信息技术赵泽茂第五章

5.1密钥的分类5.2密钥的生成与存储5.3密钥的分配5.4密钥的更新与撤销5.5密钥共享5.6会议密钥分配5.7密钥托管小结习题在一个大型通信网络中，数据将在多个终端和主机之间传递，要进行保密通信，就需要大量的密钥，密钥的存储和管理变得十分复杂和困难。在电子商务系统中，多个用户向

同一系统注册，要求彼此之间相互隔离。系统需要对用户的密钥进行管理，并对其身份进行认证。不论是对于系统、普通用户还是网络互连的中间节点，需要保密的内容的秘密层次和等级是不相同的，要求也是不一样的，因此，密钥种类各不相同。

在一个密码系统中，按照加密的内容不同，密钥可以分为会话密钥、密钥加密密钥和主密钥。5.1密钥的分类

1.会话密钥

会话密钥(SessionKey)，指两个通信终端用户一次通话或交换数据时使用的密钥。它位于密码系统中整个密钥层次的最低层，仅对临时的通话或交换数据使用。会话密钥若用

来对传输的数据进行保护，则称为数据加密密钥;若用作保护文件，则称为文件密钥;若供通信双方专用，则称为专用密钥。会话密钥若用来对传输的数据进行保护，则称为数据加密密钥;若用作保护文件，则称为文件密钥;若供通信双方专用，则称为专用密钥。会话密钥可由通信双方协商得到，也可由密钥分配中心(KeyDistributionCenter，KDC)分配。由于它大多是临时的、动态的，即使密钥丢失，也会因加密

的数据有限而使损失有限。会话密钥只有在需要时才通过协议取得，用完后就丢掉了，从而可降低密钥的分配存储量。基于运算速度的考虑，会话密钥普遍是用对称密码算法来进行的，即它就是所使用的某一种对称加密算法的加密密钥。

2.密钥加密密钥

密钥加密密钥(KeyEncryptionKey)用于对会话密钥或下层密钥进行保护，也称为次主密钥(SubmasterKey)或二级密钥(SecondaryKey)。

在通信网络中，每一个节点都分配有一个这类密钥，每个节点到其他各节点的密钥加密密钥是不同的。但是，任意两个节点间的密钥加密密钥却是相同的、共享的，这是整个系统预先分配和内置的。在这种系统中，密钥加密密钥就是系统预先给任意两个节点间设置的共享密钥，该应用建立在对称密码体制的基础之上。在建有公钥密码体制的系统中，所有用户都拥有公、私钥对。如果用户间要进行数据传输，协商一个会话密钥是必要的，会话密钥的传递可以用接收方的公钥加密来进行，接

收方用自己的私钥解密，从而安全获得会话密钥，再利用它进行数据加密并发送给接收方。

在这种系统中，密钥加密密钥就是建有公钥密码基础的用户的公钥。

密钥加密密钥是为了保证两节点间安全传递会话密钥或下层密钥而设置的，处在密钥管理的中间层。系统因使用的密码体制不同，它可以是公钥，也可以是共享密钥。

3.主密钥

主密钥位于密码系统中整个密钥层次的最高层，主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护。主密钥是由用户选定或系统分配给用户的，分发基于物理渠道或其他可靠的方法，处于加密控制的上层，一般存在于网络中心、主节点、主处理器中，通过物理或电子隔离的方式受到严格的保护。在某种程度上，主密钥可以起到标识用户的作用。上述密钥的分类是基于密钥的重要性来考虑的，也就是说密钥所处的层次不同，它的使用范围和生命周期是不同的。概括地讲，密钥管理的层次结构如图5-1-1所示。主密钥处

