如下：b1b6兩個(gè)比特確定了Sj的行數(shù),r(0<=r<=3);而b2b3b4b5四個(gè)比特確定了Sj的列數(shù)c（0<=c<=15）。最后Sj(Bj)的值為S-盒矩陣Sj中r行c列的元素（r,c）,得Cj=Sj(Bj)； (4)最后，進(jìn)行固定置換P。

加密函數(shù)F的計(jì)算過(guò)程

S盒

在加密函數(shù)計(jì)算過(guò)程中使用了8個(gè)S盒S盒是DES保密性的關(guān)鍵所在S盒是一種非線性變換，也是DES中唯一的非線性運(yùn)算S盒有6位輸入，4位輸出48位數(shù)據(jù)經(jīng)過(guò)8個(gè)S盒后輸出32位數(shù)據(jù)每個(gè)S盒都由4行(表示為0,1,2,3)和16列(0,1,…,15)組成每行都是全部的16個(gè)長(zhǎng)為4比特串的一個(gè)全排列每個(gè)比特串用它對(duì)應(yīng)的二進(jìn)制整數(shù)表示,如1001用9表示。對(duì)每個(gè)S盒，將6位輸入的第一位和最后一位組成一個(gè)二進(jìn)制數(shù)，用于選擇S盒中的一行。用中間的4位選擇S盒16列中的某一列，行列交叉處的十進(jìn)制數(shù)轉(zhuǎn)換為二進(jìn)制數(shù)可得到4位輸出。例如對(duì)于S1盒而言,如果輸入為011001，則行是01(十進(jìn)制1，即S盒的第2行)，列1100(12，即S盒的第13列)，該處的值是9，轉(zhuǎn)換為二進(jìn)制數(shù)為1001，即為該S盒的輸出DES密鑰產(chǎn)生過(guò)程

(1)給定64位的密鑰K，放棄奇偶校驗(yàn)位（8，16，…，64）并根據(jù)固定置換PC1來(lái)排列K中剩下的位。我們寫 PC1(K)=C0D0

其中C0由PC1(K)的前28位組成；D0由后28位組成;

(2)對(duì)1<=i<=16，計(jì)算

Ci=LSi(Ci-1)

Di=LSi(Di-1)

LSi表示循環(huán)左移2或1個(gè)位置，取決于i的的值。i=1,2,9和16時(shí)移1個(gè)位置，否則移2位置;

(3)Ki=PC2(CiDi),PC2為固定置換。DES密鑰產(chǎn)生圖示數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）

DES加密的一個(gè)例子

＊取16進(jìn)制明文X：0123456789ABCDEF

＊取密鑰K為：133457799BBCDFF1

＊去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密鑰是00010010011010010101101111001001101101111011011111111000

＊應(yīng)用初始置換IP，我們得到：

L0=11001100000000001100110011111111

L1=R0=11110000101010101111000010101010

＊然后進(jìn)行16輪加密。

＊最后對(duì)L16,R16使用IP-1得到密文： 85E813540F0AB405DES解密

DES解密過(guò)程與加密過(guò)程本質(zhì)上一致加密和解密使用同一個(gè)算法，使用相同的步驟和相同的密鑰主要不同點(diǎn)是將密文作為算法的輸入，但是逆序使用子密鑰ki，即第1輪使用子密鑰k16，第2輪使用子密鑰k15，最后一輪使用子密鑰k1

