第7章 密钥管理技术

1、1/43l第第1 1章章 密码学概述密码学概述 l第第2 2章章 古典密码技术古典密码技术l第第3 3章章 分组密码分组密码l第第4 4章章 公钥密码体制公钥密码体制 l第第5 5章章 散列函数与消息鉴别散列函数与消息鉴别 l第第6 6章章 数字签名技术数字签名技术 l第第7 7章章 密钥管理技术密钥管理技术l第第8 8章章 身份鉴别技术身份鉴别技术 l第第9 9章章 序列密码基础序列密码基础 l第第1010章章 密码技术应用密码技术应用 课程主要内容课程主要内容四川大学电子信息院2/437.1 密钥管理概述密钥管理概述 1.1.密钥管理的重要性密钥管理的重要性 所有的密码技术都所有的密码技术

2、都依赖依赖于密钥。于密钥。 现代密码体制要求加密算法是可以公开评估现代密码体制要求加密算法是可以公开评估的，整个密码系统的安全性并不取决于对密码算的，整个密码系统的安全性并不取决于对密码算法的保密或者是对加密设备等的保护。法的保密或者是对加密设备等的保护。 决定整个密码体制安全性的因素将是密钥的决定整个密码体制安全性的因素将是密钥的保密性保密性（“一切秘密予于密钥之中！一切秘密予于密钥之中！”）：）： 密码算法可以公开，密码设备可以丢失，但密码算法可以公开，密码设备可以丢失，但它们都不危及密码体制的安全性；但一旦密钥丢它们都不危及密码体制的安全性；但一旦密钥丢失，非法用户将会有可能窃取信息。失

3、，非法用户将会有可能窃取信息。四川大学电子信息学院3/437.1 密钥管理概述密钥管理概述 1.1.密钥管理的重要性密钥管理的重要性 （续）（续）在考虑密码系统的应用设计时，特别是在商用在考虑密码系统的应用设计时，特别是在商用系统的设计时，需要解决的核心问题是密钥管系统的设计时，需要解决的核心问题是密钥管理问题，而不是密码算法问题。理问题，而不是密码算法问题。 例如商用系统可以使用公开了的、经过大量例如商用系统可以使用公开了的、经过大量评估分析认为抗攻击能力比较强的算法。评估分析认为抗攻击能力比较强的算法。 密钥的管理本身是一个很复杂的课题，而且密钥的管理本身是一个很复杂的课题，而且是保证安全

4、性的是保证安全性的关键点关键点。四川大学电子信息学院4/432.2.密钥管理的概念密钥管理的概念 密钥管理是一门综合性的技术，涉及密钥的产生、检验、分发、密钥管理是一门综合性的技术，涉及密钥的产生、检验、分发、传递、保管、使用、销毁的全部过程，还与密钥的行政管理制度以传递、保管、使用、销毁的全部过程，还与密钥的行政管理制度以及人员的素质密切相关。及人员的素质密切相关。 3.3.密钥管理的目的密钥管理的目的 维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：密钥的泄露密钥的泄露秘密密钥或公开密钥的身份的真实性丧失秘密密钥或公开密钥的身份的

5、真实性丧失未经授权使用未经授权使用4. 4. 密钥管理系统的要求密钥管理系统的要求密钥难以被非法窃取；密钥难以被非法窃取；在在一定条件一定条件下获取了以前的密钥用处也很小；下获取了以前的密钥用处也很小；密钥的分配和更换过程对用户是透明的。密钥的分配和更换过程对用户是透明的。四川大学电子信息学院5/43 适应于对密钥管理系统的要求，现有的计算机网络系统与数适应于对密钥管理系统的要求，现有的计算机网络系统与数据库系统的密钥管理系统的设计大都采用了层次化的密钥结构。据库系统的密钥管理系统的设计大都采用了层次化的密钥结构。 5. 5. 密钥的组织结构密钥的组织结构 四川大学电子信息学院6/43(1)

6、区分密钥管理的策略和机制区分密钥管理的策略和机制策略是密钥管理系统的高级指导。策略着重原则指导，策略是密钥管理系统的高级指导。策略着重原则指导，而不着重具体实现。密钥管理机制是实现和执行策略的技而不着重具体实现。密钥管理机制是实现和执行策略的技术机构和方法。术机构和方法。 (2) 全程安全原则全程安全原则必须在密钥的产生、存储、备份、分发、组织、使用、必须在密钥的产生、存储、备份、分发、组织、使用、更新、终止和销毁等的全过程中对密钥采取妥善的安全管更新、终止和销毁等的全过程中对密钥采取妥善的安全管理。理。 (3) 最小权利原则最小权利原则应当只分发给用户进行某一事务处理所需的最小的密应当只分发

7、给用户进行某一事务处理所需的最小的密钥集合。钥集合。 (4) 责任分离原则责任分离原则一个密钥应当专职一种功能，不要让一个密钥兼任几一个密钥应当专职一种功能，不要让一个密钥兼任几种功能。种功能。6. 6. 密钥管理的原则密钥管理的原则四川大学电子信息学院7/43(5) 密钥分级原则密钥分级原则可减少受保护的密钥的数量，又可简化密钥的管理工可减少受保护的密钥的数量，又可简化密钥的管理工作。一般可将密钥划分为三级：主密钥，二级密钥，初级作。一般可将密钥划分为三级：主密钥，二级密钥，初级密钥。密钥。 (6) 密钥更新原则密钥更新原则密钥必须按时更新。否则，即使是采用很强的密码算密钥必须按时更新。否则

