04密钥分配与管理

第4讲密钥分配与管理王志伟博士计算机学院信息安全系zhwwang@2024/5/14南京邮电大学2本讲内容1密钥分配方案2密钥的管理3小结4密码学方法应用2024/5/14南京邮电大学3密码学方法应用举例-PGPPGP(PrettyGoodPrivacy),是一个基于公钥加密体系的邮件加密软件加密-防止非授权者阅读签名-确信邮件不是伪造的把公钥体制的方便与私钥体制的高速相结合2024/5/14南京邮电大学4PGP的原理首先产生一对钥匙一个私钥，一个公钥传送一封保密邮件时，首先取得对方的公钥，再利用对方的公钥加密对方收到加密后的邮件后，利用相应的私钥来解密还可以只签名而不加密2024/5/14南京邮电大学5密钥管理问题的提出公钥比私钥的发布要方便很多，但仍然存在安全性问题例如张三的公钥被篡改防范方法直接从张三那得到公钥通过共同的朋友王五由一个大家普遍信任的“认证权威”由多人签名的公钥收集起来，放到公共场合，希望大部分人至少认识其中的一个……公钥的安全性问题是PGP安全问题的核心2024/5/14南京邮电大学6本讲内容1密钥分配方案2密钥的管理3小结4密码学方法应用2024/5/14南京邮电大学7目前，大部分加密算法都已经公开了，像DES和RSA等加密算法甚至作为国际标准来推行。因此明文的保密在相当大的程度上依赖于密钥的保密。在现实世界里，密钥的分配与管理一直是密码学领域较为困难的部分。设计安全的密钥算法和协议是不容易的，但可以依靠大量的学术研究。相对来说，对密钥进行保密更加困难。因而，如何安全可靠、迅速高效地分配密钥，如何管理密钥一直是密码学领域的重要问题。密钥分配与管理要使常规加密有效地进行，信息交互的双方必须共享一个密钥，并且这个密钥还要防止被其他人获得。要使公开加密有效地进行，信息接收的一方必须发布其公开密钥，同时要防止其私有密钥被其他人获得。2024/5/14南京邮电大学8密钥分配的四种方法(1)密钥可以由A选定，然后通过物理的方法安全地传递给B。(2)密钥可以由可信任的第三方C选定，然后通过物理的方法安全地传递给A和B。

上述方法由于需要对密钥进行人工传递，对于大量连接的现代通信而言，显然不适用。

(3)如果A和B都有一个到可信任的第三方C的加密连接，那么C就可以通过加密连接将密钥安全地传递给A和B。

采用的是密钥分配中心技术，可信任的第三方C就是密钥分配中心KDC(keydistributecenter)，常常用于常规加密密钥的分配。2024/5/14南京邮电大学9(4)如果A和B都在可信任的第三方发布自己的公开密钥，那么它们都可以用彼此的公开密钥加密进行通信。

采用的是密钥认证中心技术，可信任的第三方C就是证书授权中心CA(certificateauthority)，更多用于公开加密密钥的分配。主要讲(3)KDC(4)CA方式2024/5/14南京邮电大学10常规加密密钥的分配1.集中式密钥分配方案由一个中心节点或者由一组节点组成层次结构负责密钥的产生并分配给通信的双方，在这种方式下，用户不需要保存大量的会话密钥，只需要保存同中心节点的加密密钥，用于安全传送由中心节点产生的即将用于与第三方通信的会话密钥。这种方式缺点是通信量大，同时需要较好的鉴别功能以鉴别中心节点和通信方。目前这方面的主流技术是密钥分配中心KDC技术。我们假定每个通信方与密钥分配中心KDC之间都共享一个惟一的主密钥，并且这个惟一的主密钥是通过其他安全的途径传递的。2024/5/14南京邮电大学11AKDC：IDa||IDb||N1KDC

