第7章 密钥管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第7章 密钥管理,1,密 钥 长 度,决定密钥长度需要考虑多方面的因素：,数据价值有多大？,数据要多长的安全期？,攻击者的资源情况怎样？,选择比需要的密钥长度更长的密钥。,2,攻击难度相当的对称密钥密码和公钥密码的密钥长度（位）,对称密钥密码的密钥长度,公钥密码的密钥长度,56bits,384bits,64bits,512bits,80bits,768bits,112bits,1792bits,128bits,2304bits,3,密钥的种类,按照所加密内容的不同，密钥可分为：,会话密钥,。,也叫数据密钥，指在一次通信或数据交换中，直接用于向用户数据提供密码操作（如加密，数字签名）的密钥。,短期的会话密钥,长期的会话密钥,一般密钥加密密钥,主密钥,。,主密钥主要用于对密钥加密密钥或会话密钥的保护,；以及标识用户的作用，因为长时间内由用户所专用。,4,注入,主密钥,密钥加密密钥,会话密钥,加密,明文,密文,密钥管理的层次结构,注入,主密钥,密钥加密密钥,会话密钥,解密,明文,密钥协议,密钥协议,密钥协议,5,层次化的密钥结构意味着以少量上层密钥来保护大量下层密钥或明文信息。,层次化的密钥结构的优点：,安全性强,越底层的密钥更换越快,下层密钥被破译，不影响上层密钥的安全,直接攻击主密钥困难,可实现密钥管理的自动化,除了主密钥由人工装入外，其它各层密钥均自动地分配，更换，销毁等。,提高了数据安全性,6,密钥生成,尽量避免容易记忆的安全性差的密钥（弱密钥）：,如用户的姓名、简写字母、帐户姓名和其他有关的个人信息等；,字典攻击,如,DES,的,2,56,个密钥中有4个弱密钥和12个半弱密钥。,最好的密钥还是随机密钥，但不容易记忆,公开密钥密码体制，密钥生成困难,比较好的办法：,词组用标点符号分开,由较长的短语的首字母组成字母串,用一个完整的短语代替一个单词，然后将该短语转换成密钥,7,随机数,随机性，评价随机性通常有两个准则：,均匀分布性，比较容易检测；,独立性，一般只能通过反向验证（即无法证明不满足独立性）来保证其独立性。,不可预测性,由随机数列的相互独立性来保证。,网络安全中的随机数不是真正的随机，是伪随机数。,随机数的其它用途：,相互认证,对称密钥密码体制中会话密钥的生成,公钥密码体制中密钥的生成,8,伪随机数生成器,线性同余算法。,基于密码算法的随机数生成器,循环加密；,DES,的输出反馈（,OFB,）模式；,ANSI X9.17,密钥生成器。,BBS(Blum-Blum-,Shub,),生成器。,9,线性同余算法,有四个参数,模数,m(m0)；,乘数,a(0am)；,增量,c(0cm)；,种子,X,0,(0X,0,m)；,由迭代公式 得到随机数数列,X,n,。,10,线性同余算法的性能,迭代函数应是整周期的，即数列中的数在重复之前应产生,0,到,m,之间的所有数。,产生的数列看上去是随机的。虽然实际上数列是确定的（因为算法和参数是确定的），但是可以通过各种统计检测来评价数列的随机性。,迭代函数能有效地运用,32,位,/64,位运算来实现。,11,线性同余算法的问题,算法本身并不具有随机性，生成的数列实际上是确定的。,如果能确定,X,0,X,1,X,2,X,3,，就可以通过以下方程组解出,a,c,和,m：,解决办法：可以通过利用系统时钟修改随机数数列来改进,每产生,N,个数后利用当前的时钟值模,m,作为新种子；,直接把当前的时钟值模,m,加到每个随机数上。,12,循环加密方式生成伪随机数,周期为,N,的计数器,C,C,+1,加密算法,主密钥,K,m,X,t,=,E,km,c,+1,13,DES,的输出反馈（,OFB,）模式,可以用系统中断向量、系统状态寄存器和系统计数器生成,DES,密钥；用系统时钟、系统,ID,号、日期、时间生成初始化向量；用外部生成的,64,位数据作为明文输入（,V,0,），如系统管理员键入的,8,个字符。