密碼學第7-8章課件

7公鑰密碼算法7.0 概述7.1 國際標準RSA算法(基于大數(shù)分解)7.2 ElGamal算法(基于離散對數(shù))7.3 美國標準DSS/DSA算法7.4 橢圓曲線密碼(ECC)算法7.5 其它公鑰密碼算法7.0公鑰密碼算法概述公鑰密碼算法(非對稱算法)用公開密鑰(簡稱公鑰)加密，用私人密鑰(簡稱私鑰)解密。當消息用私人密鑰加密(簽名)而用公開密鑰解密(驗證)時，稱為數(shù)字簽名。在公鑰密碼與數(shù)字簽名算法領域，DSA(數(shù)字簽名算法)是NIST專門制定的數(shù)字簽名標準(DSS)算法，只能用于簽名驗證，不能用于保密或密鑰分配，安全強度較低，速度很慢。RSA算法即可用于保密，又可用于簽名驗證，安全性比DSA算法高，速度也比DSA算法快多了，是第一個較完善的、最容易理解和實現(xiàn)的公鑰算法，被很多國家和組織作為標準，包括國際數(shù)字簽名標準ISO9796。不過，RSA算法速度也較慢。我國密碼學家陶仁驥等在20世紀80年代就提出了一種基于有限自動機的公鑰算法(FAPKC)，性能不錯，既可用于簽名驗證，又可用于保密或密鑰交換。雖然有些科研人員指出該算法存在缺陷，但只要其思想可取，就是有價值的。密碼算法本來就是隨著時間和實踐逐步完善的。陶仁驥等已提出了新的改進算法。FAPKC算法可能是我國20世紀所公布的唯一有完全自主知識產權的密碼算法。7.0公鑰密碼算法概述（續(xù)）現(xiàn)在，有一種稱為ECC(橢圓曲線密碼)的公鑰算法，性能優(yōu)越，安全性比RSA算法高多了，速度也比RSA算法快多了，帶寬要求低，曲線資源豐富，易于軟硬件和智能卡實現(xiàn)，已成為新的公鑰密碼和數(shù)字簽名國際標準，并被我國采納。加拿大和日本向NESSIE提交的幾個公鑰密碼和數(shù)字簽名算法就是基于ECC的。我國科研人員陳建華教授在ECC領域做出了較大貢獻。非對稱算法(公鑰密碼算法)的基本設計思想是計算復雜性和陷門單向函數(shù)。7.0公鑰密碼算法概述

——與對稱算法結合在實際應用中，公鑰密碼算法不會取代對稱算法。公鑰密碼算法一般不用來加密消息，而用作身份認證和加密會話密鑰。因為：（算法是公開且好的算法有限，所以需要加密密鑰和解密密鑰）1.對稱算法一般比公鑰算法快一千倍。2.公鑰密碼系統(tǒng)對選擇明文攻擊是脆弱的。如果C=E(P)，當P是N個可能明文集中的一個明文，那么密碼分析者只需要加密所有N個可能的明文，并能與C比較結果(加密密鑰是公開的)。用這種方法，他不可能恢復解密密鑰，但他能夠確定P。在大多數(shù)實際應用中，公鑰密碼用作身份認證和加密會話密鑰。這些會話密鑰用在對稱算法中，對通信消息進行保密。有時稱這種系統(tǒng)為混合密碼系統(tǒng)。把公鑰密碼用于密鑰分配解決了很重要的密鑰管理問題。7.0公鑰密碼算法概述

——與Hash函數(shù)結合在實際的實現(xiàn)過程中，采用公鑰密碼算法對長文件簽名效率太低。為了節(jié)約時間，數(shù)字簽名協(xié)議經常和單向Hash函數(shù)一起使用。并不對整個文件簽名，只對文件的Hash值簽名。由于公鑰密碼算法用于保密和用于簽名的原理是一樣的，此處只介紹數(shù)字簽名算法。7.1 RSA算法(基于大數(shù)分解)RSA是第一個既能用于數(shù)據加密也能用于數(shù)字簽名的算法。算法的名字以發(fā)明者的名字命名：RonRivest,AdiShamir和LeonardAdleman。RSA的安全性一直未能得到理論上的證明。它經歷了各種攻擊，至今未被完全攻破。RSA算法過程：首先,選取三個數(shù),p,q,e,

