《无线网络安全技术》研讨课-第五讲.ppt

第四讲密钥管理 认证协议 无线网络安全技术songyubo 密钥管理 1 密钥的生存周期 2 密钥的产生 3 密钥的分配 4 密钥管理的其他阶段 2 密钥管理 3 在一种安全策略指导下密钥的产生 存储 分配 删除 归档及应用 处理密钥自产生到最终销毁的整个过程中的有关问题包括系统的初始化 密钥的产生 存储 备份 恢复 装入 分配 保护 更新 泄露 撤销和销毁等内容 所有的密码技术都依赖于密钥的保密 密钥的管理本身是一个很复杂的课题而且是保证安全性的关键点 密钥管理方法因所使用的密码体制对称密码体制和公钥密码体制而异 所有的密钥都有生存期 密钥的生命周期 授权使用该密钥的周期 一个密钥主要经历以下主要阶段 产生 登记 存储 分发 注入 应用 更换和销毁原因 1拥有大量的密文有助于密码分析一个密钥使用得太多了会给攻击者增大收集密文的机会 2假定一个密钥受到危及或用一个特定密钥的加密 解密过程被分析则限定密钥的使用期限就相当于限制危险的发生 密钥的生存期 4 密钥的产生 密钥长度的选择密钥长度的选择与具体的应用有关 如加密数据的重要性 保密期限长短 可能破译者的计算能力等 密钥的类型不同种类的密钥类型产生的方法不同 密钥产生的方式集中式分散式 5 密钥的分配 无中心的密钥分配模式中心化密钥分配模式公钥密码体制的密钥分配 6 无中心的密钥分配模式 1 A向B发出建立会话密钥的请求和一个一次性随机数N1 2 B用与A共享的主密钥对应答的消息加密 并发给A 应答的消息中包括B选取的会话密钥 B的身份 f N1 和另一个一次性随机数N2 3 A用新建立的会话密钥加密f N2 并发送给B 7 中心化密钥分配模式 1 A向KDC发出会话密钥请求 请求内容包括A与B的身份以及一次性随机数N1 2 KDC为A的请求发出应答 应答内容包括 一次性会话密钥Ks A的请求 用B与KDC的共享密钥加密一次性会话密钥Ks和A的身份 其中应答信息是用A与KDC的共享密钥加密 8 中心化密钥分配模式 续 3 A存储会话密钥 并向B转发用B与KDC的共享密钥加密一次性会话密钥Ks和A的身份 4 B使用会话密钥Ks加密另一个一次性随机数N2 并将加密结果发送给A 5 B使用会话密钥Ks加密f N2 并将加密结果发送给B 9 公钥密码体制的密钥分配 A用B的公钥加密A的身份和一个一次性随机数N1后发给B B解密的N1 并用A的公钥加密N1和另一个一次性随机数N2后发给A A用B的公钥加密N2后发给B B选取一个会话密钥Ks 用B的私钥加密后再用A的公钥加密 发送给B A用A的私钥和B的公钥解密得Ks 10 密钥管理的其他阶段 密钥使用注意内存的密钥泄露 私钥不出USBKey 密钥存储现更多存储在UsbKey中 密钥更新更容易的解决办法是从旧密钥中产生新的密钥 公私钥对重新生成 密钥备份可信第三方托管或使用主密钥 公钥 加密保存 主要针对加密密钥 密钥销毁 撤销不同 物理上彻底粉碎 11 公钥算法密钥管理 公钥的分配问题公开发布公开可访问的目录公钥机构 Public KeyAuthority 公钥证书使用公钥加密分配对称密码体制的密钥 公钥的公开发布 使用者将自己的公钥发送给接收者或广播给所有人 例如 PGP用户将PGP公钥附在发送消息后或直接通过新闻组及邮件列表散布 缺点 易于伪造任何人都可以创建一个密钥 并宣称是A的并进行散布 在伪装被发现之前 假冒者一直可以伪装成用户A 公开可访问的目录 密钥管理 在一个公开目录上注册密钥可以获得更大程度的安全性目录必须是可信任的 包含 姓名 对应的公钥 用户可以在目录上安全的进行注册用户可以随时替换公钥目录定期发布目录可以通过网络方式访问仍然容易被伪装和窃听 公钥机构 通过严格控制目录的公钥发布来提高安全性要求用户可靠知道维护公钥目录机构的公钥用户通过与目录的交互以安全的得到需要的公钥要求 用户需要得到公钥时可以实时访问目录 用户A和用户B通信的时候要求相互认证以保证公钥的时效性 不是过期的 缺陷 瓶颈问题 每次通信都需要访问公钥机构目录仍然容易被篡改 密钥管理 公钥证书 提供一种跟公钥机构一样安全可靠的机制 但不需要直接访问公钥机构 公钥证书将用户的身份和用户的公钥绑定在一起通常还需要其他信息 例如有效期限 使用的权限等所有的内容由可信的第三方或者证书机构签发 密钥管理 公钥证书 公钥证书的交换 密钥管理 公钥证书要求任何通信方可以读取证书并确认证书拥有者的姓名和公钥任何通信方可以验证该证书是否出自公钥证书机构只有公钥证书机构才可以发行并更新证书任何通信方可以验证证书的时效性 CA E PRauth T IDA PUa 密钥管理 公钥证书 X 509证书格式使用最广泛的公钥证书格式应用于IP安全 安全套阶层 SSL 安全电子交易 SET 以及安全电子邮件 S MIME 证书验证协议证书撤销列表 CRL CertificateRevocationList 在线证书状态协议 OCSP OnlineCertificateStatusProtocol 密钥管理 使用公钥密码分配密钥 由于公钥密码需要大量的计算开销 这限制了公钥密码系统的使用 数字签名密钥分配 密钥管理 简单的密钥分配 Merkle s Alice生成一临时公 私钥对 并将她的公钥和标示IDA发给BobBob生成会话密钥Ks 并用Alice的公钥加密发给AA解密后得到会话密钥Ks 双方用Ks进行安全通信 