數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）

DES密鑰長(zhǎng)度太小

DES迭代次數(shù)可能太少1997年6月，許多臺(tái)計(jì)算機(jī)并行工作，140天內(nèi)破解了DES；1998年，DES在48天內(nèi)被破解；1999年，幾個(gè)小時(shí)內(nèi)就能破解。三重DES使用三（或兩）個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行三次（或兩次）加密，加密一次要比進(jìn)行普通加密的三次要快三重DES的強(qiáng)度大約和112-bit的密鑰強(qiáng)度相當(dāng)三重DES有四種模型DES-EEE3使用三個(gè)不同密鑰順序進(jìn)行三次加密變換DES-EDE3使用三個(gè)不同密鑰依次進(jìn)行加密-解密-加密變換DES-EEE2其中密鑰K1=K3順序進(jìn)行三次加密變換DES-EDE2其中密鑰K1=K3依次進(jìn)行加密-解密-加密變換到目前為止還沒(méi)有人給出攻擊三重DES的有效方法DES-EDE2其中密鑰K1=K3依次進(jìn)行加密-解密-加密變換目前還沒(méi)有針對(duì)兩個(gè)密鑰的三重DES實(shí)際的攻擊方法但是感覺(jué)它不大可靠，如果采用三把密鑰的三重DES則比較放心三把密鑰的三重DES的密鑰長(zhǎng)度是168位，采用加密—解密—加密(E-D-E)方案其加密過(guò)程為C=EK3[DK2[EK1[M]]]，解密過(guò)程為M=DK1[EK2[DK3[C]]]這種加密方式已經(jīng)被一些網(wǎng)絡(luò)應(yīng)用采用,如PGP和S/MIME采用了這種方案IDEAInternationalDataEncryptionAlgorithm；XuejiaLai和JamesMassey提出；IDEA是對(duì)稱、分組密碼算法，輸入的明文為64位，密鑰為128位，生成的密文為64位；IDEA是一種相對(duì)較新的算法，有堅(jiān)強(qiáng)的理論基礎(chǔ)，已被證明可對(duì)抗差分分析和線性分析；PGP中已實(shí)現(xiàn)了IDEA；高級(jí)加密標(biāo)準(zhǔn)（AES）1997年4月15日美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所NIST發(fā)起了征集AES算法的活動(dòng)并成立了專門的AES工作組目的是為了確定一個(gè)非保密的公開披露的全球免費(fèi)使用的分組密碼算法用于保護(hù)下一世紀(jì)政府的敏感信息并希望成為秘密和公開部門的數(shù)據(jù)加密標(biāo)準(zhǔn)1997年9月12日在聯(lián)邦登記處公布了征集AES候選算法的通告AES的基本要求是比三重DES快或至少和三重DES一樣安全分組長(zhǎng)度128比特，密鑰長(zhǎng)度為128/192/256比特1998年8月20日NIST召開了第一次候選大會(huì)并公布了15個(gè)候選算法高級(jí)加密標(biāo)準(zhǔn)（AES）－續(xù)1999年3月22日舉行了第二次AES候選會(huì)議從中選出5個(gè)算法MARSRC6SerpentTwofishRijndael

2000年10月，美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)委員會(huì)(NIST)選定“Rijndael”全為AESRijndael是迭代分組密碼，其分組長(zhǎng)度和密鑰長(zhǎng)度都是可變的；為了滿足AES的要求，分組長(zhǎng)度為128bit，密碼長(zhǎng)度為128/192/256bit，相應(yīng)的輪數(shù)r為10/12/14。流密碼明文m=m1,m2,…….mk偽隨機(jī)序列k=k1,k2,…….kk密文ci=miki,i=1,2,…….k解密過(guò)程與加密過(guò)程一致序列密碼的安全性完全依賴于偽隨機(jī)數(shù)的強(qiáng)度移位寄存器是產(chǎn)生序列密碼的有效方法RC4、SEAL（SoftwareOptimizedEncryptionAlgorithm，軟件優(yōu)化加密算法）三、公鑰密碼體制公鑰密碼學(xué)概述公鑰密碼算法公鑰密碼技術(shù)應(yīng)用公鑰密碼學(xué)概述WhitefieldDiffie，MartinHellman，《NewDirectionsinCryptography》,1976公鑰密碼學(xué)的出現(xiàn)使大規(guī)模的安全通信得以實(shí)現(xiàn)–解決了密鑰分發(fā)問(wèn)題；公鑰密碼學(xué)還可用于另外一些應(yīng)用：數(shù)字簽名、防抵賴等；公鑰密碼體制的基本原理–陷門單向函數(shù)(trapdoorone-wayfunction)公鑰密碼學(xué)概述

