1. 对称密钥的分配

在对称密码体制中，需要通信双方共享一个密钥。密钥产生和分发三种形式：①一方产生，安全传给另一方；②两方协商产生；③通过可信赖第三方参与产生。

第一种办法在现实生活中是普遍的。很多机构的内部网络在投入使用时，其初始对称密钥是员工身份证号码。

第二种方法是可以实现的，即便参与双方处在不安全的网络环境下。Diffie-Hellman密钥协商协议提供了第一个实用解决办法，该协议使互不认识的双方通过公共信道建立一个共享密钥。

Diffie-Hellman密钥协商协议

假设p是一个大素数，g是GF(p)中的本原元，p和g是公开的。Alice和Bob可以通过执行下面的协议建立一个共享密钥。

①Alice随机选择a，满足1≤a≤p-1，计算c =^并把c传送给Bob。

②Bob随机选择b，满足1≤b≤p-1，计算d =^并把d传送给Alice。

③Alice计算共享密钥k =^=^。

④Bob计算共享密钥k =^=^。

Diffie-Hellman是一种指数密钥交换，安全性基于循环群〖_^ 〗^∗中离散对数难解问题。

例3-2 Diffie-Hellman密钥协商示例。

设Alice和Bob确定了两个素数p = 47，g = 3。

①Alice随机选择a = 8，计算c =^ =3^8 mod 47 = 28，并把c = 28传送给Bob。

②Bob随机选择b = 10，计算d =^=3^10 mod 47 = 17，并把d = 17传送给Alice。

③Alice计算共享密钥k = ^=〖17〗^8 mod 47 = 4。

④Bob计算共享密钥k =^=〖28〗^10 mod 47 = 4。

例3-3假如可信赖第三方为KDC，提供密钥的生成、鉴别、分发等服务。用户A、B分别与密钥分配中心KDC有一个共享密钥"K" _"A" 和"K" _"B" ，A希望与B建立一个共享密钥，可通过以下几步来完成：

①A向KDC发出请求。表示请求的消息由两个数据项组成，第一项是A和B的身份，第二项是这次业务的唯一识别符N1，N1为一个随机数。每次请求所用的N1都应不同，以防止假冒。

②KDC为A的请求发出应答。应答是由KA加密的消息，消息中包括A希望得到的与Ｂ的共享密钥"K" _"S" 和A在(1)中发出的请求。因此只有A才能成功地解密这一消息，并且A可相信这一消息的确是由KDC 发出的，而且A还能根据一次性随机数相信自己收到的应答不是重放的过去的应答。

③A存储密钥"K" _"S" ，并向B转发_("K" _"B" )["K" _"S" ‖IDA]。因为转发的是由"K" _"B" 加密后的密文，所以转发过程不会被窃听。B收到后，可得会话密钥"K" _"S" ，并从IDA可知另一方是A，而且还从知道"K" _"S" 的确来自KDC。

④B用共享密钥"K" _"S" 加密另一个一次性随机数N2，并将加密结果发送给A。

⑤A以f(N2)作为对B的应答，其中f是对N2进行某种变换的函数，并将应答用密钥"K" _"S" 加密后发送给B。

2. 数字证书与PKI

（1）数字证书

在使用公钥体制的环境中，如何保证验证者得到的公钥是真实的？一个切实可行的办法是使用数字证书。《现代汉语词典》解释，证书是由机关、学校、团体等颁发的证明资格或权力等文件。我们在生活中证明一个人真实身份的办法是查验由公安机关为其颁发的身份证。数字证书也称公钥证书，是由一个可信机构颁发的、证明公钥持有者身份的一个电子凭据。可信机构在详细核实用户身份后，利用自己的私钥对核实的内容m进行签名生成S，(m,S)即为持有者的数字证书。

证书中m的内容一般包含持有者、持有者公钥、签发者、签发者使用的签名算法标识、证书序列号、有效期限等，目前广泛采用的是X.509标准。

X.509公钥证书的含义非常简单，即证明持有者公钥的真实性。在许多应用领域，比如电子政务、电子商务，需要的信息远不止身份信息，尤其是当交易双方以前彼此没有过任何关系的时候。