8、，即使是采用很强的密码算法，使用时间越长，敌手截获的密文越多，破译密码的可法，使用时间越长，敌手截获的密文越多，破译密码的可能性就越大。能性就越大。(7) 密钥应当有足够的长度密钥应当有足够的长度密码安全的一个必要条件是密钥有足够的长度。密钥密码安全的一个必要条件是密钥有足够的长度。密钥越长，密钥空间就越大，攻击就越困难，因而也就越安全。越长，密钥空间就越大，攻击就越困难，因而也就越安全。 (8) 密码体制不同，密钥管理也不相同密码体制不同，密钥管理也不相同由于传统密码体制与公开密钥密码体制是性质不同的由于传统密码体制与公开密钥密码体制是性质不同的两种密码，因此它们在密钥管理方而有很大的不同。

9、两种密码，因此它们在密钥管理方而有很大的不同。 密钥管理的原则（续）密钥管理的原则（续）四川大学电子信息学院8/43(1)初级密钥初级密钥 最底层的密钥，直接对数据进行加密和解密。最底层的密钥，直接对数据进行加密和解密。 初级文件密钥初级文件密钥 ：用于文件保密的初级密钥用于文件保密的初级密钥 会话密钥：会话密钥：一般由系统自动产生，且对用户一般由系统自动产生，且对用户是不可见的。是不可见的。 在一次通信或数据交换中，用在一次通信或数据交换中，用户之间所使用的密钥。会话密钥可由通信用户之间所使用的密钥。会话密钥可由通信用户之间进行协商得到。它一般是动态地、仅户之间进行协商得到。它一般是动态地、

10、仅在需要进行会话数据加密时产生，并在使用在需要进行会话数据加密时产生，并在使用完毕后立即清除掉。完毕后立即清除掉。典型的三层密钥体系典型的三层密钥体系四川大学电子信息学院9/43(2) 密钥加密密钥密钥加密密钥 密钥加密密钥一般是用来对传送的会话密密钥加密密钥一般是用来对传送的会话密钥或文件加密密钥进行加密时所采用的密钥，钥或文件加密密钥进行加密时所采用的密钥，也称为也称为二级密钥二级密钥。密钥加密密钥实际是。密钥加密密钥实际是用来保用来保护通信或文件数据的会话密钥或文件加密密钥护通信或文件数据的会话密钥或文件加密密钥。在通信网中，一般在每个节点都分配有一个这在通信网中，一般在每个节点都分配有

11、一个这类密钥，同时，为了安全，各节点的密钥加密类密钥，同时，为了安全，各节点的密钥加密密钥应互不相同。密钥应互不相同。(3) 主密钥主密钥主密钥对应于层次化密钥结构中的最高层主密钥对应于层次化密钥结构中的最高层次，它是对密钥加密密钥进行加密的密钥。次，它是对密钥加密密钥进行加密的密钥。典型的三层密钥体系典型的三层密钥体系四川大学电子信息学院10/43(1) 安全性大大提高安全性大大提高 下层的密钥被破译将不会影响到上层密钥的安全。在下层的密钥被破译将不会影响到上层密钥的安全。在少量最初的处于最高层次的密钥注入系统之后，下面各层少量最初的处于最高层次的密钥注入系统之后，下面各层密钥的内容，可以按

12、照某种协议不断地变化（例如可以通密钥的内容，可以按照某种协议不断地变化（例如可以通过使用安全算法以及高层密钥动态地产生低层密钥）。过使用安全算法以及高层密钥动态地产生低层密钥）。 静止的密钥系统静止的密钥系统 动态的密钥系统动态的密钥系统(2) 为密钥管理自动化带来了方便为密钥管理自动化带来了方便 开放式的网络应用环境不可能再进行人工密钥分配。开放式的网络应用环境不可能再进行人工密钥分配。 层次化密钥结构中，除了一级密钥需要由人工装入以层次化密钥结构中，除了一级密钥需要由人工装入以外，其他各层的密钥均可以由密钥管理系统按照某种协议外，其他各层的密钥均可以由密钥管理系统按照某种协议进行自动地分配

13、、更换、销毁等。进行自动地分配、更换、销毁等。层次化的密钥结构的好处层次化的密钥结构的好处四川大学电子信息学院11/437. 密钥的生成密钥的生成 对于一个密码体制，如何产生好的密钥是非常关键，密钥对于一个密码体制，如何产生好的密钥是非常关键，密钥选择的不当将会极大地影响密码体制的安全性。选择的不当将会极大地影响密码体制的安全性。 好的密钥应当具有良好的随机性和密码特性好的密钥应当具有良好的随机性和密码特性(例如避免弱例如避免弱密钥的出现等密钥的出现等)。 因此，密钥的生成一般都首先通过密钥产生器借助于某种因此，密钥的生成一般都首先通过密钥产生器借助于某种噪声源产生具有较好统计分布特性的序列，

