工业互联网安全技术 课件 第4章 密钥管理

工业互联网安全技术第4章密钥管理4.1密钥管理的概述4.2密钥分配技术4.3密钥协商技术4.4秘密共享技术4.5密钥管理类型4.6Blom密钥管理方案第4章密钥管理学习要求

知识要点能力要求密钥管理的概述（1）了解密钥管理方案的主要内容（2）熟悉密钥管理类型的原则（3）重点掌握密钥管理的层次体系（4）了解密钥管理的生命周期密钥分配技术（1）了解密钥分配的分配原则（2）重点掌握公开密钥分配和秘密密钥分配技术（3）了解公开密钥分配和秘密密钥分配技术的区别密钥协商技术（1）掌握密钥协商技术的定义（2）掌握常见的几种密钥协商技术秘密共享技术（1）了解Shamir门限方案的设计原理（2）了解基于变形的ELGamal的门限秘密共享方案密钥管理类型（1）掌握如何划分密钥管理类型的原则（2）熟悉几种常见的密钥管理类型（3）了解各类密钥管理的不同之处Blom密钥管理方案（1）了解Blom密钥管理方案流程4.1

密钥管理的基本概述随之而来的密钥使用也大量增加，如何保护密钥和管理密钥成为重要的问题。整个密码系统的安全性并不取决于对密码算法的保密或者对密码设备的保护，决定整个密码体制安全性的因素是密钥的保密性。密码系统的安全性是由密钥的安全性决定的。4.1.1密钥管理的主要内容密钥管理的基本含义和作用密钥生成

密钥生成是密钥管理的首要环节，如何产生好的密钥是保证密码系统安全的关键。密钥产生设备主要是密钥生成器,一般使用性能良好的发生器装置产生伪随机序列，以确保所产生密钥的随机性。密钥分配和协商

典型的密钥分配方式有集中式分配和分布式分配两种。前者主要依靠网络中的密钥分配中心(KDC)，根据用户要求分配密钥；后者则根据网络中各主机的相互间协商生成共同密钥。生成的密钥可以通过手工方式或安全信道秘密传送。4.1.1密钥管理的主要内容密钥管理的基本含义和作用密钥保护和存储

密钥必须有强力有效的保护措施，提供密码服务的密钥装置要求绝对安全，密钥存储要保证密钥的机密性认证性和完整性，而且要尽可能减少系统中驻留的密钥量。密钥更换和装入

任何密钥的使用都应遵循密钥的生存周期，绝不能超期使用，因为密钥使用时间越长，重复概率越大，泄漏可能性越大，被破译的危险性就越大。4.1.2密钥管理的原则密钥管理的原则密钥管理是一个庞大且复杂的系统工程。必须从整体上考虑，从细节着手，严密细致地进行设计、实施，充分、完整地进行测试、维护，才能较好地解决密钥管理问题。因此，密钥管理应遵循以下几条基本原则：区分密钥管理的策略和机制

策略是密钥管理系统的高级指导，策略着重原则指导，而不着重具体实现，而机制是具体的复杂繁琐的。密钥管理机制是实现和执行策略的技术机构和方法。没有好的管理策略，再好的机制也不能确保密钥的安全；相反，没有好的机制，再好的策略也没有实际意义。4.1.2密钥管理的原则全程安全原则

该原则是指必须在密钥的产生、存储、备份、分发、组织、使用、更新、终止和销毁等的全过程中对密钥采取妥善的安全管理。只有各个阶段都安全时，密钥才是安全的。一旦其中一个环节出现问题，便不能保证密钥的安全性。最小权利原则该原则是指只分配给用户进行某一事务处理所需的最小的密钥集合。因为用户获取的密钥越多，其权利就越大，所能获取的信息就越多。如果用户不诚信，那么可能发生的安全威胁事件就越多。密钥分级原则该原则是指将密钥级别进行适当的划分，一般可将密钥划分为三级：主密钥，二级密钥，初级密钥。通过划分密钥级别，既能减少受保护的密钥的数量，也能简化密钥的管理工作。4.1.2密钥管理的原则密钥更新原则

