现代密码学与应用

现代密码学与应用——密钥管理技术E-mail:参考书籍《HandbookofAppliedCryptography》:Chapter13《ClassicalandContemporaryCryptology》：Chapter9大纲一、密钥管理的概念二、机密密钥分发技术三、公钥分发技术四、控制密钥使用的技术五、多个域的密钥管理六、密钥生命周期问题一、密钥管理的概念密钥管理是一组技术和过程，它能够在授权方间提供密钥关系的建立和维护包括域中系统用户的初始化密钥材料的生成、分发和安装控制密钥材料的使用密钥材料的更新、撤销和销毁密钥材料的存储、备份/恢复和存档指通信实体共享密钥材料(包括公钥、私钥、初始值以及额外的非秘密参数)的状态密钥分类对称密钥：对称密码系统中使用的相同的秘密密钥公钥和私钥：非对称密码系统中使用的成对密钥统称为秘密密钥密钥管理的目标在遇到如下威胁时，仍能保持密钥关系和密钥材料：危及秘密密钥的机密性危及秘密密钥或公钥的真实性危及密钥或公钥的未授权使用如，使用一个过期密钥，或误用一个用于其他用途的密钥指与之共享密钥或与之相关联的参与方的真实身份的知识及其可炎症性简单密钥建立模式n2个密钥分发问题点对点和中心化的密钥管理点对点机制利用KDC利用KTC密钥管理：对称密钥vs.公钥加密二、机密密钥分发技术密钥分层主密钥：不受密码学的保护。它们被手工分发或在一开始时建立，受程序上的控制以及物理或电子隔离的保护(最高层)加密密钥的密钥：用于传输或存储其他密钥的对称密钥或加密公钥，如保护会话密钥的密钥。数据密钥：用于对用户数据提供密钥操作(如加密、认证)。会话密钥(短期)文件密钥(周期取决于文件)用于签名的私钥(长期的)高一层的密钥用来保护低一层的密钥层次越高，安全性要求也越高按使用时间分类：长期密钥：包括主密钥、加密密钥的密钥、及有助于密钥协商的密钥多用于数据存储，或用于保护短期密钥短期密钥：包括：密钥建立协议中生成的共享密钥，及会话密钥多用于通信应用指参与方使用密钥的预定时间；而不是保护生命周期单步密钥传输具有挑战-响应的密钥传输W=rAW=f(rA,rB)W=rANeedham-Schroeder改进协议（1）2.4.KDCAB1.IDA||IDB3.5.以时戳替代随机数，用以向A，B保证Ks的新鲜性|Clock－T|<⊿t1+⊿t2Clock:本地时钟⊿t1：本地时钟与KDC时钟误差估计值⊿t2：网络延迟时间要求各方时钟同步如果发方时钟超前B方时钟，可能导致等待重放攻击这个协议中Alice和Bob两人各与KDC共享一个秘密密钥。(A,RA)EB(A,RA,RB)EA(B,k,RA,RB),EB(A,k)解密得k和RA并确认RA的有效性EB(A,k),Ek(RB)解密得k,再解密得RB，确认RA的有效性A、B分别为Alice和Bob的名字；RA,RB为随机数通过该协议，Alice、Bob互相确信是正在同对方谈话，而不是跟第三方Yahalom协议AliceKDCBobKerberos认证协议KDCAliceBobA,BEA(T,L,K,B),EB(T,L,K,A)EK(A,T),EB(T,L,K,A)EK(T+1)A、B分别为Alice和Bob的名字；RA,RB为随机数Needham-Schroeder公钥协议AliceBob会话密钥W=f(k1,k2)PA,PB分别为Alice和Bob的公钥可实现相互的实体认证、密钥认证和密钥传输密钥转换中心KTCE是对称加密算法KAT是A和KTC之间的共享密钥KBT是B和KTC之间的共享密钥M是建立的会话密钥对称密钥证书为了避免对KTC上存储的共享密钥数据库进行集中维护管理，引入了对称密钥证书其中KT：只有KTC知道的对称主密钥；对称密钥证书SCertA：包含KTC和A的长期共享密钥、实体A的身份信息，也可以包含时戳信息；由各个实体保存自己的对称密钥证书三、公钥分发技术例：Needham-Schroeder公钥协议AliceBob会话密钥W=f(k1,k2)PA,PB分别为Alice和Bob的公钥可实现相互的实体认证、密钥认证和密钥传输如何可信分发？选择方案可信信道上的点对点传输直接访问一个可信的公开文件（公钥注册）（见13.4.1节)在线可信服务器的使用离线服务器和证书的使用（见13.4.2节)隐式确保公开参数真实性的系统的使用（见13.4.3和13.4.4节)3.1可信信道上的点对点传输具体方式：通过亲自交换通过连接相关用户的直接信道从其他用户处直接获取某用户的可信公钥，并提供（程序上的）完整性和真实性保证。适用于：不常用的情况或是小且封闭的系统中其他相关方法：通过不可信的信道交换公钥和相关信息并通过一个独立的低宽带可信信道传送这些信息的杂凑值以便进行完整性认证3.2直接访问可信的公开文件（公钥注册）建立一个具有可信完整性的公开数据库，其中包括各用户的名称和可信公钥即，通过一个可信方来注册公钥后，用户直接从注册文件中获取公钥公开文件的认证认证树例：认证树验证公钥Y1的真实性的过程是？依次验证h(Y1),h1,h2和R3.3在线可信服务器的使用通过在线可信服务器获取指定用户的公钥在线可信服务器对公钥进行签名后再传送参与方可验证接收到的签名的真实性缺点：可信服务器必须在线可信服务器可能会成为瓶颈必须建立预定的通信方与可信服务器的通信链接利用公钥管理机构的公钥分发建立、维护动态的公钥目录表每个用户都可靠地知道公钥管理机构的公钥.SKAU