在最高层，用某种加密算法保护密钥加密密钥，也可直接加密会话密钥。会话密钥处在最低层，基于某种加密算法保护数据或其他重要信息。密钥的层次结构使得除了主密钥外，其他密钥以密文方式存储，有效地保护了密钥的安全。一般来说，处在上层的密钥更新周期相对较长，处在下层的密钥更新较频繁。对于攻击者来说意味着，即使攻破一份密文，最多导致使用该密钥的报文被解密，损失也是有限的。攻击者不可能动摇整个密码系统，从而有效地保证了密码系统的安全性。图5-1-1密钥管理的层次结构密钥的产生可以用手工方式，也可以用随机数生成器。对于一些常用的密码体制而言，密钥的选取和长度都有严格的要求和限制，尤其是对于公钥密码体制，公、私钥对还必须满足一定的运算关系。总之，不同的密码体制，其密钥的具体生成方法一般是不相同的。

密钥的存储不同于一般的数据存储，需要保密存储。保密存储有两种方法:一种方法是基于密钥的软保护;另一种方法是基于硬件的物理保护。前者使用加密算法对用户密钥(包括口令)加密，然后密钥以密文形式存储。后者将密钥存储于与计算机相分离的某种物理设备(如智能卡、USB盘或其他存储设备)中，以实现密钥的物理隔离保护。5.2密钥的生成与存储密钥分配研究究密码系统中中密钥的分发发和传送中的的规则及约定定等问题。从从分配途径的的不同来区分分，密钥的分分配方法可分分为网外分配配方式和网内内分配方式。。网网外分配方式式即人工途径径方式，它不不通过计算机机网络，是一一种人工分配配密钥的方法法。这这种方式适合合小型网络及及用户相对较较少的系统，，或者安全强强度要求较高高的系统。网网外分配方方式的最大优优点是安全、、可靠;缺缺点是分配成成本过高。5.3密密钥的分分配网内分配方式式指通过计算算机网络进行行密钥的分配配，有两种方方式:一种种是在用户之之间直接实现现分配，即通通信一方向另另一方直接传传送会话密钥钥，以备在将将要进行的通通话或数据传传送中使用;另一种是是建立密钥分分配中心KDC，通过KDC来分配配密钥。按按照分分配的密钥的的性质不同，，密钥的分配配分为秘密密密钥的分配和和公开密钥的的分配。秘秘密密钥钥的分配秘密密钥分配配主要有以下下两种方法：：(1)用一一个密钥加密密密钥加密多多个会话密钥钥。这这种方法的前前提是通信双双方预先通过过可靠的秘密密渠道建立一一个用于会话话密钥加密的的密钥，把会会话密钥加密密后传送给对对方。该方法法的优点是每每次通信可临临时选择不同同的会话密钥钥，提高了使使用密钥的灵灵活性。(2)使用用密钥分配中中心。这这种方法要要求建立一个个可信的密钥钥分配中心(KDC)，，且每个用户户都与KDC共享一个密密钥，记为KA-KDC，KB-KDC，…，在具具体执行密钥钥分配时有两两种不同的处处理方式。

①会会话密钥由由通信发起方方生成。协协议步步骤如下:第第一步:A→KDC:(KS‖IDB)。当当A与B要要进行通话时时，A随机地地选择一个会会话密钥KS和希望望建立通信的的对象IDB，用KA-KDC加密，然后发发送给KDC。第二步:KDC→B:(KS，IDA)。KDC收到到后，用KA-KDC解密，获得A所选择的会会话密钥KS和A希望与之之建立通信的的对象IDB，然后用KB-KDC加密这个会话话密钥和希望望与B建立通通信的对象IDA，并发送给B。第第三步步:B收到到后，用KB-KDC解密，从而获获得A要与自自己通信和A所确定的会会话密钥KS。这样，会话密密钥协商KS成功，A和B就可以用它它进行保密通通信了。②②会会话密钥由KDC生成。。协协议步骤如下下:第第一步:A→KDC：IDA‖IDB。当当A希望与B进行保密通通信时，它先先给KDC发发送一条请求求消息表明自自己想与B通通信。