加密：EK1（M）=C

解密：DK2（C）=M

等效于DK2（EK1（M））=M數(shù)學(xué)變換函數(shù)密鑰K1明文密文數(shù)學(xué)變換函數(shù)密鑰K2明文密文公鑰密碼學(xué)概述網(wǎng)絡(luò)信息M非對(duì)碼密鑰算法B公鑰密文C用戶B用戶A非對(duì)稱密碼算法密文C信息MB私鑰非對(duì)稱加密應(yīng)用模式數(shù)據(jù)機(jī)密性發(fā)送方認(rèn)證對(duì)稱密碼學(xué)中的密鑰管理單鑰密碼技術(shù)要求通信雙方事先交換密鑰。在實(shí)際應(yīng)用中，一方需要與成千上萬(wàn)的通信方進(jìn)行交易，若采用單鑰密碼技術(shù)，每個(gè)用戶需要管理成千上萬(wàn)個(gè)不同對(duì)象通信的密鑰。雙方如何交換密鑰。通過(guò)傳統(tǒng)手段，還是通過(guò)因特網(wǎng)，都會(huì)遇到密鑰傳送的安全性問(wèn)題。在現(xiàn)實(shí)環(huán)境中，密鑰通常會(huì)經(jīng)常更換，更為極端的是，每次傳送都使用不同的密鑰，單鑰密碼技術(shù)的密鑰管理和發(fā)布都是遠(yuǎn)遠(yuǎn)無(wú)法滿足使用要求的。公鑰密碼學(xué)中的密鑰管理公鑰密鑰技術(shù)解決了密鑰的發(fā)布和管理問(wèn)題，任何一方可以公開其公開密鑰，而保留私有密鑰。發(fā)送方可以用人人皆知的接收方公開密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全的傳送給接收方，然后由接收方用自己的私有密鑰進(jìn)行解密。

RSA算法概述Rivest,Shamir和Adleman1977年研制并且1978年首次發(fā)表。密碼分析者尚不能證明其安全性，但也不能否定其安全性。RSA是一種分組密碼，其理論基礎(chǔ)是一種特殊的可逆模指數(shù)運(yùn)算，其安全性基于分解大整數(shù)的困難性。既可以用于加密，也可用于數(shù)字簽名。硬件實(shí)現(xiàn)時(shí)，比DES慢約1000倍。軟件實(shí)現(xiàn)時(shí)比DES慢約100倍。永遠(yuǎn)不會(huì)比對(duì)稱鑰算法快。已被許多標(biāo)準(zhǔn)化組織(如ISO、ITU、IETF和SWIFT等)接納，目前多數(shù)公司使用的是RSA公司的PKCS系列。算法描述

1.密鑰的產(chǎn)生

隨機(jī)選擇兩個(gè)大素?cái)?shù)p,q

計(jì)算n=p×q計(jì)算秘密的歐拉函數(shù)(n)=(p-1)(q-1)選擇e使得1<e<(n)，且gcd(e,

(n))=1解下列方程求出d

ed≡1mod(n)，且0≤d≤n

公開公鑰：PU={e,N}保存私鑰：PR={d,p,q}672.加密過(guò)程加密時(shí)明文以分組為單位進(jìn)行加密，每個(gè)分組m的二進(jìn)制值均小于n，對(duì)明文分組m作加密運(yùn)算：c=memodn,且0≤m<n3．解密過(guò)程密文解密m=cd

modn

RSA算法描述結(jié)果：

e和n作為公開密鑰，d,n作為私人密鑰。

p、q、φ(n)和d是秘密的陷門(并不是相互獨(dú)立的)，不可以泄露。使用： 首先將消息分成大小合適的數(shù)據(jù)分組，然后對(duì)分組分別進(jìn)行加密。每個(gè)分組的大小應(yīng)該比n小。 設(shè)ci為明文分組mi加密后的密文，則加密公式為ci=mie(modn)

解密時(shí)，對(duì)每一個(gè)密文分組進(jìn)行如下運(yùn)算：mi=cid(modn)RSA樣例p=17,q=11,n=pq=187(n)=(p-1)(q-1)=160gcd(160,e)==1:e=7de=161=1mod160:d=23RSA算法安全性