这样，最后的输出就是生成的密钥（随机数）,。,14,ANSI X9.17,密钥生成器,是密码强度最高的伪随机数生成器之一。,用来生成密钥的加密算法是三重,DES。,15,BBS(Blum-Blum-,Shub,),生成器,已经被证明的密码强度最高的伪随机数生成器。,工作流程如下：,首先选择两个大素数,p,q,，满足 ，令 。,再选一个随机数,s,，使,s,余,n,互素。,然后按照以下算法产生比特序列 ：,16,非线性密钥空间,非线性密钥空间是指所有密钥的密码强度并不相等，即采用某种特殊保密形式的密钥会进行正常的加解密（称为强算法密钥），而其他的密钥都会引起加解密设备采用非常弱的算法加解密（称为弱算法密钥）。,17,密 钥 分 配,解决两个主要问题：,引进自动密钥分配机制，减轻负担，提高系统的效率；,尽可能减少系统中驻留的密钥量，提高安全性。,18,密 钥 分 配,典型的两类自动密钥分配途径：,集中式分配方案：,利用网络中的密钥分配中心,(key distribution center,KDC),来集中管理系统中的密钥，密钥分配中心接收系统中用户的请求，为用户提供安全地分配密钥的服务。,分布式分配方案：,分布式分配方案是指网络中各主机具有相同的地位，它们之间的密钥分配取决于它们自己的协商，不受任何其他方面的限制。,通常采取两种方案的混合：主机采用分布式方式分配密钥，而主机对于终端或它所属的通信子网中的密钥可采用集中方式分配。,19,对称密钥分配的基本方法,密钥由,A,选取并通过物理手段发送给,B；,密钥由第三方选取并通过物理手段发送给,A,和,B；,如果,A,、,B,事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方；,如果,A,和,B,与第三方,C,分别有一保密信道，则,C,为,A,、,B,选取密钥后，分别在两个保密信道上发送给,A,、,B。,20,密钥分配实例,假定两个用户,A,、,B,分别与密钥分配中心有一个共享的主密钥,K,A,和,K,B,，,A,希望与,B,建立一个逻辑连接，并希望有一个一次性会话密钥来保护该连接上的数据传送，分配过程见下图：,21,密钥分配实例,1,A,向,KDC,发出会话密钥请求。表示请求的消息由两个数据项组成，一是,A,和,B,的身份，二是这次业务的惟一识别符 ，每次请求所用的 都应不同，且为防止假冒，应使敌手对 难以猜测，因此用随机数作为这个识别符最为合适。,2,KDC,对,A,的请求发出应答。应答是由 加密的消息，因此只有,A,才能成功地对这一消息解密，并且,A,可相信这一消息的确是由,KDC,发出的。消息中包括,A,希望得到的两项：,一次性会话密钥 ；,A,在第,1,步中发出的请求，包括一次性随机数，目的是使,A,将收到的应答与发出的请求相比较，看是否匹配。,因此,A,能验证自己发出的请求在被,KDC,收到之前，未被他人篡改。而且,A,还能根据一次性随机数相信自己收到的应答不是重放的对过去的应答。,此外，消息中还有,B,希望得到的两项：,一次性会话密钥 ；,A,的身份,(,例如,A,的网络地址,),这两项由 加密，将由,A,转发给,B,，以建立,A,、,B,之间的连接并用于向,B,证明,A,的身份,22,密钥分配实例,3,A,存储密钥并向,B,转发 。因为转发的是加密后的密文，所以转发过程不会被窃听。,B,收到后，可得到会话密钥,Ks,，并 从 可知另一方是,A,，而且还从 知道的确来自,KDC,。,这一步完成后，会话密钥就安全地分配给了,A,、,B,。然而还能继续以下两步。,4,B,用会话密钥 加密另一个一次性随机数 ，并将加密结果发送给,A,。,5,A,以 作为对,B,的应答，其中 是对 进行某种变换,(,例如：加,1,）的函数，并将应答用会话密钥加密后发送给,B,。,这两步可使,B,相信第,3,步收到的消息不是一个重放消息。