ANSWER-Chapter9

《应用密码学》习题和思考题答案

第9章密钥管理

9－1 为什么要进行密钥管理？

答：密码学中密钥作为密码变换的参数，通过加密变换操作，可以将明文变换为密文，或者通过解密变换操作，将密文恢复为明文。密钥管理就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序。密钥管理负责密钥从产生到最终销毁的整个过程，包括密钥的生成、存储、分配、使用、备份/恢复、更新、撤销和销毁等。密钥管理作为提供机密性、实体认证、数据源认证、数据完整性和数字签名等安全密码技术的基础，在整个密码学中占有重要的地位。

9－2 密钥的种类有哪些？

答：按照所加密内容的不同，密钥可以分为用于一般数据加密的密钥（即会话密钥）和用于密钥加密的密钥，密钥加密密钥又可分为一般密钥加密密钥和主密钥。

9－3 为什么在密钥管理中要引入层次式结构？

答：层次化的密钥结构意味着以少量上层密钥来保护大量下层密钥或明文数据，这样，可保证除了主密钥可以以明文的形式基于严格的管理受到严密保护外（不排除受到某种变换的保护），其他密钥则以加密后的密文形式存储，改善了密钥的安全性。层次化的密钥结构具有安全性强、可实现密钥管理的自动化的优点。

9－4 密钥管理的生命周期包括哪些阶段？

答：主要可分为：用户登记、系统和用户初始化、密钥材料的安装、密钥的生成、密钥的登记、密钥的使用、密钥材料的备份、密钥的存档、密钥的更新、密钥的恢复、密钥的恢复、密钥的撤消。

9－5 密钥安全存储的方法有哪些？

答：有两种方法：一种是基于口令的软保护，一种是基于硬件的物理保护。

9－6 密钥的分发方法有哪些？如何实现？

答：从分发途径的不同来区分，密钥的分发方法有网外分发和网内分发两种方式。网外分发方式是通过非通信网络的可靠物理渠道携带密钥分发给互相通信的各用户。网内分发方式是通过通信与计算机网络的密钥在线、自动分发方式。有两种：一种是在用户之间直接实现分配，另一种是设立一个密钥分发中心，由它负责密钥分发。后一种方法已成为使用得较多的密钥分发方法。

按照密钥分发内容的不同，密钥的分发方法主要分为秘密密钥的分发和公开密钥的分发两大类。

9－7 什么是数字证书？X.509的鉴别机制是什么？为什么要引入数字证书链？其工作原理是什么？

答：数字证书就是提供一种确保证书所携带的公钥与密钥持有人具有某种关联的可靠性以及传递这种关联和公钥本身的机制。

X.509的鉴别机制：要求在一次处理中，每一方A 与一个称作认证中心CA 的离线可信方相联系，A 要登记他的公钥并获得CA 的证书证实公钥。CA 通过将A 的公钥与它的身份绑定来认证A 的公钥，结果生成一个证书。证书由证书管理员产生，并发给拥有相应私钥的通信方(该证书的拥有者)。通信一方通过传递证书将密钥信息传递给另一方，其他通信各方可以验证该证书确实是由证书管理者产生的来获得公钥认证。由CA 产生的用户证书有两个方面的特点：一是任何有CA 公开密钥的用户都可以恢复并证实用户公开密钥；二是除了CA 没有任何一方能不被察觉地更改该证书。正是基于这两点，证书是不可伪造的，因此它们可以放在一个目录内，而无需对目录提供特殊的保护。

如果用户的数目巨大，让所有用户向同一个CA 申请证书涉及到大数据量的管理、通信量、响应速度等问题，同时CA 的公开密钥要求要能安全地提供给每个客户也有困难。于是提出了一种分布式的CA 认证方式，引入多个CA ，多个CA 还可以形成层次关系，位于上层的CA 可以对下层CA 颁发数字证书，从而形成证书链。

在一个证书链中，跟随每一份证书的是该证书签发者的证书；每份证书包含证书签发者的区别名（DN ），该区别名就是证书链中下一份证书的主体的名字；每份证书都是使用签发者的私钥签发的。证书中的签名可以使用签发者证书（即证书链中的下一份证书）中的公钥加以验证。

9－8 简述X.509的三种鉴别过程。

答：1)单向鉴别

单向鉴别涉及到信息从一个用户A 传送到另一个用户B ，它只验证发起实体的身份，而不验证响应实体。

报文至少包括一个时间戳A t (防止报文的延迟传送)、一个不重复的随机数A r (用于检测

重放攻击，并防止伪造签名)、B 的身份标识。它们都用A 的私钥签名。报文也可能传递一个会话密钥AB K ，该密钥用B 的公开密钥加密。

A →

B ： []{},,,sgn ,B A A KU

AB t r B Data E K

2)双向鉴别 双向鉴别允许通信双方互相验证对方的身份。处理方式与单向鉴别相似，只是响应方要将发起方传来的随机数A r 返回。

A →

B ：[]{},,,sgn ,B A A KU AB t r B Data E K

B →A ：[]{},,,,sgn ,A B B A KU

AB t r A r Data E K

3)三向鉴别 在三向鉴别中，除了进行双向鉴别的两个传递外，还有一个从A 到B 的报文，它包含的是一个随机数B r 的备份。这样，两个随机数都由另一方返回，每一方都可以检查返回的

随机数来检测重放攻击，不再需要时间戳。因此这种方法适合没有同步时钟的应用。

A →

B ：[]{},,,sgn ,B A A KU AB t r B Data E K

B →A ：[]{},,,,sgn ,A B B A KU

AB t r A r Data E K A →B:{}A r