计算机网络安全与管理8

1、计算机网络安全第8讲 报文鉴别与密钥管理软件学院 田暄本讲内容o消息鉴别o密钥管理oPKI消息鉴别的概念o消息鉴别（Message Authentication）nMessage：消息、报文。nAuthentication： 鉴别、认证。n鉴别：消息的接收者对消息进行的验证。o真实性：消息确实来自于其真正的发送者，而非假冒；o完整性：消息的内容没有被篡改。安全需求o泄漏o流量分析o冒充o正文篡改o次序篡改o时间变更o源冒充o目的冒充消息鉴别o消息鉴别的目的是为了：n保障消息的完整性n验证源身份的有效性n源实体不可抵赖（有争议）o将会考虑到安全性的需求o用到三种可选功能函数n消息加密n消息认证码

2、n哈希函数Message Authentication Code (MAC)o通过某种算法构造，大小固定的小块n依赖于消息与某些密钥n像加密但是不需要可逆性o追加在消息作为签名o接收方依据消息进行某些计算并检验其值与MAC匹配从而确认消息没有被变更并来源于发送方Message Authentication CodesoMAC提供了鉴别作用o能够使用加密以保障安全性n通常每次使用单独的密钥n可以在加密前或加密后进行加密，但通常在之前o为什么需要MACn有的时候仅仅需要鉴别n有时需要鉴别的作用长于对加密的需要（比如档案）oMAC不是数字签名消息加密o消息加密本身也提供了鉴别作用o若是用的是对称加密

3、n接收方知道发送方一定做了加密动作n因为只有发送方与接收方知道密钥n知道消息没有被变更过n若消息结构恰当，则可以通过适当的冗余与检查和探测变更。消息加密o若使用公钥加密：n加密没有保证发送方身份因为任意人都可能知道公钥n然而：o若发送方使用的是私钥签名消息然后使用接收方的公钥加密则同时提供了安全性与身份鉴别n需要能够认出计算的消息，对消息需要两方计算报文鉴别系统的功能o从层次角度上来看，报文鉴别系统的功能一般可以划分成两个基本的层次。 n鉴别算法：在较低的层次上，系统需要提供某种报文鉴别函数 f 来产生一个用于实现报文鉴别的鉴别符或鉴别码；n鉴别协议：消息的接收者通过鉴别协议完成对报文合法性的

4、鉴别，底层的鉴别函数通常作为一个原语，为高层鉴别协议的各项功能提供服务；n鉴别函数 f 是决定鉴别系统特性的主要因素。基于报文加密方式的鉴别（1）o对称密钥加密方式 ：加密的同时提供保密和鉴别。对称密钥加密方式o问题：B如何判断收到的密文X的合法性？ o如果消息M是具有某种语法特征的文本，或者M本身具有一定的结构 ：B可通过分析Y的语法或结构特征。 o如果消息M是完全随机的二进制比特序列： B无法判断是否正确恢复密文。o解决办法：强制明文使其具有某种结构。n这种结构易于识别、不能被复制，同明文相关，并且不依赖于加密。基于报文加密方式的鉴别（2）o附加报文鉴别结构 附加报文鉴别结构o源点A n对

5、消息明文M首先利用校验函数F 计算出消息的校验码 C=F(M)；n校验码 C=F(M)被附加到原始消息明文上，生成新的明文 MC；n利用密钥K对明文 MC进行加密，得到密文 X=EK MC；n将密文X发送给接收端 B 附加报文鉴别结构o 终点B n接收密文 X；n用密钥K解密得到明文Y=DK(X)，其中Y被视为附加校验码的消息，即 Y= MC；n利用校验函数F 计算明文Y中消息部分的校验码F(M)。若校验码相匹配，即F(M)=C，则可确认报文是可信的，M就是原始消息M，并且可以确认该报文就是来自A的，因为任何随机的比特序列是不可能具有这种期望的数学关系的。 基于报文加密方式的鉴别（3）o公开密