该原则是指密钥必须按时更新。即使是采用很强的密码算法，密码的使用时间越长，攻击者截获的密文数量越多，密码的破译可能性就越大。理想情况是一个密钥只使用一次，但一次一密是不现实的。密钥更新频率越快，越有利于密钥的安全。密钥应当有足够的长度密码安全的一个必要条件是密钥有足够的长度。密钥越长，密钥空间就越大，攻击就越困难，因而也就越安全；但密钥越长，用软硬件实现所消耗的资源就越多。因此，密钥管理策略也要在安全和效率方面折中。密码体制不同，密钥管理也不相同由于传统密码体制与公开密钥密码体制是性质不同的两种密码，因此它们在密钥管理方而有很大的不同。4.1.3密钥管理的层次体系密钥管理的层次体系在一个实际通信网络中，数据将在多个终端和主机间传递，要进行保密通信，就需要大量的密钥，这就使得密钥的存储和管理变得十分复杂和困难。在电信通信系统中，多个用户向同一系统注册，要求彼此之间相互隔离。系统需要对用户的密钥进行管理，并对其身份进行认证。不论是对于系统、普通用户还是网络互连的中间节点，需要保密的内容的秘密层次和等级是不相同的，要求也是不一样的，因此，密钥种类各不相同。4.1.3密钥管理的层次体系密钥管理的层次体系在一个密码系统中，按照加密的内容不同，密钥可看作一个三级密钥体系，该体系由会话密钥、密钥加密密钥和主密钥组成。4.1.3密钥管理的层次体系三级密钥体系会话密钥密钥加密密钥主密钥密钥的分级系统大大提高了密钥的安全性。对于攻击者，密钥的分级系统意味着其所攻击的是一个动态系统。密钥的分级系统使得密钥管理自动化成为可能。4.1.4密钥管理的生命周期密钥管理的生命周期密钥的生命周期是指密钥从产生到最终销毁的整个过程。在这个生命周期中，密钥处于4种不同的状态：使用前状态，密钥不能用于正常的密码操作；使用状态，密钥是可用的，并处于正常使用中；使用后状态，密钥不再正常使用，但为了某种目的对其进行离线访问是可行的；过期状态，密钥不再使用，所有的密钥记录已被删除。Menezes和Orschot提出了一个比较全面的密钥生命周期阶段图，密钥生命周期包括以下12个重要阶段。4.1.4密钥管理的生命周期密钥管理的生命周期用户登记

一个实体成为一个安全域中的授权成员。该阶段包括初始密钥材料(密钥材料是指用于生成密钥的一些系统要素，比如共享的口令PIN等)的获取、创建和交换。密钥材料的获取应该通过安全的一次性技术实现，如当面交换、可信邮差等。用户初始化用户建立用于安全操作的系统。该阶段包括安装和初始化各种需要的软件和硬件，并使用或安装用户登记阶段获得的密钥材料。密钥生成密钥的种类是多种多样的，而不同的密钥，其生成的方法是不同的，可以用手工生成方式，也可以使用随机数生成器生成方式。对于常用的密码体制，如何产生好的密钥是非常关键，密钥选择的不当将会极大地影响密码体制的安全性。好的密钥一定要确保它的完全随机性、不可重复性与不可预测性。因此，密钥的生成一般都首先通过密钥产生器借助于某种噪声源产生具有较好的统计分布特性的序列，然后再对这些序列进行各种随机性检验以确保其具有较好的密码特性。4.1.4密钥管理的生命周期密钥管理的生命周期密钥安装

将密钥材料安装在一个实体的软件或硬件中，以便使用。这一过程其实就是密钥的静态存储。其安全性尤为重要。一般来说，安装常采用以下技术：手工输入口令或者PIN、磁盘交换、只读存储设备、芯片卡等。初始密钥材料可用于建立安全的在线会话，从而建立工作密钥。在此后的更新中，理想的方式是通过一种安全的在线更新技术，安装新的密钥材料来代替正在使用的密钥。密钥登记密钥材料被正式记录在案，并同一定实体绑定起来。一般绑定实体的身份，也可以包括其他属性(如认证信息或权限)。例如，公钥证书可以由一个证书颁发机构创建，并通过一个公开目录或其他方式使其他用户查询。4.1.4密钥管理的生命周期密钥管理的生命周期密钥的正常使用