第二步:KDC→→A:(KS，IDB);KDC→B:(KS，IDA)。KDC收到这这个请求后，，就临时产生生一个会话密密钥KS，并将B的身身份和所产生生的这个会话话密钥一起用用KA-KDC加密后传送给给A。同时，，KDC将A的身份和刚刚才所产生的的这个会话话密钥KS用KB-KDC加密密后传送给B，告诉B有有A希望与之之通信且所用用的密钥就是是KS。第第三步:A收到后，，用KA-KDC解密，获得B的身份及KDC所确定定的会话密钥钥KS;B收到后后，用KB-KDC解密，获得A的身份及KDC所确定定的会话密钥钥KS。这这样，A和B就可以用会会话密钥KS进行保密通信信了。公公开密钥钥的分配在公开密钥密密码体制中，，公开密钥是是公开的，私私有密钥是保保密的。在这这种密码体制制中，公开密密钥似乎像电电话号码簿那那样可以公开开查询。其实实不然。一方方面，密钥更更换、增加和和删除的频频度是很高的的;另一方方面，如果公公开密钥被篡篡改或替换，，则公开密钥钥的安全性就就得不到保证证，公开密钥钥同样需要保保护。此外，，公开密钥相相当长，不可可能靠人工方方式进行管理理和使用，，因此，需要要密码系统采采取适当的方方式进行管理理。公开开密钥分配主主要有广播式式公开发布、、建立公钥目目录、带认证证的密钥分配配、使用数字字证书分配等等4种形式。。1.广播播式公开发布布根据公开密钥钥算法的特点点，可通过广广播式公布公公开密钥。该该方法的优点点是简便，不不需要特别的的安全渠道;缺点是是可能出现伪伪造公钥，容容易受到假冒冒用户的攻击击。因此，公公钥必须从正正规途径获取取或对公钥的的真伪进行认认证。2.建立立公钥目录建立公钥目录录是指由可信信机构负责一一个公开密钥钥的公开目录录的维护和分分配，参与各各方可通过正正常或可信渠渠道到目录权权威机构登记记公开密钥，，可信机构为为参与者建立立用户名和与与其公开密钥钥的关联条目目，并允许参参与者随时访访问该目录，，以及申请增增、删、改自自己的密钥。。为安全起见见，参与者与与权威机构之之间的通信安安全受鉴别保保护。该方方式的缺点是是易受冒充权权威机构伪造造公开密钥的的攻击，优点点是安全性强强于广播式公公开发布密钥钥分配。3.带认认证的密钥分分配带认证的密钥钥分配是指由由一个专门的的权威机构在在线维护一个个包含所有注注册用户公开开密钥信息的的动态目录。。这种公开密密钥分配方案案主要用于参参与者A要与与B进行保密密通信时，向向权威机构请请求B的公开开密钥。权威威机构查找到到B的公开密密钥，并签名名后发送给A。为安全起起见，还需通通过时戳等技技术加以保护护和判别。该该方式的缺点点是可信服务务器必须在线线，用户才可可能与可信服服务器间建立立通信链路，，这可能导致致可信服务器器成为公钥使使用的一个瓶瓶颈。4.使用用数字证书分分配为了克服在线线服务器分配配公钥的缺点点，采用离线线方式不失为为一种有效的的解决办法。。所谓离线方方式，简单说说就是使用物物理渠道，通通过公钥数字字证书方式，，交换公开密密钥，无需可可

信机构在在线服务。公公钥数字证书书由可信中心心生成，内容容包含用户身身份、公钥、、所用算法、、序列号、有有效期、证书书机构的信息息及其他一些些相关信息，，证书须由可可信机构签名名。通信一方方可向另一一方传送自己己的公钥数字字证书，另一一方可以验证证此证书是否否由可信机构构签发、是否否有效。该方方式的特点是是:用户可可以从证书中中获取证书持持有者的身份份和公钥信息息;用户可可

