第6章密码应用与密钥管理

1、第六章第六章 密码应用与密钥管理密码应用与密钥管理内容提要：内容提要：6.1 密码应用6.2 密钥管理6.3 公钥基础设施PKI6.1 密码应用密码应用6.1.1 信息加密、认证和签名流程信息加密、认证和签名流程加密、认证、签名机密性、完整性、抗否认性保保证证加密是保障信息机密性的主要措施。加密是保障信息机密性的主要措施。加密机制的应用一般需要考虑如下几个因素：首先选择一种密码体制（对称密码体制或公钥密码体制），然后从相应的密码体制中选择一个算法，再确定加密工作模式。有时，数据的大小不适合算法的分组需要，则需要填充附加数据。机密性：机密性：完整性：完整性：完整性检测也称消息认证，主要通过信息摘

2、要完整性检测也称消息认证，主要通过信息摘要来实现。来实现。相应的机制主要有消息认证码、签名、加密、序列完整性、复制、完整性恢复等。序列完整性检测是为了检测数据项的重放、重排、丢失，一般可以通过两种方法来实现：一种是在封装、签名或加密之前，给数据附加一个完整性序列号；另一种是在封装、签名或加密过程中利用数据项上的链产生一个加密链。信息否认：信息否认：信息否认信息否认起源的否认：起源的否认：目的是否认产生特定的数据和/或产生数据的时间传递的否认：传递的否认：目的是否认传递特定的数据和/或传递数据的时间抗起源否认可以采用如下机制：（1）发送者签名：发送者签名： 发送者本地签署数据项并将签名与相应的数

3、据一起传递给接收者，接收者受到后验证数字签名并保存为书签。若以后发生发送者否认数据项起源的事件，接收者可以出示保存的数字签名作为依据。（2）可信第三方签名：可信第三方签名： 可以用可信第三方的数字签名代替发起者自己的签名。此时可信第三方被看成了发起者的担保。发起者传递数据项给可信第三方，可信第三方对数据项、发起者身份以及其他必要的信息（如时间戳）产生一个数字签名，传送给接受者用于验证和保存证据。抗传递否认可以采用如下机制：（1）接收者签名确认：接收者签名确认： 接收者对接收到的信息或内容摘要及其他必要的信息进行签名，作为确认信息回复发送者。（2）可信传递代理确认：可信传递代理确认： 为了防止接

4、收者收到信息之后否认，可以采用可信的第三方作为传递代理介入发送者与接收者的通信线路中。当发送者发送的数据项经过传递代理时，由它生成签名确认收到的信息。一般情况下传递代理只有在消息到达接收者才会生成签名确认。信息在网络中传输时，发送方、接收方、可信第三方及敌方的关系：信息在网络中传输时，发送方、接收方、可信第三方及敌方的关系：可信第三方（如仲裁者、分发者等）安全性相关的变换安全性相关的变换敌手消息当地信息信道发送者接收者消息当地信息网络通信安全模型加密、认证和签名的流程：加密、认证和签名的流程：消息链接消息消息签名会话密钥加密算法密文发送消息签名签名算法时间戳消息摘要摘要算法签名私钥6.1 密钥

5、应用 在通信网络中加密，首先要知道哪些数据需要加密以及在网络的哪些环节进行加密。 根据加密物理位置的不同，可以分为端端加密和链路加密。 根据在网络中加密逻辑层次的不同，可分为链路加密、网络层加密、会话层加密和应用层加密。6.1.2 加密位置加密位置服务器A应用层加密会话层加密(ssl)/网络层加密(IPSec)客户终端A 应用层加密会话层加密(ssl)/网络层加密(IPSec)交换机加密机A网络层加密(IPSec)链路层加密(L2TP)服务器B应用层加密会话层加密(ssl)/网络层加密(IPSec)客户终端B应用层加密会话层加密(ssl)/网络层加密(IPSec)交换机加密机B网络层加密(IP

6、Sec)链路层加密(L2TP)通信网(Internet/专网)链路加密 指每个易受攻击的的链路两端都使用加密设备进行加密，图中加密机A和加密机B之间的加密就是链路加密。 优点：链路加密中的整条链路上的传输都是安全的。 缺点：数据报每进入一个分组交换机后都需要解密，因为交换机必须读取数据报报头中的地址以便为数据报选择路由，这样，在交换机中数据报易受攻击。链路加密时，每一链路两端的一对节点都应该共享一个密钥，不同的节点对共享不同的密钥。因而需要提供很多密钥，每个密钥仅仅分配给一对节点。端端端加密端加密 指仅在一对用户的通信线路两端进行加密，图中客户端A和客户端B或者客户端A和服务器A间的加密都属于