,23,KDC,的分层,如果网络中的用户数目非常多且地域分布非常广，可采用分层结构：,在每个小范围（如一个,LAN,或一个建筑物）内建立一个本地,KDC,，负责该范围内的密钥分配；,如果两个不同范围的用户想获得共享密钥，需要通过各自的本地,KDC,，并由两个本地,KDC,经过一个全局,KDC,完成密钥分配。这样就建立了两层,KDC,结构。,好处：,可减少主密钥的分布，因为大多数主密钥是在本地,KDC,和本地用户之间共享；,可将虚假,KDC,的危害限制到一个局部区域内。,24,密钥自动分配的透明实现方案,25,分布式密钥分配,26,分布式密钥分配,过程包括以下三步：,1,A,向,B,发出建立会话密钥的请求和一个一次性随机数 。,2,B,用与,A,共享的主密钥 对应答的消息加密，并发送给,A,。应答的消息中有,B,选取的会话密钥、,B,的身份、和另一个一次性随机数 。,3,A,使用新建立的会话密钥 对 加密后返回给,B,。,27,密钥中的控制技术,-,密钥标签,DES,的,64,位密钥中的,8,个校验位作为控制使用这一密钥的标签。,标签中各比特的含义为：,一个比特表示这个密钥是会话密钥还是主密钥；,一个比特表示这个密钥是否能用于加密；,一个比特表示这个密钥是否能用于解密；,其他比特保留。,缺点：灵活性和功能不够。,28,密钥中的控制技术,-,控制矢量,29,密钥中的控制技术,控制矢量,控制矢量分为若干字段，分别用于说明在不同情况下密钥被允许使用还是不被允许使用，而且控制矢量的长度可变。,控制矢量是在,KDC,产生密钥时加在密钥中的，如图,(a),所示。,KDC,在向用户发送会话密钥时，同时以,明文形式,发送控制矢量。用户只有使用与,KDC,共享的主密钥以及,KDC,发送来的控制矢量才能恢复会话密钥，这样就必须保留会话密钥和控制矢量之间的对应关系。,优点：,控制矢量的长度没有限制，因此可对密钥的使用进行任意复杂的控制；,控制矢量始终是以明文形式存在的，因此可在任一阶段对密钥的使用进行控制。,控制矢量方案比密钥标签方案要灵活，应用范围更广。,30,公钥加密体制的密钥分配,包括两方面内容：,公钥密码体制所用的公钥的分配；,公开发布,公用目录表,公钥管理机构,公钥证书,如何用公钥体制来分配对称密钥密码体制中使用的密钥。,31,公钥的分配,公开发布：,指用户将自己的公钥发给每一其他用户，或向某一团体广播；,比较简单；,缺陷：任何人都可伪造这种公开发布，即发布伪造的公钥。,32,公钥的分配,公用目录表：,建立一个公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由某个可信的实体或组织承担。,公用目录表的建立过程如下：,1,）管理员为每个用户都在目录表中建立一个目录，目录中有两个数据项，一是用户名，二是用户的公钥。,2,）每个用户都亲自或以某种安全的认证通信在管理者那里注册自己的公钥。,3,）用户如果由于自己的公钥用过的次数太多或由于与公钥相关的私钥己被泄露，则可随时用新公钥替换现有的公钥。,4,）管理员定期公布或定期更新目录表。例如，像电话号码本一样公布目录表或在发行量很大的报纸上公布目录表的更新。,5,）用户可通过电子手段访问目录表，这时从管理员到用户必须有安全的认证通信。,33,公钥的分配,公钥管理机构：,在公钥目录表的基础上，由一个公钥管理机构对公钥的分配进行更严密的控制。,34,公钥的分配,公钥证书：,用户通过公钥证书相互交换自己的公钥而无需和公钥管理机构联系。,公钥证书由证书管理机构,CA(Certificate Authority),为用户建立，其中的数据项包括与该用户的私钥相匹配的公钥及用户的身份和时间戳等，所有的数据项经,CA,用自己的秘密钥签字后就形成证书。,证书的形式为 ，其中 是用户,A,的身份标识，是,A,的公钥，是当前时间戳，是,CA,的私钥。,35,公钥证书产生过程,36,用公钥加密分配对称密钥密码体制的密钥,常用的分配方式：,简单分配,具有保密和认证功能的密钥分配,37,简单使用公钥加密算法建立会话