6、钥加密方式 ：提供报文鉴别和签名功能 ，不提供加密功能。报文鉴别码MACo报文鉴别码或消息鉴别码（message authentication code,MAC）：核心是一个类似于加密的算法CK()。 oCK() 在密钥的作用下，以报文内容作为输入，其输出值是一个较短的定长数据分组，也就是MAC，即：MAC CK（M）oMAC被附加在报文中传输，用于消息的合法性鉴别。 采用报文鉴别码的鉴别方式 报文鉴别码的功能o如果B端通过比较发现MAC匹配，则可确信报文M没有被篡改过 （完整性完整性）n若攻击者更改报文内容而末更改MAC，则接收者计算出的MAC将不同于接收到的MAC； n由于攻击者不知道密钥

7、K，故他不可能计算出一个与更改后报文相对应MAC值。 o接收者B也能够确信报文M是来自发送者A的 （真实性真实性）n只有A了解密钥K，也只有A能够计算出报文M所对应的正确的MAC值。 MAC函数 Vs 加密函数o两者类似，都需要密钥。oMAC函数可以是一个单向函数，而加密函数必须是可逆的。nMAC鉴别函数的这个数学性质使得它比加密函数更不易被破解。 oMAC算法不能提供信息的保密性 ，保密性可以通过对消息加密来提供。n两种方式：1.先计算 MAC 再加密；2.先加密再计算 MAC。n需要两个独立的密钥。o基于MAC的消息鉴别方式其鉴别的过程是独立于加密和解密过程。 n与基于加密的鉴别方式是不同

8、的； n鉴别函数与保密函数的分离能提供结构上的灵活性。 oMAC方式更适合不需要加密保护的数据的鉴别。 n在某些应用中，鉴别报文的真实性比报文的保密性更重要。散列函数 ohash function：哈希函数、摘要函数。o输入：任意长度的消息报文 M。o输出：一个固定长度的散列码值 H(M)。o是报文中所有比特的函数值。o单向函数。哈希函数与数字签名基本的散列函数报文鉴别 仅对散列码进行加密的鉴别方案 采用密值的散列码鉴别方案 报文鉴别码的安全性分析oMAC 函数的特性n为多对一映射。o M 相同，存在多个 Key 产生相同的 MAC；o Key 相同，多个 M 产生相同的 MAC。nn-bit

9、 MAC ： 有 2n 个可能的 MAC。nk-bit 密钥： 有 2k 个可能的密钥 (n 2n。报文鉴别码的安全性分析o对 MAC 函数 CK() 进行强行攻击的过程n已知消息 M1 及其对性的 MAC1； n对所有可能的 MAC 密钥 Ki ，计算消息 M1 的 MAC 值，其中至少存在一个 Ki ，使得 CKi (M1) = MAC1n由于密钥的空间为 2k 个，因此上述的计算将产生2k个MAC 结果，而 MAC 的空间为 2n 0.5，可近似解得：(2ln2n)1/2 = 1.18n1/2 knknnknP)!(!1),(knknnknP)!(!1),(nkkeknP2)1(1),(

10、散列函数的安全性散列函数的安全性o集合相交问题 ：计算两个集合X和Y交集非空的概率R(n, k)。 o设X = x1，x2，xk，Y = y1，y2，yk ，则至少存在xX，yY使 y = x的概率为：o在n和k都很大的情况下，近似有 ：o若要求R (n, k) 0.5，只需k近似等于 (ln2n)1/2 = 0.83n1/2。 o散列值为m比特时，可以为散列函数H准备两个大小为k输入集X和Y，只需要近似取k = 2m/2，就有50%的可能性在两个输入集中至少找到一个xX，yY使H(x) = H(y)。 2)/11(1),(knknRnkeknR/21),(基于生日悖论的攻击 o假定源点使用m

11、比特的MAC（或散列码），并对MAC（或散列码）进行加密，形成对报文的签名。报文M在传输中不加密。o攻击者截获到报文及签名，针对截获的报文生成变种（变种与原报文表达相同含义），生成一个大小为k的已知签名的报文集。同时，攻击者还准备了k个用于欺骗的假报文。o计算两个报文集中能够产生相同签名的报文对，根据生日悖论，只要k 2m/2成功的概率大于0.5。o攻击者使用原有签名，并用假报文集中的报文替代原来的合法报文，发往接收者。因为这两报文具有相同签名，因此即使不知道加密密钥，攻击者也能够获得成功。中间符合攻击o设原报文M的散列码为CM，任意生成一个伪造报文Q，报文形式为Q1，Q2，QN -2 ，报文