14、然后再对这些序列噪声源产生具有较好统计分布特性的序列，然后再对这些序列进行各种随机性检验以确保其具有较好的密码特性。进行各种随机性检验以确保其具有较好的密码特性。四川大学电子信息学院12/43密钥的生成（续）密钥的生成（续） 不向层次的密钥产生的方式一般也不相同：不向层次的密钥产生的方式一般也不相同： (1) 主密钥：主密钥：虽然一般它的密钥量很小，但作为虽然一般它的密钥量很小，但作为整个密码系统整个密码系统的核心的核心，需要严格保证它的随机性，避免可预测性。因此，主，需要严格保证它的随机性，避免可预测性。因此，主密钥通常采用掷硬币、骰子或使用其它物理噪声发生器的方法密钥通常采用掷硬币、骰子或

15、使用其它物理噪声发生器的方法来产生。来产生。 (2) 二级密钥二级密钥: 可以采用伪随机数生成器、安全算法可以采用伪随机数生成器、安全算法(例如，可例如，可以在主机主密钥的控制下由以在主机主密钥的控制下由ANSI X9.17所给出的算法产生所给出的算法产生)或或电子学噪声源产生。电子学噪声源产生。 (3) 会话密钥会话密钥: 可以在密钥加密密钥的控制下通过安全算法可以在密钥加密密钥的控制下通过安全算法动动态地产生态地产生。13/43目的：目的： 密钥分配与密钥协商过程都是用以在保密通信双方之密钥分配与密钥协商过程都是用以在保密通信双方之间建立通信所使用的密钥的协议间建立通信所使用的密钥的协议(

16、或机制或机制)。 在这种协议在这种协议(或机制或机制)运行结束时，参与协议运行的双方都运行结束时，参与协议运行的双方都将得到相同的密钥，同时，所得到的密钥对于其他任何方将得到相同的密钥，同时，所得到的密钥对于其他任何方(除除可能的可信管理机构外可能的可信管理机构外)都是不可知的。都是不可知的。（1）密钥分配）密钥分配 是这样一种机制，保密通信中的一方利用此机制生成并选是这样一种机制，保密通信中的一方利用此机制生成并选择秘密密钥，然后将其安全传送给通信的另一方或通信的其择秘密密钥，然后将其安全传送给通信的另一方或通信的其他多方。他多方。 典型协议：典型协议：Kerboros密钥分配协议密钥分配协

17、议7.2 秘密密钥分配与协商秘密密钥分配与协商密钥预分配：密钥预分配：TA(可信管理机构可信管理机构TA ,Trust Authority)预先分配预先分配密钥，用户之间的通信将使用预先分配好的密钥。密钥，用户之间的通信将使用预先分配好的密钥。密钥在线分配：密钥在线分配：在用户需要进行通信时在用户需要进行通信时TA才进行密钥分配的才进行密钥分配的过程，一般需要有一个在线过程，一般需要有一个在线TA，例如著名的，例如著名的Kerberos体制。体制。14/43（2）密钥协商）密钥协商 通常是一种协议，利用该协议，通信双方可以在一个公开通常是一种协议，利用该协议，通信双方可以在一个公开的信道上通过

18、相互传送一些消息来共同建立一个安全的共享的信道上通过相互传送一些消息来共同建立一个安全的共享秘密密钥。在密钥协商中，双方共同建立的秘密密钥通常是秘密密钥。在密钥协商中，双方共同建立的秘密密钥通常是双方输入消息的一个函数。双方输入消息的一个函数。典型协议：典型协议： Diffie-Hellman密钥交换密钥交换协议协议 可信的管理机构可信的管理机构TA (Trust Authority)，它的作用可能包括：，它的作用可能包括：验证用户身份；产生、选择和传送秘密密钥给用户等。验证用户身份；产生、选择和传送秘密密钥给用户等。秘密密钥分配与协商（续）秘密密钥分配与协商（续）四川大学电子信息学院15/4

19、3被动威胁：被动威胁：窃听；主动威胁：主动威胁：篡改、重放、冒充；主动攻击的目的：主动攻击的目的： (1) 欺骗通信双方接受一个过期失效的密钥；欺骗通信双方接受一个过期失效的密钥； (2) 让通信双方确信对手是另一方，然后与其建立一个有效让通信双方确信对手是另一方，然后与其建立一个有效的共享密钥。的共享密钥。 密钥分配协议和密钥协商协议的目的就是在协议结束时，密钥分配协议和密钥协商协议的目的就是在协议结束时，通信双方具有一个相同的秘密密钥通信双方具有一个相同的秘密密钥 k，并且，并且k不被其他人员知不被其他人员知道。道。 可以想象，在主动的对手存在的情况下，设计一个满足可以想象，在主动的对手存

