网络安全基础应用与标准第五版课后答案.docx

网络安全基础应用与标准第五版课后答案.docx

《网络安全基础应用与标准第五版课后答案.docx》由会员分享，可在线阅读，更多相关《网络安全基础应用与标准第五版课后答案.docx（54页珍藏版）》请在冰豆网上搜索。

网络安全基础应用与标准第五版课后答案

第1章

【思考题】

1．１　OＳI安全体系结构是一个框架,它提供了一种系统化的方式来定义安全需求，并描述满足这些需求的方法。

该文档定义了安全攻击、机制和服务,以及这些类别之间的关系。

１.2被动攻击与窃听或监视传输有关。

电子邮件、文件传输和客户机/服务器交换是可以监视的传输示例。

主动攻击包括修改传输的数据和试图XX访问计算机系统。

1.3被动攻击:

发布消息内容和流量分析。

主动攻击:

伪装、重播、修改消息和拒绝服务。

１．4认证:

保证通信实体是其声称的实体。

访问控制：

防止XX使用资源（即，此服务控制谁可以访问资源，在什么条件下可以进行访问,以及允许访问资源的人做什么）。

数据保密:

保护数据不被XX的泄露。

数据完整性:

确保接收到的数据与授权实体发送的数据完全一致（即不包含修改、插入、删除或重播）。

不可否认性:

提供保护，以防止参与通信的实体之一拒绝参与全部或部分通信。

可用性服务：

系统或系统资源的属性,根据系统的性能规范,经授权的系统实体可根据需要访问和使用（即，如果系统在用户请求时根据系统设计提供服务,则系统可用）。

【习题】

１.1系统必须在主机系统和交易传输期间对个人识别号保密。

它必须保护账户记录和个人交易的完整性。

东道国制度的有效性对银行的经济福祉很重要，但对其受托责任却不重要。

个人取款机的可用性不那么令人担忧。

1.２系统对个人交易的完整性要求不高，因为偶尔丢失通话记录或账单记录不会造成持续损害。

然而,控制程序和配置记录的完整性是至关重要的。

没有这些,交换功能将被破坏,最重要的属性－可用性-将被破坏。

电话交换系统还必须保护个人通话的机密性，防止一个来电者偷听另一个来电。

1.3　a.如果系统用于发布公司专有材料，则必须确保保密性。

ｂ.如果系统被用于法律或法规，则必须确保其完整性。

c．如果该系统用于出版日报，则必须确保其可用性。

１．４a.在其Web服务器上管理公共信息的组织确定不存在保密性损失（即保密性要求不适用）、完整性损失的中度潜在影响和可用性损失的中度潜在影响。

B．管理极为敏感的调查信息的执法机构确定,保密损失的潜在影响高，诚信损失的潜在影响中等,可用性损失的潜在影响中等。

ｃ．管理日常行政信息（非隐私相关信息）的金融机构确定,保密性损失的潜在影响较低,完整性损失的潜在影响较低，可用性损失的潜在影响较低。

d.承包组织内部的管理层确定:

（i）对于敏感合同信息，保密损失的潜在影响是中等的,保密损失的潜在影响是

完整性中等,可用性丧失的潜在影响较低；（ii）日常行政信息

e、电厂管理层确定：

（i）对于由监控与数据采集系统采集的传感器数据，不存在保密性丧失、完整性丧失和可用性丧失的潜在影响;以及（ii）对于系统正在处理的行政信息,保密性丧失的潜在影响很小,完整性丧失的潜在影响很小,可用性丧失的潜在影响很小。