SimpleUseofPublic KeyEncryptiontoEstablishaSessionKey 密钥管理 Diffie Hellman密钥交换 基于计算离散对数的难度的基础上的 Diffie Hellman密钥交换 Alice Bob 公开素数q和本原根a 随机生成秘密参数XA XA q 随机生成秘密参数XB XB q 计算YA YA aXAmodq 计算YB YB aXBmodq YA YB K YB XAmodq K YA XBmodq Diffie Hellman密钥交换 例子 素数q 97 本原根 5A和B的秘密参数分别是 XA 36 XB 58计算 YA 536mod97 50YB 558mod97 44A计算KK YB XAmod97 4436mod97 75B计算KK YA XBmod97 5058mod97 75攻击者可以得到的信息 q 97 5 YA 50 YB 44 Diffie Hellman密钥交换 中间人攻击 Alice Bob Darth YA YD1 K1 YD1 XBmodq K2 YD2 XAmodq K2 YA XD2modq YB K1 YB XD1modq YD2 为了抵御这种攻击 我们需要端到端的认证机制 使用数字签名或是公钥证书 Diffie Hellman密钥交换 认证协议 认证协议 相互认证单向认证 相互认证 相互认证使得通信者确信对方的身份并交换会话密钥安全目标 保证会话秘钥的安全性保证对方身份的真实性设计时需注意的问题 机密性 使用加密方式 要求事先有共享的秘密信息或公钥 实时性 处理重放攻击 对抗重放攻击的两种方法 时间戳 要求通信各方的时钟应保持同步 挑战 应答 A B nonce 挑战 B A E K M nonce 应答 对称加密方法Needham Schroeder的利用KDC的协议用于密钥分配和相互认证 对称加密方法 MutualAuthentication 第4步和第5步用于对抗重放攻击该协议仍然容易遭受重放攻击假设攻击者X已知一个旧的会话密钥X可以模仿A重放步骤3并诱使B使用旧的密钥除非B记得所有先前的会话密钥 否则B不知道该消息是否是重放的 如果X截获了步骤4的握手消息 则它可以模仿步骤5中A的响应 从此 X可以发送伪造的消息给B 而B认为这是A使用经过认证后的会话密钥发送给它的 对称加密方法 Denning的协议 通过在第2步和第3步增加时间戳的方式克服Needham Schroeder协议的缺点1 A KDC IDA IDB2 KDC A EKa Ks IDB T EKb Ks IDA T 3 A B EKb Ks IDA T 4 B A EKs N1 5 A B EKs f N1 及时性的验证 时钟 T t1 t2由于时间戳使用安全的主密钥加密 攻击者即使知道旧的会话密钥 仍然无法成功重放 但是新的问题产生了 这个机制要求时钟的可靠性 时钟需在整个网络保持同步 分布的时钟可能会不同步 会产生禁止 重放攻击 MutualAuthentication 对称加密方法 Newman协议1 A B IDA Na2 B KDC IDB Nb EKb IDA Na Tb 3 KDC A EKa IDB Na Ks Tb EKb IDA Ks Tb Nb4 A B EKb IDA Ks Tb EKs Nb Tb是与B时钟相关的时间 这就不需要各个时钟的同步了 因为B只检查自己生成的时间戳 假定A和B利用上述协议建立了会话 则紧接着A想要和B建立新的会话 则使用下述协议即可 1 A B EKb IDA Ks Tb Na 2 B A Nb EKs Na 3 A B EKs Nb MutualAuthentication 公钥加密方法 Public KeyDistributionofSecretKeys Needham Schroeder sAlgorithm 使用公钥加密用于会话密钥分配的一个方法 假定通信双发知道对方的公钥这个假定通常并不现实 公钥加密方法 使用时间戳的协议1 A AS IDA IDB2 AS A EKRas IDA KUa T EKRas IDB KUb T 3 A B EKRas IDA KUa T EKRas IDB KUb T EKUb EKRa Ks T 该协议非常的简洁但要求时钟同步由Woo和Lam提出的使用nonces的方法1 A KDC IDA IDB2 KDC A EKRauth IDB KUb 3 A B EKUb Na IDA 4 B KDC IDB IDA EKUauth NA 5 KDC B EKRauth IDA KUa EKUb EKRauth Na Ks IDB 6 B A EKUa EKRauth Na Ks IDB Nb 7 A B EKs Nb MutualAuthentication 单向认证 电子邮件的应用并不需要收发双方同时在线E mail的头必须是明文形式通常要求消息被加密 使得邮件处理系统无法访问消息同样的需要认证 接收者需要确定邮件来自宣称的发送方对称加密方法1 A KDC IDA IDB N12 KDC A EKa Ks IDB N1 EKb Ks IDA 3 A B EKb Ks IDA EKs M 确保指定的接收者可以读取消息同样的需提供认证以证明发送方是A不能抗重放攻击 AuthenticationProtocols 公钥加密方法 One WayAuthenticatio