12、Q比原报文M少两个分组。o对报文Q，采用类似CBC算法计算HQ i EQi ( HQ i-1 ) ，i = 1, 2, , N -2CQ = HQ N-2o生成2m/2个随机分组，对每个分组X，计算EX(CQ)；另外生成2m/2个随机分组，对每个分组Y，计算DY(CM)，其中D( ) 是与E( ) 对应的解密函数。o根据生日悖论，有较高的概率找到X和Y，EX(CQ) = DY(CM)。o现在，在报文Q后面加上分组X和Y，构成报文 Q1，Q2， QN -2 ，X，Y，这个的散列码等于CM ，就可以与原报文的加密签名一起发送，欺骗接受者。 强行攻击散列函数 o散列函数三个关键性的性质n单向性o对任

13、何给定的 h，寻找 x 使得 H(x)h 在计算上不可行。n弱抗冲突性o对给定x，寻找 y x 使 H(y)H(x) 在计算上不可行。n强抗冲突性o寻找任意 y x 使 H(y)H(x) 在计算上不可行。o强行攻击n对一个长度为 m 的散列码各个性质的抗强行攻击的有效级的数量级分别为：o单向性 2m ；o弱抗冲突性 2m ；o强抗冲突性 2m/2 。n散列码的长度是抗击强行攻击能力的主要因素。密码分析和安全散列函数o密码分析攻击试图散列函数或MAC算法的某些特性来进行攻击而不是进行强行搜索。 o理想的算法抗密码分析攻击的强度应不小于其抗强行攻击的强度，即采用密码分析攻击的难度要大于或等于采用强

14、行攻击的难度。 o近年来形成了一些具有代表性的安全散列函数的设计结构。 安全散列函数的结构 o一个迭代的散列函数。 o将输入报文分为 L个定长b比特的分组Y0, Y1， ，YL-1 。o最后一个分组需要填充至b 比特。最后一个分组包含了散列函数H( ) 的输入总长度。 o散列算法中重复使用了一个压缩函数f ，f ( ) 的输人是前一轮的n比特输出（称为链接变量）以及当前的b比特分组，输出为n比特的链接变量值。 安全散列函数的结构 oCV0n比特的链接变量初始值oCVi f (CVi-1, Y i-1) 1 i LoH(M) CVL安全散列函数安全散列函数 MD5oRFC 1321，Ron Ri

15、vest o基于 MD4 (RFC 1320)安全散列函数安全散列函数 MD51.填充：填充后使报文长度加上64比特是512比特的整数倍，即填充后的报文长度K对512取模等于448（K mod 512 = 448）。填充的比特模式为第一位为1其余各位为0，即1000。2.附加长度值：将64比特的报文长度字段附加在报文的最后。报文长度是填充前原始报文的长度。若报文长度大于264，则使用该长度的低64位。报文被划分成L个成512比特的分组Y0，Y1， YL-1 。扩展后报文长度等于 512L位。3.初始化消息摘要（MD）缓存器。MD5使用128 比特的缓存来存放算法的中间结果和最终的散列值。这个缓

16、存由4个32 比特的寄存器A，B，C，D构成。MD5寄存器的初始值为： A 0 x67452301 B 0 xefcdab89 C 0 x98badcfe D 0 x10325476安全散列函数安全散列函数 MD54.处理每一个512 比特的报文分组。处理算法的核心MD5的压缩函数HMD5。HMD5压缩函数由4个结构相似循环组成。每次循环由一个不同的原始逻辑函数（分别以F，G，H和I表示）处理一个512比特的分组Yq 。5.输出：最后第 L个阶段产生的输出就是 128比特的报文摘要，结果保存在缓冲器ABCD中。寄存器0123A01234567B89abcdefCfedcba98D7654321

17、0安全散列函数安全散列函数 MD5oMD5的算法的形式化描述为： n设置初始值：CV0 IV。n对q = 1, 2, , L 计算： CVq CVq-1 + RFI Yq-1 , RFH Yq-1 , RFG Yq-1 , RFF Yq-1 , CVq-1 （CVL是最终的报文摘要MD） 其中，IV是缓存 ABCD的初值；Yq 是报文的第q个512比特的分组；L为报文的分组数；CVq为处理第q个报文分段的链接变量；RFx是循环函数，其中使用原始逻辑函数x。其中的加法是分别对4个缓存寄存器A、B、C、D进行32位加法。 MD5的压缩函数的压缩函数o压缩函数由4个循环构成。 o每一循环均需要一个原