其中p,q是兩個相異的大質數(shù),e是與(p-1)(q-1)互質的數(shù)，計算n=p*q，e,n便是公鑰；接著,用歐幾里德擴展法計算d,使得de≡1mod(p-1)(q-1)，p,q,d便是私鑰。假設被簽消息為M，則簽名過程為S==M

dmodn

驗證過程為M==S

emodn

7.1 RSA算法

——性能由于進行的都是大數(shù)計算，使得RSA最快的情況也比DES慢上100倍，無論是軟件還是硬件實現(xiàn)。速度一直是RSA的缺陷。一般來說只用于少量數(shù)據加密和簽名。總之，RSA是被研究最廣泛的公鑰算法，從提出到現(xiàn)在已經二十年，經歷了各種攻擊的考驗，普遍認為是當時最優(yōu)秀的公鑰方案之一。RSA的安全性依賴于大數(shù)的因子分解，但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價，即RSA的重大缺陷是無法從理論上把握它的保密性能如何。RSA的缺點主要有：A)產生密鑰很麻煩，受到素數(shù)產生技術的限制，因而難以做到一次一密。B)分組長度太大，為保證安全性，n至少也要600b以上，使運算代價很高，尤其是速度較慢，較對稱密碼算法慢幾個數(shù)量級；且隨著大數(shù)分解技術的發(fā)展，這個長度還在增加，不利于數(shù)據格式的標準化。目前，SET(安全電子商務)協(xié)議中要求CA采用2048b長的密鑰，其他實體使用1024b的密鑰。IEEE已批準RSA成為802.11標準的補充標準。7.2 ElGamal算法(基于離散對數(shù))ElGamal算法既能用于數(shù)據加密也能用于數(shù)字簽名。密鑰對產生辦法為：首先選擇一個素數(shù)p，兩個隨機數(shù)g和x，g,x<p,計算y=g

xmodp，則其公鑰為y,g和p。私鑰是x。g和p可由一組用戶共享。ElGamal數(shù)字簽名過程為：假設被簽消息為M，首先選擇一個隨機數(shù)k,k與p-1互質，計算a=g

kmodp。再用擴展Euclide算法對下面方程求解b：M=xa+kbmod(p-1)。簽名就是(a,b)。隨機數(shù)k須丟棄。驗證時要驗證下式：(y

a

a

b

)modp=g

Mmodp。同時一定要檢驗是否滿足1≤a<p。否則簽名容易偽造。ElGamal簽名的安全性依賴于乘法群上的離散對數(shù)計算難題。素數(shù)p必須足夠大，且p-1至少包含一個大素數(shù)因子以抵抗Pohlig&Hellman算法的攻擊。M一般都應采用消息的散列值(如SHA算法序列)。ElGamal的安全性主要依賴于p和g，若選取不當則簽名容易偽造，應保證g對于p-1的大素數(shù)因子不可約。ElGamal的一個不足之處是它的密文成倍擴張。7.3 美國標準DSS/DSA算法DSA(數(shù)字簽名算法)是Schnorr和ElGamal簽名算法的變種，是美國NIST專門制定的數(shù)字簽名標準(DSS)算法，只能用于簽名驗證，不能用于保密或密鑰分配。DSA算法的安全性依賴于整數(shù)有限域上的離散對數(shù)問題，安全強度和速度均低于RSA算法。7.4 橢圓曲線密碼(ECC)算法(基于橢圓曲線上的離散對數(shù))ECC(橢圓曲線密碼)算法性能優(yōu)越，安全性比RSA算法高多了，速度也比RSA算法快多了，帶寬要求低，曲線資源豐富，易于軟硬件和智能卡實現(xiàn)，已成為新的公鑰密碼和數(shù)字簽名國際標準，并被我國采納。加拿大和日本向NESSIE提交的幾個公鑰密碼和數(shù)字簽名算法就是基于ECC的。我國科研人員陳建華教授在ECC領域做出了較大貢獻。ECC已被IEEE公鑰密碼標準P1363采用。7.5 其它公鑰密碼算法公鑰密碼算法還有Rabin算法、Schnorr算法、俄羅斯數(shù)字簽名標準GOST算法和日本的ESIGN算法等。Rabin算法的安全性低于RSA算法；Schnorr算法的安全性低于ElGamal算法。GOST算法安全性很高，但速度比DSA算法慢，公鑰參數(shù)的生成和存儲也比DSA算法復雜。ESIGN算法的安全性不低于RSA和DSA，但速度快多了。8常用認證與密鑰交換算法認證與密鑰交換協(xié)議比較多，可分為兩類：1）對稱認證(與密鑰交換)，即常用的口令認證，例如EAP-MD5和移動通信系統(tǒng)中的AKG(認證與密鑰產生)等。2）非對稱認證(與密鑰交換)，基于公鑰密碼算法。著名的非對稱認證協(xié)議是ITU-TX.509協(xié)議；著名的密鑰交換協(xié)議是IKE(互聯(lián)網密鑰交換)中采用的Diffie-Hellman協(xié)議。歐洲的非對稱認證新標準是法國人EcoleNormaleSupérieure設計的GPS算法。8常用認證與密鑰交換算法