20、在的情况下，设计一个满足上述目的的协议是比较困难的。上述目的的协议是比较困难的。对密钥分配、密钥协商的安全威胁：对密钥分配、密钥协商的安全威胁：四川大学电子信息学院16/43密钥分配基本方法密钥分配基本方法 密钥由密钥由A选定，然后通过选定，然后通过物理手段物理手段传给传给B。 密钥由密钥由第三方第三方C选定，然后通过选定，然后通过物理手段物理手段传给传给A和和B。 如果如果A和和B事先已经有一个密钥，则一方可以使用事先已经有一个密钥，则一方可以使用原来的旧密钥去加密新密钥，并通过原来的旧密钥去加密新密钥，并通过普通普通信道信道发送发送给另一方。给另一方。 如果如果A和和B与与第三方第三方C分

21、别有一个分别有一个安全安全信道信道，则，则C为为A和和B选定密钥后，通过选定密钥后，通过安全安全信道信道发送给发送给A和和B。四川大学电子信息学院17/43密钥分配基本方法密钥分配基本方法人工人工分法分法需要需要第三方第三方特点特点方法方法是是否否有有n个用户时，密钥数为个用户时，密钥数为Cn2 。因此，。因此，当当n很大时，人工分发密钥不可行。很大时，人工分发密钥不可行。方法方法是是是是方法方法否否否否分配分配初始密钥初始密钥代价大，为代价大，为Cn2。攻击者一旦获得一个密钥就可以获攻击者一旦获得一个密钥就可以获取以后所有的密钥。取以后所有的密钥。方法方法否否是是虽然会话密钥数为虽然会话密钥

22、数为Cn2 ，但要通过人，但要通过人工发送的主密钥只需工发送的主密钥只需n 个。个。四川大学电子信息学院18/43(1) 无无KDC的对称密钥分发的对称密钥分发（Key Distribution Center, KDC）方法：用双方共享的共享主密钥加密会话密钥方法：用双方共享的共享主密钥加密会话密钥 A使用新建立的会话密钥使用新建立的会话密钥ks对对NB加密后返回给加密后返回给B。（前提：（前提：A、B已安全拥有共享主密钥已安全拥有共享主密钥Km，每个节点需保存每个节点需保存 n1 个主密钥）个主密钥）发起方发起方A响应方响应方B(1) IDA|IDB |NA(2) EKm ks | IDA|

23、IDB |NA |NB (3) EksNB A向向B发出建立会话密钥的请求和一个现时发出建立会话密钥的请求和一个现时(NA)。 B用与用与A共享的主密钥共享的主密钥 Km对应答的消息加密，并发送给对应答的消息加密，并发送给A。应答的加。应答的加密消息中有密消息中有B选取的会话密钥选取的会话密钥ks 、A、B的身份的身份 、 NA和另一个现时和另一个现时NB 。对称密码体制的密钥分配对称密码体制的密钥分配四川大学电子信息学院19/43前提：前提：两个用户两个用户A、B分别与密钥分配中心分别与密钥分配中心KDC有共享密有共享密钥钥KA，KB。(2) 有有KDC的对称密钥分发方案的对称密钥分发方案密

24、钥分配过程密钥分配过程 EKSN2 EKSf(N2) EKBKS | IDAB A KDC IDA | IDB | N1 EKA KS | IDA | IDB | N1 | EKB(KS|IDA) 四川大学电子信息学院20/43KDCKDC的分层的分层如果网络中的用户数目非常多且地域分布非常广如果网络中的用户数目非常多且地域分布非常广 ，可采，可采用分层结构用分层结构 ：n在每个小范围（如一个在每个小范围（如一个LAN或一个建筑物）内建立一或一个建筑物）内建立一个本地个本地KDC，负责该范围内的密钥分配；，负责该范围内的密钥分配； n如果两个不同范围的用户想获得共享密钥，需要通过如果两个不同范

25、围的用户想获得共享密钥，需要通过各自的本地各自的本地KDC，并由两个本地，并由两个本地KDC经过一个全局经过一个全局KDC完成密钥分配。这样就建立了两层完成密钥分配。这样就建立了两层KDC结构。结构。 层次化的优势：层次化的优势：n可减少主密钥的分布，因为大多数主密钥是在本地可减少主密钥的分布，因为大多数主密钥是在本地KDC和本地用户之间共享；和本地用户之间共享；n可将虚假可将虚假KDC的危害限制到一个局部区域内。的危害限制到一个局部区域内。 四川大学电子信息学院21/43(3)会话密钥会话密钥Ks由由通信方通信方生成，由生成，由KDC分发分发1) A选择会话密钥选择会话密钥Ks，用与密钥分配

26、中心，用与密钥分配中心KDC共共享的密钥享的密钥Ka加密加密Ks与与B的身份的身份 ，然后发给，然后发给KDC 。2) KDC用与用与A共享的主密钥共享的主密钥Ka解密所收到的消息，解密所收到的消息，用与用与B共享的密钥共享的密钥Kb加密所得到的会话密钥加密所得到的会话密钥Ks及及A的身份，然后发给的身份，然后发给B。AKDC : EKaKs | IDB 3) B用用Kb解密所收到的消息，从而得到与解密所收到的消息，从而得到与A的会话密的会话密钥钥KDCB : EKbKs |IDA四川大学电子信息学院22/43(4)基于公钥密码体制的对称密钥分配基于公钥密码体制的对称密钥分配 由于由于公开密钥