利用密钥进行正常的密码操作，如加密、解密、签名、验证等。密钥生命周期的目的就是要方便密钥材料的使用，一般来说，在有效期内密钥都可以使用。在密钥使用中密钥必须以明文形式出现，因此这阶段往往是攻击者重点关注的阶段之一。通常需要对密钥使用环境进行保护。当然，密钥使用也可以进一步细分。例如，对于非对称密钥对而言，某些时刻公钥对于加密不再有效，然而私钥对于解密仍然有效。密钥更新在密钥有效期截止之前，使用中的密钥材料被新的密钥材料替代。更新的原因可能是密钥使用有效期到期，也可能是正在使用的密钥出现泄露。密钥更新的两种常用方法：一种是重新生成新的密钥，另一种是在原有密钥基础上生成新的密钥。4.1.4密钥管理的生命周期密钥管理的生命周期密钥备份

将密钥材料存储在独立、安全的介质上，以便需要时恢复密钥。备份是密钥处于使用状态时的短期存储，为密钥的恢复提供密钥源，要求以安全的方式存储密钥，防止密钥泄露，且不同等级和类型的密钥采取不同的方法。密钥备份主要有两种方法：一种是使用秘密共享协议，另一种是进行密钥托管。密钥恢复从备份或档案中检索密钥材料，将其恢复。如果密钥材料遗失的同时没有安全威胁的风险(如设备损坏或者口令遗忘)，那么可以从原有的安全备份中恢复密钥。密钥存档当密钥不再正常时，需要对其进行存档，以便在某种情况下特别需要时(如解决争议)能够对其进行检索并在需要时恢复密钥。存档是指对过了有效期的密钥进行长期的离线保存，处于密钥的使用后的状态。4.1.4密钥管理的生命周期密钥管理的生命周期密钥撤销