8.1 Diffie-Hellman算法IKE(互聯(lián)網密鑰交換)中采用的Diffie-Hellman密鑰交換協(xié)議是第一個公鑰密碼算法，早在1976年就提出了，其安全性源于有限域上計算離散對數(shù)比計算指數(shù)更為困難。首先，A和B協(xié)商一個大素數(shù)n和g，g是模n的本原元；這兩個整數(shù)不必保密；要求(n-1)/2也是素數(shù)。則Diffie-Hellman算法過程如下：(1)A選取一個大隨機整數(shù)x并把X=gxmodn發(fā)送給B；(2)B選取一個大隨機整數(shù)y并把Y=gymodn發(fā)送給A；(3)A計算K=Yxmodn；(4)B計算K*=Xymodn。K=K*=gyxmodn，密鑰交換成功。8常用認證與密鑰交換算法

8.2 GPS算法GPS算法是NESSIE收到的唯一的非對稱認證方案，被采納為歐洲標準。這是一個交互式零知識證明協(xié)議，其特點為：基于一般任意模數(shù)離散對數(shù)問題(這等價于整數(shù)分解問題和計算素數(shù)模的離散對數(shù)問題)的可證明安全性，身份密鑰短，信息傳輸量非常小，在線計算量最小化。GPS算法是Schnorr的改進方案。8.3 對稱密碼體制中的密鑰管理

(1)對稱密碼體制中密鑰分配的基本方法兩個用戶A和B獲得共享密鑰的方法有以下幾種：①密鑰由A選取并通過物理手段發(fā)送給B。②密鑰由第三方KDC選取并通過物理手段發(fā)送給A和B。③如果A、B事先已有一密鑰，則其中一方選取新密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方。④如果A和B與第三方KDC分別有一保密信道，則C為A、B選取密鑰后，分別在兩個保密信道上發(fā)送給A、B。第4種方法比較常用，其中的第三方通常是一個負責為用戶分配密鑰的密鑰分配中心。這時每一用戶必須和密鑰分配中心有一個共享密鑰，稱為主密鑰。通過主密鑰分配給一對用戶的密鑰稱為會話密鑰，用于這一對用戶之間的保密通信。通信完成后，會話密鑰即被銷毀。如上所述，如果用戶數(shù)為n，則會話密鑰數(shù)為n(n-1)/2。但主密鑰數(shù)卻只需n個，所以主密鑰可通過物理手段發(fā)送。8.3 對稱密碼體制中的密鑰管理

