《信息安全理论与技术》课件3-密钥管理

1第3章密钥管理主要内容对称密码体制的密钥管理密钥分级密钥生成密钥的存储与备份密钥分配密钥的更新密钥的终止和销毁公钥密码体制的密钥管理公钥的分配数字证书X.509证书公钥基础设施PKI关于密钥管理密钥体制的安全应当只取决于密钥的安全，而不取决于对密码算法的保密。因此密钥管理是至关重要的。历史表明，从密钥管理的途径窃取秘密要比单纯的破译所花的代价要小得多。密钥管理包括了密钥的产生、存储、分配、组织、使用、更换和销毁等一系列技术问题。对称密码体制的密钥管理和非对称密码体制的管理是完全不同的。42024/3/314密钥管理概述

密钥管理是一门综合性的技术，它除了技术性的因素之外，它还与人的因素，例如密钥的行政管理制度以及人员的素质密切相关。再好的技术，如果失去了必要的管理支持，终将使技术毫无意义。密码系统的安全强度总上游系统中最薄弱的环节决定的。但作为一个好的密钥管理系统应当尽量不依赖于人的因素，这不仅是为了提高密钥管理的自动化水平，最终目的还是为了提高系统的安全程度。对密钥管理系统一般应满足：

①密钥难以被非法窃取；②在一定条件下窃取了密钥也没有用；③密钥的分配和更换过程在用户看来是透明的，用户不一定要亲自掌握密钥。3.1对称密码体制的密钥管理对称密码体制的加密钥等于解密钥，因此密钥的秘密性、真实性和完整性必须同时保护。这就带来了密钥管理方面的复杂性。对于大型网络系统，由于所需要的密钥种类和数量都很多，因此密钥管理尤其困难。ANSI(美国国家标准学会,AmericanNationalStandardsInstitute)颁布了ANSIX9.17金融机构密钥管理标准，为DES、AES等商业密码的应用提供了密钥管理指导。66为了适应密钥管理系统的要求，目前在现有的计算机网络系统和数据库系统的密钥管理系统的设计中，大都采用了层次化的密钥结构。这种层次化的密钥结构与整个系统的密钥控制关系是对应的。按照密钥的作用与类型及它们之间的相互控制关系，可以将不同类型的密钥划分为1级密钥、2级密钥、…n级密钥，从而组成一个层密钥系统，如下图所示。密钥的结构7788在上图中，系统使用一级密钥通过算法保护二级密钥（一级密钥使用物理方法或其他的方法进行保护），使用二级密钥通过算法保护三级密钥，以此类推，直到最后使用级密钥通过算法保护明文数据。随着加密过程的进行，各层密钥的内容动态变化，而这种变化的规则由相应层次的密钥协议控制。

最下层的密钥也叫初级密钥，或数据加密密钥，它直接作用于对明文数据的加解密。所有上层密钥可称为密钥加密密钥，它们的作用是保护数据加密密钥或作为其他更低层次密钥的加密密钥。最上面一层的密钥也叫主密钥，通常主密钥是整个密钥管理系统的核心，应该采用最安全的方式来进行保护。9

层次化的密钥结构意味着以密钥来保护密钥。这样，大量的数据可以通过少量动态产生的数据加密密钥（工作密钥）进行保护，而数据加密密钥又可以由更少量的、相对不变（使用期较长）的密钥加密密钥来保护。同理，在最后第二层的密钥加密密钥可以由主密钥进行保护，从而保证了除了主密钥可以以明文的形式存储在有严密物理保护的主机密码器件中，其他密钥则以加密后的密文形式存储，这样，就改善了密钥的安全性。具体来说，层次化的密钥结构具有以下优点：

（1）安全性强：（2）进一步提高了密钥管理的自动化密钥分级密钥分为初级密钥、二级密钥和主密钥。初级密钥用于加解密数据的密钥初级通信密钥：一个密钥只使用一次，生存周期很短初级文件密钥：与其所保护的文件有一样长的生存周期初级密钥不能以明文形式保存二级密钥用于保护初级密钥不能以明文形式保存主密钥密钥管理方案中的最高级密钥，用于对二级密钥进行保护。主密钥的生存周期很长密钥生成对密钥的基本要求具有良好的随机性，包括长周期性、非线性、统计意义上的等概率性以及不可预测性等。主密钥的产生