1.5

Releaｓeofmeｓsagecontents

Ｔｒafｆｉc　analｙｓis

Masquｅrａde

Replay

Ｍｏdｉfiｃationof　ｍeｓｓａges

Deｎiaｌofｓerｖiｃe

Peeｒentityauｔｈenｔication

Y

Daｔａoｒigiｎ　aｕthｅnｔicatｉon

Ｙ

Ａcｃesscｏntｒｏl

Y

Confiｄｅntialｉｔy

Y

Trafficfｌoｗconfｉdｅnｔｉaｌity

Y

Ｄata　inｔegrity

Y

Y

Non－reｐudiａtion

Y

Ａvaiｌabilｉｔy

Y

１．6

Relｅasｅoｆ　messａgｅconteｎts

Tｒaｆｆicａnaｌysis

Masquｅradｅ

Replay

Ｍodiｆiｃatiｏnofｍｅssａgｅs

Deniａlofｓervice

Ｅnｃｉpherｍent

Y

Ｄigiｔａｌsｉgｎatuｒｅ

Y

Y

Y

Ａccesscoｎtｒol

Y

Ｙ

Y

Y

Y

Datａiｎtegrｉｔy

Y

Ｙ

Auｔｈenｔiｃａtiｏnｅxcｈａnge

Y

Y

Y

Y

Trafficｐａｄdiｎg

Ｙ

Rｏutingｃｏｎtrol

Y

Y

Y

Noｔarization

Y

Y

Y

第2章

【思考题】

2．1明文、加密算法、密钥、密文、解密算法。

２．2排列和替换。

2.3一把密匙。

2.4流密码是一次对数字数据流加密一位或一个字节的密码。

分组密码是将一个明文块作为一个整体来处理,并用来产生等长的密文块的密码。

2.5密码分析和暴力。

2.6在某些模式下,明文不通过加密函数，而是与加密函数的输出异或。

数学计算出,在这些情况下，对于解密，还必须使用加密函数。

2.7对于三重加密，明文块通过加密算法进行加密；然后结果再次通过同一加密算法；第二次加密的结果第三次通过同一加密算法。

通常，第二阶段使用解密算法而不是加密算法。

2．8第二阶段的解密使用没有任何加密意义。

它的唯一优点是允许3DES用户通过重复密钥来解密由旧的单个DES用户加密的数据。

【习题】

2.1

a

b、这两个矩阵的使用顺序是相反的。

首先，密文在第二个矩阵中以列的形式排列，考虑到第二个存储字指示的顺序。

然后,考虑到第一存储字指示的顺序，从左到右、从上到下读取第二矩阵的内容并在第一矩阵的列中布局。

然后从左到右、从上到下读取明文。

c、尽管这是一种弱方法，但它可能与时间敏感信息一起使用，并且对手没有立即获得良好的密码分析（例如,战术使用）。

而且它不需要纸和铅笔,而且很容易记住。

2.2

（带公式的不好翻译，我相信研究生也已经有这个英文水平可以看懂少部分）

２.3

ａ常量确保每轮的加密/解密不同

b前两轮是这样的

C　首先,让我们定义加密过程

现在是解密过程。

输入是密文（Ｌ２，R2）,输出是明文（Ｌ0,Ｒ0）。

解密本质上与加密相同，子密钥和增量值的应用顺序相反。

还要注意，不必使用减法，因为每个方程中都有偶数个加法。

d.

2．4为了确保具有相反密钥顺序的同一算法产生正确的结果,请考虑图2.2，图２．2显示了16轮算法的加密过程从左侧向下,解密过程从右侧向上（任何轮数的结果都相同）。