(2)密鑰的分層管理網絡中如果用戶數(shù)目非常多而且分布的地域非常廣，一個KDC就無法承擔為用戶分配密鑰的重任。問題的解決方法是使用多個KDC的分層結構。例如，在每個小范圍（如一個LAN或一個建筑物）內，都建立一個本地KDC。同一范圍的用戶在進行保密通信時，由本地KDC為他們分配密鑰。如果兩個不同范圍的用戶想獲得共享密鑰，則可通過各自的本地KDC，而兩個本地KDC的溝通又需經過一個全局KDC。這樣就建立了兩層KDC。類似地，根據網絡中用戶的數(shù)目及分布的地域，可建立3層或多層KDC。分層結構可減少主密鑰的分布，因為大多數(shù)主密鑰是在本地KDC和本地用戶之間共享。再者，分層結構還可將虛假KDC的危害限制到一個局部區(qū)域。8.3 對稱密碼體制中的密鑰管理

(3)會話密鑰的有效期會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因為敵手即使獲得一個會話密鑰，也只能獲得很少的密文。但另一方面，會話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時還造成網絡負擔。所以在決定會話密鑰的有效期時，應權衡矛盾的兩個方面。對面向連接的協(xié)議，在連接未建立前或斷開時，會話密鑰的有效期可以很長。而每次建立連接時，都應使用新的會話密鑰。如果邏輯連接的時間很長，則應定期更換會話密鑰。無連接協(xié)議(如面向業(yè)務的協(xié)議)，無法明確地決定更換密鑰的頻率。為安全起見，用戶每進行一次交換，都用新的會話密鑰。然而這又失去了無連接協(xié)議主要的優(yōu)勢，即對每個業(yè)務都有最少的費用和最短的延遲。比較好的方案是在某一固定周期內或對一定數(shù)目的業(yè)務使用同一會話密鑰。8.3 對稱密碼體制中的密鑰管理

(4)無中心的密鑰協(xié)商①A向B發(fā)出建立會話密鑰的請求和一個一次性隨機數(shù)N1。②B用與A共享的主密鑰MKm對應答的消息加密，并發(fā)送給A。應答的消息中有B選取的會話密鑰、B的身份、f(N1)和另一個一次性隨機數(shù)N2。③A使用新建立的會話密鑰KS對f(N2)加密后返回給B。8.3 對稱密碼體制中的密鑰管理

(5)密鑰的控制使用密鑰可根據其不同用途分為會話密鑰和主密鑰兩種類型，會話密鑰又稱為數(shù)據加密密鑰，主密鑰又稱為密鑰加密密鑰。由于密鑰的用途不同，因此對密鑰的使用方式也希望加以某種控制。如果主密鑰泄露了，則相應的會話密鑰也將泄露，因此主密鑰的安全性應高于會話密鑰的安全性。一般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理上安全的。8.4 公鑰密碼體制中的密鑰管理

(一)公鑰的分配方法1.公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體廣播。例如PGP（prettygoodprivacy）中采用了RSA算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公開（公共）區(qū)域，如因特網郵件列表。這種方法雖然簡單，但有一個非常大的缺點，即任何人都可偽造這種公開發(fā)布。如果某個用戶假裝是用戶A并以A的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在A發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所有意欲發(fā)向A的加密消息，而且假冒者還能用偽造的密鑰獲得認證。8.4 公鑰密碼體制中的密鑰管理

(一)公鑰的分配方法（續(xù)）2.公用目錄表公用目錄表指一個公用的公鑰動態(tài)目錄表，公用目錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔，稱這個實體或組織為公用目錄的管理員。與第1種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：①管理員為每個用戶都在目錄表中建立一個目錄，目錄中有兩個數(shù)據項:一是用戶名，二是用戶的公開鑰。②每一用戶都親自或以某種安全的認證通信在管理者那里為自己的公開鑰注冊。(一)公鑰的分配方法

2.公用目錄表（續(xù)）③用戶如果由于自己的公開鑰用過的次數(shù)太多或由于與公開鑰相關的秘密鑰已被泄露，則可隨時用新密鑰替換現(xiàn)有的密鑰。④管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。⑤用戶可通過電子手段訪問目錄表，這時從管理員到用戶必須有安全的認證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受攻擊。如果敵手成功地獲取管理員的秘密鑰，就可偽造一個公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還易受到敵手的竄擾。8.4 公鑰密碼體制中的密鑰管理

