信息技术-赵泽茂-第五章

1、5.1 密钥的分类5.2 密钥的生成与存储5.3 密钥的分配5.4 密钥的更新与撤销5.5 密钥共享5.6 会议密钥分配5.7 密钥托管小结习题在一个大大型通信信网络中中，数据据将在多多个终端端和主机机之间传传递，要要进行保保密通信信，就需需要大量量的密钥钥，密钥钥的存储储和管理理变得十十分复杂杂和困难难。在电电子商务务系统中中，多个个用户向向同一一系统注注册，要要求彼此此之间相相互隔离离。系统统需要对对用户的的密钥进进行管理理，并对对其身份份进行认认证。不不论是对对于系统统、普通通用户还还是网络络互连的的中间节节点，需需要保密密的内容容的秘密密层次和和等级是是不相同同的，要要求也是是不一样样

2、的，因因此，密密钥种类类各不相相同。在在一个个密码系系统中，按照加加密的内内容不同同，密钥钥可以分分为会话话密钥、密钥加加密密钥钥和主密密钥。5.1密密钥钥的的 分类类1.会会话密密钥会话密钥钥(SessionKey)，指指两个通通信终端端用户一一次通话话或交换换数据时时使用的的密钥。它位于于密码系系统中整整个密钥钥层次的的最低层层，仅对对临时的的通话或或交换数数据使用用。会话话密钥若若用来来对传输输的数据据进行保保护，则则称为数数据加密密密钥; 若用用作保护护文件，则称为为文件密密钥;若若供通通信双方方专用，则称为为专用密密钥。会话密钥钥若用来来对传输输的数据据进行保保护，则则称为数数据加密

3、密密钥; 若用用作保护护文件，则称为为文件密密钥;若若供通通信双方方专用，则称为为专用密密钥。会会话密钥钥可由通通信双方方协商得得到，也也可由密密钥分配配中心(Key DistributionCenter，KDC)分配配。由于于它大多多是临时时的、动动态的，即使密密钥丢失失，也会会因加密密的数数据有限限而使损损失有限限。会会话密钥钥只有在在需要时时才通过过协议取取得，用用完后就就丢掉了了，从而而可降低低密钥的的分配存存储量。基基于运算算速度的的考虑，会话密密钥普遍遍是用对对称密码码算法来来进行的的，即它它就是所所使用的的某一种种对称加加密算法法的加密密密钥。2.密密钥加加密密钥钥密钥加密密密钥

4、(Key EncryptionKey)用于于对会话话密钥或或下层密密钥进行行保护，也称为为次主密密钥(SubmasterKey)或二二级密钥钥(SecondaryKey)。在在通信网网络中，每一个个节点都都分配有有一个这这类密钥钥，每个个节点到到其他各各节点的的密钥加加密密钥钥是不同同的。但但是，任任意两个个节点间间的密钥钥加密密密钥却是是相同的的、共享享的，这这是整个个系统预预先分配配和内置置的。在在这种系系统中，密钥加加密密钥钥就是系系统预先先给任意意两个节节点间设设置的共共享密钥钥，该应应用建立立在对称称密码体体制的基基础之上上。在建有公公钥密码码体制的的系统中中，所有有用户都都拥有公公

5、、私钥钥对。如如果用户户间要进进行数据据传输，协商一一个会话话密钥是是必要的的，会话话密钥的的传递可可以用接接收方的的公钥加加密来进进行，接接收方方用自己己的私钥钥解密，从而安安全获得得会话密密钥，再再利用它它进行数数据加密密并发送送给接收收方。在在这种系系统中，密钥加加密密钥钥就是建建有公钥钥密码基基础的用用户的公公钥。密密钥加加密密钥钥是为了了保证两两节点间间安全传传递会话话密钥或或下层密密钥而设设置的，处在密密钥管理理的中间间层。系系统因使使用的密密码体制制不同，它可以以是公钥钥，也可可以是共共享密钥钥。3.主主密钥主密钥位位于密码码系统中中整个密密钥层次次的最高高层，主主要用于于对密钥