18、始逻辑函数，分别用F、G、H、I表示。 o所有原始逻辑函数的输入都是 3个字长为32比特的字（分别用b、c、d表示），并产生一个字长32 比特的字作为输出。原始逻辑函数执行的是一组按位的逻辑操作。其定义如下： 循环对应的原始函数函数输出1F(b,c,d)(b&c)|(b&d) 2G(b,c,d)(b&d)|(c&d)3H(b,c,d)bcd4I(b,c,d)c(b&d)MD5的压缩函数的压缩函数o为了对实现数据的压缩，正在处理的512 比特数据分组Yq被进一步划分成16个32比特的小段，用X k 来表示（k = 0, 1, , 15）。 o在算法的每一个

19、循环中，需要对缓存器A、B、C、D进行16步操作组成。每步操作的通用形式为：a = b + (a + g(b,c,d) + Xk + Ti) s） 其中：a，b，c，d分别代表缓存器A、B、C、D中的一个；g()代表原始逻辑函数F、G、H、I中的一个； s 表示对32 比特字进行循环左移s位。X k 表示Yq中的第k个32比特字；T i 表示常数表T中的第i个元素。其中的加法均为32比特的加法。 安全散列函数安全散列函数 SHA-1o安全散列算法（SHA）是由美国国家标准和技术协会（NIST）提出的。n1993年作为美国联邦信息标准；n1995年又发布了其修订版 SHA-1；nSHA 算法也是

20、基于 MD4 的，其设计也是在MD4基础上改进而成的；nSHA-1算法允许的最大输入报文的长度不超过264比特；n输出160比特的报文摘要。 SHA-1o填充比特o附加长度值：将一个64bit分组附在后面o初始化md缓存（160bit）o处理521bit报文分组o输出RIPEMD-160散列算法 oRIPEMD-160算法是由欧洲的研究人员提出的。 o使用两条分支，分别包含5个循环进行并行处理，以便增加在循环间寻找冲突的复杂性。 o两条线在本质上采用相同的逻辑，但在两条分支中引入了尽可能多的差异，使两条并行线的组合具有更强的抵御攻击的能力。 o允许任意长度的报文的输入，输出160比特的报文摘要

21、。 RIPEMD-160散列算法 1.对报文进行填充，此步骤与MD5的操作相同。2.附加长度值，此步骤也与MD5算法相同 3.初始化消息摘要（MD）缓存器。使用160 比特的缓存来存放算法的中间结果和最终的散列值。这个缓存由5个32 比特的寄存器A，B，C，D，E构成。 4.处理报文分组序列。处理算法的核心是一个10个循环的压缩函数模块，其中每个循环由16个处理步骤组成。在每个循环中使用不同的原始逻辑函数，分别表示为f1，f2，f3，f4和f5 。 5.在最后一个循环结束后，两条路线的计算结果ABCDE、ABCDE以及链接变量的初始值CVq经过一次相加运算产生最终的输出CVq+1 RIPEMD

22、-160算法的压缩函数 三种算法的安全性o强行攻击： MD5: 2128 。 SHA-1: 2160 。 RIPEMD-160:2160 。o密码分析： MD5： 最弱。 SHA-1：比MD5更能抗密码分析。 RIPEMD-160：比MD5更能抵抗对强抗冲突性的生日攻击。 MAC Propertieso一个MAC是一个密码学的checksumnMAC=CK(M)nM任意长，使用密钥K，达到固定长度的鉴别o是个多对一的函数n潜在的可能有多个消息具有同一个MACn但找出来是非常困难的MAC的需求o考虑到攻击的类型对MAC有如下需求n已知消息与MAC，难以找到另一个消息具有同样的MACnMAC应与所

23、有消息的比特相关使用对称加密生成MACo可以使用任意的块加密模式并将最后的块作为MACoData Authentication Algorithm (DAA）：）：是基于是基于DES-CBC的的MAC算法算法oMAC用来作为安全性保障太短。用来作为安全性保障太短。HMACo目前已有许多讲一个密钥与现有散列函数结合的提议，以获得众多支持的是HMAC，目前已经被发表为RFC2104o该协议以被作为IP安全中强制使用的MAC，同时也被其他Internet协议，如SSL使用。o对于书上做个更改ipad与opad重复B/8次鉴别与保密的关系鉴别与保密的关系o是构成信息系统安全的两个方面，但属于两个不同属