(一)公鑰的分配方法（續(xù)）3.公鑰管理機構如果在公鑰目錄表中對公鑰的分配施加更嚴密的控制，安全性將會更強。與公用目錄表類似，這里假定有一個公鑰管理機構來為各用戶建立、維護動態(tài)的公鑰目錄，但同時對系統(tǒng)提出以下要求，即：每個用戶都可靠地知道管理機構的公開鑰，而只有管理機構自己知道相應的秘密鑰。公開鑰的分配步驟如下(如圖)：①用戶A向公鑰管理機構發(fā)送一個帶時戳的消息，消息中有獲取用戶B的當前公鑰的請求。②管理機構對A的請求作出應答，應答由一個消息表示，該消息由管理機構用自己的秘密鑰SKAU加密，因此A能用管理機構的公開鑰解密，并使A相信這個消息的確是來源于管理機構。(一)公鑰的分配方法

3.公鑰管理機構（續(xù)）應答的消息中有以下幾項：

B的公鑰PKB，A可用之對將發(fā)往B的消息加密；

A的請求，用于A驗證收到的應答的確是對相應請求的應答，且還能驗證自己最初發(fā)出的請求在被管理機構收到以前是否被篡改；最初的時戳，以使A相信管理機構發(fā)來的消息不是一個舊消息，因此消息中的公開鑰的確是B當前的公鑰。③A用B的公開鑰對一個消息加密后發(fā)往B，這個消息有兩個數(shù)據項:一是A的身份IDA，二是一個一次性隨機數(shù)N1，用于惟一地標識這次業(yè)務。(一)公鑰的分配方法

3.公鑰管理機構（續(xù)）④B以相同方式從管理機構獲取A的公開鑰（與步驟①、②類似）。這時，A和B都已安全地得到了對方的公鑰，所以可進行保密通信。然而，他們也許還希望有以下兩步，以認證對方。(一)公鑰的分配方法

3.公鑰管理機構（續(xù)）⑤B用PKA對一個消息加密后發(fā)往A，該消息的數(shù)據項有A的一次性隨機數(shù)N1和B產生的一個一次性隨機數(shù)N2。因為只有B能解密③的消息，所以A收到的消息中的N1可使其相信通信的另一方的確是B。⑥A用B的公開鑰對N2加密后返回給B，可使B相信通信的另一方的確是A。以上過程共發(fā)送了7個消息，其中前4個消息用于獲取對方的公開鑰。用戶得到對方的公開鑰后保存起來可供以后使用，這樣就不必再發(fā)送前4個消息了，然而還必須定期地通過密鑰管理中心獲取通信對方的公開鑰，以免對方的公開鑰更新后無法保證當前的通信。8.4 公鑰密碼體制中的密鑰管理

(一)公鑰的分配方法（續(xù)）4.公鑰證書上述公鑰管理機構分配公開鑰時也有缺點，由于每一用戶要想和他人聯(lián)系都需求助于管理機構，所以管理機構有可能成為系統(tǒng)的瓶頸，而且由管理機構維護的公鑰目錄表也易被敵手竄擾。(一)公鑰的分配方法

4.公鑰證書（續(xù)）分配公鑰的另一方法是公鑰證書，用戶通過公鑰證書來互相交換自己的公鑰而無須與公鑰管理機構聯(lián)系。公鑰證書由證書管理機構CA(certificateauthority)為用戶建立，其中的數(shù)據項有與該用戶的秘密鑰相匹配的公開鑰及用戶的身份和時戳等，所有的數(shù)據項經CA用自己的秘密鑰簽字后就形成證書，即證書的形式為CA=ESKCA[T,IDA,PKA]，其中IDA是用戶A的身份，PKA是A的公鑰，T是當前時戳，SKCA是CA的秘密鑰，CA即是為用戶A產生的證書。產生過程如圖5.5所示。用戶可將自己的公開鑰通過公鑰證書發(fā)給另一用戶，接收方可用CA的公鑰PKCA對證書加以驗證，即DPKCA[CA]=DPKCA[ESKCA[T,IDA,PKA]]=(T,IDA,PKA)因為只有用CA的公鑰才能解讀證書，接收方從而驗證了證書的確是由CA發(fā)放的，且也獲得了發(fā)送方的身份IDA和公開鑰PKA。時戳T為接收方保證了收到的證書的新鮮性，用以防止發(fā)送方或敵方重放一舊證書。因此時戳可被當作截止日期，證書如果過舊，則被吊銷。8.4 公鑰密碼體制中的密鑰管理

