《工学密码学》教学课件

1、第八章 密钥管理一、密钥管理的基本概念二、密钥生成与密钥分发三、秘密共享与密钥托管四、非线性序列第1页，共71页。2022/8/31一、密钥管理的基本概念第2页，共71页。 在先前的章节，我们所关注的是采用何种密码算法来实现数据的机密性、完整性、认证性。然而，在一个安全系统中，总体安全性依赖于许多不同的因素，例如算法的强度、密钥的大小、口令的选择、协议的完全性等，其中对密钥或口令的保护尤其重要。 根据Kerckhoff的假设，一个密码系统的安全性完全取决于对密钥的保密而与算法无关，即算法可以公开。简单来说，不管算法多么强有力，一旦密钥丢失或出错，不但合法用户不能提取信息，而且可能会使非法用户窃

2、取信息。 可见，密钥的保密和安全管理在数据系统安全中是尤为重要的。第3页，共71页。2022/8/33密钥管理是处理密钥自产生到最终销毁的整个过程中的有关问题，大体上讲，密钥管理包括密钥的产生、装入、存储、备份、分配、更新、吊销和销毁等内容，其中分配和存储是最棘手的问题。在分布式系统中，人们已经设计了用于自动密钥分配业务的几个方案。其中某些方案已被成功使用，如Kerberos和ANSI X.9.17,以及ISO-CCITT X.509目录认证方案。第4页，共71页。2022/8/34密钥管理涉及的方面：密钥的种类: 初始密钥，会话密钥，加密密钥，主机主密钥；密钥的生成密钥的更换密钥的存储密钥的

3、销毁密钥的吊销 第5页，共71页。2022/8/35密钥管理的原则密钥管理是一个系统工程，必须从整体上考虑，从细节着手，严密细致地施工，充分完善的测试，才能较好地解决密钥管理问题，为此，首先要弄清楚密钥管理的一些基本原则。第6页，共71页。2022/8/36区分秘钥管理的策略和机制全程安全原则最小权利原则责任分离原则密钥分级原则密钥更换原则密钥应当有足够的长度密码体制不同，密钥管理也不同第7页，共71页。2022/8/37二、密钥生成与密钥分发第8页，共71页。密钥生成密钥是数据保密的关键，应采用足够安全的方法来产生密钥。在大型计算机密码系统中常采用主密钥、二级密钥和初级密钥三种不同等级的密钥

4、。针对不同的密钥应采用不同的方法来产生。对于秘要的一个基本要求是要具有良好的随机性，这主要包括长周期性、 非线性、 统计意义上的等概率性以及不可预测性等。高效的产生高质量的真随机序列，并不是一件容易的事。在实际中，我们针对不同的情况采用不同的随机序列。第9页，共71页。2022/8/39单钥加密体制密钥生成主密钥的产生。主密钥应当是高质量的真随机序列，常采用物理噪声源的方法，但不管是基于什么随机源来产生密钥，都要经过严格的随机性测试，否则不能作为密钥；二级密钥的产生。可以像产生主密钥那样产生真随机的二级密钥，也可以在主密钥产生后，借助于主密钥和一个强的密码算法来产生二级密钥；初级密钥的产生。为

5、了安全和简便，通常总是把随机数直接视为受高级密钥（主密钥或二级密钥）加密过的初级密钥。第10页，共71页。2022/8/310单钥加密体制的密钥分配两个用户在使用单钥体制进行通信时，必须预先共享秘密密钥，并且应当时常更新，用户A和B共享密钥的方法主要有A选取密钥并通过物理手段发送给B第三方选取密钥并通过物理手段发送给A和BA,B事先已有一密钥，其中一方选取新密钥，用已有密钥加密新密钥发送给另一方A和B分别与第三方C有一保密信道，C为A，B选取密钥，分别在两个保密信道上发送给A和B第11页，共71页。2022/8/311单钥加密体制的密钥分配如果有n个用户，需要两两拥有共享密钥，一共需要n(n-