A：EKa[Ks

||IDa||IDb||N1||EKb[Ks||IDa]]AB：

EKb[Ks||IDa]BA：

EKs[N2]AB：

EKs[f（N2）]密钥分配中心KDC的密钥分配方案2024/5/14南京邮电大学12N1N2

Nonce现时实际上，到第(3)步已经完成密钥的分配过程，通信的双方已经共享了当前的会话密钥Ks，第(4)步和第(5)步完成的是鉴别功能。2024/5/14南京邮电大学13问题单个密钥分配中心KDC无法支持大型的通信网络。每两个可能要进行安全通信的终端都必须同某个密钥分配中心共享主密钥。当通信的终端数量很大时，将出现这样的情况：每个终端都要同许多密钥分配中心共享主密钥，增加了终端的成本和人工分发密钥分配中心和终端共享的主密钥的成本。需要几个特别大的密钥分配中心，每个密钥分配中心都同几乎所有终端共享主密钥。然而各个单位往往希望自己来选择或建立自己的密钥分配中心。2024/5/14南京邮电大学14解决办法为解决这种情况，同时支持没有共同密钥分配中心的终端之间的密钥信息的传输，我们可以建立一系列的密钥分配中心，各个密钥分配中心之间存在层次关系。各个密钥分配中心按一定的方式进行协作，这样，一方面主密钥分配所涉及的工作量减至最少，另一方面也可以使得某个KDC失效时，只影响其管辖的区域，而不至于影响整个网络。2024/5/14南京邮电大学15分散式密钥分配方案使用密钥分配中心进行密钥的分配要求密钥分配中心是可信任的并且应该保护它免于被破坏。如果密钥分配中心被第三方破坏，那么所有依靠该密钥分配中心分配会话密钥进行通信的所有通信方将不能进行正常的安全通信。如果密钥分配中心被第三方控制，那么所有依靠该密钥分配中心分配会话密钥进行进信的所有通信方之间的通信信息将被第三方窃听到。2024/5/14南京邮电大学16如果我们把单个密钥分配中心分散成几个密钥分配中心，将会降低这种风险。更进一步，我们可以把几个密钥分配中心分散到所有的通信方，也就是说每个通信方自己保存同其他所有通信方的主密钥。这种分散式密钥分配方案要求有n个通信方的网络要保存多达[n(n一1)/2]个主密钥。对于较大的网络，这种方案是不适用的，但对于一个小型网络或者一个大型网络的局部范围，这种分散化的方案还是有用的。2024/5/14南京邮电大学17分散式密钥分配方案发起方响应方（1）（2）（3）AB：IDa||N1BA：EMKm[Ks||IDa||IDb||f(N1)||N2]AB：EKs[f(N2)]2024/5/14南京邮电大学18分散式密钥分配具体步骤1)AB：IDa||N1A给B发出一个要求会话密钥的请求，报文内容包括A的标识符IDa和一个现时N1，告知A希望与B进行通信，并请B产生一个会话密钥用于安全通信。2024/5/14南京邮电大学19分散式密钥分配具体步骤(2)BA：EMKm[Ks||IDa||IDb||f(N1)||N2]B使用—个用A和B之间共享的主密钥加密的报文进行响应。响应的报文包括B产生的会话密钥、A的标识符IDa、B的标识符IDb、f(N1)的值和另一个现时N2

。(3)AB：EKs[f(N2)]A使用B产生的会话密钥Ks对f(N2)进行加密，返回给B。2024/5/14南京邮电大学20每个通信方都必须保存多达(n一1)个主密钥，但是需要多少会话密钥就可以产生多少。同时，使用主密钥传输的报文很短，所以对主密钥的分析也很困难。2024/5/14南京邮电大学21公开加密密钥的分配公开加密密钥的分配要求和常规加密密钥的分配要求有着本质的区别。公开密钥技术使得密钥较易分配，但它也有自己的问题。无论网络上有多少人，每个人只有一个公开密钥。获取一个人的公开密钥有如下四种途径：2024/5/14南京邮电大学22四种方式公开密钥的公开宣布公开可用目录公开密钥管理机构公开密钥证书

2024/5/14南京邮电大学23四种方式1.公开密钥的公开宣布公开密钥加密的关键就是公开密钥是公开的。任何参与者都可以将他的公开密钥发送给另外任何一个参与者，或者把这个密钥广播给相关人群，比如PGP(prettygoodprivacy)。 致命的漏洞：任何人都可以伪造一个公开的告示，冒充其他人，发送一个公开密钥给另一个参与者或者广播这样—个公开密钥。2024/5/14南京邮电大学24四种方式2.公开可用目录 由一个可信任的系统或组织负责维护和分配一个公开可以得到的公开密钥动态目录。公开目录为每个参与者维护一个目录项{标识，公开密钥}，当然每个目录项的信息都必须经过某种安全的认证。任何其他方都可以从这里获得所需要通信方的公开密钥。