在这种情况下，关于一个人的权限或者属性信息远比其身份信息更为重要。为了使附加信息能够保存在证书中，X.509 v4引入了公钥证书扩展项，这种证书扩展项可以保存任何类型的附加数据，以满足应用的需求。

（2） 公钥基础设施PKI

若上述数字证书能在网络环境下广泛使用，必须解决如下问题：

①证书颁发机构必须是可信的，其公钥也必须被大家所熟知或能够被查证。

②必须提供统一的接口，使用户能方便地使用基于数字证书的加密、签名等安全服务。

③一个证书颁发机构所支持的用户数量是有限的，多个证书颁发机构需要解决相互之间的承认与信任等问题。

④用户数字证书中公钥所对应私钥有可能被泄露或过期，因而必须要有一套数字证书作废管理办法，避免已经泄露私钥的数字证书再被使用。

公钥基础设施PKI，即“Public Key Infrastructure”，是基于公钥理论和技术解决上述问题的一整套方案。PKI的构建和实施主要围绕认证机构CA、证书和证书库、密钥备份及恢复系统、证书作废处理系统、证书历史档案系统和多PKI间的互操作性来进行。

认证机构CA是PKI的核心，负责发放、更新、撤销和验证证书。大型公钥基础设施往往包含多个CA，当一个CA相信其他的公钥证书时，也就信任该CA签发的所有证书。多数PKI中的CA是按照层次结构组织在一起的，如图3-21所示，在一个PKI中，只有一个根CA，通过这种方式用户总可以通过根CA找到一条连接任意一个CA的信任路径。

不同的PKI体系之间还存在互操作性问题。交叉认证的目的就是在多个PKI域之间实现互操作。交叉认证实现的方法有多种：一种方法是桥接CA，即用一个第三方CA作为桥，将多个CA连接起来，成为一个可信任的统一体；另一种方法是多个CA的根CA(RCA)互相签发根证书，这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时，就能达到互相信任的目的。

（3） 国家网络信任体系建设

诚信是市场经济的基石，是社会文明的象征。诚信体系建设包括组织管理、法规标准、技术保障、基础设施等方面。世界各国都十分重视诚信体系的建设。

在网络空间领域，以数字证书和PKI为基础，以解决网络应用中身份认证、授权管理和责任认定等为目的的网络信任体系建设得到了世界各国的高度重视。我国正按照国办发[2006]11号文件要求，在全国稳步推进这项工作，并且已经在报税、报关、网络银行、网上证券、网上支付等电子商务领域取得了良好的应用效果。

3. 秘密分享

在导弹控制发射、重要场所通行检验等情况下，通常必须由两人或多人同时参与才能生效，这时都需要将密钥分给多人掌管，并且必须有一定的掌管部分密钥的人同时到场才能恢复这一密钥。

秘密分享（Secret Sharing）是信息安全和数据保密中的一项重要技术，它在重要信息和秘密数据的安全保存、传输及合法利用中起着非常关键的作用。秘密分享的概念最早由Shamir和Blakey独立提出。

基本的秘密分享方案由秘密份额的分配算法和秘密的恢复算法构成。

在执行秘密份额的分配算法时，分发者（dealer）将被秘密分割成若干份额（share或piece，或shadow）在一组参与者（shareholder或participant）中进行分配，使得每一个参与者都得到关于该秘密的一个秘密份额；

秘密的恢复算法保证只有参与者的一些特定子集（称为合格子集或接入结构，qualified set或access structure）才能正确恢复秘密，而其他子集不能恢复秘密，甚至得不到关于秘密的任何有用信息，此时称该秘密分享体制是完美的。

@木子雨辰，将一直带给大家信息安全知识，由浅至深、采用体系化结构逐步分享，大家有什么建议和问题，可以及留言，多谢大家点击关注、转发，谢谢大家。