用于加解密主密钥应当是高质量的真随机序列,常采用物理噪声源的方法来产生。二级密钥的产生

利用真随机数产生器芯片来产生二级密钥使用主密钥和一个强的密码算法来产生二级密钥初级密钥的产生

把随机数视为受高级密钥（主密钥或者二级密钥）加密后的初级密钥。因此，随机数被解密后得到初级密钥。密钥的存储安全可靠的存储介质是密钥安全存储的物质条件安全严密的访问控制机制是密钥安全存储的管理条件密钥安全存储的原则是不允许密钥以明文形式出现在密钥管理设备之外。密钥的存储形态明文形态密钥以明文形式存储；密文形态密钥被加密后存储；分量形态密钥以分量的形式存储，密钥分量不是密钥本身，而是用于产生密钥的部分参数，只有在所有密钥分量共同作用下才能产生出真正的密钥，而且只知道其中一个或部分分量，无法求出其他分量。密钥的存储主密钥的存储以明文形式存储，存储器必须是高度安全的，不但物理上安全，而且逻辑上安全。通常是将其存储在专用密码装置中。二级密钥的存储通常采用以高级密钥加密的形式存储二级密钥。初级密钥的存储初级文件密钥一般采用密文形式存储，通常采用以二级文件密钥加密的形式存储初级文件密钥。初级会话密钥的存储空间是工作存储器，应当确保工作存储器的安全。密钥备份

密钥的备份应当是异设备备份，甚至是异地备份。备份的密钥应当受到与存储密钥一样的保护为了减少明文形态的密钥数量，一般采用高级密钥保护低级密钥的方式来进行备份对于高级密钥，不能以密文形态备份。为了进一步增强安全，可采用多个密钥分量的形态进行备份。密钥的备份应当方便恢复，密钥的恢复应当经过授权而且要遵循安全的规章制度。密钥的备份和恢复都要记录日志，并进行审计。密钥分配

主密钥的分配

采取最安全的分配方法。一般采用人工分配主密钥，由专职密钥分配人员分配并由专职安装人员妥善安装。二级密钥的分配

利用已经分配安装的主密钥对二级密钥进行加密保护，并利用计算机网络自动传输分配。

KNCEKMKNCDKM网络传输KNC：二级密钥KM

：主密钥17

密钥分配技术一般需要解决两个方面的问题：为减轻负担，提高效率，引入自动密钥分配机制；为提高安全性，尽可能减少系统中驻留的密钥量。(1)密钥分配的基本方法

对于通信双方A和B，密钥分配可以有以下几种方法：①密钥由A选定，然后通过物理方法安全地传递给B。②密钥由可信赖的第三方C选取并通过物理方法安全地发送给A和B。③如果A和B事先已有一密钥，那么其中一方选取新密钥后，用已有的密钥加密新密钥发送给另一方。④如果A和B都有一个到可信赖的第三方C的保密信道，那么C就可以为A和B选取密钥后安全地发送给A和B。⑤如果A和B都在可信赖的第三方C发布自己的公开密钥，那么他们用彼此的公开密钥进行保密通信。密钥分配方案1818对称密码技术的密钥分配方案（1）集中式密钥分配方案

下图就是具有密钥分配中心的密钥分配方案。图中假定A和B分别与KDC有一个共享的密钥Ka和Kb，A希望与B建立一个逻辑连接，并且需要一次性会话密钥来保护经过这个连接传输的数据，具体过程如下：

①A→KDC：IDA∥IDB∥N1。A向KDC发出会话密钥请求。请求的消息由两个数据项组成：一是A和B的身份IDA和IDB，二是本次业务的唯一标识符N1，每次请求所用的N1都应不同，常用一个时间戳、一个计数器或一个随机数作为这个标识符。为防止攻击者对N1的猜测，用随机数作为这个标识符最合适。具有密钥分配中心的密钥分配方案1919②KDC→A：EKa[Ks∥IDA∥IDB∥N1∥EKb[Ks∥IDA]]。KDC对A的请求发出应答。应答是由加密Ka加密的信息，因此只有A才能成功地对这一信息解密，并A相信信息的确是由KDC发出的。

③A→B：EKb[Ks∥IDA]。A收到KDC响应的信息后，同时将会话密钥Ks存储起来，同时将经过KDC与B的共享密钥加密过的信息传送给B。B收到后，得到会话密钥Ks，并从IDA可知对方是A，而且还丛EKb知道Ks确实来自KDC。由于A转发的是加密后密文，所以转发过程不会被窃听。④B→A：EKs[N2]。B用会话密钥加密另一个随机数N2，并将加密结果发送给A，并告诉A，B当前是可以通信的。⑤A→B：EKs[f（N2）]。A响应B发送的信息N2,并对N2进行某种函数变换(如f函数)，同时用会话密钥Ks进行加密，发送给B。实际上在第③步已经完成了密钥的分配,第④、⑤两步结合第③步执行的是认证功能,使B能够确认所收到的信息不是一个重放。2020（2）分布式密钥分配方案