RSA的安全性是基于加密函數(shù)ek(x)=xe(modn)是一個(gè)單向函數(shù)，所以對(duì)的人來(lái)說(shuō)求逆計(jì)算不可行。而解密的陷門是分解n=pq，知(n)=(p-1)(q-1)。從而用歐氏算法解出解密私鑰d。密碼分析者攻擊RSA體制的關(guān)鍵點(diǎn)在于如何分解n。若分解成功使n=pq，則可以算出φ(n)＝（p-1)(q-1)，然后由公開的e，解出秘密的d。RSA算法關(guān)鍵技術(shù)密鑰選擇位數(shù):1024以上,素性應(yīng)該證明p-1,q-1有大的素因子p+1,q+1也要有大的素因子e的選取，最常用的e值為3，65537（2^16+1）算法實(shí)現(xiàn)軟件與硬件結(jié)合,并行算法等RSA算法使用1.加解密A的公開密鑰為(e,n),B對(duì)消息m加密c=memodn給A,只有A能解密m=cdmodn特點(diǎn):和A從來(lái)不認(rèn)識(shí),都可進(jìn)行保密通訊,只要知道A的公鑰.速度慢,不實(shí)用.要求對(duì)公開密鑰進(jìn)行保護(hù)，防止修改和替換。

通信保密：此時(shí)將公鑰作為加密密鑰，私鑰作為解密密鑰，通信雙方不需要交換密鑰就可以實(shí)現(xiàn)保密通信。RSA算法使用2.數(shù)字簽名與身份認(rèn)證A的公開密鑰為(e,n),私鑰為(d,n),A對(duì)消息m的數(shù)字簽名為:s=H(m)dmodn,H(x)為公開的散列(hash)函數(shù).任何人都可驗(yàn)證A對(duì)m的簽名的有效性H(m)=semodn功能:防止非法篡改、偽造,A的抵賴與否認(rèn),對(duì)A的假冒等。要求對(duì)公開密鑰進(jìn)行保護(hù)，防止修改。

數(shù)字簽名：將私鑰作為加密密鑰，公鑰作為解密密鑰，可實(shí)現(xiàn)由一個(gè)用戶對(duì)數(shù)據(jù)加密而使多個(gè)用戶解讀。

其他公鑰算法Rabin密碼算法

合數(shù)模下求解平方根的困難性ElGamal密碼算法 基于離散對(duì)數(shù)問(wèn)題橢圓曲線密碼算法 代數(shù)幾何中基于橢圓曲線的點(diǎn)集四、摘要算法摘要算法的需求摘要算法的設(shè)計(jì)要求

MD5算法介紹哈希函數(shù)（Hash）Hash相同的輸入產(chǎn)生相同的輸出（散列值/指紋）單向，不可逆變長(zhǎng)的輸入，定長(zhǎng)的輸出散列算法MD5(128bit)、SHA-1(160bit)用途數(shù)據(jù)完整性發(fā)送方認(rèn)證Hash雜湊函數(shù)雜湊(Hash)函數(shù)是將任意長(zhǎng)的數(shù)字串M映射成一個(gè)較短的定長(zhǎng)輸出數(shù)字串H的函數(shù)，通常是單向雜湊函數(shù)；強(qiáng)單向雜湊與弱單向雜湊，對(duì)不同報(bào)文，很難有同樣的報(bào)文摘要。這與不同的人有不同的指紋很類似；雜湊函數(shù)除了可用于數(shù)字簽名方案之外，還可用于其它方面，諸如消息的完整性檢測(cè)（一般雜湊函數(shù)）、消息的起源認(rèn)證檢測(cè)（密碼雜湊函數(shù)）等。h=H(M)假定兩次輸入同樣的數(shù)據(jù)，那么散列函數(shù)應(yīng)該能夠生成相同的散列值。輸入數(shù)據(jù)中的一位發(fā)生了變化，會(huì)導(dǎo)致生成的散列值完全不一樣。散列函數(shù)有個(gè)非常重要的特性為單向性，也就是從M計(jì)算h容易，而從h計(jì)算M不可能。