以验证一一个证书是否否由权威机构构签发以及证证书是否有效效;数字证证书只能由可可信机构签发发和更新。密钥的使用寿寿命是有周期期的，在密钥钥有效期快要要结束时，如如果对该密钥钥加密的内容容需要继续保保护，该密钥钥就需要由一一个新的密钥钥取代，这就就是密钥的更更新。密钥的的更新可以通通过再生密钥钥取代原有密密钥的方式来来实现。如果果原有密码加加密的内容较较多，必须逐逐一替换，以以免加密内容容无法恢复。。对对于密钥丢失失或被攻击的的情况，该密密钥应该立即即被撤销，所所有使用该密密钥的记录和和加密的内容容都应该重新新处理或销毁毁，使得它无无法恢复，即即使恢复也没没有什么可利利用的价值。。会话密密钥在会话结结束时，一般般会立即被删删除。下一次次需要时，重重新协商。5.4密密钥的更新与与撤销当公钥密码受受到攻击或假假冒时，对于于数字证书这这种情况，撤撤销时需要一一定的时间，，不可能立即即生效;对对于在线服务务器形式，只只需在可信服服务器中更新新新的公钥，，用户使用时时通过在线服服务器可以随随时得到新的的有效的公钥钥。在密码系统中中，主密钥是是整个密码系系统的关键，，是整个密码码系统的基础础，也可以说说是整个可信信任体系的信信任根，受到到了严格的保保护。一般来来说，主密钥钥由其拥有者者掌握，并不不

受其他人人制约。但是是，在有些系系统中密钥并并不适合由一一个人掌握，，而需要由多多个人同时保保管，其目的的是为了制约约个人行为。。比如，某银银行的金库钥钥匙一般情况况下都不是由由一个人来保保管使用的，，而要由多个个人共同负责责使用(为防防止其中某个个人单独开锁锁产生自盗行行为，规定金金库门锁开启启至少需由三三人在场才能能打开)。5.5密密钥共享享解决这类问题题最好的办法法是采用密钥钥共享方案，，也就是把一一个密钥进行行分解，由若若干个人分别别保管密钥的的部分份额，，这些保管的的人至少要达达到一定数量量才能恢复密密钥，少于这这个数量是不不可能恢复密密钥的，从而而对于个人或或小团体起到到了制衡和约约束作用。所谓密钥共享享方案，是指指将一个密钥钥k分成n个个子密钥k1，k2，…，kn，并秘密分配配给n个参与与者，且需满满足下列两个个条件:

(1)用任意意t个子密钥钥计算密钥k是容易的;(2)若若子密钥的个个数少于t个个，要求得密密钥k是不可可行的。我们称这样的的方案为(t，n)门限限方案(ThresholdSchemes)，t为为门限值。

由于于重构密钥至至少需要t个个子密钥，故故暴露r(r≤t-1)个子密钥不不会危及密钥钥。因此少于于t个参与者者的共谋也不不能得到密钥钥。另外，若若一个子密钥钥或至多n-t个子密钥钥偶然丢失或或破坏，仍可可恢复密钥。。密钥共享方方案对于特殊殊的保密系统统具有特别重重要的意义。。以色列密码学学家Shamir于1979年提出出了上述密钥钥共享方案的的思想，并给给出了一个具具体的方案———拉格朗日日插值多项式式门限方案，，现介绍如下下：设设p为一个个素数，密钥钥k∈Zp，假定由可信信机构TA给给n(n<p)个合法参参与者wi(1≤i≤n)分配子子密钥,操操作步骤如如下:(1)TA随机机选择一个t-1次多项项式F(x)=a0+a1x+…+at-1xt-1(modp)，t<n，ai∈Zp;(2)确确定密钥k=F(0)=a0;(3)TA在Zp中任意选取n个非零且互互不相同的元元素x1，x2，…，xn，这些元素xi用于标识参与与者wi，并计算ki=F(xi)，1≤i≤≤n;(4)将(xi，ki)(1≤i≤≤n)分配给给参与者wi(1≤i≤n)，其中xi公开，ki为wi的子密钥。