为了清楚起见，对于通过加密算法传输的数据,我们使用符号LEｉ和RＥi;对于通过解密算法传输的数据,使用LDi和ＲDi。

该图表明,在每一轮中,解密过程的中间值等于加密过程的相应值，并且值的两半被交换。

换句话说,让第i个加密轮的输出为LEi||REi（Ｌi与Rｉ连接）。

然后,第（16–i）轮解密的对应输入是ＲDi｜|LDｉ。

让我们通过这个图来演示前面断言的有效性。

为了简化图表,它被展开,而不是显示每次迭代结束时发生的交换。

但请注意,加密过程第i阶段结束时的中间结果是通过连接LEi和REi形成的2w比特量,解密过程第i阶段结束时的中间结果是通过连接LDi和RDi形成的2w比特量。

在加密过程的最后一次迭代之后,输出的两半被交换，因此密文是RE16｜|LE16。

那一轮的输出是密文。

现在把这个密文作为同一算法的输入。

第一轮的输入是RＥ16|LE16,等于加密过程第十六轮输出的32位交换。

现在我们要证明，第一轮解密过程的输出等于第十六轮加密过程的输入的32位交换。

首先,考虑加密过程。

我们看到：

因此,我们得到ＬＤ1=RE１5和RD1=LE15。

因此，第一轮解密过程的输出是ＬE１5||RE15,即３2-的位交换输入到第十六轮加密。

如图所示，这种对应关系贯穿16次迭代。

我们可以把这个过程概括起来。

对于加密算法的第ｉ次迭代：

因此,我们将第i次迭代的输入描述为输出的函数,这些方程证实了下图右侧所示的赋值。

最后,我们看到最后一轮解密过程的输出是RE０||LE0。

32位交换恢复原始明文，证明了Feisteｌ解密过程的有效性。

2．５由于关键时刻表，第9轮至第1６轮中使用的圆函数是第１轮至第8轮中使用的圆函数的镜像。

从这个事实我们可以看出加密和解密是相同的。

我们得到一个密文c。

设m'=ｃ。

要求oracle加密ｍ'。

oracｌｅ加密返回的密文将是c的解密。

2．6对于1≤i≤１28,取cｉ属于{0,1｝的128次方作为在位置i中包含1的字符串,然后在其他位置零。

获取这１２８个密文的解密。

设ｍ１，m2。

．.　,m１28是相应的明文。

现在,给定任何不包含所有零的密文ｃ，有一个唯一的cＩ的非空子集,我们可以一起异或得到c。

..　，128}表示此子集。

观察

因此,我们通过计算

得到c的明文，让0成为

全部为零字符串。

注意

。

由此我们得到E（0）＝E（0

０＝E（0）E（０）＝0。

因此，c=０的明文是m=0。

因此,我们可以解密每个c{0，1}128。

符号部分如下

2．7

－ａ

Pair

Prｏbabｉlity

０0

（0．5–∂）2ﻩ=0．２5–∂　+∂2

01

（0．5　–　∂）（０．5+　∂）=ﻩ0．２5　–∂2

1０

（0．５＋∂）（0．5–　∂）＝0.25–∂２

１1

（0.５+　∂）2＝　0.25+　∂+　∂２

b、因为01和10在初始序列中的概率相等,所以在修改后的序列中,0的概率为0．5，１的概率为0.5。

ｃ、任何特定对被丢弃的概率等于该对为00或1１的概率,即0.５＋２∂2，因此产生x输出位的输入位的预期数量为x/（0．25–∂的平方）。

ｄ、该算法产生一个完全可预测的序列，精确地交替1和0。

2.8

2.9使用长度为２55字节的密钥。

前两个字节是零,即K［0]=K[1］=0。

此后，我们得到：

Ｋ[2］=2５５；K[３]=25４;…K[2５5]=2。

2．10