散列函數(shù)H必須滿足以下幾個(gè)性質(zhì)H對(duì)于任何大小的數(shù)據(jù)分組，都能產(chǎn)生定長(zhǎng)的輸出。對(duì)于任何給定的M，H(M)要相對(duì)易于計(jì)算。單向性：對(duì)于任何給定的hash值h，計(jì)算出M在計(jì)算上不可行。弱無(wú)碰撞性：對(duì)任何給定的M1，尋找M2，使H(M1)=H(M2)在計(jì)算上不可行。強(qiáng)無(wú)碰撞性：尋找任何的（M1，M2），使H(M1)=H(M2)在計(jì)算上不可行。MD系列雜湊函數(shù)RonRivest設(shè)計(jì)的系列雜湊函數(shù)系列:MD4[RFC1320]MD5是MD4的改進(jìn)型[RFC1321]MD2[RFC1319]，已被Rogier等于1995年攻破較早被標(biāo)準(zhǔn)化組織IETF接納，并已獲得廣泛應(yīng)用Hash值長(zhǎng)度為128bits

這個(gè)選擇的意義:簽名算法復(fù)雜度這種,如RSA算法SHA和SHA-1美國(guó)NIST和NSA為配合DSS，設(shè)計(jì)了安全雜湊標(biāo)準(zhǔn)(SHS)，其算法為SHA[FIPSPUB180]，修改的版本被稱為SHA-1[FIPSPUB180-1]SHA/SHA-1采用了與MD4相似的設(shè)計(jì)準(zhǔn)則，其結(jié)構(gòu)也類似于MD4，但其輸出為160bits目前還沒(méi)有針對(duì)SHA有效的攻擊2023/2/484Ch5-消息認(rèn)證與數(shù)字簽名MD5MD5（Message-Digest

Algorithm

5）是由Ronald

L.

Rivest（RSA算法中的“R”）這90年代初開發(fā)出來(lái)的，經(jīng)MD2、MD3和MD4發(fā)展而來(lái)。它比MD4復(fù)雜，但設(shè)計(jì)思想類似，同樣生成一個(gè)128位的信息散列值。其中，MD2是為8位機(jī)器做過(guò)設(shè)計(jì)優(yōu)化的，而MD4和MD5卻是面向32位的計(jì)算機(jī)。2004年8月，在美國(guó)召開的國(guó)際密碼學(xué)會(huì)議（Crypto’2004）上，王小云教授給出破解MD5、HAVAL-128、MD4和RIPEMD算法的報(bào)告。給出了一個(gè)非常高效的尋找碰撞的方法，可以在數(shù)個(gè)小時(shí)內(nèi)找到MD5的碰撞。2023/2/485Ch5-消息認(rèn)證與數(shù)字簽名MD5算法步驟1）填充消息：任意長(zhǎng)度的消息首先需要進(jìn)行填充處理，使得填充后的消息總長(zhǎng)度與448模512同余（即填充后的消息長(zhǎng)度448mod512）。填充的方法是在消息后面添加一位“1”，后續(xù)都是“0”。2）添加原始消息長(zhǎng)度：在填充后的消息后面再添加一個(gè)64位的二進(jìn)制整數(shù)表示填充前原始消息的長(zhǎng)度。這時(shí)經(jīng)過(guò)處理后的消息長(zhǎng)度正好是512位的倍數(shù)。3）初始值（IV）的初始化：MD5中有四個(gè)32位緩沖區(qū)，用（A,B,C,D）表示，用來(lái)存儲(chǔ)散列計(jì)算的中間結(jié)果和最終結(jié)果，緩沖區(qū)中的值被稱為鏈接變量。首先將其分別初始化為為：A=0x01234567，B=0x89abcdef，C=0xfedcba98，D=0x76543210。2023/2/486Ch5-消息認(rèn)證與數(shù)字簽名MD5算法步驟-續(xù)4）以512位的分組為單位對(duì)消息進(jìn)行循環(huán)散列計(jì)算：經(jīng)過(guò)處理的消息，以512位為單位，分成N個(gè)分組，用Y0，Y1，…，YN-1。MD5對(duì)每個(gè)分組進(jìn)行散列處理。每一輪的處理會(huì)對(duì)（A，B，C，D）進(jìn)行更新。5）輸出散列值：所有的N個(gè)分組消息都處理完后，最后一輪得到的四個(gè)緩沖區(qū)的值即為整個(gè)消息的散列值。2023/2/487Ch5-消息認(rèn)證與數(shù)字簽名MD5算法步驟-續(xù)MD5的主循環(huán)，包括四輪，每個(gè)循環(huán)都以當(dāng)前的正在處理的512比特分組Yq和128比特緩沖值A(chǔ)BCD為輸入，然后更新緩沖內(nèi)容。四輪的操作類似，每輪16次：用到一個(gè)有64個(gè)元素的表T[1..64]，T[i]=232×abs(sin(i))，i的單位為弧度。16次壓縮函數(shù)中的一步迭代基本邏輯函數(shù)定義輪基本函數(shù)gg(b,c,d)fFF(b,c,d)(b^c)V(bˉ^d)fGG(b,c,d)(b^d)V(c^dˉ)fHH(b,c,d)b?c?dfII(b,c,d)c?(bV