27、加密算法公开密钥加密算法效率低效率低，不宜直接用来加密数据，但用，不宜直接用来加密数据，但用于分配常规密码体制的密钥却非常适合。于分配常规密码体制的密钥却非常适合。（混和密码系统）（混和密码系统） 简单的共享密钥分配简单的共享密钥分配 下图示出简单使用公钥加密算法建立会话密钥下图示出简单使用公钥加密算法建立会话密钥ks的过程。的过程。(1) A给给B传输一个请求报文传输一个请求报文 KUA|IDA ;(2) B产生一个秘密密钥产生一个秘密密钥ks ，并用，并用A的公钥加密后的的公钥加密后的EKUA ks传输给传输给A;(3) A计算计算DKRA EKUAks来恢复这个秘密密钥。因为只有来恢复这

28、个秘密密钥。因为只有A可以解密这个报文，可以解密这个报文，所以只有所以只有A和和B才会知道才会知道kS 。发起方发起方A响应方响应方B(1) KUA|IDA(2) EKUAkS 23/43思考：出现该问题的原因？思考：出现该问题的原因？A AAID|PK B E EPKSKE被被E截获截获AAID|PK KE SPKEAEID|PK E保存保存A的公钥，的公钥，然后生成自己的然后生成自己的公钥、密钥对，公钥、密钥对，并用自己公钥替并用自己公钥替换换A的公钥后，的公钥后，发给发给B。被被E截获截获E截获消息后，截获消息后，用自己的私钥解用自己的私钥解读会话密匙，再读会话密匙，再用用A的公钥加密的

29、公钥加密会话密匙后发给会话密匙后发给A。KE SPKA现在现在A和和B知道了知道了会话密钥，会话密钥，但但未意识到未意识到会话密钥已会话密钥已被被E截获。截获。A和和B在用这个在用这个会话密钥进行会话密钥进行通通信时，信时，E就可以实施监听。就可以实施监听。简单分配简单分配 中间人攻击中间人攻击四川大学电子信息学院24/43具有保密性和认证性的密钥分配具有保密性和认证性的密钥分配此密钥分配过程具有保密性和认证性，因此既可以防止被此密钥分配过程具有保密性和认证性，因此既可以防止被动攻击，有可防止主动攻击。动攻击，有可防止主动攻击。A N|NE 21PKA KE,NE sSK2PKAB ID|NE

30、 A1PKBB 前提前提A、B双方已完成公钥双方已完成公钥交换交换其中其中A的公钥记为的公钥记为PKA； B的公钥记为的公钥记为PKB其中其中SKA为用户为用户A的私钥的私钥四川大学电子信息学院25/437.3 公开密钥加密体制下的密钥管理公开密钥加密体制下的密钥管理 1) 公开密钥的分配公开密钥的分配 公开密钥公开密钥的分配方式有以下几类：的分配方式有以下几类： 公开发布公开发布： 公用目录表；公用目录表； 公钥管理机构；公钥管理机构； 公钥证书公钥证书 四川大学电子信息学院26/437.3 公开密钥加密体制下的密钥管理公开密钥加密体制下的密钥管理（1 1）公开发布）公开发布 用户将自己的公

31、钥发给每一个其他用户，或向用户将自己的公钥发给每一个其他用户，或向某一团体广播。某一团体广播。缺点：任何人都可以伪造这种公开发布。缺点：任何人都可以伪造这种公开发布。X 123n. . .X 公钥X 公钥X 公钥X 公钥四川大学电子信息学院27/437.3 公开密钥加密体制下的密钥管理公开密钥加密体制下的密钥管理（2 2）公用目录公用目录表表 建立建立一个公用的公钥动态目录表，公用目录表的建立、一个公用的公钥动态目录表，公用目录表的建立、维护以及公钥的分配必须由一个受信任的实体或组织承担，维护以及公钥的分配必须由一个受信任的实体或组织承担，称这个实体或组织为公用目录表的管理员称这个实体或组织为

32、公用目录表的管理员。该方案有以下内容：该方案有以下内容：1. 1. 管理员为每个用户维护一个目录项管理员为每个用户维护一个目录项 用户，公钥用户，公钥 。2. 2. 用户经过安全认证通信在目录管理员处登记公钥。用户经过安全认证通信在目录管理员处登记公钥。3. 3. 用户可以随时用新的密钥更换原来的密钥。用户可以随时用新的密钥更换原来的密钥。4. 4. 管理员定期公布或更新目录表。管理员定期公布或更新目录表。5. 5. 用户可通过电子方式访问目录表用户可通过电子方式访问目录表。四川大学电子信息学院28/437.3 公开密钥加密体制下的密钥管理公开密钥加密体制下的密钥管理用户名用户名公钥公钥USE