在原定的密钥有效期截止之前，如果出现密钥泄露或任务中止，那么需要将正在使用的密钥设置为无效，即撤销。但若需要继续进行任务，则将重新生成密钥；若用该密钥保密的信息没过期，则需要把此密钥备份。密钥注销与销毁当不再需要保留密钥或者保留与密钥相关联的内容的时候，这个密钥应当注销，并销毁密钥的所有副本，清除所有与这个密钥相关的痕迹。在密钥生命周期中，初始密钥生成、密钥更新过程中都会使用一种重要的密钥协议，即密钥建立协议，密钥建立协议包括密钥分发和密钥协商。密钥分发是指一方生成一个密钥后，通过某种方式将其发放给其他参与者。密钥协商是指参与保密通信的各方通过协商谈判生成一个密钥。密钥建立协议是密钥管理的核心部分，同时也是密码学研究的重要领城，本章将重点介绍。第4章密钥管理4.1密钥管理的概述4.2密钥分配技术4.3密钥协商技术4.4秘密共享技术4.5密钥管理类型4.6Blom密钥管理方案4.2密钥分配技术密钥分配技术密钥分配指的是对密码系统中密钥的分发和传送的规则和约定。密钥分配根据密钥传送的途径不同，可分为离线分发和在线分发。离线分发离线分配方式也称为人工途径方式，通过非通信网络的可靠物理渠道携带密钥分发给互相通信的各用户。这种方式适合小型网络以及用户相对较少的系统，但这种方法有很多缺点，主要包括：随着用户的增多和通信量的增大，密钥量大大增加；密钥的更新过程复杂等。在线分发通过通信与计算机网络的密钥在线、自动分发方式，主要是通过建立一个密钥分发中心（KDC）来实现。在这种方式中，每个用户将与KDC共享一个保密的密钥，KDC可以通过该密钥来鉴别某一个用户。4.2.1公开密钥分配公开密钥分配在公开密钥密码体制中，公开密钥是公开的，私有密钥是保密的。在这种密码体制中，公开密钥似乎像电话号码簿那样可以公开查询。一方面，密钥更换、增加和删除的频度是很高的；另一方面，如果公开密钥被篡改或替换，则公开密钥的安全性就得不到保证，公开密钥同样需要保护。此外，公开密钥相当长，不可能靠人工方式进行管理和使用，因此，需要密码系统采取适当的方式进行管理。公开密钥分配主要有广播式公开发布、建立公钥目录、带认证的密钥分配、使用数字证书分配等4种形式。4.2.1公开密钥分配公开密钥分配广播式公开发布根据公开密钥算法的特点，可通过广播式公布公开密钥。该方法的优点是简便，不需要特别的安全渠道；正因为它不需要特别的安全渠道，可能出现伪造公钥，假冒用户可能对其发起攻击。因此，公钥必须从正规途径获取或对公钥的真伪进行认证。建立公钥目录指由可信机构负责一个公开密钥的公开目录的维护和分配，参与各方可通过正常或可信渠道到目录权威机构登记公开密钥，可信机构为参与者建立用户名和与其公开密钥的关联条目，并允许参与者随时访问该目录，以及申请增、删、改密钥。为安全起见，参与者与权威机构之间的通信安全受鉴别保护。该方式的优点是其安全性强于广播式公开发布密钥分配，缺点是易受冒充权威机构伪造公开密钥的攻击。4.2.1公开密钥分配公开密钥分配带认证的密钥分配指由一个专门的权威机构在线维护一个包含所有注册用户公开密钥信息的动态目录。这种公开密钥分配方案主要用于参与者A要与B进行保密通信时，向权威机构请求B的公开密钥。权威机构查找到B的公开密钥，并签名后发送给A。为安全起见，还需通过时间戳等技术加以保护和判别。使用数字证书分配为了克服在线服务器分配公钥的缺点，采用离线方式是一种有效的解决办法。离线方式是指使用物理渠道，通过公钥数字证书方式，交换公开密钥，无需可信机构在线服务。公钥数字证书由可信中心生成，内容包含用户身份、公钥、所用算法、序列号、有效期、证书机构的信息及其他一些相关信息，证书须由可信机构签名。通信一方可向另一方传送自己的公钥数字证书，另一方可以验证此证书是否由可信机构签发、是否有效。4.2.1公开密钥分配使用数字证书分配该方式的特点是：用户可以从证书中获取证书持有者的身份和公钥信息；用户可以验证一个证书是否由权威机构签发以及证书是否有效；数字证书只能由可信机构签发和更新。该方法具有的优点：每个参与者均可从证书获悉证书持有者的身份和公钥信息；每个参与者均可验证一个证书是否由权威机构签发以及证书是否有效；只有权威机构才能够签发和更新合法的证书；公钥证书可以放在同一目录，而无须对该目录提供特殊保护。其缺点是：由于公钥证书的安全性源于可信中心的签名，所以这种方法的安全性集中在可信中心的私钥；公钥证书的有效期一般较长，其间可能会被撤销，而撤销的证书是不能使用的，所以，验证公钥证书时需要检查这个证书是否被撤销；这样可信中心需要维护一个证书撒销列表，这会增加验证证书的复杂性和可信中心维护成本。4.2.2秘密密钥分配无中心的密钥分配

无密钥分配中心为用户分配密钥时，要求所有用户都信任KDC，同时还要求对KDC加以保护。如果密钥的分配是无中心的，那么不必有以上两个要求。然而如果每个用户都能和自己想与之建立联系的另一用户安全地通信，那么对有n个用户的网络来说，主密钥多达n(n-1)/2个。当n很大时，这种方案无实用价值，但在整个网络的局部范围却非常有用。

秘密密钥主要用在对称密码体制中以实现通信方之间传送保密信息。按照是否需要第三方可信机构来分，秘密密钥分为无中心的密钥分配和有中心的密钥分配两种方式。4.2.2秘密密钥分配