6、1)/2的密钥采用第4中方法，只需要n个密钥第12页，共71页。2022/8/312一个实例KS：一次性会话密钥N1,N2：随机数KA,KB：A与B和KDC的共享密钥f：某种函数变换第13页，共71页。2022/8/313公钥的分配公开发布用户将自己的公钥发给每一个其他用户方法简单，但没有认证性，因为任何人都可以伪造这种公开发布第14页，共71页。2022/8/314公钥的分配公用目录表公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由可信的实体和组织承担。管理员为每个用户都在目录表里建立一个目录，目录中包括两个数据项：一是用户名，而是用户的公开密钥。每一用户都亲自或以某种安全的认证通信

7、在管理者处为自己的公开密钥注册。用户可以随时替换自己的密钥。管理员定期公布或定期更新目录。用户可以通过电子手段访问目录。第15页，共71页。2022/8/315公钥的分配公钥管理机构公钥管理机构为用户建立维护动态的公钥目录。每个用户知道管理机构的公开钥。只有管理机构知道自己的秘密钥。第16页，共71页。2022/8/316公钥管理机构分配公钥有可能成为系统的瓶颈，容易受到敌手的串扰第17页，共71页。2022/8/317公钥证书用户通过公钥证书交换各自公钥，无须与公钥管理机构联系公钥证书由证书管理机构CA（Certificate Authority）为用户建立。证书的形式为:T-时间，PKA-

8、A的公钥，IDAA的身份，SKCACA的私钥时戳T保证证书的新鲜性，防止重放旧证书。第18页，共71页。2022/8/318证书的产生过程第19页，共71页。2022/8/319公钥加密体制密钥生成由于公开密钥密码体制与传统的单钥加密体制是性质不同的两种密码体制，所以公开密钥密码体制的密钥产生与传统密码体制的密钥产生有着本质的区别。公开密钥密码体制本质上是一种单向陷门函数，它们都是建立在某一数学难题之上的。 不同的公开密钥密码体制所依据的数学难题不同，因此其密钥产生的具体要求不同。但是，它们都必须满足密码安全性和应用的有效性对密钥所提出的要求。第20页，共71页。2022/8/320用公钥加密

9、分配单钥密码体制的密钥第21页，共71页。2022/8/321用公钥加密分配单钥密码体制的密钥具有保密性和认证性的密钥分配第22页，共71页。2022/8/322 Kerboros协议 Kerboros协议是一个基于私钥密码体制的流行的密钥服务系统。在这个系统中，每个用户U和可信中心（对称密钥分发中心KDC）共享一个秘密的DES密钥。在协议的最新版本中，传送的所有消息都通过CBC模式进行加密。 用ID（U）表示用户U的某些识别信息。使用Kerboros协议传输一个会话密钥的过程可描述如下：用户U为了和用户V通信，他向可信中心要一个会话密钥；可信中心随机选择一个会话密钥K，一个时戳T和一个生存期

10、L；第23页，共71页。2022/8/323可信中心计算m1=EKU(K,ID(V),T,L)和m2=EKV(K,ID(U),T,L)，并将m1和m2发给U；用户U首先解密m1获得K,ID(V),T和L。然后计算m3=EK(ID(U),T),并将m3和可信中心发送来的m2一起发给V；用户V首先解密m2获得K,ID(U),T和L。然后适用K解密m3获得T和ID(U)并检测T的两个值和ID(U)的两个值是否一样。如果是一样的，那么V计算m4=EK(T+1),并将m4发送给U；U使用K解密m4获得T+1并验证解密结果是T+1.第24页，共71页。2022/8/324传输在协议中的信息流程图为：第25

11、页，共71页。2022/8/325Kerboros协议的缺点： 网络中的所有用户都是同步时钟，因为目前目前的时间被用来确定是否一个给定的会话密钥K是合法的。 Kerboros的口令没有进行额外的特殊处理，使用穷举攻击法的时间复杂性仅和口令长度成比例。 Kerboros认证中心要求保存大量的共享私钥，无论管理还是更新都有很大的困难，需要特别细致的安全保护措施，将付出极大的系统代价。第26页，共71页。2022/8/326三、秘密共享和密钥托管第27页，共71页。秘密共享在导弹控制发射、重要场所通行检验等情况下，通常必须由两人或多人同时参加才能生效，这时都需要将秘密分给多人掌管，并且必须有一定人数