7、端端加密。端端数据加密是以加密的形式从源结点通过网络传送到目的结点，目标结点与源结点共享的密钥对数据解密。 优点：可以防止对网络上链路和交换机的攻击。此外端端加密还能提供一定程度的认证。 链路层加密 主要采用流密码技术，在链路层加密与通信链路关系密切，因此通用性差。 网络层加密和会话层加密 两者类似，都是以分组加密算法为主，其典型的协议分别是Isec和SSL，第十三章将专门介绍。 应用层加密 与应用关系密切，如邮件加密协议PGP、电子商务安全协议SET等，死十五章中专门介绍。 6.2 密钥管理 在采用密码技术保护的现代通信系统中，密码算法通常是公开的，因此其安全性就取决于对密钥的保护。一旦密钥

8、丢失或出错，要么合法用户不能提取保密的信息，要么非法用户可能窃取信息。因此，密钥生成算法的强度、密钥的强度，密钥的长度，密钥的保密和安全管理是保证系统安全的重要因素。 密钥管理的任务就是管理密钥的产生到销毁全过程，包括系统初始化、密钥的产生、存储、备份、恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等6.2.1 概述概述（1） 基本密钥 又称初始密钥，是由用户选定或由系统分配，可在 较长时间内由一对用户专门使用的秘密密钥，也称 用户密钥。既要安全，又要便于更换。 6.2.2 密钥分类密钥分类从网络应用来看，密钥一般分为以下几类：从网络应用来看，密钥一般分为以下几类：（2） 会话密钥 即两

9、个通信终端用户在一次通话或交换数据时所用 的密钥。当用于对传输的数据进行保护时称为数据 加密密钥，而用于保护文件时称为文件密钥。 为通信双方专用，故又称专用密钥。 （3） 密钥加密密钥 用于对传送的会话或文件密钥进行加密时采用的密 钥，也称为次主密钥、辅助密钥或密钥传送密钥。 每个节点都分配有一个这类密钥。为了安全，各节 的密钥加密密钥应该互不相同。每个节点都须存储 有关到其他各节点和本节点范围内各终端所用的密 钥，而各终端只需要一个与其它节点交换会话密钥 时所需要的密钥加密密钥，称为终端主密钥。 （4） 主机主密钥 是对密钥加密密钥进行加密的密钥，存于主机处理 处理器中。除上述几种密钥外，还

10、有一些密钥，如用户选择密钥、算法更换密钥等，这些密钥的某些作用可以归入上述几类中。6.2.3 密钥长度的选择原则密钥长度的选择原则 密钥长度的选择与加密数据的重要性和保密期限有关 当加密算法除穷举外无其他破译捷径时，密钥长度和 每秒可实现的搜索密钥数决定了密码体制的安全性 密钥长度的选择与破译的代价有关 密钥长度的选择与具体的应用有关 如数据的重要性、保密期限的长短、可能破译者的计 能力大小等。 目前，长度在128比特以上的密钥是安全的（1） 手工产生密钥（2） 用密钥产生器产生密钥不仅可以 减轻繁琐的劳动，而且可以消除 人为的差错。 6.2.4 密钥的产生和装入密钥的产生和装入密钥的产生必须

11、考虑密钥的产生必须考虑 具体密码体制的公认的限制具体密码体制的公认的限制不同种类的密钥产生的方法不同 主机密钥的装入 主密钥可能由可信赖的保密员在非常安全的条件下装入主机，一但装入，就不能读取 终端主密钥的装入 可由保密员在安全的条件下装入，也可以用专用的密钥注入设备装入，以后不能读取 会话密钥的获取 如主机与终端的通信，主机产生会话密钥，以相应的终端主密钥对其进行加密，将加密结果送给终端，终端收到后，解密得到会话密钥密钥的装入密钥的装入 利用公钥密码体制实现 利用安全信道实现6.2.5 对称密码体制的密钥分配对称密码体制的密钥分配任何密码系统的强度都依赖于密钥分配技术任何密码系统的强度都依赖

12、于密钥分配技术(1) A向B发出建立会话密钥的请求和一个一次性随机数(2) B用与A共享的主密钥对应答的消息加密，并发送给A，应答的消息中包括B选取的会话密钥、B的身份、f（1）和另一个一次性随机数2 。(3) A用新建立的会话密钥加密f（2）并发送给BAB无中心化密钥管理方式AKDCB(1) A向KDC发出会话密钥请求。(2) KDC为A的请求发出应答。(3) A存储会话密钥，并向B转发从KDC的应答中得到的应该转发给B的部分。B收到后，可得到会话密钥KS 。(4) B用会话密钥KS加密另一个一次性随机数，并将加密结果发送给A(5) A用会话密钥KS加密加密f(N2),并将加密结果发送给B中