分布式密钥分配方案是指网络通信中各个通信方具有相同的地位,它们之间的密钥分配取决于它们之间的协商,不手受何其他方的限制。这种密钥分配方案要求有n个通信方的网络需要保存[n(n-1)/2]个主密钥,对于较大型的网络,这种方案是不适用的,但是在一个小型网络或一个大型网络的局部范围内,这中方案还是有用的。如果采用分布式密钥分配方案，通信双方A和B建立会话密钥的过程包括以下过程（见下页图所示）：分布式密钥分配方案

①A→B：IDA∥N1。A向B发出一个要求会话密钥的请求，内容包括A的标识符IDA和一个一次性随机数N1，告知A希望与B通信，并请B产生一个会话密钥用于安全通信。2121

①A→B：IDA∥N1。A向B发出一个要求会话密钥的请求，内容包括A的标识符IDA和一个一次性随机数N1，告知A希望与B通信，并请B产生一个会话密钥用于安全通信。

②B→A：EMKm[Ks∥IDA∥IDB∥f（N1）∥N2]。B使用与A共享的主密钥MKm对应答的信息进行加密并发送给A。应答的信息包括B产生的会话密钥Ks，A的标识符IDA、B的标识符IDB、f（N1）和一个一次性随机数N2。

③A→B：EKs[f（N2）]。A使用B产生的会话密钥Ks对f（N2）进行加密，并发送给B。利用公钥密码体制来分配密钥

①A向B发送自己产生的公钥和A的身份；②B收到消息后，产生会话密钥Ks，用公钥加密后传送给A；③A用私钥解密后得到Ks。可能的问题：冒充ABIDAPUAksPUAAB中间人CIDAPUAIDAPUCksPUCksPUA具有保密性和认证的分配方法①A用B的公钥加密A的身份和一个一次性随机数N1后发送给B；②B解密得到N1，并用A的公钥加密N1和另外一个随机数N2发送给A；③A用B的公钥加密N2后发送给B；④A选择一个会话密钥Ks，用A的私钥加密后再用B的公钥加密，发送给B，B用A的公钥和B的私钥解密得Ks。密钥的更新主密钥的更新

更新时必须重新安装，安全要求与初次安装一样主密钥的更新将要求受其保护的二级密钥和初级密钥都要更新二级密钥的更新

重新产生二级密钥并且妥善安装受其保护的初级密钥要更新初级密钥的更新

初级会话密钥采用“一次一密”的方式工作，所以更新是非常容易的。初级文件密钥更新要麻烦的多，将原来的密文文件解密并且用新的初级文件密钥重新加密。密钥的终止和销毁终止使用的密钥并不马上销毁，而需要保留一段时间。这是为了确保受其保护的其他密钥和数据得以妥善处理。只要密钥尚未销毁，就应该妥善保护。密钥销毁要彻底清除密钥的一切存储形态和相关信息，使重复这一密钥变得不可能。值得注意的是，要采用妥善的清除存储器的方法，对于磁存储器，简单的删除、清零或写“1”都是不安全的。