dˉ)X[k]當(dāng)前分組的第k個(gè)32位的字。第1輪x[0]x[1]x[2]x[3]x[4]x[5]x[6]x[7]x[8]x[9]x[10]x[11]x[12]x[13]x[14]x[15]第2輪x[1]x[6]x[11]x[0]x[5]x[10]x[15]x[4]x[9]x[14]x[3]x[8]x[13]x[2]x[7]x[12]第3輪x[5]x[8]x[11]x[14]x[1]x[4]x[7]x[10]x[13]x[0]x[3]x[6]x[9]x[12]x[15]x[2]第4輪x[0]x[7]x[14]x[5]x[12]x[3]x[10]x[1]x[8]x[15]x[6]x[13]x[4]x[11]x[2]x[9]MD-5的安全性MD-5的輸出為128-bit，若采用純強(qiáng)力攻擊尋找一個(gè)消息具有給定Hash值的計(jì)算困難性為2128，用每秒可試驗(yàn)1000000000個(gè)消息的計(jì)算機(jī)需時(shí)1.07×1022年。采用生日攻擊法，找出具有相同雜湊值的兩個(gè)消息需執(zhí)行264次運(yùn)算。5、數(shù)字簽名與完整性保護(hù)數(shù)字簽名概念數(shù)字簽名與驗(yàn)證數(shù)字信封技術(shù)時(shí)間戳技術(shù)數(shù)字簽名概述日常生活和經(jīng)濟(jì)往來(lái)中，簽名蓋章和識(shí)別簽名是一個(gè)重要環(huán)節(jié)；計(jì)算機(jī)網(wǎng)絡(luò)通信時(shí)代，用密碼學(xué)來(lái)實(shí)現(xiàn)數(shù)字簽名；數(shù)字簽名特點(diǎn)：收方能夠確認(rèn)或證實(shí)發(fā)方的簽字；任何人都不能仿造；如果發(fā)方否認(rèn)他所簽名的消息，可以通過(guò)仲裁解決爭(zhēng)議。數(shù)字簽名與手寫簽名和消息認(rèn)證與手寫簽名的區(qū)別；手寫簽名是模擬的，且因人而異；數(shù)字簽名是01數(shù)字串，因消息而異。與消息認(rèn)證的區(qū)別：消息認(rèn)證使收方能驗(yàn)證消息內(nèi)容是否被篡改；數(shù)字簽名還可以認(rèn)證消息發(fā)送者的身份。數(shù)字簽名算法RSA算法