6、钥加密密密钥、会会话密钥钥或其他他下层密密钥的保保护。主主密钥钥是由用用户选定定或系统统分配给给用户的的，分发发基于物物理渠道道或其他他可靠的的方法，处于加加密控制制的上层层，一般般存在于于网络中中心、主主节点、主处理理器中，通过物物理或电电子隔离离的方式式受到严严格的保保护。在在某种程程度上，主密钥钥可以起起到标识识用户的的作用用。上述密钥钥的分类类是基于于密钥的的重要性性来考虑虑的，也也就是说说密钥所所处的层层次不同同，它的的使用范范围和生生命周期期是不同同的。概概括地讲讲，密钥钥管理的的层次结结构如图图5-1-1所所示。主主密钥处处在最最高层，用某种种加密算算法保护护密钥加加密密钥钥，也

7、可可直接加加密会话话密钥。会话密密钥处在在最低层层，基于于某种加加密算法法保护数数据或其其他重要要信息。密钥的的层次结结构使得得除了主主密钥外外，其他他密钥以以密文方方式存储储，有效效地保护护了密钥钥的安全全。一般般来说，处在上上层的密密钥更新新周期相相对较长长，处在在下层的的密钥更更新较频频繁。对对于攻击击者来说说意味着着，即使使攻破一一份密文文，最多多导致使使用该密密钥的报报文被解解密，损损失也是是有限的的。攻击击者不可可能动摇摇整个密密码系统统，从而而有效地地保证了了密码系系统的安安全性。图 5-1-1 密钥管理的层次结构密钥的产产生可以以用手工工方式，也可以以用随机机数生成成器。对对于

8、一些些常用的的密码体体制而言言，密钥钥的选取取和长度度都有严严格的要要求和限限制，尤尤其是对对于公钥钥密码体体制，公公、私钥钥对还必必须满足足一定的的运算关关系。总总之，不不同的密密码体制制，其密密钥的具具体生成成方法一一般是不不相同的的。密密钥钥的存储储不同于于一般的的数据存存储，需需要保密密存储。保密存存储有两两种方法法:一一种方法法是基于于密钥的的软保护护;另另一种方方法是基基于硬件件的物理理保护。前者使使用加密密算法对对用户密密钥(包包括口令令)加密密，然后后密钥以以密文形形式存储储。后者者将密钥钥存储于于与计算算机相分分离的某某种物理理设备(如智能能卡、USB盘盘或其他他存储设设备)

9、中中，以实实现密钥钥的物理理隔离保保护。5.2密密钥钥的生成成与存储储密钥分配配研究密密码系统统中密钥钥的分发发和传送送中的规规则及约约定等问问题。从从分配途途径的不不同来区区分，密密钥的分分配方法法可分为为网外分分配方式式和网内内分配方方式。网网外分分配方式式即人工工途径方方式，它它不通过过计算机机网络，是一种种人工分分配密钥钥的方法法。这这种种方式适适合小型型网络及及用户相相对较少少的系统统，或者者安全强强度要求求较高的的系统。 网外外分配方方式的最最大优点点是安全全、可靠靠;缺缺点是分分配成本本过高。5.3密密钥钥的的 分配配网内分配配方式指指通过计计算机网网络进行行密钥的的分配，有两种

10、种方式: 一种种是在用用户之间间直接实实现分配配，即通通信一方方向另一一方直接接传送会会话密钥钥，以备备在将要要进行的的通话或或数据传传送中使使用;另另一种种是建立立密钥分分配中心心KDC，通过过KDC来分配配密钥。按按照照分配的的密钥的的性质不不同，密密钥的分分配分为为秘密密密钥的分分配和公公开密钥钥的分配配。5.3.1秘秘密密密钥的分分配秘密密钥钥分配主主要有以以下两种种方法：(1)用用一个密密钥加密密密钥加加密多个个会话密密钥。这这种方法法的前提提是通信信双方预预先通过过可靠的的秘密渠渠道建立立一个用用于会话话密钥加加密的密密钥，把把会话密密钥加密密后传送送给对方方。该方方法的优优点是每