24、性上的问题：n鉴别不能自动提供保密性；n保密性也不能自然提供鉴别功能。密 钥 分 配 o解决两个主要问题：n引进自动密钥分配机制，减轻负担，提高系统的效率；n尽可能减少系统中驻留的密钥量，提高安全性。 Diffie-Hellman密钥交换o第一个提出的公钥类策略oDiffie&Hellmano是一个使用的公开交换密钥的方法o在大量的商业应用中使用Diffie-Hellman密钥交换方法 建立（参看102）o共享的参数:n大素数 q或多项式n一个 mod q的本源根o计算密钥n选择私钥: xA q n计算公钥: yA = axA mod qDiffie-Hellman密钥交换oA &am

25、p; B 之间的密钥 KAB: KAB = axA.xB mod q= yAxB mod q (which B can compute) = yBxA mod q (which A can compute) oKAB 作为私钥进行A与B之间的通信例子oAlice & Bob 希望交换密钥:o共享 q=353 与 a=3o选择密钥:nA chooses xA=97, B chooses xB=233o计算公钥:nyA=397 mod 353 = 40(Alice)nyB=3233 mod 353 = 248 (Bob)o会话密钥:nKAB= yBxA mod 353 = 24897 =

26、160(Alice)nKAB= yAxB mod 353 = 40233 = 160(Bob)密钥管理o如何对密钥进行分发与管理是制约密码应用的重要因素：o密钥分为两类：n短期密钥：数据加密n长期密钥：用于认证，签名，访问控制，保护短期密钥等o对于中介的需要：可信第三方n对称加密：密钥分发中心（KDC）n证书中心：CA密钥管理机构解决的问题o密钥的生成与分发o密钥的可靠存储o若发生密钥泄露，能够及时撤销或更新KDCoKDC为一个服务器存储各个用户的密钥o其结构通常为分级的：o会话密钥：n临时的密钥n适用于两用户间的加密n一次逻辑会话后抛弃o主密钥n加密会话密钥n由用户与KDC共享密 钥 分 配

27、 o典型的两类自动密钥分配途径：n集中式分配方案：利用网络中的密钥分配中心(key distribution center,KDC)来集中管理系统中的密钥，密钥分配中心接收系统中用户的请求，为用户提供安全地分配密钥的服务。n分布式分配方案 ：分布式分配方案是指网络中各主机具有相同的地位，它们之间的密钥分配取决于它们自己的协商，不受任何其他方面的限制。o通常采取两种方案的混合：主机采用分布式方式分配密钥，而主机对于终端或它所属的通信子网中的密钥可采用集中方式分配。 对称密钥分配的基本方法 密钥由A选取并通过物理手段发送给B； 密钥由第三方选取并通过物理手段发送给A和B； 如果A、B事先已有一密钥

28、，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方； 如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。 密钥分配实例 o假定两个用户A、B分别与密钥分配中心有一个共享的主密钥KA和KB，A希望与B建立一个逻辑连接，并希望有一个一次性会话密钥来保护该连接上的数据传送 ，分配过程见下图：密钥分配实例 1A向KDC发出会话密钥请求。表示请求的消息由两个数据项组成，一是A和B的身份，二是这次业务的惟一识别符 ，每次请求所用的 都应不同，且为防止假冒，应使敌手对 难以猜测，因此用随机数作为这个识别符最为合适。2KDC对A的请求发出应答。应答是由

29、 加密的消息，因此只有A才能成功地对这一消息解密，并且A可相信这一消息的确是由KDC发出的。消息中包括A希望得到的两项：n一次性会话密钥 ；nA在第1步中发出的请求，包括一次性随机数 ，目的是使A将收到的应答与发出的请求相比较，看是否匹配。 因此A能验证自己发出的请求在被KDC收到之前，未被他人篡改。而且A还能根据一次性随机数相信自己收到的应答不是重放的对过去的应答。此外，消息中还有B希望得到的两项：n一次性会话密钥 ；nA的身份(例如A的网络地址)这两项由 加密，将由A转发给B，以建立A、B之间的连接并用于向B证明A的身份 SK1N1N1NAKAIDBKBK密钥分配实例 3A存储密钥并向B转