應(yīng)用最廣泛DSA（DigitalSignatureAlgorithm）算法

基于有限域上的離散對(duì)數(shù)問(wèn)題GOST算法

俄羅斯采用的數(shù)字簽名標(biāo)準(zhǔn)算法數(shù)字簽名與驗(yàn)證過(guò)程第一步：將消息按散列算法計(jì)算得到一個(gè)固定位數(shù)的消息摘要值。在數(shù)學(xué)上保證：只要改動(dòng)消息的任何一位，重新計(jì)算出的消息摘要就會(huì)與原先值不符。這樣就保證了消息的不可更改。數(shù)字簽名與驗(yàn)證過(guò)程第二步：對(duì)消息摘要值用發(fā)送者的私有密鑰加密，所產(chǎn)生的密文即稱數(shù)字簽名。然后該數(shù)字簽名同原消息一起發(fā)送給接收者。第三步：接收方收到消息和數(shù)字簽名后，用同樣的散列算法對(duì)消息計(jì)算摘要值，然后與用發(fā)送者的公開密鑰對(duì)數(shù)字簽名進(jìn)行解密，將解密后的結(jié)果與計(jì)算的摘要值相比較。如相等則說(shuō)明報(bào)文確實(shí)來(lái)自發(fā)送者。數(shù)字簽名與驗(yàn)證過(guò)程圖示消息摘要數(shù)字簽名消息數(shù)字簽名消息摘要數(shù)字簽名摘要發(fā)送方接收方數(shù)字簽名與數(shù)據(jù)完整性驗(yàn)證數(shù)據(jù)的完整性（integrity）數(shù)據(jù)的完整性是用來(lái)認(rèn)證消息、檢驗(yàn)數(shù)據(jù)是否被篡改的技術(shù)，是另一類型的數(shù)字簽名實(shí)現(xiàn)技術(shù)：雙鑰加密算法和消息摘要算法應(yīng)用：消息不需加密但要鑒別，如銀行發(fā)出的支票Alice與Bob通話，Bob希望驗(yàn)證消息的完整性：

—Alice就要使用SHA來(lái)計(jì)算消息（密文）的消息摘要，并使用自己的私有密鑰對(duì)這個(gè)消息摘要進(jìn)行加密（即該消息的簽名）

—Alice將消息發(fā)給Bob

—Bob接到消息后，首先用Alice的公開密鑰解密，然后計(jì)算消息的消息摘要，再比較兩者是否相同

—若相同，Bob就能確信接受到的消息是完整的電子信封技術(shù)為解決每次傳送更換密鑰的問(wèn)題，結(jié)合對(duì)稱加密技術(shù)和非對(duì)稱密鑰加密技術(shù)的優(yōu)點(diǎn)，產(chǎn)生了電子信封技術(shù)，用來(lái)傳輸數(shù)據(jù)。

電子信封技術(shù)實(shí)現(xiàn)加密對(duì)稱密鑰用戶A明文密文用戶B的公鑰電子信封用戶B密文解密明文用戶B的私鑰對(duì)稱密鑰數(shù)字時(shí)間戳（DigitalTime-Stamp）交易文件中，文件簽署日期和簽名一樣是防止被偽造和篡改的關(guān)鍵性內(nèi)容數(shù)字時(shí)間戳服務(wù)（DTS）是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供時(shí)間戳是一個(gè)經(jīng)過(guò)加密后形成的憑證文檔，包括：需加時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽名時(shí)間戳產(chǎn)生過(guò)程：用戶將需加時(shí)間戳的文件用HASH編碼加密形成摘要，并將其發(fā)送到DTS；DTS在加入了收到日期和時(shí)間信息后再對(duì)該文件加密和數(shù)字簽名，然后返回用戶數(shù)字證書的結(jié)構(gòu)

相關(guān)標(biāo)準(zhǔn)