2024/3/31274.密钥托管技术（选进）密钥托管技术简介

密钥托管提供了一种密钥备份与恢复的途径，也称为托管加密。其目的是政府机关希望在需要时可通过密钥托管提供（解密）一些特定信息，在用户的密钥丢失或损坏的情况下可通过密钥托管技术恢复出自己的密钥。密钥托管技术的实现手段通常是把加密的数据和数据恢复密钥联系起来，数据恢复密钥不一定是直接解密的密钥，但由它可以得到解密密钥。理论上数据恢复密钥由所信赖的委托人持有（委托人可以是政府机构、法院或有合同的私人组织）。一个密钥也有可能被折分成多个分量，分别由多个委托人持有。2024/3/3128自从这种技术出现以来，许多人对此颇有争议，他们认为密钥托管技术侵犯个人隐私。尽管如此，由于这种密钥备用与恢复手段不仅对政府机关有用，也对用户自己有用，为此许多国家都制定了相关的法律法规。美国政府1993年4月颁布了EES标准（EscrowEncryptionStandard,托管加密标准），该标准体现了一种新思想，即对密钥实行法定托管代理的机制。该标准使用的托管加密技术不仅提供了加密功能，同时也使政府可以在实施法律许可下的监听（如果向法院提供的证据表明，密码使用者是利用密码在进行危及国家安全和违反法律规定的事，经过法院许可，政府可以从托管代理机构取来密钥参数，经过合成运算，就可以直接侦听通信。）。2024/3/3129该标准的加密算法使用的是Skipjack。其后（1994年2月），美国政府进一步改进提出了密钥托管标准KES（KeyEscrowStandard）政策，希望用这种办法加强政府对密码使用的调控管理。目前，在美国有许多组织都参加了KES和EES的开发工作，系统的开发者是司法部门（DOJ），国家标准技术研究所（NIST）和基金自动化系统分部对初始的托管（Escrow）代理都进行了研究，国家安全局（NSA）负责KES产品的生产，联邦调查局（FBI）被指定为最初的合法性强制用户。2024/3/3130

密钥托管技术是通过一个防窜扰的托管加密芯片（Clipper芯片）来实现，该技术包括两个主要的核心内容：（1）Skipjack加密算法是由NSA设计的，用于加解密用户之间通信的信息。它是一个对称密码分组加密算法，密钥长为80bits，输入和输出分组长度均为64bits。该算法的实现方式采用供DES使用的联邦信息处理标准（FIPSPUB81和FIPSPUB81）中定义的4种实现方式。这4种实现方式为：电码本（ECB）、密码分组链接（CBC）、64比特输出反馈（OFB）和1、8、16、32或64比特密码反馈（CFB）模式。密钥托管技术研究的内容2024/3/3131该算法于1998年3月公布。据密码专家们推算，如果采用价值一百万美元的机器攻破56比特的密钥需要3.5小时，而攻破80比特的密钥则需要2000年；如果采用价值十亿美元的机器攻破56比特的密钥需要13秒，而攻破80比特的密钥则需要6.7年。虽然一些密码学家认为Skipjack有陷门，但对目前任何已知的攻击方法还不存在任何风险，该算法可以在不影响政府合法监视的环境下为保密通信提供加密工具。（2）LEAF（LawEnforcementAccessField，法律实施访问域）通过这个访问域，法律实施部门可以在法律授权的情况下，实现对用户之间通信的监听（解密或无密钥）。这也看成是一个“后门”。2024/3/3132密钥托管技术的具体实施该密钥托管技术具体实施时有3个主要环节：生产托管Clipper芯片、用芯片加密通信和无密钥存取。（1）生产托管Clipper芯片Clipper芯片主要包含：Skipjack加密算法、80比特的族密钥KF（FamilyKey，同一芯片的族密钥相同）、芯片单元标识符UID（UniqueIdentifier）、80比特的芯片单元密钥KU(UniqueKey，由两个80比特的芯片单元密钥分量(KU1，KU2)异或而成）和控制软件。这些内容都是固化在Clipper芯片上。2024/3/3133（2）用芯片加密通信通信双方为了通信，都必须有一个装有Clipper芯片的安全防窜扰设备，该设备主要实现建立安全信道所需的协议，包括协商或分配用于加密通信的80比特秘密会话密钥KS。（3）无密钥存取在需要对加密的通信进行解密监控时（即在无密钥且合法的情况下），可通过一个安装好的同样的密码算法、族密钥KF和密钥加密密钥K的解密设备来实现。由于被监控的通信双方使用相同的会话密钥，解密设备不需要都取出通信双方的LEAF及芯片的单元密钥，而只需取出被监听一方的LEAF及芯片的单元密钥。

2024/3/3134密钥托管是具有备份解密密钥的加密技术，它允许获得授权者（包括用户、民间组织和政府机构）在特定的条件下，借助于一个以上持有数据恢复密钥可信赖的委托人的支持来解密密文。