11、每次通信信可临时时选择不不同的会会话密钥钥，提高高了使用用密钥的的灵活性性。(2)使使用密密钥分配配中心。这这种方方法要求求建立一一个可信信的密钥钥分配中中心(KDC)，且每每个用户户都与KDC共共享一个个密钥，记为KA-KDC， KB-KDC，在具体体执行密密钥分配配时有两两种不同同的处理理方式。会会话密密钥由通通信发起起方生成成。协协议步骤骤如下: 第第一步: AKDC:(KSIDB)。当当A与B要进行行通话时时，A随随机地选选择一个个会话密密钥KS和和希望建建立通信信的对象象IDB，用KA-KDC加密，然然后发送送给KDC。第二步: KDCB:(KS，IDA)。KDC收收到后，用KA-K

12、DC解密，获获得A所所选择的的会话密密钥KS和A希望望与之建建立通信信的对象象IDB，然后用用KB-KDC加密这个个会话密密钥和希希望与B建立通通信的对对象IDA，并发送送给B。第第三步步:B收到后后，用KB-KDC解密，从从而获得得A要与与自己通通信和A所确定定的会话话密钥KS。这样，会会话密钥钥协商KS成功，A和B就就可以用用它进行行保密通通信了。会会话密密钥由KDC生生成。协协议步步骤如下下:第第一步步:AKDC：IDAIDB。当当A希望与与B进行行保密通通信时，它先给给KDC发送一一条请求求消息表表明自己己想与B通信。第二二步:KDCA:(KS，IDB);KDCB:(KS，IDA)。K

13、DC收收到这个个请求后后，就临临时产生生一个会会话密钥钥KS，并将B的身份份和所产产生的这这个会话话密钥一一起用KA-KDC加密后传传送给A。同时时，KDC将A的身份份和刚才才所产生生的这个个会话话密钥KS用KB-KDC加密后后传送给给B，告告诉B有有A希望望与之通通信且所所用的密密钥就是是KS。第第三三步:A收收到后，用KA-KDC解密，获获得B的的身份及及KDC所确定定的会话话密钥KS; B收收到后，用KB-KDC解密，获获得A的的身份及及KDC所确定定的会话话密钥KS。这这样样，A和和B就可可以用会会话密钥钥KS进行保密密通信了了。5.3.2公公开密密钥的分分配在公开密密钥密码码体制中中

14、，公开开密钥是是公开的的，私有有密钥是是保密的的。在这这种密码码体制中中，公开开密钥似似乎像电电话号码码簿那样样可以公公开查询询。其实实不然。一方面面，密钥钥更换、增加和和删除除的频度度是很高高的;另另一方方面，如如果公开开密钥被被篡改或或替换，则公开开密钥的的安全性性就得不不到保证证，公开开密钥同同样需要要保护。此外，公开密密钥相当当长，不不可能靠靠人工方方式进行行管理理和使用用，因此此，需要要密码系系统采取取适当的的方式进进行管理理。公公开密密钥分配配主要有有广播式式公开发发布、建建立公钥钥目录、带认证证的密钥钥分配、使用数数字证书书分配等等4种形形式。1.广广播式式公开发发布根据公开开密

15、钥算算法的特特点，可可通过广广播式公公布公开开密钥。该方法法的优点点是简便便，不需需要特别别的安全全渠道;缺缺点是可可能出现现伪造公公钥，容容易受到到假冒用用户的攻攻击。因因此，公公钥必须须从正规规途径获获取或对对公钥的的真伪进进行认证证。2.建建立公公钥目录录建立公钥钥目录是是指由可可信机构构负责一一个公开开密钥的的公开目目录的维维护和分分配，参参与各方方可通过过正常或或可信渠渠道到目目录权威威机构登登记公开开密钥，可信机机构为参参与者建建立用户户名和与与其公开开密钥的的关联条条目，并并允许参参与者随随时访问问该目录录，以及及申请增增、删、改自己己的密钥钥。为安安全起见见，参与与者与权权威机