致命的弱点：如果一个敌对方成功地得到或者计算出目录管理机构的私有密钥，就可以伪造公开密钥，并发送给其他人达到欺骗的目的。2024/5/14南京邮电大学25四种方式3.公开密钥管理机构通过更严格地控制公开密钥从目录中分配出去的过程就可以使得公开密钥的分配更安全。它比公开可用目录多了公开密钥管理机构和通信方的认证以及通信双方的认证。在公开密钥管理机构方式中，有一个中心权威机构维持着一个有所有参与者的公开密钥信息的公开目录，而且每个参与者都有一个安全渠道得到该中心权威机构的公开密钥，而其对应的私有密钥只有该中心权威机构才持有。

这样任何通信方都可以向该中心权威机构获得他想要得到的其他任何一个通信方的公开密钥，通过该中心权威机构的公开密钥便可判断它所获得的其他通信方的公开密钥的可信度。2024/5/14南京邮电大学26四种方式4.公开密钥证书公开密钥管理机构往往会成为通信网络中的瓶颈。如果不与公开密钥管理机构通信，又能证明其他通信方的公开密钥的可信度，那么既可以解决公开宣布和公开可用目录的安全问题，又可以解决公开密钥管理机构的瓶颈问题，这可以通过公开密钥证书来实现。目前，公开密钥证书即数字证书是由证书授权中心CA颁发的。2024/5/14南京邮电大学27CA作为网络通信中受信任的第三方，承担检验公开密钥的合法性的责任。CA中心为每个使用公开密钥的用户发放一个数字证书（经CA签名的包含公开密钥拥有者信息以及公开密钥的文件），数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。证书的格式遵循X.509标准。2024/5/14南京邮电大学28

数字证书采用公开密钥体制，即利用一对匹配的密钥进行加密、解密。每个用户自己设定一把仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公开密钥并由本人公开，为一组用户所共享，用于加密和验证签名。证书授权中心CA的公开密钥证书方案参见P111图8.32024/5/14南京邮电大学29公开密钥加密进行常规加密密钥分配由于公开密钥加密和解密的速度都相当慢，所以公开密钥加密更多的时候是用于常规加密密钥的分发。这种方式把公开加密和常规加密的优点很好地整合在一起。保证了常规加密密钥的安全性。用常规加密方法来保护传送的数据，由于其加密密钥是安全的，因而其传送的数据也是安全的，同时也利用了常规加密速度快的特点，因而这种方法有很强的适应性。2024/5/14南京邮电大学30公开密钥加密进行常规加密密钥分配发起方A响应方B（1）EKUb[N1||IDa]（2）EKUa[N1||N2]（3）EKUb[N2]（4）EKUb[EKRa[Ks]]2024/5/14南京邮电大学31具体步骤假定通信的双方A和B已经通过某种方法得到对方的公开密钥，常规加密密钥分发过程如下步骤所示：

(1)AB：EKUb[N1||IDa]

A使用B的公开密钥KUb加密一个报文发给B，报文内容包括一个A的标识符IDa和一个现时值N1，该现时值用于惟一地标识本次交互。2024/5/14南京邮电大学32(2)BA：EKUa[N1||N2]B返回一个用A的公开密钥KUa加密的报文给A，报文内容包括A的现时值N1和B新产生的现时值N2。因为只有B才可以解密(1)中的报文，报文(2)中的N1存在使得A确信对方是B。2024/5/14南京邮电大学33AB：EKUb[N2] A返回一个用B的公开密钥KUb加密的报文给B，因为只有A才可以解密(2)中的报文，报文(3)中的N2存在使得B确信对方是A。

AB：EKUb[EKRa[Ks]]

A产生一个常规加密密钥Ks，并对这个报文用A的私有密钥KRa加密(签名)，保证只有A才可能发送它，再用B的公有密钥KUb加密，保证只有B才可能解读它。2024/5/14南京邮电大学34(5)B计算DKUa[DKRb[EKUb[EKRa[Ks]]]]得到Ks， 从而获得与A共享的常规加密密钥，因而通过Ks可以与之安全通信。2024/5/14南京邮电大学35本讲内容1密钥分配方案2密钥的管理3小结4密码学方法应用2024/5/14南京邮电大学36密钥的管理密钥管理机制对常规加密体制来说，在进行通信之前，双方必须持有相同的密钥，在通信过程中要防止密钥泄密和更改密钥。通常是设立KDC来管理密钥，但增加了网络成本，降低了网络的性能。或者利用公开密钥加密技术来实现对常规密钥的管理，此使密钥管理变得简单，同时解决了对称密钥中的可靠性和鉴别的问题。公开密钥的管理通常采用数字证书。密钥的管理涉及密钥的生成、使用、存储、备份、恢复以及销毁等多个方面，涵盖了密