30、发 。因为转发的是加密后的密文，所以转发过程不会被窃听。B收到后，可得到会话密钥Ks，并 从 可知另一方是A，而且还从 知道的确来自KDC。 这一步完成后，会话密钥就安全地分配给了A、B。然而还能继续以下两步。4B用会话密钥 加密另一个一次性随机数 ，并将加密结果发送给A。5A以 作为对B的应答，其中 是对 进行某种变换(例如：加1）的函数，并将应答用会话密钥加密后发送给B。 这两步可使B相信第3步收到的消息不是一个重放消息。 ASKIDKEBSK2N)(2NffAIDBKE2NKDC的分层如果网络中的用户数目非常多且地域分布非常广 ，可采用分层结构 ：n在每个小范围（如一个LAN或一个建筑物

31、）内建立一个本地KDC，负责该范围内的密钥分配； n如果两个不同范围的用户想获得共享密钥，需要通过各自的本地KDC，并由两个本地KDC经过一个全局KDC完成密钥分配。这样就建立了两层KDC结构。 好处：n可减少主密钥的分布，因为大多数主密钥是在本地KDC和本地用户之间共享；n可将虚假KDC的危害限制到一个局部区域内。 分布式密钥分配 过程包括以下三步：1A向B发出建立会话密钥的请求和一个一次性随机数 。2B用与A共享的主密钥 对应答的消息加密，并发送给A。应答的消息中有B 选取的会话密钥、B的身份、 和另一个一次性随机数 。3A使用新建立的会话密钥 对 加密后返回给B。 1NmMK)(1Nf2

32、NSK)(2Nf密钥中的控制技术-密钥标签 oDES的64位密钥中的8个校验位作为控制使用这一密钥的标签 。o标签中各比特的含义为：n一个比特表示这个密钥是会话密钥还是主密钥；n一个比特表示这个密钥是否能用于加密；n一个比特表示这个密钥是否能用于解密；n其他比特保留。o缺点：灵活性和功能不够。密钥中的控制技术-控制矢量 密钥中的控制技术控制矢量o控制矢量分为若干字段，分别用于说明在不同情况下密钥被允许使用还是不被允许使用，而且控制矢量的长度可变。 o控制矢量是在KDC产生密钥时加在密钥中的，如图(a)所示。 oKDC在向用户发送会话密钥时，同时以明文形式发送控制矢量 。用户只有使用与KDC共享

33、的主密钥以及KDC发送来的控制矢量才能恢复会话密钥，这样就必须保留会话密钥和控制矢量之间的对应关系 。o优点：n控制矢量的长度没有限制，因此可对密钥的使用进行任意复杂的控制；n控制矢量始终是以明文形式存在的，因此可在任一阶段对密钥的使用进行控制。 o控制矢量方案比密钥标签方案要灵活，应用范围更广。 公钥加密体制的密钥分配 o包括两方面内容：n公钥密码体制所用的公钥的分配；n如何用公钥体制来分配对称密钥密码体制中使用的密钥。 公钥的分配 o公开发布。 o公用目录表。 o公钥管理机构。 o公钥证书。CAo在公钥体系中，关键问题是要保证公钥要与拥有公钥的实体绑定起来。我们把这样的绑定关系信息称为证书

34、o对证书进行管理的机构成为证书机构（CA）CA的功能o保证证书拥有实体与证书的对应关系o生成证书o管理维护证书o撤销证书o证书的表示：CA=V,SN,AI,CA,Ta,A,AP基于证书的认证o单向认证o双向认证o三向认证公钥的分配 公开发布 ：n指用户将自己的公钥发给每一其他用户，或向某一团体广播； n比较简单； n缺陷：任何人都可伪造这种公开发布，即发布伪造的公钥 。公钥的分配公用目录表 ：n建立一个公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由某个可信的实体或组织承担。 n公用目录表的建立过程如下：1）管理员为每个用户都在目录表中建立一个目录，目录中有两个数据项，一是用户名，二是用户的公开钥。2）每个用户都亲自或以某种安全的认证通信在管理者那里注册自己的公开钥。3）用户如果由于自己的公开钥用过的次数太多或由于与公开钥相关的秘密钥己被泄露，则可随时用新公开钥替换现有的公开钥