33、R 1KEY 1USER 2KEY 2. . . . .USER nKEY n公用公用目录目录表表媒体媒体用户用户管理员管理员登记登记更新更新发布发布读读/写写缺点：缺点：如果敌手获取了管理员如果敌手获取了管理员的密钥，的密钥，就可以伪造一个公就可以伪造一个公钥目录表，以后既可假冒任一用户又能监听发往任一用户钥目录表，以后既可假冒任一用户又能监听发往任一用户的消息，而且公用目录表还易受到敌手的窜扰。的消息，而且公用目录表还易受到敌手的窜扰。查询查询四川大学电子信息学院29/437.3 公开密钥加密体制下的密钥管理公开密钥加密体制下的密钥管理（3 3）公钥管理机构公钥管理机构 与公用目录表类似，

34、这里假定有一个公钥管理机与公用目录表类似，这里假定有一个公钥管理机构来为各用户建立、维护动态的公钥目录，但同时对系构来为各用户建立、维护动态的公钥目录，但同时对系统提出以下要求：统提出以下要求： 1. 每个用户都可靠的知道管理机构的公钥。每个用户都可靠的知道管理机构的公钥。 2. 只有管理机构自己知道相应的密钥。只有管理机构自己知道相应的密钥。缺点：缺点：由于每个用户要想和他人联系都需求助管理机构，由于每个用户要想和他人联系都需求助管理机构，所以管理机构有可能成为系统的瓶颈，而且由管理机构维所以管理机构有可能成为系统的瓶颈，而且由管理机构维护的公钥目录表也易被敌手窜扰。护的公钥目录表也易被敌手

35、窜扰。四川大学电子信息学院30/437.3 公开密钥加密体制下的密钥管理公开密钥加密体制下的密钥管理公钥管理机构分配公钥公钥管理机构分配公钥 EPKAN1 | N2 EPKBN2 EPKBIDA | N1B A 公钥公钥管理机构管理机构 ESKAUPKB|IDB|T1 IDA | T2 IDB|T1 ESKAUPKA|IDA|T2 前提前提A、B双方可信拥有双方可信拥有CA的的 公钥公钥PKAU CA私钥记为私钥记为SKAU 公钥证书公钥证书 利用利用在线服务器在线服务器分配公钥时，管理机构可能成为系统的分配公钥时，管理机构可能成为系统的瓶颈。瓶颈。 而采用公钥证书的方案，则允许用户通过公钥证

36、书相互而采用公钥证书的方案，则允许用户通过公钥证书相互之间交换公钥而无需与公钥管理机构联系之间交换公钥而无需与公钥管理机构联系。具体具体有如下要求：有如下要求： 1) 任何参与者都可以阅读任何参与者都可以阅读证书，以证书，以确定证书确定证书拥有者和拥有者和公公钥；钥； 2) 任何参与者都可以验证证书任何参与者都可以验证证书是否真正由证书是否真正由证书管理管理机构颁发；机构颁发； 3) 只有证书管理机构才能只有证书管理机构才能制作、更新公钥证书；制作、更新公钥证书； 4) 任何参与者都可以任何参与者都可以验证公钥证书验证公钥证书的时效性的时效性。7.3 公开密钥加密体制下的密钥管理（续）公开密钥

37、加密体制下的密钥管理（续） 公钥证书公钥证书由证书管理机构由证书管理机构CA(Certificate Authority)为用户为用户建立。建立。CA实际上是一个可信的第三方，能确认用户身份，通常是企业实际上是一个可信的第三方，能确认用户身份，通常是企业性的服务机构，主要任务是受理数字证书的申请、签发和管理。性的服务机构，主要任务是受理数字证书的申请、签发和管理。 公钥数字证书则是一种数字标识，是一个经证书授权中心数公钥数字证书则是一种数字标识，是一个经证书授权中心数字签名的、包含用户信息及公开密钥等信息的数据文件。字签名的、包含用户信息及公开密钥等信息的数据文件。公钥数字证书公钥数字证书的基

38、本形式为：的基本形式为：, ,CAAAAKRAACT IDKUST IDKU接收方可用接收方可用CA的公钥的公钥KUCA对证书加以验证：对证书加以验证： , ,CACACAKUAKUAAKRAAVCVT IDKUST IDKUtrue7.3 公开密钥加密体制下的密钥管理（续）公开密钥加密体制下的密钥管理（续）四川大学电子信息学院33/43 采用采用这种方法可以做到在用户交换公钥时，不需要联系这种方法可以做到在用户交换公钥时，不需要联系一个公开密钥管理机构，而且同直接从公开密钥管理机构一个公开密钥管理机构，而且同直接从公开密钥管理机构得到公钥一样可靠。得到公钥一样可靠。CA证书证书-用户信息用户

39、信息有效期有效期用户公钥用户公钥用户用户CACA用户信息用户信息打包打包用户公钥用户公钥签名签名 私钥私钥有效期有效期CA7.3 公开密钥加密体制下的密钥管理（续）公开密钥加密体制下的密钥管理（续）四川大学电子信息学院34/43一一个标准的个标准的X.509数字证书包含以下一些内容：数字证书包含以下一些内容：l 证书证书的版本信息；的版本信息；l 序列序列号号：一个有惟一性的整数值，与该证书唯一联系。l 签名签名算法标识符；算法标识符；l 证书证书发行机构名称及标识符；发行机构名称及标识符；（采用x.500格式）l 证书证书有效期：有效期：由两个日期组成，证书有效起始、结束时间。l 证书证书持