(二)用公鑰加密來分配對稱密鑰1.簡單分配如果A希望與B通信，可通過以下幾步建立會話密鑰：①A產生自己的一對密鑰{PKA,SKA}，并向B發(fā)送PKA||IDA，其中IDA表示A的身份。②B產生會話密鑰KS，并用A的公開鑰PKA對KS加密后發(fā)往A。③A由DSKA[EPKA[KS]]恢復會話密鑰。因為只有A能解讀KS，所以僅A、B知道這一共享密鑰。④A銷毀{PKA,SKA}，B銷毀PKA。8.4 公鑰密碼體制中的密鑰管理

(二)用公鑰加密來分配對稱密鑰(續(xù))2.具有保密性和真實性的密鑰分配假定A、B雙方已完成公鑰交換，可按以下步驟建立共享會話密鑰：①A用B的公開鑰加密A的身份IDA和一個一次性隨機數(shù)N1后發(fā)往B，其中N1用于惟一地標識這一業(yè)務。(二)用公鑰加密來分配對稱密鑰

2.具有保密性和真實性的密鑰分配(續(xù))②B用A的公開鑰PKA加密A的一次性隨機數(shù)N1和B新產生的一次性隨機數(shù)N2后發(fā)往A。因為只有B能解讀①中的加密，所以B發(fā)來的消息中N1的存在可使A相信對方的確是B。③A用B的公鑰PKB對N2加密后返回給B，以使B相信對方的確是A。④A選一會話密鑰KS，然后將M=EPKB[ESKA[KS]]發(fā)給B，其中用B的公開鑰加密是為保證只有B能解讀加密結果，用A的秘密鑰加密是保證該加密結果只有A能發(fā)送。⑤B以DPKA[DSKB[M]]恢復會話密鑰。8.4 公鑰密碼體制中的密鑰管理