：公钥管理机构自己的秘钥，仅公钥管理机构自己知道；3.4离线服务器和证书的使用公钥证书X.509证书PKI一种安全体系和框架公钥证书目的：使一个实体的公钥可用于其他实体，并能验证公钥的真实性和有效性.是一个由数据部分和签名部分组成的数据结构数据部分：包括明文数据，最少包括一个公钥和一个参与方的标识符签名部分：证书颁发机构CA(CertificationAuthority)对数据部分的数字签名，以保证公钥的真实性用户通过公钥证书来互相交换自己的公钥，而无须与公钥管理机构联系公钥证书能以明文的形式进行存储和分配X.509证书目前应用最广泛的证书格式是国际电信联盟ITU(InternationaltelecommunicationUnion)提出的X.509版本3格式。X.509标准最早于1988年颁发，此后又于1993年和1995年进行了两次修改Internet工程任务组(IETF)针对X.509在Internet环境的应用，颁发了一个作为X.509子集的RFC2459。从而使得X.509在Internet环境中得到广泛应用。X.509证书格式版本号：如v3序列号：由同一发行者（CA）发放的每个证书的序列号是唯一的签名算法识别符：签署证书所用的算法及相关参数.发行者名称：指建立和签署证书的CA名称.有效期：包括证书有效期的起始时间和终止时间.主体名称：持有该证书的最终实体.主体的公钥信息：包括主体的公开密钥、使用这一公开密钥算法的标识符及相关参数颁发者唯一识别符：当CA名称被重新用于其它实体时，则用这一识别符来唯一的识别发行者.(可选)主体唯一识别符：当主体的名称被重新用于其它实体时，则用这一识别符来唯一的识别主体.(可选)扩展域：包括一个或多个扩展的数据项，仅在第3版中使用签名：CA用自己的私钥对上述域的哈希值的数字签名.任何一个用户，只要知道证书颁发机构CA的公钥，就能验证证书签名的合法性。若验证正确，则用户可相信该证书所携带的公钥是真实的，且该公钥是证书所标识的那个实体的合法公钥。只要CA是可信的，公钥证书就是可信的.日常生活中使用证书的例子：汽车驾照：标识驾驶员的驾驶资格公钥证书的好处用户只要获得其他用户的证书，就可以获得其他用户的公钥用户只要获得CA的公钥，就可以安全地认证其他用户的公钥公钥证书为公钥的分发奠定了基础，成为公钥密码在大型网络系统中应用的关键技术电子政务、电子商务等大型网络应用系统都采用公钥证书技术公钥证书的建立如果所有用户都由同一CA为自己签署证书，则这一CA就必须取得所有用户的信任。用户证书除了能放在目录中以供他人访问外，还可以由用户直接发给其他用户。如果用户数量极多，则仅一个CA负责为用户签署证书是不现实的，因为每一用户都必须以绝对安全的方式得到CA的公开密钥，以验证CA签署的证书。因此在用户数目极多的情况下，应有多个CA，每一CA仅为一部分用户签署证书。X.509证书的获取CA为用户产生的证书应有以下特征：（同一CA)其他任一用户只要得到CA的公开密钥，就能由此得到CA为该用户签署的公开密钥。除CA以外，任何其他人都不能以不被察觉的方式修改证书的内容。可直接从其他用户处获取，或从CA处获取X.509证书的获取设用户A已从证书颁发机构X1处获取了公钥证书，用户B已从证书颁发机构X2处获取了证书。如果A不知X2的公开密钥，他虽然能读取B的证书，但却无法验证X2的签字，因此B的证书对A来说是没有用的。若两个CAX1和X2彼此间已经安全地交换了公开密钥，则A可通过以下过程获取B的公开秘钥：A从目录中获取X1签署的X2的证书，因A知道X1的公开密钥，所以能验证X2的证书，并从中得到X2的公开密钥。A再从目录中获取由X2签署的B的证书，并由X2的公开密钥对此验证，然后从中得到B的公开密钥。X.509证书的获取以上过程中，A是通过一个证书链来获取B的公开密钥，证书链可表示为：X1《X2》X2《B》类似的，B能通过相反的证书链获取A的公开密钥：

