105
常用密钥分配方法有哪些?
答: 密钥的网内分配方式有两种。
一种分配方式是在用户之间直接实现分配。
例如 A
用密钥 K
对报文加密后发给
B
。只有在
B
也具有密钥
K
的情况下才能对此密文进行解密。但 A
怎样才能使
B
得到密钥
K
呢?直接在网上发送密钥
K
是很不安全的。因此必须用另一个密钥 K"
对密钥
K
加密后才能在网上发送。但密钥
K"
又怎样传送给网络上的
B 呢?这就是传统密钥分配中最困难的问题。
另一种分配方法是设立一个密钥分配中心
KDC
,
通过
KDC
来分配密钥。
后一种方法已成为使用得较多的密钥分配方法。
106
链路加密与端到端加密各有何特点?各用在什么场合?
答:在采用链路加密的网络中,每条通信链路上的加密是独立实现的。通常
对每条链路
使用不同的加密密钥
。当某条链路受到破坏就不会导致其他链路上传送的信息被析出。加密算法常
采用序列密码
。
链路加密的最大缺点是在中间结点都暴露了信息的内容
。在网络互连的情况下,仅采用链路加密是不能实现通信安全的。
端到端加密是在源结点和目的结点中对传送的 PDU
进行加密和解密,其报文的安全性不会因中间结点的不可靠而受到影响。
端到端加密的层次选择有一定的灵活性。端到端加密更容易适合不同用户的要求。端到端加密不仅适用于互连网环境,而且同样也适用于广播网。
1012
试述数字签名的原理。
答:数字签名是指通信双方在网上交换信息时,用公钥密码防止伪造和欺骗的一种身份签证。
数字签名必须保证以下三点
:
(1)
接收者能够核实发送者对报文的签名;
(2)
发送者事后不能抵赖对报文的签名;
(3)
接收者不能伪造对报文的签名。
有多种实现数字签名的方法,
采用公开密钥算法比常规密钥算法更容易实现。采用公开密钥算法的数字签名算法如下:
发送者 A
用其秘密解密密钥
SKA
对报文
X
进行运算,将结果
D_
SKA
(K)
传送给接收者 B
。
B
用已知的
A
的公开加密密钥得出
E_
PKA
(D_
SKA
(X))=X
。因为除
A
外没有别人能具有 A
的解密密钥
SKA
,所以除
A
外没有别人能产生密文
D_
SKA
(X)
。这样,报文
X
就
被签名了
如图所示。
如果 A
要抵赖曾发送报文给
B
,
B
可以将
X
及
D_
SKA
(X)
出示给第三者。第三者很容易用 PKA
去证实
A
确实发送消息
X
给
B
。 反之,若
B
将
X
伪造成
X'
,则
B
不能在第三者前出示 D_
SKA
(X')
。这样就证明了
B
伪造了报文。可见实现数字签名也同时实现了
对报文来源的鉴别
。