4.2.2秘密密钥分配

4.2.2秘密密钥分配

第4章密钥管理4.1密钥管理的概述4.2密钥分配技术4.3密钥协商技术4.4秘密共享技术4.5密钥管理类型4.6Blom密钥管理方案4.3

密钥协商技术密钥协商技术密钥协商是现代网络通信的一种常见协议，是指两个或多个实体通过相互传送一些消息来共同建立一个共享的秘密密钥的协议，且各个实体无法预先确定这个秘密密钥的值，其目的是通信双方在网络中通过交换信息来生成一个双方共享的会话密钥。典型的密钥协商协议是Diffie-Hellman密钥交换协议，该协议是一个无身份认证要求的双方密钥协商方案，在这个协议基础上改进的端对端协议是一个更安全的密钥协商协议。4.3.1Diffie-Hellman密钥交换协议

4.3.2中间人攻击

4.3.3端到端协议端到端协议

该协议基于公钥基础设施引入了数字签名算法，假设存在可信中心CA，其签名算法用Sign表示，与之对应的签名验证算法用Ver表示。域中的每个用户可以事先向CA注册并申请一个公钥证书，则简化的端-端协议描述如下：

4.3.3端到端协议端到端协议

第4章密钥管理4.1密钥管理的概述4.2密钥分配技术4.3密钥协商技术4.4秘密共享技术4.5密钥管理类型4.6Blom密钥管理方案4.4

秘密共享技术密钥协商技术秘密共享的思想是将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息。秘密共享主要包括两个步骤，即秘密的共享过程，和秘密的恢复过程。秘密的共享过程就是给一组参与者分发秘密，使每一个参与者都掌握着秘密的一个份额。秘密的恢复过程，就是当一定数量、或满足一定条件的一些参与者联合起来，拿出自己掌握的秘密份额，并通过一定的恢复算法，恢复出原始的完整的秘密；另一方面，不满足数量或其他条件的那些参与者联合起来，则得不到原始秘密的任何细节。秘密共享技术是保障秘密存储和传输安全的一项重要技术，即使有部分参与者的秘密份额丟失或被破坏，也能通过其他参与者手中的份额恢复出秘密信息。秘密共享方案，在保证秘密的完整性、安全性和可靠性的同时，也能够防止权力过分集中，通过让一些参与者合作来恢复秘密，达到让每个参与者都分担一份责任的目的。4.4.1Shamir门限方案Shamir门限方案

Shamir提出秘密共享概念的同时，也分别给出了(k，n)门限秘密共享体制的概念。简单地说，设秘密通过秘密共享算法分发给个成员共享，每一个成员持有一个子密钥也称为秘密碎片，如果满足：任何不少于k个的合格成员通过所持有的正确的碎片都可以重构。任何k个以下的成员集都无法重构。4.4.1Shamir门限方案

4.4.1Shamir门限方案

4.4.1Shamir门限方案

4.4.2基于变形的ELGamal的门限秘密共享方案

第4章密钥管理4.1密钥管理的概述4.2密钥分配技术4.3密钥协商技术4.4秘密共享技术4.5密钥管理类型4.6Blom密钥管理方案4.5

密钥管理类型密钥协商技术从网络模型能将密钥管理分为分布式和层次式密钥管理方案，从密码体制能将密钥管理分为基于对称密钥体制和基于非对称密钥体制，从密钥是否更新能将密钥管理分为动态密钥和静态密钥，从密钥分配方法能将密钥管理分为随机性密钥管理和确定性密钥管理，以及混合型密钥管理。4.5.1基于对称密码体制和非对称密码体制的密钥管理基于对称密码体制的密钥管理

对称密码加密是一种加密速度最快和加密方式最简单的加密方式，加密与解密用的是同样的密钥。对称加密算法具有算法公开、计算量小、加密速度快和加密效率高等鲜明的优点，当然，对称加密算法也具有缺点，原因是交易双方使用相同的钥匙，安全性得不到保证。发收信双方所拥有的钥匙数量呈几何级数增长，密钥所占内存将会巨幅增大，密钥管理成为用户的负担。4.5.1基于对称密码体制和非对称密码体制的密钥管理基于对称密码体制的密钥管理