13、心化密钥管理方式6.2.6 公钥公钥密码体制密码体制的密钥分配的密钥分配 公钥密码体制的一个重要用途就是分配对称密码体制使用的密钥 一种具有保密性和认证性的分配方式：（1）A用B的公钥加密A的身份和一个一次性随机数N1 后 发给B（2）B解密得N1并用A的公钥加密N1和另外一个随机数N2 后发给A（3）A用B的公钥加密N2后发给B（4）A选一个会话密钥KS,用A的私钥加密用再用B的公钥加密 并发送给B（5）B用A的公钥和B的私钥解密得KS 公开发布用户将自己的公钥发给所有其他用户或向某一团体广播 公钥动态目录表建立一个公用的动态目录表,表的建立和维护以及公钥的发布由某个公钥管理机构承担,每个用

14、户都可靠地知道管理机构的公钥 公钥证书公钥证书由证书管理机构CA为用户建立,其中的数据有该用户的公钥、用户的身份和时间戳等公钥的分配方法公钥的分配方法6.2.7 密钥托管密钥托管密钥托管的概念密钥托管的概念什么是密钥托管 密钥托管指把通信双方的会话密钥交由合法的第三方，以便让合法的第三方利用得到的会话密钥解密双方通信的内容，从而监视双方的通信。 密钥托管的机构： 政府部门和法律执行部门三大部分：三大部分： 用户安全组件USC 密钥托管组件KEC 数据恢复组件DRC密钥托管系统的组成密钥托管系统的组成联系：联系：USC使用密钥K加密明文数据,并把数据恢复域DRF链接到密文上;DRC则利用KEC提

15、供的信息和包含于数据恢复域DRF中的信息恢复出明文.密钥K明文加密密钥K解密明文数据恢复密钥恢复密钥K 解密明文用户安全组件USC用户安全组件USC密钥托管组件KEC数据恢复组件DRCDRF密文1.用户安全组件用户安全组件USC什么是USC USC是硬件设备或软件程序,用于加密和解密,同时也支持密钥托管功能. USC也可用于数据存储。 USC标有数据加密算法的名称，运行模式，密钥长度等。USC实现方式 USC可以用硬件，软件，固件或其他组合方式实现。USC使用原理 当用密钥K对数据加密时,USC必须把密文和K与一个或多个数据恢复密钥链接在一起,通常把DRF链接到加密数据上。这种链接包括： (1

16、)密钥K与用户的密钥托管代理所保存的数据恢复密钥的联系。 (2)DRF和链接机制可以集入将密钥K传送给预订接收者的协议中，这是发送者必须传送一个有效的DRF，以使预定的接收者能获得密钥。 (3)DRF一般包括一个以上用数据恢复密钥加密的K.2.密钥托管组件密钥托管组件KEC什么是KEC KEC用于存储所有的数据恢复密钥，可以看成是公钥证书管理系统的组成部分，也可以看成是一般的密钥管理基础设施的组成部分，向DRC提供所需的数据和服务。四大部分：四大部分： 托管代理 数据恢复密钥 数据恢复业务 托管密钥的防护托管代理： 也称为可信赖方，可以在密钥中心注册，该中心为托管代理制定操作规则，也可以作为U

17、SC和DRC的联系机构。数据恢复密钥：包括以下几种密钥： 1)数据加密密钥：包括会话密钥，文件密钥等，密钥分配中心产生，托管并分配这些密钥。 2)产品密钥：对USC是唯一的。 3)用户密钥：通常是公钥/私钥对，用于建立数据加密密钥。 4)主密钥：于KEC相关，可由多个USC共享。数据恢复密钥：KEC所提供的服务还包括向DRC披露信息.提供的业务有： 1)披露数据恢复密钥： 2)披露派生密钥。 3)解密密钥。 4)实现门限解密。托管密钥的防护： KEC采取措施防止密钥的泄漏或丢失，这些措施包括技术保护，操作保护和法律保护等。3.数据恢复组件数据恢复组件DRC什么是DRC DRC由算法，协议和必要