X2《X1》X1《A》N个证书的证书链可表示为：X1《X2》X2《X3》…XN《B》X.509证书的获取X.509建议将所有CA以层次结构组织起来。右图是X.509的CA层次结构的一个例子，其中的内部节点表示CA，叶节点表示用户。用户A可从目录中得到相应的证书以建立到B的证书链：X《W》W《V》V《Y》Y《Z》Z《B》并通过该证书链获取B的公开密钥。X.509证书吊销列表X.509认证业务X.509定义了X.500目录向用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书。

X.509还定义了基于公钥证书的认证协议。由于X.509中定义的证书结构和认证协议已被广泛应用于S/MIME、IPSec、SSL/TLS以及SET等诸多应用过程，因此X.509已成为一个重要的标准。X.509的基础是公钥密码体制和数字签字，但其中未特别指明使用哪种密码体制（建议使用RSA），也未特别指明数字签字中使用哪种杂凑函数。X.509强双向协议（两步）AliceBobPA,SA分别为Alice的公钥和私钥；PB,SB分别为Bob的公钥和私钥；certA和certB分别为Alice和Bob的公钥证书共享密钥为k1和k2使用时戳和随机数的挑战-响应技术X.509强双向协议（三步）AliceBobPA,SA分别为Alice的公钥和私钥；PB,SB分别为Bob的公钥和私钥；certA和certB分别为Alice和Bob的公钥证书共享密钥为k1和k2基于随机数的挑战-响应技术PKI的概念公钥基础设施是指结合公钥密码体制建立的提供信息安全服务的基础设施。PKI并不是简单的一种技术，而是一种安全体系和框架。该体系在统一的安全认证标准和规范基础上提供在线身份认证，集成了CA认证、数字证书、数字签名等功能。PKI的组成认证机构（CertificateAuthority,CA）：是PKI的核心机构。核心功能是发放和管理数字证书。注册机构(RegistryAuthority,RA）：作为CA和最终实体之间的中间实体，主要负责证书申请者的登记和初始鉴别证书服务器：负责根据注册过程中提供的消息生成证书的机器或服务证书库：是CA颁发证书和撤销证书的集中存放地。常用的实现方式是轻量级目录访问协议(LDAP)证书验证密钥备份及恢复时间服务器：用来发布可验证的时间戳，并对时间戳签名签名服务器：执行集中的签名和验证服务CA主要功能描述如下：接收验证最终用户数字证书的申请证书审批证书发放证书更新接收最终用户数字证书的查询、撤销产生和发布证书吊销列表(CRL)证书的归档密钥归档历史数据归档CA主要包括以下三个部分：注册服务器证书申请受理和审核机构认证机构服务器证书的生成与分发证书的使用证书验证证书的签名是有效的证书的起止日期是有效的证书只能用于最初创建它的目的证书必须没有被撤销PKI中的信任模型建立一个管理全世界所有用户的全球性PKI是不现实的。比较可行的办法是各个国家都建立自己的PKI，一个国家之内在分别建立不同行业或不同地区的PKI。为了实现跨地区、跨行业，甚至跨国际的安全电子业务，这些不同的PKI之间的互联互通和相互信任是不可避免的。证书用户、证书主体、各个CA之间的证书认证关系系称为PKI的信任模型。已经提出的模型有树（层次）