16、构构之间的的通信安安全受鉴鉴别保护护。该该方式的的缺点是是易受冒冒充权威威机构伪伪造公开开密钥的的攻击，优点是是安全性性强于广广播式公公开发布布密钥分分配。3.带带认证证的密钥钥分配带认证的的密钥分分配是指指由一个个专门的的权威机机构在线线维护一一个包含含所有注注册用户户公开密密钥信息息的动态态目录。这种公公开密钥钥分配方方案主要要用于参参与者A要与B进行保保密通信信时，向向权威机机构请求求B的公公开密钥钥。权威威机构查查找到B的公开开密钥，并签名名后发送送给A。为安全全起见，还需通通过时戳戳等技术术加以保保护和判判别。该该方式的的缺点是是可信服服务器必必须在线线，用户户才可能能与可信信服务器

17、器间建立立通信链链路，这这可能导导致可信信服务器器成为公公钥使用用的一个个瓶颈。4.使使用数数字证书书分配为了克服服在线服服务器分分配公钥钥的缺点点，采用用离线方方式不失失为一种种有效的的解决办办法。所所谓离线线方式，简单说说就是使使用物理理渠道，通过公公钥数字字证书方方式，交交换公开开密钥，无需可可信机机构在线线服务。公钥数数字证书书由可信信中心生生成，内内容包含含用户身身份、公公钥、所所用算法法、序列列号、有有效期、证书机机构的信信息及其其他一些些相关信信息，证证书须由由可信机机构签名名。通信信一方方可向另另一方传传送自己己的公钥钥数字证证书，另另一方可可以验证证此证书书是否由由可信机机构

18、签发发、是否否有效。该方式式的特点点是:用用户可可以从证证书中获获取证书书持有者者的身份份和公钥钥信息; 用户户可以以验证一一个证书书是否由由权威机机构签发发以及证证书是否否有效; 数字字证书只只能由可可信机构构签发和和更新。密钥的使使用寿命命是有周周期的，在密钥钥有效期期快要结结束时，如果对对该密钥钥加密的的内容需需要继续续保护，该密钥钥就需要要由一个个新的密密钥取代代，这就就是密钥钥的更新新。密钥钥的更新新可以通通过再生生密钥取取代原有有密钥的的方式来来实现。如果原原有密码码加密的的内容较较多，必必须逐一一替换，以免加加密内容容无法恢恢复。对对于密密钥丢失失或被攻攻击的情情况，该该密钥应应

19、该立即即被撤销销，所有有使用该该密钥的的记录和和加密的的内容都都应该重重新处理理或销毁毁，使得得它无法法恢复，即使恢恢复也没没有什么么可利用用的价值值。会会话密密钥在会会话结束束时，一一般会立立即被删删除。下下一次需需要时，重新协协商。5.4密密钥钥的更新新与撤销销当公钥密密码受到到攻击或或假冒时时，对于于数字证证书这种种情况，撤销时时需要一一定的时时间，不不可能立立即生效效;对对于在线线服务器器形式，只需在在可信服服务器中中更新新新的公钥钥，用户户使用时时通过在在线服务务器可以以随时得得到新的的有效的的公钥。在密码系系统中，主密钥钥是整个个密码系系统的关关键，是是整个密密码系统统的基础础，也

20、可可以说是是整个可可信任体体系的信信任根，受到了了严格的的保护。一般来来说，主主密钥由由其拥有有者掌握握，并不不受其其他人制制约。但但是，在在有些系系统中密密钥并不不适合由由一个人人掌握，而需要要由多个个人同时时保管，其目的的是为了了制约个个人行为为。比如如，某银银行的金金库钥匙匙一般情情况下都都不是由由一个人人来保管管使用的的，而要要由多个个人共同同负责使使用(为为防止其其中某个个人单独独开锁产产生自盗盗行为，规定金金库门锁锁开启至至少需由由三人在在场才能能打开)。5.5密密钥钥共共 享解决这类类问题最最好的办办法是采采用密钥钥共享方方案，也也就是把把一个密密钥进行行分解，由若干干个人分分别

21、保管管密钥的的部分份份额，这这些保管管的人至至少要达达到一定定数量才才能恢复复密钥，少于这这个数量量是不可可能恢复复密钥的的，从而而对于个个人或小小团体起起到了制制衡和约约束作用用。所谓密钥钥共享方方案，是是指将一一个密钥钥k分成成n个子子密钥k1，k2，kn，并秘密密分配给给n个参参与者，且需满满足下列列两个条条件:(1)用用任意t个子密密钥计算算密钥k是容易易的;(2)若若子密钥钥的个数数少于t个，要要求得密密钥k是是不可行行的。我们称这这样的方方案为(t，n)门限限方案(Threshold Schemes)，t为门限限值。由由于重重构密钥钥至少需需要t个个子密钥钥，故暴暴露r(rt-1)

