密钥分配与密钥管理

1、 建立安全的密码系统要解决的一个赖手的 问题就是密钥的管理问题。即使密码体制 的算法是计算上的安全，如果缺乏对密钥 的管理，那么整个系统仍然是脆弱的。 问题的提出 （1）密钥管理量的困难）密钥管理量的困难传统密钥管理：两两分别用一对密钥时，则传统密钥管理：两两分别用一对密钥时，则n个用户需要个用户需要C(n,2)=n(n-1)/2个密钥，当用个密钥，当用户量增大时，密钥空间急剧增大。如户量增大时，密钥空间急剧增大。如: n=100 时，时， C(100,2)=4,995 n=5000时，时， C(500,2)=12,497,50 （2）数字签名的问题）数字签名的问题 传统加密算法无法实现抗抵赖

2、的需求。传统加密算法无法实现抗抵赖的需求。 从理论上说，密钥也是数据，不过它是用来加密其它数据的数据，因此，在密码学的研究中，不妨把密钥数据与一般数据区分开来。在设计密码系统时，对于密钥必须考虑以下问题： 1.系统的那些地方要用到密钥，它们是如何设置和安装在这些地方. 2.密钥预计使用期限是多长，每隔多久需要更换一次密钥。 3.密钥在系统的什么地方。 4.如何对密钥进行严格的保护。 为了产生可靠的总体安全设计，对于不同 的密钥应用场合，应当规定不同类型的密钥，所以根据密钥使用场合的不同，可以把密钥分成不同的等级。 通常把密钥分为两大类型，即数据加密密钥和密钥加密密钥。 密钥又可分为： 主密钥主

3、密钥：对现有的密钥或存储在主机中 的密钥加密，加密对象为初级密钥和二 级密钥。 初级密钥初级密钥：用来保护数据的密钥。它也 叫数据加密/解密密钥.初级密钥用来进 行通讯保护时，叫做通讯密钥。用来保 护文件时叫做文件密钥。 二级密钥：它是用来加密保护初级密钥的密钥。 密钥保护的基本原则： 密钥永远不可以以明文的形式出现在密码装置 之外。 密码装置是一种保密工具，即可以是硬件，也可以是软件。保密通信双方需共享密钥共享密钥要经常更换分配方式： A选择密钥并手工传递给B 第三方C选择密钥分别手工传递给A,B 用A,B原有共享密钥传送新密钥 与A,B分别有共享密钥的第三方C传送 新密钥给A和/或BlN个

4、用户集需要N(N-1)/2个共享密钥 对称密码体制的主要商业应用起始于八十年代早期，特别是在银行系统中，采纳了DES标准和银行工业标准ANSI数据加密算法,实际上，这两个标准所采用的算法是一致的。 随着DES的广泛应用带来了一些研究话题，比如如何管理DES密钥。从而导致了ANSI X9.17标准的发展，该标准于1985年完成，是有关金融机构密钥管理的一个标准。 金融机构密钥管理需要通过一个多级层次密钥机构来实现。 ANSI X9.17三层密钥层次结构： 1）主密钥（KKMs），通过手工分配； 2）密钥加密密钥（KKs），通过在线分 配； 3）数据密钥（KDs）。 KKMs保护KKs的传输，用K

5、Ks保护KDs的传输。 主密钥是通信双方长期建立密钥关系的基础，是用户和密钥分配中心的共享密钥。 用主密钥对所有初级密钥加密，使它们在密码装 置之外也受到保护。 象这样用一个密钥保护许多其他密钥的方法，在密码学中叫主密钥原理。 它从本质上把保护大量密钥的问题，简化成了集中保护和使用一个密钥问题。 这实际上也是数据加密思想的进一步深化。从原则上说，数据加密就是把保护大量数据的问题简化为保护和使用少量数据的问题。 利用安全信道实现（1）直接面议或通过可靠信使递送（2）将密钥分拆成几部分分别传送 k1 k2 k3 k4 k5 k1 k2 k3 k4 k5 发送方 分解密钥 接收方 组合密钥 K1 K

6、2 K3 K4 K5 信使 挂号信 特快专递 电话 信鸽 名称特点优点缺点适用范围静态分配 是一种由中心以脱线方式预分配的技术，是“面对面”的分发，安全性好，是长期沿用的传统密钥管理技术必须解决密钥的存储技术 静态分发只能以集中式机制存在 动态分配 是“请求分发”的在线分发技术 需要有专门的协议的支持 有中心和无中心的机制都可以采用 一个有n个用户的系统，需实现两两之间通信 n个用户，需要n(n-1)/2个共享密钥对称密钥配置 非对称密钥配置用户1 K1-2,K1-3,K1-nn个用户公钥，用户1自己私钥用户2 K2-1, K2-3,K2-n n个用户公钥，用户2自己私钥用户n Kn-1,Kn