12、的掌管秘密的人同时到场才能恢复这一秘密。由此，引入门限方案的一般概念。第28页，共71页。2022/8/328定义:设秘密s被分成n个部分信息，每一部分信息称为一个子密钥或影子，由一个参与者持有，使得： 1.由k个或多于k个参与者所持有的部分信息可重构s。 2.由少于k个参与者所持有的部分信息则无法重构s。 则称这种方案为(k,n)-秘密共享门限方案，k称为方案的门限值第29页，共71页。2022/8/329Shamir门限方案基于多项式Lagrange插值公式 设(x1,y1),(xk,yk)是平面上k个点构成的点集，其中xi(i=1,k,)各不相同，那么在平面上存在唯一的k-1次多项式f(

13、x)通过这k个点.若把秘密s取做f(0)，n个shadow取做f(xi)(i=1,n),那么利用其中任意k个shadow可以重构f(x)，从而可以得到秘密s。第30页，共71页。2022/8/330Shamir门限方案有限域GF(q),q为大素数，qn+1。秘密s是GF(q)0上均匀选取的随机数，表示为sRGF(q)0.k-1个系数a1,a2,ak-1选取ai RGF(q)0.在GF(q)上构造一个k-1次多项式f(x)=a0+a1x+ak-1xk-1N个参与者P1,Pn,Pi的Shadow为f(i)。任意k个参与者得到秘密，可使用(il,f(il)|l=1,k构造方程组第31页，共71页。2

14、022/8/331Shamir门限方案由Lagrange插值公式第32页，共71页。2022/8/332Shamir门限方案如果k-1个参与者想获得s，可构造k-1个方程，有k个未知量。对任一s0,设f(0)= s0.这样可以得到第k个方程，得到f(x)。对每个s0都有唯一的多项式满足，所有由k-1个shadow得不到任何s的信息。因此此方案是完善的。第33页，共71页。2022/8/333Shamir门限方案例k=3,n=5,q=19,s=11。随机选a1=2,a2=7 f(x)=7x2+2x11 mod 19。计算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6 已知

15、f(2),f(3),f(5),重构第34页，共71页。2022/8/334Asmuth-Bloom门限方案首先选取大素数q，正整数s(秘密数据)，以及n个严格递增的m1,m2,mn,满足qs(mi,mj)=1(对所有ij)(q,mi)=1(对所有i) 选随机的A,满足0A N/q-1，公布q和AN/q大于任取的k-1和不同的mi的乘积第35页，共71页。2022/8/335Asmuth-Bloom门限方案如果仅有k1个参与者，只能求得y=y mod N，而N91=7*13=qm3 在0,99/7-1=0,13中随机取A=10，求ys+Aq=4+107=74. y1y mod m1=2 y2y

16、mod m2=8 y3y mod m3=9(9,2),(11,8),(13,9)构成（2,3）门限方案第36页，共71页。2022/8/336Asmuth-Bloom门限方案若已知(9,2),(11,8)，可建立方程组解得y=(1152958) mod 99=74S=y-Aq=74-1074第37页，共71页。2022/8/337密钥托管也称托管加密，其目的在于保证个人没有绝对的银丝和绝对不可跟踪的匿名性。实现手段是把已加密的数据和数据恢复密钥联系起来。由数据恢复密钥可以得到解密密钥，由所信任的委托人持有。提供了一个备用的解密途径，不仅对政府有用，也对用户自己有用。第38页，共71页。2022

17、/8/338美国托管加密标准1993年4月提出托管加密标准EES（Escrowed encryption standard）提供强加密功能，同时也提供政府机构在法律授权下监听功能。通过防窜扰Clipper芯片来实现。包含两个特性Skipjack算法，实现强加密法律实施存取域LEAF，实现法律授权下解密第39页，共71页。2022/8/339Skipjack算法单钥分组加密算法，密钥长80比特，输入输出分组长度64Bit4种工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式第40页，共71页。2022/8/340托管加密芯片Skipjack算法80比特族密钥K