至此此，n个参与与者都分得了了密钥的部分分份额——子子密钥ki，当至少有t个参与者提提供其份额时时，就可据此此计算出密钥钥k;不足足t个时，无无法计算。事实上，从任任意t个子密密钥ki和对应的用户户标识xi可得到线性方方程组:上述方程组有有唯一解a0，a1，…，at，从而得到k=F(0)=a0。若已知的子子密钥不足t个，则方程程组无解。从从理论上讲讲，寻找a0是不可行的，，即寻找密钥钥k是不可行行的。

给给定t个子子密钥ki(1≤i≤t)，利用拉拉格朗日插值值公式重构的的F(x)为为其中，加、减减、乘、除运运算都是在Zp上运算的，除除法是乘以分分母的逆元素素。显然，只只要知道F(x)，便易易于计算出密密钥k。因为为密钥k=F(0)，所所以若令bi=，，则有k=F(0)=biki例5-1设p=17，，t=3，n=5，k=13，令令xi=i(1≤i≤5)。假假定定k1=8，k3=10，k5=11，试试按Shamir方方案重构密钥钥。解由k1、k2、k3重构共享密钥钥时，利用bi的计算公式式，分别得到到b1==3×5×(3-1)-1×(5-1)-1=4(mod17)

b3==1×5×(1-3)-1×(5-3)-1=3(mod17)

b5==1×3×(1-5)-1×(3-5)-1=11(mod17)故有k=biki=4×8+3×10+11×11=13(mod17)

也也可解线性方方程组:a0+a1+a2=8a0+3a1+9a2=10a0+5a1+25a2=11

从而而解得a0==13(mod17)目前，随着网网络多媒体技技术的发展，，网络视频会会议以及网络络电话会议已已逐渐成为一一种重要的会会议和通信的的方式。基于于这种网络会会议系统，如如何保证所有有参会者能够够安全地参与与会

议，同同时又能防止止非法窃听者者，这就是网网络通信中信信息的多方安安全传递问题题。下面介绍绍的会议密钥钥广播方案能能够较好地解解决这个难题题。Berkovitz提提出了一种基基于门限方案案的会议密钥钥广播分配方方案，其主要要设计思路是是让每个可能能的接收者得得到一个密钥钥份额，然后后广播部分密密钥份额，合合法成员可利利用门限方案案的重构密钥钥，进入系统统接收会议信信息，而非法法成员则不能能。5.6会会议密钥分配配假设系统有t个合法成员员，在广播会会议信息m时时，用密钥k加密，并完完成以下操作作:(1)系系统选取一一个随机数j，用它来隐隐藏消息接收收者的数目。。(2)系统统创建一个(t+j+1，2t+j+1)的密密钥共享门限限方案，且满满足k为密钥钥;给每一一个合法成员员分配一个由由该门限方案案产生的关于于密钥k的一一个秘密份额额;非法接接收者不能得得到密钥k的的任何份额。。(3)除除去已分配给给合法用户的的t个份额外外，在余下的的份额中随机机选取t+j个份额进行行广播。(4)每一合法法成员利用所所得到的秘密密份额和广播播的t+j个个份额，按照照门限方案的的重构算法能能够计算出密密钥k，从而而就能解读消消息m。反之之，非法成员员最多只能拥拥有t+j个个份额，无法法重构密钥k，因此不能能解读消息m。所谓密钥托管管，是指为公公众和用户提提供更好的安安全通信同时时，也允许授授权者(包括括政府保密部部门、企业专专门技术人员员和用户等)为了国家、、集团和个人人隐私等安全全利益，监听听某些