7、-2,Kn-n-1 n个用户公钥，用户n自己私钥 中心化的密钥管理方式，由一个可信赖的联机服务器作为密钥分配中心（KDC）或密钥转递中心（KTC）（a） A B KTC K K K A B KTC K K A B KDC K K A B KTC K K （b）密钥分发中心(Key Distribution Center)l每个用户与KDC有共享密钥(Master Key)lN个用户，KDC只需分发N个Master Keyl两个用户间通信用会话密钥(Session Key)用户必须信任KDCKDC能解密用户间通信的内容KS：一次性会话密钥N1,N2：随机数KA,KB：A与B和KDC的共享密钥f：

8、某种函数变换4. )|(|Re|1AsKsKIDKENquestKEBAKDCAB1. Request|N1|AsKIDKEB2NESK5. )(2NfESK2.3. 用户数目很多并且分布地域很广，一个用户数目很多并且分布地域很广，一个KDCKDC无法承无法承担，需要采用多个担，需要采用多个KDCKDC的分层结构。的分层结构。 本地本地KDCKDC为本地用户分配密钥。为本地用户分配密钥。 不同区域内的不同区域内的KDCKDC通过全局通过全局KDCKDC沟通。沟通。 有有KDCKDC时，要求所有用户信任时，要求所有用户信任KDCKDC，并且要求对，并且要求对KDCKDC加以保护。加以保护。 无无

9、KDCKDC时没有这种限制，但是只适用于用户少的场时没有这种限制，但是只适用于用户少的场合合AB1. Request|N12. |)(|Re|21NNfIDquestKEBsKAB3. )(2NfESK用户用户A A和和B B建立会话密钥的过程建立会话密钥的过程 根据用途不同分为根据用途不同分为会话密钥（数据加密密钥）会话密钥（数据加密密钥）主密钥（密钥加密密钥），安全性高于主密钥（密钥加密密钥），安全性高于会话密钥会话密钥根据用途不同对密钥使用加以控制根据用途不同对密钥使用加以控制 用于用于DESDES的密钥控制，的密钥控制，8 8个校验位作为密钥个校验位作为密钥标签标签 1 1比特表示这个

10、密钥是会话密钥还是主密钥比特表示这个密钥是会话密钥还是主密钥1 1比特表示这个密钥能否用于加密比特表示这个密钥能否用于加密1 1比特表示这个密钥能否用于解密比特表示这个密钥能否用于解密其余比特保留其余比特保留 对每一密钥指定相应对每一密钥指定相应的控制矢量，分为若的控制矢量，分为若干字段，说明在不同干字段，说明在不同情况下是否能够使用情况下是否能够使用 有有KDCKDC产生加密密钥产生加密密钥时加在密钥之中时加在密钥之中 h h为为hashhash函数，函数，K Kmm是主是主密钥，密钥，K KS S为会话密钥为会话密钥 控制矢量控制矢量CVCV明文发送明文发送)(outKSSHKoutmin

11、KDKKEKHKKCVhHinm优点：优点：1.CV1.CV长度没有限制长度没有限制2.CV2.CV以明文形式存在以明文形式存在两方面内容：公钥密码体制中所使用的公钥的分配；使用公钥分配对称加密体制的密钥。 用户将自己的公钥发给每一个其他用户 方法简单，但没有认证性，因为任何人 都可以伪造这种公开发布 公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由可信的实体和组 织承担。 每一用户都亲自或以某种安全的认证通 信在管理者处为自己的公开密钥注册。 用户可以随时替换自己的密钥。 管理员定期公布或定期更新目录。 用户可以通过电子手段访问目录。 公钥管理机构为用户建立维护动态的公钥目录。 每个

12、用户知道管理机构的公开钥。 只有管理机构知道自己的秘密钥。公钥管理机构AB1.Request|Time12.|Re|1TimequestPKEBSKAU3.|1NIDEAPKB6.|21NNEAPK4.Request|Time25.|Re|2TimequestPKEASKAU7.2NEBPK 用户通过公钥证书交换各自公钥，无须与公钥管理机构联系 公钥证书由证书管理机构CA（Certificate Authority）为用户建立。 证书的形式为 T-时间，PKA-A的公钥，IDAA的身份，SKCACA的私钥 时戳T保证证书的新鲜性，防止重放旧证书。,AASKAPKIDTECCACA的计算机用户的