(三)Diffie-Hellman密鑰交換Diffie-Hellman密鑰交換協(xié)議易受中間人攻擊。8.5 密鑰管理系統(tǒng)8.5 密鑰管理系統(tǒng)（續(xù)）密鑰管理覆蓋了密鑰的整個生命周期，包括：(1)用戶注冊。在此階段，一個實體成為一個安全域中的授權成員。這包括通過一個安全的、一次性技術實現(xiàn)初始密鑰材料（如共享的口令或PIN）的獲取、創(chuàng)建或交換。(2)系統(tǒng)和用戶初始化。系統(tǒng)初始化包括建立、配置一個用于安全操作的系統(tǒng)。用戶初始化由一個實體初始化他的加密應用（如軟件，硬件的安裝和初始化），它包括用戶或用戶登記期間所獲得的初始密鑰材料的安裝。(3)密鑰裝入。密鑰材料(指用于生產密鑰的一些系統(tǒng)要素)安裝的安全性是整個系統(tǒng)的關鍵。在本階段，密鑰材料在一個實體的軟件、硬件中安裝以便使用。安裝時可使用的技術包括：手工輸入口令或PIN，磁盤交換，ROM設備，芯片卡或別的硬件設備。初始密鑰材料可用于建立安全的在線會話實現(xiàn)工作密鑰的建立。當上述項目第一次建立時，新的密鑰材料要加入到現(xiàn)有的密鑰材料中或現(xiàn)有密鑰材料需要被取代時，需要進行密鑰材料的安裝。8.5 密鑰管理系統(tǒng)（續(xù)）(4)密鑰生成。密鑰的生成應包括一定的措施以確保用于目標應用或算法的必要屬性，也包括可預見概率的隨機性。一個實體可以生成自己的密鑰，也可以從可信的系統(tǒng)處獲取。(5)密鑰注冊。在密鑰登記期間，密鑰材料被登記下來，并與一定實體的信息和屬性綁定在一起。信息典型的包括與密鑰材料相關的實體的身份，但也可以包括認證信息或指定信任級別。如認證生成公鑰證書，并通過一個公開目錄或其他方式使之對別人可用。(6)密鑰使用。密鑰管理生命周期的目的就是要方便密鑰材料的使用。通常情況下，密鑰在有效期之內都可以使用。這里還可以細分，如一個公鑰對中，某種情況下公鑰可能不再能用于加密，但對應的私鑰可以保留用于解密。(7)密鑰備份。在獨立的安全存儲媒體中的密鑰材料的副本為密鑰的恢復提供了數(shù)據源。備份是指在操作使用期間的短期存儲。8.5 密鑰管理系統(tǒng)（續(xù)）(8)密鑰存檔。當密鑰材料不再正常使用時，需要對其進行存檔，以便在某種情況下特別需要時能夠對其進行檢索。存檔指的是對過了有效期的密鑰進行長期的離線保存。(9)密鑰更新。在密鑰有效期快要結束時，如果有繼續(xù)對該密鑰加密的內容進行保護的需要，該密鑰需要由一個新的密鑰來取代，這就是密鑰的更新。密鑰更新可以通過再生密鑰取代原有密鑰的方式來實現(xiàn)。(10)密鑰恢復。從備份或檔案中檢索密鑰材料的過程稱為密鑰恢復。如果密鑰材料因為某種原因丟失，同時又沒有安全威脅的風險，則可以從原有的安全備份中恢復密鑰。(11)密鑰注銷與銷毀。當不再需要保留密鑰材料或不再需要維護它與某個實體的聯(lián)系時，該密鑰應該被取消登記，即所有的密鑰材料及其相關的記錄應從所有現(xiàn)有密鑰的正式記錄中清除，所有的密鑰備份應被銷毀。任何存儲過密鑰材料的媒體應該被安全刪除以消除密鑰材料的所有信息，使得它不可以被物理的或電子的方式恢復。8.5 密鑰管理系統(tǒng)（續(xù)）(12)密鑰撤銷。在密鑰的正常的生命周期結束之前，將密鑰撤銷有時是必要的，如密鑰的安全受到威脅，實體發(fā)生組織關系的變動等。這通過通知所有可能使用該密鑰材料的實體來實現(xiàn)，通知應包括密鑰材料的完整ID、撤銷的日期時間、撤銷的原因等。對于基于證書分發(fā)的公鑰，密鑰的撤銷則包括撤銷相應的證書?；谒峁┑某蜂N信息，別的實體能夠決定該如何處理受到撤銷密鑰保護的信息。密鑰管理階段可分為不同的狀態(tài)，這與可用性密切相關。(1)使用前(預運行)狀態(tài)：密鑰還不能用于正常的密碼操作。(2)使用(運行)狀態(tài)：密鑰是可用的，并處于正常使用中。(3)使用后(后運行)狀態(tài)：此狀態(tài)的密鑰不再正常使用，但為了某種目的對其進行離線訪問是可行的。(4)過期(報廢)狀態(tài)：此狀態(tài)的密鑰不再可用，所有的密鑰記錄已被刪除。8.6 認證與授權

8.6.1 對稱認證2G/2.5G移動通信系統(tǒng)：Res=A3(Ki,Rand)EAP-MD5認證：Res=MD5(ID||Ki||Rand)

8.6.2 非對稱認證

(一)數(shù)字簽名8.6.2 非對稱認證

(二)ITU-TX.509協(xié)議其中，Ta和Tb為時戳，Na和Nb是一次性的隨機數(shù)，Xa、Ya、Xb和Yb為用戶數(shù)據，Ka和Kb為加密用的公鑰，Ka-1和Kb-1為簽名用的私鑰。協(xié)議的目的是保證Xa、Xb的完整性和Ya、Yb的保