模型、森林模型等多种信任模型。树（层次）

模型树（层次）

模型是PKI的一种简单的信任模型。它比较适合具有层次结构的机构，如军队、垂直性行业、学校等。在树（层次）

模型中，多个CA和最终用户构成一颗树。其中最高级的一个CA为根，称为根CA，根CA是树型信任模型中的信任根源。其他CA根据其在树中的位置不同，而分别被称为中间CA和底层CA。证书的持证人（最终用户）为树的叶子。所有的CA和最终用户都遵循共同的行动准则。一种简单的树（层次）

模型森林层次模型在树形信任模型中，所有的CA和最终用户都遵循共同的行动准则。这对于具有层次结构的机构是可行的。但是，对于社会而言，要建立一个包容各行各业的树形，模型PKI是不现实的。于是出现了由多棵树组成的森林模型。对于森林模型，如果多棵树之间彼此没有联系、互不信任，那么分别属于不同树的最终用户之间的保密通信是无法进行的。这样，这些树便成了信任孤岛，为了避免这种情况，应当在这些树之间建立某种信任关系，从而实现交叉认证。交叉认证的方法：各PKI的CA之间互相签发证书；由用户控制的交叉认证；由桥接CA控制的交叉认证。森林模型与用户控制的交叉认证示例由桥接CA控制的交叉认证模型其他信任模型一个实际的PKI由于历史发展的原因，其信任结构完全可能并不是一个标准的树型模型或者森林模型，而是一种更复杂的结构。但是，不管它的信任模型是什么，它必须能够为用户提供满意的认证服务。只要是用户满意的，它的存在就是合理的。应用安全Web通信单向认证双向认证安全电子邮件四、控制密钥使用的技术与密钥相关的信息密钥拥有者有效期限密钥标识符预定的使用指定算法……密钥误用的威胁非对称密钥同时用于签名和挑战-响应实体认证密钥同时用于加密和挑战-响应实体认证对称密钥同时用于加密和消息认证因此，必须采用密钥分割，以避免多种目标中使用同一个密钥。指不同用途的密钥在密码学上应被分割控制对称密钥使用的技术密钥标签/密钥变体标签比特连同密钥一起加密，以便将标签比特绑定到密钥上通过密钥变体来提供密钥分割，如：（K1,K2是K的变体）密钥公证简单密钥公证:（S是会话密钥）带偏移的密钥公证:(K1,K2)是公证密钥控制向量控制向量思想：将密钥标签的思想和简单密钥公证机制相结合将控制向量C以密码学形式绑定在S上，以阻止C的未授权使用。五、多个域的密钥管理基本概念安全域（域）：实体所信任的单一授权机构所控制的一个系统（子系统）域中每个实体在其授权机构中所拥有的信任，起源于：指定实体的共享密钥或口令（对称的情况下）拥有授权机构的可信公钥（非对称的情况下）实体和授权机构间，或在同一域中的两个实体间，可建立安全通信信道（能确保真实性和机密性）两个域间的信任Q：A和B之间如何建立信任关系？A：前提：TA与TB之间是