18、F (Family key),同一批芯片的族密钥都相同芯片单元识别符UID80bit的芯片单元密钥KU (unique key),由两个80bit密钥分量异或得到控制软件被固化在芯片上第41页，共71页。2022/8/341托管加密芯片的编程过程第42页，共71页。2022/8/342托管加密芯片加密过程第43页，共71页。2022/8/343通信和法律实施存取过程第44页，共71页。2022/8/344密钥托管密码体制的组成成分用户安全成分（USC）, 密钥托管成分（KEC）, 数据恢复成分（DRC）第45页，共71页。2022/8/345四、公钥基础设施PKI第46页，共71页。公钥基础设

19、施是指结合公钥密码体制建立的提供信息安全服务的基础设施。PKI并不是简单的一种技术，而是一种安全体系和框架。该体系在统一的安全认证标准和规范基础上提供在线身份认证，集成了CA认证、数字证书、数字签名等功能。第47页，共71页。2022/8/347数字证书数字证书是各实体或最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易各方都需要验证其他参与各方的数字证书的有效性，从而解决相互间的信任问题。数字证书的格式一般应遵循X.509版本公布于1988年，版本3的建议稿于1994年发布，并于1995年获得批准。第48页，共71页。2022/8/348PKI的组成认证机构（Cert

20、ificate Authority, CA）。是PKI的核心机构。主要责任是：验证并标识证书申请者的身份；确保用于签名证书的非对称密钥的安全性；管理证书信息资料；发布和维护作废证书列表（CRL）。证书和证书库。数字证书是网上实体身份的证明，应由具备权威性、可信任性和公正性的第三方机构签发；证书库是CA颁发证书和撤销证书的集中存放地。密钥备份及恢复。密钥和证书的更新。证书历史档案。记录整个密钥历史是非常重要的。第49页，共71页。2022/8/349客户端软件。为方便客户操作，客户应安装客户端软件，以支持数字签名、建米传输数据等功能。交叉认证。是指在多个PKI域之间实现互操作，主要方法：桥接CA

21、；将多个CA的根CA（RCA）互相签发根证书。证书由某个可信的证书发放机构（CA）建立，并由CA或用户自己将其放入公共目录中，以供其他用户访问。目前，X.509标准已在编排公共密钥格式方面被广泛接受，并用于许多网络安全应用程序，其中包括IPSec、SSL、安全电子交易（SET）、S/MIME等等。第50页，共71页。2022/8/350X.509认证业务X.509定义了X.500目录向用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书。 X.509还定义了基于公钥证书的认证协议。由于X.509中定义的证书结构和认证协议已被广泛应用于S/MIME、IPSec、SSL/TLS以及SET等诸

22、多应用过程，因此X.509已成为一个重要的标准。X.509的基础是公钥密码体制和数字签字，但其中未特别指明使用哪种密码体制（建议使用RSA），也未特别指明数字签字中使用哪种杂凑函数。第51页，共71页。2022/8/351在X.509中，数字证书的数据域包括版本号：如v3。序列号：由同一发行者（CA）发放的每个证书的序列号是唯一的。签名算法识别符：签署证书所用的算法及相应的参数。发行者名称：指建立和签署证书的CA名称。有效期：包括证书有效期的起始时间和终止时间。主体名称：指证书所属用户的名称，及这一证书用来证明私钥用户所对应的公开密钥。第52页，共71页。2022/8/352在X.509中，数

23、字证书的数据域包括(续)主体的公开密钥信息：包括主体的公开密钥、使用这一公开密钥算法的标示符及相应的参数。发行者唯一识别符：这一数据项是可选的，当CA名称被重新用于其它实体时，则用这一识别符来唯一的识别发行者。主体唯一识别符：这一数据项是可选的，当主体的名称被重新用于其它实体时，则用这一识别符来唯一的识别主体。扩展域：其中包括一个或多个扩展的数据项，仅在第3版中使用。签名：CA用自己的私钥对上述域的哈希值进行数字签名的结果。第53页，共71页。2022/8/353X.509的证书格式第54页，共71页。2022/8/354如果所有用户都由同一CA为自己签署证书，则这一CA就必须取得所有用户的信