２.11

a取ｖ｜　|c的前８0位,得到初始化向量,v、由于ｖ，c，k是已知的，所以可以通过计算ＲＣ4（v||k）⨁c来恢复（即解密）消息。

b、如果对手发现ｖi=ｖj代表不同的i,j，那么他/她知道相同的密钥流被用来加密ｍi和ｍj。

在这种情况下,消息ｍi和ｍj可能容易受到在（a）部分中执行的密码分析类型的攻击。

c、　由于密钥是固定的,密钥流随随机选择的80位v的选择而变化。

因此,大约之后

发送

条消息，我们期望相同的v,因此同一个密钥流，要多次使用。

d、密钥k应该在发送240条消息之前更改。

2.12

a否。

例如，假设C１已损坏。

输出块P３仅依赖于输入块C2和C3。

ＢP１中的错误影响C1。

但由于Ｃ1是C２计算的输入,C2受到影响。

这种影响是无限期的,因此所有密文块都会受到影响。

然而,在接收端，解密算法为除了错误块之外的块恢复正确的明文。

你可以通过写出解密的方程式来说明这一点。

因此,错误只影响相应的解密明文块。

2.13在CＢＣ加密中，每个前向密码操作（第一个除外）的输入块取决于前一个前向密码操作的结果,因此前向密码操作不能并行执行。

然而,在ＣＢC解密中，逆密码函数的输入块（即密文块）立即可用，以便可以并行地执行多个逆密码操作。

2.1４如果在密文块Ci的传输中发生错误，则该错误传播到恢复的明文块Pi和Pi＋1。

2.1５解密后，最后一个块的最后一个字节用于确定必须去除的填充量。

因此必须至少有一个字节的填充。

2.1６假设最后一个明文块只有L字节长，其中L<２瓦/8。

加密序列如下（RFＣ2040中的描述有错误；此处的描述正确）：

看英文版

2．1７

ａ假设最后一个块（PN）有j位。

在加密最后一个完整块（PＮ–1）之后,再次加密密文（CN–1），选择加密密文的最左边j位,并与短块异或以生成输出密文。

b虽然攻击者无法恢复最后一个明文块，但他可以通过更改密文中的各个位来系统地更改它。

如果明文的最后几位包含基本信息,这是一个弱点。

2.18九个明文字符受到影响。

与密文字符相对应的明文字符明显改变。

此外,修改后的密文字符进入移位寄存器,直到处理完接下来的八个字符后才被删除。

第3章

【思考题】

3.1消息加密,消息验证码,哈希函数。

３.2身份验证器，是待验证数据和密钥的密码功能。

3．4

1.H可以可应用于任何大小的数据块。

2.H可以产生固定长度的输出。

３.H（x）对于任何给定的x都相对容易计算，使得硬件和软件实现都很实用。

4.对于任何给定值ｈ，在计算上不可能找到ｘ，使得h（x）=h。

这在文献中有时被称为单向性质。

5.对于任何给定的块x,在计算上不可能找到y≠x　当（ｙ）=H（x）。

６.在计算上不可能找到任何一对（x,ｙ），使得Ｈ（x）=Ｈ（ｙ）。

3.５压缩函数是哈希函数的基本模块或基本构造块。

哈希函数由压缩函数的迭代应用组成。

3．6明文:

这是输入到算法中的可读消息或数据。

加密算法:

加密算法对明文执行各种转换。

公钥和私钥：

这是一对已选定的密钥,如果其中一个用于加密,另一个用于解密。

加密算法执行的确切转换取决于作为输入提供的公钥或私钥。

密文：

这是作为输出产生的加扰消息。

这取决于明文和密钥。

对于给定的消息,两个不同的密钥将产生两个不同的密文。

解密算法:

该算法接受密文和匹配密钥，生成原始明文。

3.7加密/解密：

发件人使用收件人的公钥加密邮件。

数字签名:

发送者用其私钥“签名”一条消息。

签名是通过应用于消息或作为消息函数的小数据块的加密算法实现的。

密钥交换：

双方合作交换一个会话密钥。

可能有几种不同的方法,涉及一方或双方的私钥。

【习题】

第4章

【思考题】

4．1甲、乙双方可通过多种方式进行密钥分配，具体如下：

1．Ａ可以选择一把钥匙并将其实际交付给B。

2.第三方可以选择钥匙并将其实际交付给A和Ｂ。

3.如果A和B以前和最近使用过密钥，一方可以将新密钥传输给另一方，使用旧密钥加密。

４.如果A和B都与第三方C有加密连接,C可以将加密链接上的密钥传递给A和B。

４.2会话密钥是两个主体之间使用的临时加密密钥。

主密钥是密钥分发中心和主体之间用于编码会话密钥传输的持久密钥。

通常,主密钥是通过非加密方式分发的。

4．３密钥分发中心是授权向主体发送临时会话密钥的系统。

使用密钥分发中心与目标主体共享的主密钥，以加密形式传输每个会话密钥。

4.4完整服务的Kerbeｒoｓ环境由一个Ｋerberｏs服务器、多个客户端和多个应用程序服务器组成。

４．5领域是一个环境,其中：

１.keｒberoｓ服务器必须具有其数据库中所有参与用户的用户ID（uｉｄ）和哈希密码。

所有用户都在Kerberos服务器上注册。

2。

Kerｂeｒos服务器必须与每个服务器共享一个密钥。

所有服务器都在Keｒberoｓ服务器上注册。

４.6版本5克服了版本４中的一些环境缺陷和一些技术缺陷。

4.７ｎｏncｅ是仅使用一次的值，例如时间戳、计数器或随机数；最低要求是它与每个事务都不同。

4.８1.公钥的分配。

2．使用公钥加密分发密钥

4．9　1.该机构为每个参与者维护一个目录,其中包含一个名、公钥条目。

２．每个参与者向目录颁发机构注册一个公钥。

注册必须亲自进行或通过某种形式的安全认证通信进行。

３.参与者可以随时用新的密钥替换现有的密钥，这可能是因为希望替换已经用于大量数据的公钥，也可能是因为相应的私钥已在某种程度上受到破坏。

４.当局定期发布整个目录或更新到该目录。

例如，可以出版类似电话簿的硬拷贝版本，也可以在广为流传的报纸上列出更新内容。

5.参与者也可以通过电子方式访问目录。

为此,当局必须与参与者进行安全、认证的通信。

4.10公钥证书包含公钥和其他信息，由证书颁发机构创建，并提供给具有匹配私钥的参与者。

参与者通过传输证书将其关键信息传递给其他人。

其他参与者可以验证证书是否由颁发机构创建。

4．1１1。

任何参与者都可以读取证书以确定证书所有者的名称和公钥。

2。

任何参与者都可以验证该证书来自证书颁发机构,并且不是伪造的。

三。

只有证书颁发机构才能创建和更新证书。

4。

任何参与者都可以验证证书的货币。

4.１2x.509定义了Ｘ.5０0目录向用户提供认证服务的框架。

目录可以用作公钥证书的存储库。

每个证书都包含用户的公钥,并使用受信任证书颁发机构的私钥进行签名。

４.13证书链由不同证书颁发机构（CＡ）创建的证书序列组成，其中每个连续的证书都是由一个CA颁发的证书,用于证明链中下一个ＣA的公钥。

４.14公钥所有者可以颁发吊销一个或多个证书的证书吊销列表。

【习题】

4．1i）向服务器发送源名称a、目标名称z（他自己的）和e（ｋa，r）,就好像A要向他发送用同一个密钥r加密的同一条消息,就像A用Ｂ加密的一样。

ii）服务器将通过发送ｅ（kz,r）到a进行响应,ｚ将截获

iiｉ）因为ｚ知道自己的密钥kz,所以他可以解密e（kz，r）,从而获得r，从而可以用来解密ｅ（r,m）和获得ｍ。

4.２这三者的作用完全相同。

区别在于脆弱性。

在用法1中,攻击者可以通过向ｎa充气并拒绝b对未来重播攻击（抑制重播攻击的一种形式）的回答来破坏安全性。

攻击者可以尝试在用法2中预测一个可信的回复,但如果这些非事件是随机的,则不会成功。

在用法１和2中,消息在任何目录下都可以工作。

４.3Ｃ1中的错误会影响Ｐ１，因为C1的加密与ＩV进行了异或运算以生成Ｐ１。

Ｃ1和P1都影响P2,这是C2与C1和P１的ＸOR的加密的XOＲ。

除此之外，PＮ－1是形成ＰN的XＯReｄ输入之一。

４.4让我们考虑一下Ｃ1和C2互换的情况。

对于其他任何相邻的密文块对，该参数将相同。

首先，如果C1和C2以正确的顺序到达:

现在假设C１和C2以相反的顺序到达。

让我们将解密的块称为Qi

结果是Q1≠P1;　Q2≠P2;但Ｑ３＝P3。

后续块显然不受影响。

４．5这个问题有一个简单的解决方法，即在第三条消息的签名信息中包含B的名称,因此第三条消息现在显示为:

４.６a．这是一种对B进行Ａ身份验证的方法。

R1成为一个挑战，只有Ａ能够加密R1,以便可以使用A的公钥对其进行解密。

b．某人（例如C）可以使用此机制获取A对消息进行签名。

然后，C将把此签名与消息一起提供给D,声称它是由A发送的。

如果A使用其公钥/私钥进行身份验证,签名等，这将是一个问题。

4.7ａ.这是对A到B进行身份验证的一种方法。

只有A可以解密第二条消息以恢复R2。

b．某人（例如C）可以使用此机制获取Ａ，以解密从网络窃听的消息（即,以Ｒ2的形式发送该消息）（最初发送给A）。

4.8它包含由KＤC-Bob密钥加密的爱丽丝的IＤ,鲍勃的名字和时间戳。

4.9它包含用ＫDC－Bob密钥加密的爱丽丝的名字。

4.１0它具有使用会话密钥加密的随机数（例如时间戳）。

4．１1它包含用ＫDC-Bｏb秘密密钥加密的会话密钥。

4．12不管ｅ和n的值是什么,取密文块的eｔh　rｏotmｏd　ｎ总是显示明文。

通常,这是一个非常困难的问题，确实是RＳA安全的原因。

　关键是,如果ｅ太小,则采用普通整数eth根与采用eth根mod　n相同,并且采用整数eｔｈ根相对容易。

4.13这是Firefｏx中受信任的根CA证书的示例。

４.1４当使用对称密钥保护存储的信息时，接收者的使用期限可以在始发者的使用期限开始之后开始,如图所示。

例如,信息可以在存储在光盘上之前被加密。

在以后的某个时间,可以分发密钥以便解密和恢复信息。

4.１５ａ．相信她与B共享K＇AB,因为她的现时返回消息２，该消息2使用仅Ｂ（和Ａ）知道的密钥加密。

B认为他与A共享Ｋ'ＡB,因为ＮA是用K'AB加密的,只有知道K＇ＡB的人（并且只有Ａ和Ｂ知道）才能从消息２中检索它。

A认为Ｋ'AＢ是新鲜的,因为它与NA一起包含在消息2中（因此消息2必须在发送消息1之后构造）。

Ｂ相信（的确知道）自从K＇AB亲自选择以来，它就是新鲜的。

b．我们考虑该协议的以下交错运行：

C无法加密A的随机数,因此他需要获得消息2的帮助。

因此，他使用A进行了新的运行,让A进行加密并反射回信。

Ａ将接受未启动的协议运行,并认为B存在。

C.为了防止攻击,我们需要在消息中更明确地说明,例如　通过将消息2更改为包括发送方和接收方（按此顺序）,即为E（KAＢ，[A，B,NA,K＇ＡB］）。

４.16　典型的PKI由七个核心组件组成。

下面简要描述这些:

1．数字证书（公共密钥证书,X.509证书）:

数字证书是一种签名的数据结构,该结构将实体的一个或多个属性与其对应的公共密钥绑定在一起。

通过由公认的受信任的机构（即证书颁发机构）签名，数字证书可以确保特定的公共密钥属于特定的实体（并且该实体拥有相应的私有密钥）。

2.证书颁发机构（CA）:

证书颁发机构是负责创建，颁发和管理PＫI内使用的公钥证书的人员,过程和工具。

３.注册机构（RA）：

注册机构是负责认证需要CA证书的新实体（用户或计算设备）身份的人员,流程和工具。

　RA还维护本地注册数据,并启动旧证书或冗余证书的续订或吊销过程。

他们

充当CＡ的代理（在这方面，可以根据需要执行CA的某些功能）。

4.证书存储库：

ＰKＩ的所有用户都可以访问的数据库或其他存储,可以在其中保存公钥证书,证书吊销信息和策略信息。

5.PKI客户端软件：

需要客户端软件以确保ＰKI实体能够使用PＫI的密钥和数字证书管理服务（例如，密钥创建，自动密钥更新和刷新）。

6．启用ＰＫI的应用程序：

必须先启用PKＩ的软件应用程序才能在ＰKI中使用。

通常,这涉及修改应用程序,以便它可以理解和利用数字证书（例如，对远程用户进行身份验证并向远程用户进行身份验证）。

７.政策（证书政策和认证实践声明）：

证书政策和认证实践声明是定义在PKI中使用,管理和管理证书所采用的程序和实践的政策文件。

４.17对称加密算法的主要缺点是保持单个密钥的安全。

　它被称为密钥管理,带来了许多重大挑战。

如果用户想使用对称加密将加密的消息发送给另一个用户,则必须确保她具有解密消息的密钥。

　第一个用户应如何获得第二个用户的密钥？

他不想通过互联网以电子方式发送它，因为这会使它容易受到窃听者的攻击。

他也不能加密密钥并将其发送,因为接收者将需要某种方式来解密密钥。

　而且,即使他甚至可以安全地将密码获取给用户,他如何确定攻击者没有看到该人计算机上的密钥？

密钥管理是使用对称加密的重要障碍。

4.18a.Ａ向KDＣ请求在A和Ｂ之间使用的会话密钥。

随机数用于质询响应。

b.如果有人设法获得一个旧的K,他们可以将步骤3的消息重播到B并与Ｂ进行通信,假装是A。

C.消息中包含的时间戳可以解决此漏洞

4.19添加EMＫ0将允许用户生成可以交换的个人会话密钥，从而避免了在用户对用户会话中存储密钥变量的必要性。

4.2０主机i具有主密钥KMHi，其变体ＫMHi，j，ｊ=0,1,2。

KＭHi，０:

用于加密会话密钥ＫS

KＭＨｉ,１:

用于加密用户主密钥（在主机i上）

KMHi,2:

用于加密跨域密钥ＫMH（i，j）=KＭH（j，i）（主机ｉ至主机j）

主机ｉ存储Ｅ　[KMHi,2，KＭＨ（i,j）］并使用翻译指令RFMK':

ＲFＭK'[E[KMＨi，2，KMH（ｉ，ｊ）]，Ｅ（KMHi,0，KS）]（ＫＭＨi，j,K）]

第二个转换函数RTMK（在主机j处）R