信息安全第7章密钥管理.ppt

第7章密钥管理,主要内容,对称密码体制的密钥管理密钥分级密钥生成密钥的存储与备份密钥分配密钥的更新密钥的终止和销毁公钥密码体制的密钥管理公钥的分配数字证书X.509证书公钥基础设施PKI,关于密钥管理,密钥体制的安全应当只取决于密钥的安全，而不取决于对密码算法的保密。因此密钥管理是至关重要的。历史表明，从密钥管理的途径窃取秘密要比单纯的破译所花的代价要小得多。密钥管理包括了密钥的产生、存储、分配、组织、使用、更换和销毁等一系列技术问题。对称密码体制的密钥管理和非对称密码体制的管理是完全不同的。,对称密码体制的密钥管理,对称密码体制的加密钥等于解密钥，因此密钥的秘密性、真实性和完整性必须同时保护。这就带来了密钥管理方面的复杂性。对于大型网络系统，由于所需要的密钥种类和数量都很多，因此密钥管理尤其困难。,密钥分级,密钥分为初级密钥、二级密钥和主密钥。初级密钥用于加解密数据的密钥二级密钥用于保护初级密钥主密钥密钥管理方案中的最高级密钥，用于对二级密钥进行保护。,密钥生成,对密钥的基本要求具有良好的随机性，包括长周期性、非线性、统计意义上的等概率性以及不可预测性等。主密钥的产生用于加解密主密钥应当是高质量的真随机序列,常采用物理噪声源的方法来产生。二级密钥的产生利用真随机数产生器芯片来产生二级密钥使用主密钥和一个强的密码算法来产生二级密钥初级密钥的产生把随机数视为受高级密钥（主密钥或者二级密钥）加密后的初级密钥。因此，随机数被解密后得到初级密钥。,密钥的存储,密钥安全存储的原则是不允许密钥以明文的形式出现在密钥管理设备之外。密钥的存储形态有明文形态、密文形态、分量形态。主密钥的存储以明文形式存储，存储器必须是高度安全的，不但物理上安全，而且逻辑上安全。通常是将其存储在专用密码装置中。二级密钥的存储通常采用以高级密钥加密的形式存储二级密钥。初级密钥的存储初级文件密钥一般采用密文形式存储，通常采用以二级文件密钥加密的形式存储初级文件密钥。初级会话密钥的存储空间是工作存储器，应当确保工作存储器的安全。,密钥备份,密钥的备份应当是异设备备份，甚至是异地备份。备份的密钥应当受到与存储密钥一样的保护为了减少明文形态的密钥数量，一般采用高级密钥保护低级密钥的方式来进行备份对于高级密钥，不能以密文形态备份。为了进一步增强安全，可采用多个密钥分量的形态进行备份。密钥的备份应当方便恢复，密钥的恢复应当经过授权而且要遵循安全的规章制度。密钥的备份和恢复都要记录日志，并进行审计。,密钥分配,主密钥的分配采取最安全的分配方法。一般采用人工分配主密钥，由专职密钥分配人员分配并由专职安装人员妥善安装。二级密钥的分配利用已经分配安装的主密钥对二级密钥进行加密保护，并利用计算机网络自动传输分配。,KNC：二级密钥KM：主密钥,密钥分配,初级密钥的分配通常总是把一个随机数直接视为一个初级密钥被高级密钥加密之后的结果，这样初级密钥一产生就是密文形式。发送方直接把随机数（密文形式的初级密钥）通过计算机网络传给对方，接收端用高级密钥解密获取初级密钥,KNC：二级密钥KC：初级密钥RN：随机数,利用公钥密码体制来分配密钥,A向B发送自己产生的公钥和A的身份；B收到消息后，产生会话密钥Ks，用公钥加密后传送给A；A用私钥解密后得到Ks。可能的问题：冒充,具有保密性和认证的分配方法,A用B的公钥加密A的身份和一个一次性随机数N1后发送给B；B解密得到N1，并用A的公钥加密N1和另外一个随机数N2发送给A；A用B的公钥加密N2后发送给B；A选择一个会话密钥Ks，用A的私钥加密后再用B的公钥加密，发送给B，B用A的公钥和B的私钥解密得Ks。,密钥的更新,主密钥的更新更新时必须重新安装，安全要求与初次安装一样主密钥的更新将要求受其保护的二级密钥和初级密钥都要更新二级密钥的更新重新产生二级密钥并且妥善安装受其保护的初级密钥要更新初级密钥的更新初级会话密钥采用“一次一密”的方式工作，所以更新是非常容易的。初级文件密钥更新要麻烦的多，将原来的密文文件解密并且用新的初级文件密钥重新加密。,密钥的终止和销毁,终止使用的密钥并不马上销毁，而需要保留一段时间。这是为了确保受其保护的其他密钥和数据得以妥善处理。只要密钥尚未销，就应该妥善保护。密钥销毁要彻底清除密钥的一切存储形态和相关信息，使重复这一密钥变得不可能。,公钥密码体制的密钥管理,公钥密码体制的密钥管理和对称密码体制的密钥管理有着本质的区别。对称密码体制的密钥本质上是一种随机数或者随机序列，而公钥密码体制本质上是一种单向陷门函数，建立在某一数学难题之上。,公钥的分配,公开发布公钥动态目录表数字证书,公开发布,任一通信方将他的公钥发送给另一通信方，或者广播给通信各方。