24、任。用户证书除了能放在目录中以供他人访问外，还可以由用户直接发给其他用户。如果用户数量极多，则仅一个CA负责为用户签署证书是不现实的，因为每一用户都必须以绝对安全的方式得到CA的公开密钥，以验证CA签署的证书。因此在用户数目极多的情况下，应有多个CA，每一CA仅为一部分用户签署证书。第55页，共71页。2022/8/355X.509证书的获取CA为用户产生的证书应有以下特征：其他任一用户只要得到CA的公开密钥，就能由此得到CA为该用户签署的公开密钥。除CA以外，任何其他人都不能以不被察觉的方式修改证书的内容。第56页，共71页。2022/8/356X.509证书的获取(续1)设用户A已从证书发

25、放机构X1处获取了公钥证书，用户B已从X2处获取了证书。如果A不知X2的公开密钥，他虽然能读取B的证书，但却无法验证X2的签字，因此B的证书对A来说是没有用的。然而，如果两个CA X1和X2彼此间已经安全地交换了公开密钥，则A可通过以下过程获取B的公开秘钥：A从目录中获取X1签署的X2的证书，因A知道X1的公开密钥，所以能验证X2的证书，并从中得到X2的公开密钥。A再从目录中获取由X2签署的B的证书，并由X2的公开密钥对此验证，然后从中得到B的公开密钥。第57页，共71页。2022/8/357以上过程中，A是通过一个证书链来获取B的公开密钥，证书链可表示为： X1 X2 X2 B类似的，B能通

26、过相反的证书链获取A的公开密钥： X2 X1 X1 AN个证书的证书链可表示为： X1 X2 X2 X3XNB第58页，共71页。2022/8/358X.509证书的获取(续2)X.509建议将所有CA以层次结构组织起来。右图是X.509的CA层次结构的一个例子，其中的内部节点表示CA，叶节点表示用户。用户A可从目录中得到相应的证书以建立到B的证书链：XWWVVYYZZB并通过该证书链获取B的公开密钥。第59页，共71页。2022/8/359X.509证书吊销列表第60页，共71页。2022/8/360X.509的认证过程X.509有3种认证过程以适应不同的应用环境：单向认证；双向认证；三向认

27、证。第61页，共71页。2022/8/361PKI中的信任模型建立一个管理全世界所有用户的全球性PKI是不现实的。比较可行的办法是各个国家都建立自己的PKI，一个国家之内在分别建立不同行业或不同地区的PKI。为了实现跨地区、跨行业，甚至跨国际的安全电子业务，这些不同的PKI之间的互联互通和相互信任是不可避免的。证书用户、证书主体、各个CA之间的证书认证关系系称为PKI的信任模型。已经提出的模型有树（层次） 模型、森林模型等多种信任模型。第62页，共71页。2022/8/362树（层次） 模型树（层次） 模型是PKI的一种简单的信任模型。它比较适合具有层次结构的机构，如军队、垂直性行业、学校等。

28、在树（层次） 模型中，多个CA和最终用户构成一颗树。其中最高级的一个CA为根，称为根CA，根CA是树型信任模型中的信任根源。其他CA根据其在树中的位置不同，而分别被称为中间CA和底层CA。证书的持证人（最终用户）为树的叶子。所有的CA和最终用户都遵循共同的行动准则。第63页，共71页。2022/8/363一种简单的树（层次） 模型第64页，共71页。2022/8/364森林层次模型在树形信任模型中，所有的CA和最终用户都遵循共同的行动准则。这对于具有层次结构的机构是可行的。但是，对于社会而言，要建立一个包容各行各业的树形，模型PKI是不现实的。于是出现了由多棵树组成的森林，模型。对于森林模型，如果多棵树之间彼此没有联系、互不信任