PKI的組成與功能

我國(guó)PKI的發(fā)展六、數(shù)字證書與PKI體系數(shù)字證書（Digitalcertificates）數(shù)字證書：是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或組織的身份和密鑰所有權(quán)的電子文檔，它的格式必須符合CCITTX.509國(guó)際標(biāo)準(zhǔn)的規(guī)定數(shù)字證書可以解決公開密鑰的認(rèn)證問(wèn)題基于公開密鑰體制（PKI）的數(shù)字證書是電子商務(wù)安全體系的核心，其用途是利用公共密鑰加密系統(tǒng)來(lái)保護(hù)與驗(yàn)證公眾的密鑰，由可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)應(yīng)用程序能識(shí)別的證書類型如下：客戶證書（個(gè)人證書）、站點(diǎn)證書（服務(wù)器證書）、安全郵件證書、CA證書數(shù)字證書（續(xù)）證書的內(nèi)容(證書格式遵循X.509國(guó)際標(biāo)準(zhǔn))

—證書的數(shù)據(jù)：版本信息、證書序列號(hào)、CA使用的簽名算法、發(fā)行證書CA的名稱、證書的有效期、被證明的公鑰信息

—發(fā)行證書的CA簽名：CA簽名和簽名算法證書的有效性

—證書沒(méi)有過(guò)期

—密鑰沒(méi)有修改

—用戶仍然有權(quán)使用這個(gè)密鑰

—CA負(fù)責(zé)回收證書，發(fā)行無(wú)效證書清單證書使用證書幫助證實(shí)個(gè)人身份，你的證書和你的密鑰就是你是誰(shuí)的證據(jù)公鑰證書的結(jié)構(gòu)

證書主體身份信息主體的公鑰CA名稱CA簽名簽字X.500與X.509X.500和X.509是安全認(rèn)證系統(tǒng)的核心:為了提供公用網(wǎng)絡(luò)用戶目錄信息服務(wù)，ITU于1988年制定了X.500系列標(biāo)準(zhǔn)。X.500定義了一種區(qū)別命名規(guī)則，以命名樹來(lái)確保用戶名稱的唯一性X.509是由國(guó)際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn)。X.509為X.500用戶名稱提供了通信實(shí)體鑒別機(jī)制，并規(guī)定了實(shí)體鑒別過(guò)程中廣泛適用的證書語(yǔ)法和數(shù)據(jù)接口，X.509稱之為證書。

X.509證書由用戶公共密鑰與用戶標(biāo)識(shí)符組成，此外還包括版本號(hào)、證書序列號(hào)、CA標(biāo)識(shí)符、簽名算法標(biāo)識(shí)、簽發(fā)者名稱、證書有效期等。目前，X.509標(biāo)準(zhǔn)已在編排公共密鑰格式方面被廣泛接受，已用于許多網(wǎng)絡(luò)安全應(yīng)用程序，其中包括IP安全（Ipsec）、安全套接層（SSL）、安全電子交易（SET）、安全多媒體INTERNET郵件擴(kuò)展（S/MIME）等。

公鑰基礎(chǔ)結(jié)構(gòu)

(Public

Key

Infrastructure,

PKI)

PKI是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。

PKI體系結(jié)構(gòu)采用證書管理公鑰，即結(jié)合X.509標(biāo)準(zhǔn)中的鑒別框架（Authentication

Framework）來(lái)實(shí)現(xiàn)密鑰管理，通過(guò)CA把用戶的公鑰及其它標(biāo)識(shí)信息捆綁在一起，在INTERNET上驗(yàn)證用戶的身份，保證網(wǎng)上數(shù)據(jù)的保密性和完整性。

公鑰基礎(chǔ)結(jié)構(gòu)

(Public

Key

Infrastructure,

PKI)

一個(gè)PKI必須支持下面的密鑰和證書管理服務(wù)：

◆認(rèn)證機(jī)關(guān)(CA)

◆證書庫(kù)

◆證書的撤消

◆密鑰的備份與恢復(fù)

◆對(duì)數(shù)字簽名的抗抵賴性的支持

◆密鑰對(duì)和證書的自動(dòng)更新

◆密鑰歷史信息的管理

◆對(duì)交叉認(rèn)證的支持

◆客戶端證書處理系統(tǒng)如何獲得發(fā)送方公鑰A發(fā)送驗(yàn)證消息給B；B用私鑰加密該消息并附上證書送給A；A收到后用