例如发布到BBS上,A,KUa,KUa,KUa,KUa,B,KUb,KUb,KUb,KUb,方法简单，但没有认证性，因为任何人都可以伪造这种公开发布,公开可访问目录,公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由可信的实体和组织承担。管理员为每个用户都在目录表里建立一个目录，目录中包括两个数据项：一是用户名，二是用户的公开密钥。每一用户都亲自或以某种安全的认证通信在管理者处为自己的公开密钥注册。用户可以随时替换自己的密钥。,数字证书（公钥证书）,在公钥目录或授权方式下，用户要与其它用户通信，就必须向目录管理员申请对方的公钥，因此公钥管理员就会成为系统的瓶颈。Kohnfelder提出了使用证书的方法。用户通过公钥证书交换各自公钥，无须与公钥管理机构联系,CA的计算机,用户的计算机,证书的产生过程,产生密钥,秘密钥,公开钥,CA的公开钥,CA的秘密钥,签字,证书,证书,驾驶证,公钥证书,用户通过公钥证书交换各自公钥，无须与公钥管理机构联系公钥证书由证书管理机构CA（CertificateAuthority）为用户建立。证书的形式为T-时间，PKA-A的公钥，IDAA的身份，SKCACA的私钥时戳T保证证书的新鲜性，防止重放旧证书。,公钥证书方法满足的条件,任何通信方可以读取证书并确定证书拥有者的姓名和公钥。任何通信方可以验证该证书出自证书管理员，而不是伪造的。只有证书管理员才可以产生并更新证书。任何通信方可以验证证书的当前性。,X.509证书,现实中有各种各样的证书，如PGP、SET、IPSec目前应用最广泛的证书格式是国际电信联盟ITU提出的X.509版本3。X.509最早于1988年颁布，1993年和1995年两次修改。Internet工程任务组针对X.509在Internet环境的应用，颁布了一个作为X.509自己的RFC2459。,X.509的格式,证书格式版本：版本1、版本2或者版本3证书序列号：本证书的唯一标识签名算法标识符：本证书使用的数字签名算法发证者的名称：证书颁发者的可识别名有效期：证书有效的时间段主体名称：证书拥有者的可识别名（非空）主体公钥信息：主体的公钥以及使用的公开密钥算法。发证者唯一标识符：可选字段，很少使用主体唯一标识符：可选字段，很少使用扩展项：密钥和主体的附加属性说明颁发者签名,公钥基础设施PKI,公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础共同组成公开密钥基础设施PKI。PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。美国是最早(1996)推动PKI建设的国家。1998年中国的电信行业建立了我国第一个行业CA，此后金融、工商、外贸、海关和一些省市也建立了自己的行业CA或地方CA。,PKI基本组件,密钥服务器,证书颁发机构CA,注册认证机构RA,PKI的逻辑结构,证书颁发机构CA,公钥证书的颁发机构证书包含了用户的公开密钥，权威性文档CA对密钥进行公证，证明密钥主人身份与公钥的关系CA用自己的私钥对证书签名。CA也给自己颁发证书。对于大范围的应用，一个CA是不够的。一个CA和少量的用户不能成为PKI。,证书颁发机构CA,注册机构RA,专门负责受理用户申请证书对证书申请人的合法性进行认证，并决定是批准或拒绝证书申请，不负责签发证书。接收和授权密钥备份和恢复请求；接收和授权证书吊销请求；,注册认证机构RA,证书的签发过程,用户向CA提交RA的注册批准信息及自己的身份等信息(或者由RA向CA提供)CA验证所提交信息的正确性和真实性CA为用户产生密钥(或由用户自己产生并提供密钥)，并进行备份CA生成证书，并施加签名将证书的一个副本交给用户，并存档入库,PKI的信任模型,建立一个管理全世界所有用户的全球性PKI是不现实的。各个国家都建立自己的PKI，一个国家内部再分别建立不同行业或不同地区的PKI。为了实现跨地区、跨行业，甚至跨国际的安全电子业务，这些不同的PKI之间的互联互通和相互信任是不可避免的。对于大范围的PKI，一般会有很多的CA，这些CA之间应当具有某种结构的联系，以使不同CA之间的证书认证简单方便。证书用户、证书主体、各个CA之间的证书认证关系称为PKI的信任模型。,子CA,严格层次模型,每个用户都有两个证书：子CA和根CA,子CA,CA分布式信任结构,CA分布式信任结构的中心辐射配置,Web模型,依赖于浏览器将一些CA的公钥预装在使用的浏览器上这些CA作为根CA,以用户为中心的信任,交叉认证模型,各个CA连接在一起,根CA,根CA,用户A,用户B,用户C,用户D,