通信信内容和解密密有关密文。。所以，密钥钥托管也叫““密钥恢复””，或者理解解为“数据恢恢复”和“特特殊获取”等等含义。密密钥由由所信任的委委托人持有，，委托人可以以是政府、法法院或有契约约的私人组织织。一个密钥钥也可能在数数个这样的委委托人中分拆拆。授权机构构可通过适当当的程序(如如获得法院的的许可)，从从数个委托人人手中恢复密密钥。5.7密密钥托管管1993年4月，美国政政府为了满足足其电信安全全、公众安全全和国家安全全，提出了托托管加密标准准(EscrowedEncryptionStandard，，EES)，，该标准所使使用的托管技技术不仅提供供了强加密功功能，而且也也为政府机构构提供了实施施法律授权下下的监听。EES于1994年2月月正式被美国国政府公布采采用，该标准准的核心是一一个称为Clipper的防窜扰芯芯片，它是由由美国国家安安全局(NSA)

主持持开发的软、、硬件实现密密码部件。它有两个主要要的特性:(1)一个个加密算法———Skipjack算算法，该算法法是由NSA设计的，用用于加密与解解密用户间通通信的消息。。(2)为法法律实施部门门提供“后门门恢复”的权权限，即通过过法律强制访访问域(LawEnforcementAccessField，，

LEAF)实现对对用户通信的的解密。美国政府的EES公布之之后，在社会会上引起了很很大的争议。。有关密钥钥托管争论的的主要焦点在在于以下两方方:一一方认为为，政府对密密钥管理控制制的重要性是是出于安全考考虑，这样可可以允许合法法的机构依据据适当的法律律授权访问该该托管密钥。。不但政府通通过法律授权权可以访问加加密过的文件件和通

信，，用户在紧急急情况时，也也可以对解密密数据的密钥钥恢复访问。。另一一方认为，密密钥托管政策策把公民的个个人隐私置于于政府情报部部门手中，一一方面违反了了美国宪法和和个人隐私法法，另一方面面也使美国公公司的密码产产品出口受到到极大的限制制和影响。从技术角度来来看，赞成和和反对的意见见也都有。赞赞成意见认为为，应宣扬和和推动这种技技术的研究与与开发;反反对意见认为为，该系统的的技术还不成成熟，基于““密钥托管””的加密系统统的基础设施施会导致安全全性能下降，，投资成本增增高。(1)密码码系统中依据据密钥的重要要性可将密钥钥大体上分为为会话密钥、、密钥加密密密钥和主密钥钥三大类。主主密钥位于密密钥层次的最最高层，用于于对密钥加密密密钥、会话话密钥或其他他下层密钥的的保护，一般般存在于网络络中心、主节节点、主处理理器中，通过过物理或电子子隔离的方式式受到严格的的保护。小结结(2)密钥钥在大多数情情况下用随机机数生成器产产生，但对具具体的密码体体制而言，密密钥的选取有有严格的限制制。密钥一般般需要保密存存储。基于密密钥的软保护护指密钥先加加密后存储。。基于硬件的的物理保护指指密钥存储于于与计算机隔隔离的智能卡卡、USB盘盘或其他存储储设备中。(3)密钥分分为网外分配配方式和网内内分配方式。。前者为人工工分配，后者者是通过计算算机网络分配配。密钥的分分配分为秘密密密钥的分配配和公开密钥钥的分配。秘秘密密钥既可可用加密办法法由通信双方方确定，又可可使用KDC集中分配。。公开密钥有有广播式公开开发布、建立立公钥目录、、带认证的密密钥分配、使使用数字证书书分配等4种种形式。(4)密钥钥共享方案可可将主密钥分分解为多个子子密钥份额，，由若干个人人分别保管，，这些保管的的人至少要达达到一定数量量才能恢复这这个共享密钥钥。基于密钥钥共享门限思思想的会议密密钥广播方案案能够较好地地解决网络通通信中信息的的多方安全传传递问题。(5)密密钥托管允允许授权者监监听通信内容容和解密密文文