所谓数据恢复密钥，它不同于常用的加密、解密密钥，它只是为确定数据加密/解密提供了一种方法。而所谓密钥托管就是指存储这些数据恢复密钥的方案。密钥托管在逻辑上分为3个主要的模块（如图9-3所示）：USC（UserSecurityComponent，用户安全模块）、KEC（KeyEscrowComponent，密钥托管模块）和DRC（DataRecoveryComponent，数据恢复模块）。这些逻辑模块是密切相关的，对其中的一个设计将影响着其他模块。密钥托管系统的组成2024/3/3135下图所示的是这几个模块的相互关系：USC用密钥K加密明文，并且在传送的同时传送一个数据恢复域DRF（DataRecoveryField），DRC则从KEC提供的和DRF中包含的信息中恢复出密钥K来解密密文。2024/3/31361)USC（UserSecurityComponent，用户安全模块）USC由软件、硬件组成（一般情况下，硬件比软件安全、不易发生窜扰），提供数据加密/解密的能力，执行支持数据恢复的操作，同时也支持密钥托管。这种支持体现在将数据恢复域（DRF）附加到数据上。

USC的功能表现在以下几个方面：

（1）提供具有数据加解密能力的算法及支持密钥托管功能的硬件或相关软件。（2）提供通信（包括电话、电子邮件及其他类型的通信，由相关部门在法律许可的条件下对通信的监听后并执行对突发事件的解密）和数据存储的密钥托管。2024/3/3137（3）提供突发解密的识别符（包括用户或USC的识别符、密钥的识别符、KEC或托管代理机构的识别符）和密钥（包括属于芯片单元密钥KEC所使用的全局系统密钥，密钥还可以是公钥或私钥，私钥的备份以托管的方式由托管机构托管）。当用密钥K加密时，USC必须将密文和密钥与一个或多个数据恢复密钥建立起联系，比如在加密数据上加一个DRF，以建立用户（收发双方）托管代理机构和密钥K的密钥联系。DRF一般由一个或多个数据恢复密钥（如KEC的主密钥、产品密钥、收发双方的公钥等）加密的K组成。此外，DRF还包括一些识别符（用于标识数据恢复密钥、托管代理机构或KEC、加密算法及运行方式、DRF的产生方法等）和托管认证符（用于验证DRF的完整性）。2024/3/31382)KEC（KeyEscrowComponent，密钥托管模块）

可以作为公钥证书密钥管理系统的组成部分，也可以作为通用密钥管理的基础部分。它由密钥管理机构控制，主要用于向DRC提供所需的数据和服务，管理着数据恢复密钥的存储、传送和使用。数据恢复密钥主要用于生成数据加密密钥，因此在使用托管密码加密时，所有的托管加密数据都应与被托管的数据恢复密钥联系起来。

数据恢复密钥主要由以下内容组成：

（1）密钥选项：包括数据加密密钥（由会话密钥和文件加密密钥组成，可以由KDC产生、分配和托管）、产品密钥（每一个USC只有惟一的产品密钥）、用户密钥（用于建立数据加密密钥的公钥和私钥，KEC可以担任用户的公钥证书机构，为用户发放公钥数字证书）、主密钥（与KEC相关，可由多个USC共享）。2024/3/3139

（2）密钥分割：一个数据恢复密钥可以分割成多个密钥分量，每个分量由一个托管代理机构托管。在密钥恢复时，就需要全部密钥托管机构参与或采用（n,k）门限方案。密钥分割应保证所有托管机构或其中一些联合起来能恢复数据的密钥恢复。（3）密钥的产生和分配：数据恢复密钥可以由KEC或USC产生。USC产生的密钥可使用可验证的密钥分割方案分割并托管，使得托管代理机构在不知数据恢复密钥的情况下验证自己所托管的密钥分量是否有效。数据恢复密钥可以由KEC和USC联合产生。密钥的产生应使得用户不能够在被托管的密钥中隐藏另一密钥。（4）密钥托管时间：密钥托管可在产品的生产、系统或产品的初始化阶段或用户注册阶段进行。假如托管的是用户的私钥，则可在将相应的公钥加入到公钥基础设施并发放公钥证书时进行托管。USC只能把经托管机构签署了公钥证书的那些用户发送已加密的数据。2024/3/3140

KEC在向DRC提供诸如托管的密钥等服务时，服务包括如下部分：

（1）授权过程：对操作或使用DRC的用户进行身份认证和对访问加密数据的授权证明。

（2）传送数据恢复密钥（主密钥不提供）：如果数据恢复密钥是会话密钥或产品密钥，KEC向DRC直接传送数据恢复密钥。密钥传送时和有效期一起传送，有效期过后，密钥将被自动销毁。（5）密钥更新：某些系统可能会允许数据恢复密钥，但只能按规则进行。（6）密钥的全部和部分：某些系统托管的是密钥的一部分，在数据恢复密钥时，未托管的部分可使用穷举搜索法来确定。（7）密钥存储：在线或不在线都可以存储密钥。2024/3/3141