40、有人名称及标识符；持有人名称及标识符；（采用x.500格式）l 证书证书持有人的公开密钥、算法标识及参数；持有人的公开密钥、算法标识及参数；l 证书证书发行机构对证书的数字签名。发行机构对证书的数字签名。 国内目前已经建有数十家国内目前已经建有数十家CA体系，但还没有国家级的体系，但还没有国家级的根根CA，这就给各这就给各CA之间的之间的交叉认证交叉认证带来困难。带来困难。7.3 公开密钥加密体制下的密钥管理（续）公开密钥加密体制下的密钥管理（续）四川大学电子信息学院35/43X.509证书格式版本号证书序列号签名算法标识签发此证书的CA名称证书有效期用户名称用户公钥信息（算法、参数、公钥）四

41、川大学电子信息学院36/43X.509证书格式签发者唯一标识签发者唯一标识用户唯一标识用户唯一标识扩展项扩展项签名（算法、参数、签名（算法、参数、签名）签名）四川大学电子信息学院37/43公钥数字证书示例 四川大学电子信息学院38/43数字证书认证过程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证证书真实性的认证证书真实性的认证证书链的认证证书链的认证证书持有人的确认证书持有人的确认 检查证书中签名实体序列检查证书中签名实体序列号是否与签发者证书的序号是否与签发者证书的序列号一致。列号一致。四川大学电子信息学院39/43数字证书认

42、证过程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证证书真实性的认证证书真实性的认证证书链的认证证书链的认证证书持有人的确认证书持有人的确认 检查日期是否有效、合法：检查日期是否有效、合法：1.用户证书的有效期和私钥有用户证书的有效期和私钥有效期是否在效期是否在CA证书的有效期内。证书的有效期内。否则交易是不安全的。否则交易是不安全的。2. 用户证书的有效期中的起始用户证书的有效期中的起始时间应在时间应在CA证书的私钥有效期证书的私钥有效期内。否则证书是不安全的。内。否则证书是不安全的。四川大学电子信息学院40/43数字证书认证过

43、程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证证书真实性的认证证书真实性的认证证书链的认证证书链的认证证书持有人的确认证书持有人的确认 “黑名单查询黑名单查询”，向证书，向证书库查询证书吊销列表。库查询证书吊销列表。四川大学电子信息学院41/43数字证书认证过程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证证书真实性的认证证书真实性的认证证书链的认证证书链的认证证书持有人的确认证书持有人的确认 证书用途：证书用途：主机、用户、加密、签名验主机、用户、加密、签名验证证

44、四川大学电子信息学院42/43数字证书认证过程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证证书真实性的认证证书真实性的认证证书链的认证证书链的认证证书持有人的确认证书持有人的确认 验证证书的验证证书的CA数字签名有数字签名有效性（基于证书效性（基于证书CA的验证的验证公钥）公钥）四川大学电子信息学院43/43数字证书认证过程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证最终用户实体证书的确认最终用户实体证书的确认 证书链的认证证书链的认证证书持有人的确认证书持有人的

45、确认 所谓证书链的认证是想通过证所谓证书链的认证是想通过证书链追溯到可信赖的书链追溯到可信赖的CA的根。的根。四川大学电子信息学院44/43证书认证过程证书认证过程 序列号验证序列号验证有效期验证有效期验证证书作废列表查询证书作废列表查询证书使用策略的认证证书使用策略的认证最终用户实体证书的确认最终用户实体证书的确认 证书链的认证证书链的认证证书持有人的确认（按需进行）证书持有人的确认（按需进行） 基于基于“三趟消息三趟消息”机制。机制。四川大学电子信息学院45/437.4 Diffie-Hellman密钥协商密钥协商 1976年年Diffie和和Hellman在其里程碑意义的文章中，虽在其里

46、程碑意义的文章中，虽然给出了密码的思想，但是没有给出真正意义上的公钥密然给出了密码的思想，但是没有给出真正意义上的公钥密码实例。也没能找出一个真正带陷门的单向函数，然而他码实例。也没能找出一个真正带陷门的单向函数，然而他们给出单向函数的实例。并且基于此提出们给出单向函数的实例。并且基于此提出Diffie-Hellman密密钥协商算法。这个算法的安全性是钥协商算法。这个算法的安全性是基于有限域中计算离散基于有限域中计算离散对数的困难性。对数的困难性。 1）Diffie-Hellman密钥交换协议描述密钥交换协议描述 准备：准备：Alice和Bob协商好一个大素数q和q的一个本原元本原元 ， 1

47、q , q 和 无须保密，可为网络上的所有用户共享（称为全局公开参数全局公开参数）。四川大学电子信息学院46/43当用户当用户 Alice 和和 Bob要进行保密通信时，可以按如下步骤来做：要进行保密通信时，可以按如下步骤来做：qsaramod(1) Alice选取大的随机数选取大的随机数ra，保密不公开，并计算，保密不公开，并计算 Bob选取大的选取大的随机数随机数rb，也保密不公开，并计算，也保密不公开，并计算qsbrbmod(2) Alice将将sa传送给传送给Bob；Bob将将sb传送给传送给Alice；(3) Alice计算：计算：qqqqsKbaabarrrrrbabmodmod)