密钥长度不长；

工业互联网节点设备的计算开销相对较小；

对微处理器的存储开销要求相对较低；

工业互联网节点设备之间的通信开销相对较低。

由于具有以上四种特点，促使对称密钥管理方案更加适用于工业互联网。因此，基于对称密码体制的密钥管理方案是工业互联网密钥管理的主流研究方向。4.5.1基于对称密码体制和非对称密码体制的密钥管理基于非对称密码体制的密钥管理非对称密码体制对数据的加密与解密方法相比于对称密码体制的加解密方法更加安全，它使用了一对密钥，分别为公钥和私钥。非对称加密使用这对密钥中的一个进行加密，则另一个密钥用来解密。与对称加密不同的是，存放处不需要将你所持有数字的铭牌分发给所有寄件者，因此这种密码体制的安全性大大提高。

4.5.2分布式密钥管理和层次式密钥管理分布式密钥管理和层次式密钥管理

层次化的网络中节点的结构划为簇结构，每一簇由簇头和普通节点组成，网络中普通节点的密钥分配、协商和更新是依靠簇头使用预配置的密钥材料和密钥协商协议相互协作来完成的。

4.5.2分布式密钥管理和层次式密钥管理分布式密钥管理和层次式密钥管理

层次化的CPS密钥管理包括簇头密钥管理和节点的密钥管理两个阶段

4.5.3静态密钥管理和动态密钥管理静态密钥管理

它的密钥更新是一种静止状态，即不需要进行更新和撤销过程。例如在无线传感网中，传感器节点的密钥由基站（安全管理者）为其预配置，并且分发给传感器节点，等待传感器节点被部署在无线传感网中后，通过密钥协商协议完成通信密钥的建立，该通信密钥在整个网络运行期间不进行更新和撤销过程。动态密钥管理

密钥管理是一个周期性的过程，每一个密钥都拥有自己的生命周期，即密钥的分配、建立、更新和撤销等操作是周期性进行的，确保密钥周期性的得到更新。4.5.3静态密钥管理和动态密钥管理静态密钥管理和动态密钥管理

从安全性能上分析，由于静态密钥管理方案是不需要进行密钥更新的，因此其密钥被攻击者截取的概率更大；而动态密钥管理可在全网范围内动态且高效地取消任意节点所拥有的全部密钥，从而驱逐被敌人捕获的节点，提高了网络的安全性能，因此动态密钥管理方案具有更好的安全防护能力。此外，在工业互联网中存在不少针对网络节点安全漏洞的安全攻击行为。网络节点被攻击或捕获后，被攻击者利用参与到工业互联网的操作或行为中，这样势必会给工业互联网的安全带来巨大的挑战，因此单一使用静态密钥管理方案，将存在极大的安全威胁。

4.5.3静态密钥管理和动态密钥管理静态密钥管理和动态密钥管理

从资源消耗上分析，静态密钥管理不需要进行密钥的更新和维护，从而在计算和通信开销方面不会消耗更多的能量资源；但动态密钥管理则不一样，在网络的整个生存周期内，他将周期性地进行密钥的分配、协商和撤销，这些行为增加了计算和通信开销，因此静态密钥管理在能源资源消耗方面比动态密钥管理具有优势。

通过分析二者的优缺点，为了更好地管理工业互联网中的密钥，我们要扬长避短，采取一种兼具两者优点的方法，即采取静态和动态密钥管理共同使用的方案。4.5.4随机性密钥管理和确定性密钥管理随机性密钥管理和确定性密钥管理

在生活中，绝大多数事务的发生都是随机的，当然也有是确定的，这样的真理同样适用于工业互联网。工业互联网为了实现网络互通互联需要进行密钥管理，当然密钥管理离不开密钥的分配，而密钥的分配方式是多种多样的。因此，我们结合密钥分配方法的不同，可以将工业互联网密钥管理分为随机性密钥管理和确定性密钥管理。

在密钥建立过程中，密钥协商是至关重要的，在随机密钥管理中，密钥的协商工作原理是随机分配密钥环的，从而实现密钥建立。4.5.4随机性密钥管理和确定性密钥管理随机性密钥管理

在随机性密钥管理的优点是获得密钥的方法比较简单，能够灵活的对节点实施部署，不必受过多条件的约束；缺点是传感器节点中有可能存在部分无用的密钥信息，需要存储大量的密钥以提高密钥协商的准确性，从而造成浪费存储资源有限的工业互联网节点的存储空间。

确定性密钥管理确定