22、个子密密钥不会会危及密密钥。因因此少于于t个参参与者的的共谋也也不能得得到密钥钥。另外外，若一一个子密密钥或至至多n-t个子子密钥偶偶然丢失失或破坏坏，仍可可恢复密密钥。密密钥共享享方案对对于特殊殊的保密密系统具具有特别别重要的的意义。以色列密密码学家家Shamir于1979年年提出了了上述密密钥共享享方案的的思想，并给出出了一个个具体的的方案拉格格朗日插插值多项项式门限限方案，现介绍绍如下：设设p为一个个素数，密钥kZp，假定由由可信机机构TA给n(np)个合合法参与与者wi(1in) 分配配子密钥钥,操操作步步骤如下下:(1) TA随机选选择一个个t-1次多项项式F(x)=a0+a1x+a

23、t-1xt-1(mod p)，tn，aiZp;(2)确确定密密钥k=F(0)=a0;(3)TA在Zp中任意选选取n个个非零且且互不相相同的元元素x1，x2，xn，这些元元素xi用于标识识参与者者wi，并计算算ki=F(xi)，1in;(4)将将(xi，ki)(1in)分配配给参与与者wi(1in)，其中中xi公开，ki为wi的子密钥钥。至至此，n个参与与者都分分得了密密钥的部部分份额额子子密钥ki，当至少少有t个个参与者者提供其其份额时时，就可可据此计计算出密密钥k; 不足足t个时时，无法法计算。事实上，从任意意t个子子密钥ki和对应的的用户标标识xi可得到线线性方程程组:上述方程程组有唯唯一

24、解a0，a1，at，从而得得到k=F(0)=a0。若已知知的子密密钥不足足t个，则方程程组无解解。从从理论上上讲，寻寻找a0是不可行行的，即即寻找密密钥k是是不可行行的。给给定t个个子密钥钥ki(1it)，利用用拉格朗朗日插值值公式重重构的F(x)为其中，加加、减、乘、除除运算都都是在Zp上运算的的，除法法是乘以以分母的的逆元素素。显然然，只要要知道F(x)，便易易于计算算出密钥钥k。因因为密钥钥k=F(0)，所以以若令bi=，则有k=F(0)=biki例 5-1设p=17，t=3，n=5，k=13，令xi=i(1i5)。假假定定k1=8，k3=10， k5=11，试试按Shamir方方案重构

25、构密钥。解由k1、k2、k3重构共享享密钥时时，利用用bi的计算公公式，分别得得到b1=35(3-1)-1(5-1)-1=4(mod17)b3=15(1-3)-1(5-3)-1=3(mod17)b5=13(1-5)-1(3-5)-1=11(mod 17)故有k=biki=48+310+1111=13(mod 17)也也可可解线性性方程组组:a0+a1+a2=8a0+3a1+9a2=10a0+5a1+25a2=11从从而解解得a0=13(mod 17)目前，随随着网络络多媒体体技术的的发展，网络视视频会议议以及网网络电话话会议已已逐渐成成为一种种重要的的会议和和通信的的方式。基于这这种网络络会议

26、系系统，如如何保证证所有参参会者能能够安全全地参与与会议议，同时时又能防防止非法法窃听者者，这就就是网络络通信中中信息的的多方安安全传递递问题。下面介介绍的会会议密钥钥广播方方案能够够较好地地解决这这个难题题。Berkovitz提提出了一一种基于于门限方方案的会会议密钥钥广播分分配方案案，其主主要设计计思路是是让每个个可能的的接收者者得到一一个密钥钥份额，然后广广播部分分密钥份份额，合合法成员员可利用用门限方方案的重重构密钥钥，进入入系统接接收会议议信息，而非法法成员则则不能。5.6会会议议密钥分分配假设系统统有t个个合法成成员，在在广播会会议信息息m时，用密钥钥k加密密，并完完成以下下操作:

27、 (1)系系统选选取一个个随机数数j，用用它来隐隐藏消息息接收者者的数目目。(2)系系统创创建一个个(t+j+1，2t+j+1)的的密钥共共享门限限方案，且满足足k为密密钥;给给每一一个合法法成员分分配一个个由该门门限方案案产生的的关于密密钥k的的一个秘秘密份额额;非非法接收收者不能能得到密密钥k的的任何份份额。(3)除除去去已分配配给合法法用户的的t个份份额外，在余下下的份额额中随机机选取t+j个个份额进进行广播播。(4)每每一合合法成员员利用所所得到的的秘密份份额和广广播的t+j个个份额，按照门门限方案案的重构构算法能能够计算算出密钥钥k，从从而就能能解读消消息m。反之，非法成成员最多多只

28、能拥拥有t+j个份份额，无无法重构构密钥k，因此此不能解解读消息息m。所谓密钥钥托管，是指为为公众和和用户提提供更好好的安全全通信同同时，也也允许授授权者(包括政政府保密密部门、企业专专门技术术人员和和用户等等)为了了国家、集团和和个人隐隐私等安安全利益益，监听听某些通通信内内容和解解密有关关密文。所以，密钥托托管也叫叫“密钥钥恢复”，或者者理解为为“数据据恢复”和“特特殊获取取”等含含义。密密钥由由所信任任的委托托人持有有，委托托人可以以是政府府、法院院或有契契约的私私人组织织。一个个密钥也也可能在在数个这这样的委委托人中中分拆。授权机机构可通通过适当当的程序序(如获获得法院院的许可可)，从

29、从数个委委托人手手中恢复复密钥。5.7密密钥钥托托 管1993年4月月，美国国政府为为了满足足其电信信安全、公众安安全和国国家安全全，提出出了托管管加密标标准(EscrowedEncryption Standard，EES)，该标准准所使用用的托管管技术不不仅提供供了强加加密功能能，而且且也为政政府机构构提供了了实施法法律授权权下的监监听。EES于于1994年2月正式式被美国国政府公公布采用用，该标标准的核核心是一一个称为为Clipper的防防窜扰芯芯片，它它是由美美国国家家安全局局(NSA)主主持开开发的软软、硬件件实现密密码部件件。它有两个个主要的的特性: (1)一一个加加密算法法Skip

30、jack算法法，该算算法是由由NSA设计的的，用于于加密与与解密用用户间通通信的消消息。(2) 为法法律实施施部门提提供“后后门恢复复”的权权限，即即通过法法律强制制访问域域(LawEnforcementAccessField，LEAF)实现现对用户户通信的的解密。美国政府府的EES公布布之后，在社会会上引起起了很大大的争议议。有有关密钥钥托管争争论的主主要焦点点在于以以下两方方:一一方认认为，政政府对密密钥管理理控制的的重要性性是出于于安全考考虑，这这样可以以允许合合法的机机构依据据适当的的法律授授权访问问该托管管密钥。不但政政府通过过法律授授权可以以访问加加密过的的文件和和通信信，用户户在

31、紧急急情况时时，也可可以对解解密数据据的密钥钥恢复访访问。另另一方认认为，密密钥托管管政策把把公民的的个人隐隐私置于于政府情情报部门门手中，一方面面违反了了美国宪宪法和个个人隐私私法，另另一方面面也使美美国公司司的密码码产品出出口受到到极大的的限制和和影响。从技术角角度来看看，赞成成和反对对的意见见也都有有。赞成成意见认认为，应应宣扬和和推动这这种技术术的研究究与开发发;反反对意见见认为，该系统统的技术术还不成成熟，基基于“密密钥托管管”的加加密系统统的基础础设施会会导致安安全性能能下降，投资成成本增高高。(1)密密码系系统中依依据密钥钥的重要要性可将将密钥大大体上分分为会话话密钥、密钥加加密密钥钥和主密密钥三大大类。主主密钥位位于密钥钥层次的的最高层层，用于于对密钥钥加密密密钥、会会话密钥钥或其他他下层密密钥