48、mod(modBob计算：计算：qqqqsKbababrrrrrabamodmod)mod(modsrrbaabKqKKbamod显然，Diffie-Hellman密钥协商密钥协商(续续)四川大学电子信息学院47/43 敌方可利用的信息：敌方可利用的信息：q、 、sa、sb，因此对方要从这些信息因此对方要从这些信息确定会话密钥，就被迫通过计算离散对数来确定密钥。确定会话密钥，就被迫通过计算离散对数来确定密钥。qqqqsKbababrrrrrasmodmod)mod(mod如，先计算：如，先计算：rb = inda,q(sb)，再计算：，再计算： 【例例】 选择全局公开参数，选择全局公开参数，q

49、=97， =5 A、B分别选择分别选择秘密密钥秘密密钥ra=36，rb=58 A计算：计算：sa =536 50mod97； （有人称为（有人称为A的的“公钥公钥”） B计算：计算：sb=558 44mod97； （有人称为（有人称为B的的“公钥公钥”） A、B双方交换双方交换sa和和sb后，分别计算：后，分别计算： Kab =4436 75mod97； Kba =5058 75mod97； 显然，显然， Kab = Kba， 而攻击者在已知而攻击者在已知 q=97， =5 的情况下，的情况下，要从要从50，44计算出计算出 75 不容易。不容易。48/43产生产生 ra产生产生 rtAlic

50、eTrudy中中间间人人攻攻击击产生产生 rbBob2） Diffie-Hellman密钥交换协议的安全问题密钥交换协议的安全问题 q , , qsaramod qsbrbmod正正常常密密钥钥交交换换产生产生ra产生产生rbAliceBobAlice计算：计算：qqsKbaarrrbabmodmodBob计算：计算：qqsKbabrrraabmodmod q , , qsaramod q , , qstrtmod qstrtmod qsbrbmod伪密钥伪密钥qKatrrtamod伪密钥伪密钥qKbtrrtbmod四川大学电子信息学院49/43 算法本身的安全性依赖于有限域上计算离散对数算法

51、本身的安全性依赖于有限域上计算离散对数的困难性。但协议在实际应用时，一定的困难性。但协议在实际应用时，一定要引入某种鉴要引入某种鉴别机制别机制，否则就容易受到，否则就容易受到中间人攻击中间人攻击 (man-in-the-middle attack) 密钥密钥协商协议应能同时鉴别参加者的身份，这种协商协议应能同时鉴别参加者的身份，这种协议称为鉴别密钥协商协议称为鉴别密钥协商 。 如图如图示意的端示意的端-端密钥协商协议（端密钥协商协议（STS, Stop-To-Stop） 用户用户A用户用户BAr,(,)BBArrrKBESig(,)ABrrKAESig四川大学电子信息学院50/437.5 秘密

52、分割秘密分割 应用场景应用场景 1.1.导弹控制发射，重要场所通行检验，通常需要导弹控制发射，重要场所通行检验，通常需要多人同时参与才能生效，需要将秘密分为多人多人同时参与才能生效，需要将秘密分为多人掌管，并且由一定掌管秘密的人数同时到场才掌管，并且由一定掌管秘密的人数同时到场才能恢复秘密能恢复秘密。2.2.金库进入；金库进入；3.3.门限签名；门限签名；四川大学电子信息学院51/43一个简单的秘密分割方案一个简单的秘密分割方案（1）Trent产生一随机比特串产生一随机比特串R，和消息，和消息M一样长。一样长。（2）Trent用用R异或异或M得到得到S：M R = S（3）Trent把把R给给

53、Alice，将，将S给给Bob。 为了重构此消息，为了重构此消息，Alice和和Bob只需一起做一步：只需一起做一步：（4）Alice和和Bob将他们的消息异或就可得到此消将他们的消息异或就可得到此消息：息：R S = M.四川大学电子信息学院52/43门限方案的一般概念门限方案的一般概念 秘密秘密s被分为被分为n个部分个部分,每个部分称为每个部分称为shadow,由一个由一个参与者持有，使得：参与者持有，使得： 由由k个或多于个或多于k个参与者所持有的部分信息可重构个参与者所持有的部分信息可重构s。 由少于由少于k个参与者所持有的部分信息则无法重构个参与者所持有的部分信息则无法重构s。 称为称为(k,n)秘密分割门限方案，秘密分割门限方案，k称为门限值。称为门限值。 若少于若少于k个参与者所持有的部分信息得不到个参与者所持有的部分信息得不到s的任何的任何信息称该门限方案是完善的。信息称该门限方案是完善的。四川大学电子信息学院53/43ShamirShamir门限方案的原理门限方案的原理基于多项式基于多项式Lagrange插值公式插值公式思路：思路： 设设(x1，y1),(xk，yk)是平面上是平面上k个点个点构成的点集，构成的点集，其中其中xi(i=1， ， k)各不各不相同，且相同，且线性无关线性无关，那那么在平面上存在唯一的么在平面上存在唯一的k 1次多