18、的设备组成，用来从密文和KEC所提供的包含于DRF中的信息中恢复出明文。DRC获得数据加密密钥K的方法： (1)从发送者或接收者接入。 (2)于KEC的交换频度。 (3)穷举搜索4.美国托管加密标准简介美国托管加密标准简介简介 时间：1993.4 名称：托管加密标准EES(Escrowed Encryption Standard) 主要成果：通过了一个防串扰的芯片实现。防串扰的芯片实现： (1)Skipjack加密算法：该算法由NSA设计，用于加解密用户间的通信消息。 (2)法律强制访问域：通过这部分，法律事实部门可以在法律授权下，事实对用户通信的解密。5.托管加解密和授权监听托管加解密和授权

19、监听授权监听： 如果一个政府机构要监听用户A给用户B发送的消息，首先要获得法庭的批准。托管加解密： (1)法律强制访问域LEAF是EES的一个主要特征。 (2)认证码的验证对EES的应用是关键。6.3.1 PKI概述概述6.3 公钥基础设施公钥基础设施PKI概念：公钥基础设施PKI(Public Key Infrastructure)是一种标准的密钥管理平台，它为网络应用透明地提供加密和数字签名等密码服务所必需的密钥和证书管理。组成部分：l证书颁发机构CAl注册认证机构RAl证书库l密钥备份及恢复系统l证书作废处理系统lPKI应用接口系统证书颁发机构CA证书库注册认证机构RA用户密钥服务器l证

20、书颁发机构证书颁发机构CA：什么是CA？CA是提供身份验证的第三方机构，也是公钥证书的颁发机构，由一个或多个用户信任的组织或实体组成。CA的职责：1.验证并标识证书申请者的身份；2.确保CA用于签名证书的非对称密钥的质量；3.确保整个签名过程和签名私钥的安全性；4.证书材料信息（如公钥证书序列号、CA等）的管理；5.确定并检查证书的有效期限；6.确保证书主人的标识的唯一性，防止重名；7.发布并维护作废的证书表；8.对整个证书签发过程做日志记录；9.向申请人发通知。证书中主体（用户）的公钥的产生方式1.主体自己产生密钥对，并将公钥传送给CA，该过程必须保证主体公钥的可验证性和完整性；2.CA替主

21、体生成密钥对，并将其安全地传送给主体，该过程必须保证主体密钥的机密性、可验证性和完整性。（这种方式对CA的信任要求更高）公钥的用途：验证数字签名加密信息密钥的管理：签名密钥对由签名私钥和验证公钥组成；加密密钥对由加密公钥和脱密私钥组成。l注册机构注册机构RA： RA的功能：1.接收和验证新注册人的注册信息；2.代表最终用户生成密钥对；3.接收和授权密钥备份和恢复请求；4.接收和授权证书吊销请求；5.按需分发或恢复硬件设备，如令牌。l证书库：证书库：证书库是公开的信息库，用于证书的集中存放，供用户查询 其他用户的证书和公钥。l密钥备份及恢复系统：密钥备份及恢复系统：为了防止用户丢失密钥后，密文数

22、据无法脱密，从而造成数据丢失，PKI应该提供脱密密钥的备份和恢复机制。脱密密钥的备份和恢复应该由可信机构来完成，如CA。lPKI应用接口系统（客户端证书处理系统）：应用接口系统（客户端证书处理系统）：目的：为了使用户能够方便的使用加密、数字签名等安全服务，PKI必须提供良好的应用接口系统，使各种应用能够以安全、一致、可信的方式与PKI交互，保证所建立起来的网络环境的可信性、降低维护和管理成本。PKI需要满足的要求：透明性可扩展性支持多种用户互操作性l证书作废处理系统证书作废处理系统作废证书一般通过将证书列入作废证书表(CRL)来完成.CRL存放在目录系统中,由CA创建、更新和维护。6.3.2

23、公钥证书公钥证书公钥证书按包含的信息分为两种：一身份证书：能够鉴别一个主体与它的公钥关系，证书中列出了主体的公钥；二属性证书：包含了实体属性的证书，属性可以是成员关系、角色、许可证或其他访问权限。证书格式：最广泛采用的证书格式是国际电信联盟（ITU）提出的X.509版本3的格式。签名算法标识符：签名算法标识符：用来标识签署证书所用的数字签名算法和相关参数主体公钥信息：主体公钥信息：包括主体的公钥及所用的加密算法可选的扩展项：可选的扩展项：包括机构密钥标识符、主体密钥标识符、密钥用途、扩展密钥用途、CRL分布点、私钥使用期、证书策略、主体别名、IP地址、CA别名、主体目录属性关于关于CRL当一个给定的PKI系统的CRL变得很大时，就需要创建许多小的CRL用于分发，而不是使用单一的大CRL。