13、计算机产生密钥姓名秘密钥公开钥CA的公开钥CA的秘密钥签字证书SPKKEEAB1.PKA|IDA2.SPKKEA简单分配易受到主动攻击AB攻击者E1.PKA|IDA2.PKE|IDA3.4.SPKKEASPKKEE具有保密性和认证性的密钥分配AB2.|21NNEAPK3.2NEBPK4.SSKPKKEEAB1.|1APKIDNEB aU aV用户U选择一随机数aU，计算用户V选择一随机数aV，计算生成的会话密钥为KmodaUuYpmodaVvYpmodaUvK YpmodaVuK YpDiffie-Hellman密钥交换协议密钥交换协议:双方选择素数双方选择素数p以及以及p的一个原根的一个原根

14、 U随机选择随机选择aU Zp,计算计算 aU mod p并发给并发给VV随机选择随机选择aV Zp,计算计算 aV mod p并发给并发给UU计算计算( aV mod p)aU mod p = aUaV mod pV计算计算( aU mod p)aV mod p = aUaV mod p双方获得共享密钥双方获得共享密钥( aUaV mod p)这个协议可以被中间人攻击这个协议可以被中间人攻击 Diffie-Hellman密钥交换攻击中间人攻击图示中间人攻击图示ABK = aXaXoOK = aXbXo 中间人攻击中间人攻击1 双方选择素数双方选择素数p以及以及p的一个原根的一个原根a(假定假

15、定O知道知道)2 A选择选择Xap,计算计算Ya=aXa mod p, AB: Ya3 O截获截获Ya,选选Xo,计算计算Yo=aXo mod p,冒充冒充AB:Yo4 B选择选择Xb0 231 a 乘数 0am a=75=16807 c 增量 0 cm X0 种子 0 X0m 线性同余伪随机数缺乏不可预测性 循环加密 DES输出反馈方式 ANSI X.917 伪随机数产生器 Blum Blum Shub(BBS)产生器 ANSI X9.17Ri=EDEK1,K2(ViEDEK1,K2(DTi)Vi+1= EDEK1,K2(RiEDEK1,K2(DTi) 首先选择两个大素数p,q pq 3(m

16、od4) 选择s与n互素 通过了“下一位”测试(next-bit test) 不存在多项式时间的算法使得在已知前 k位的情况下预测出第k+1位的概率大 于0.5。 BBS的安全性同样基于分解n的难度。2021mod1() modmod 2iiiiXsnforitoXXnBX 在导弹控制、重要场所通行检验等情况， 通常必须由两个或多个人同时参与才能 生效，这时都需要将秘密分给多个人， 掌管秘密的人同时到场才能恢复这一秘 密。由此，引入门限方案的一般概念。 定义：设秘密s被分成n个部分信息，每一部分 称为一个子密钥，由参与者持有，使得：n 由k个或多于k个参与者所持有的部分信息可重构s。n 由少于

17、k个参与者所持有的部分信息则无法重构s。n 则称这种方案为（k,n）秘密分割门限n 方案，k称为方案的门限值，参与者的集1. 合称为授权子集。 若一个秘密分割方案，由少于k个参与者所持有的部分信息得不到秘密s的任何信息，则称该方案是完善的。两种最具代表性的秘密分割门限方案。n Shamir门限方案1. AsmuthBloom方案Shamir门限方案n 随机选择一个有限域 上的 次的多项式 ，其中 。计算 n 并发送给参与者 。1. 每一参与者接收到 后，任何t个参与者一起利用 ，利用Lagrange插值法构造多项式：( )GF q(0)fs( ,)|1, kkii skt ( )if isiP

18、is1t 计算 可得秘密s。 (0)fs11()( )( )(mod )()kkljjljlljxif xf iqii10( )tkkifxa x例1 设k=3,n=5,q=19,s=11，随机选取a1=2,a2=7，得多项式为f(x)=(7x2+2x+11) mod 19分别计算f(1)=(7+2+11) mod 19=20 mod19=1f(2)=(28+4+11) mod 19=43 mod19=5f(3)=(63+6+11) mod 19=80 mod19=4f(4)=(112+8+11) mod 19=131 mod19=17f(5)=(175+10+11) mod 19=196 mod19=6得5个子密钥。 如果知道其中的3个子密钥f(2)=5,f(3)=4,f(5)=6，就可按以下方式重构f(x)： 22653536259623 mod19835 172523 mod1926188296 mod197211f xxxxxxxxxxxxxxxxx 从而得秘密为s=11。