《信息安全理论与技术》课件第3章 密钥管理技术

第三章密钥管理技术

第三章密钥管理技术第三章密钥管理技术第三章密钥管理技术第三章密钥管理技术

现代密码学研究中，加解密算法一般都是公开的，所有的密码技术都依赖于密钥。当密码算法确定后，密码系统的保密程度就完全取决于密钥的保密程度,因此，密钥管理是数据加解密技术中的重要一环，其在整个保密系统中占有重要地位，密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。若密钥得不到合理的保护和管理，无论算法设计得多么精巧和复杂，保密系统也是脆弱的｡密钥管理的目的就是确保密钥的安全性，即密钥的真实性和有效性，进而来保证数据保密系统的安全性｡第三章密钥管理技术一个好的密钥管理系统应该做到：（1）密钥难以被窃取；（2）在一定条件下密钥被窃取也没有用，密钥有使用范围和时间限制；（3）密钥的分配和更换过程对用户透明，用户不一定要亲自管理密钥｡第三章密钥管理技术3.1密钥的类型和组织结构3.1.1密钥的类型在一个密码系统中，按照加密的内容不同，密钥可以分为一般数据加密密钥（会话密钥）和密钥加密密钥和主密钥。密钥加密密钥还可分为次主密钥。第三章密钥管理技术1．会话密钥会话密钥（SessionKey），指两个通信终端用户一次通话或交换数据时使用的密钥。它位于密码系统中整个密钥层次的最低层，仅对临时的通话或交换数据使用。会话密钥若用来对传输的数据进行保护则称为数据加密密钥，若用作保护文件则称为文件密钥，若供通信双方专用就称为专用密钥。会话密钥大多是临时的、动态的。第三章密钥管理技术2．密钥加密密钥密钥加密密钥（KeyEncryptionKey）用于对会话密钥或下层密钥进行保护，也称次主密钥（SubmasterKey）、二级密钥（SecondaryKey）。每一个节点都分配有一个这类密钥。在对称密码体制中，任两个节点间的密钥加密密钥却是相同的，共享的密钥加密密钥就是系统预先给任两个节点间设置的共享密钥。在公钥密码体制的系统中，所有用户都拥有公、私钥对，会话密钥的传递可以用接收方的公钥加密来进行，接收方用自己的私钥解密，从而安全获得会话密钥。密钥加密密钥是为了保证两点间安全传递会话密钥或下层密钥而设置的，处在密钥管理的中间层次。

第三章密钥管理技术3．主密钥主密钥位于密码系统中整个密钥层次的最高层，主要用于对密钥加密密钥、会话密钥或其它下层密钥的保护。它是由用户选定或系统分配给用户的，分发基于物理渠道或其他可靠的方法。3.1.2密钥的组织结构

从信息安全的角度看，密钥的生存期越短，破译的可能性就越小，所以，理论上一次一密钥最安全｡在实际应用中，尤其是在网络环境下，多采用层次化的密钥管理结构｡用于数据加密的工作密钥需要时动态生成，并由上层的密钥加密密钥进行加密保护；密钥加密密钥可根据需要由上一级的加密密钥进行保护｡最高层的密钥被称为主密钥，它是整个密钥管理体系的核心｡在多层密钥管理系统中，通常下一层的密钥由上一层密钥按照某种密钥算法生成，因此，掌握了主密钥，就有可能找出下层的各个密钥。第三章密钥管理技术3.2.1密钥分配方案

密钥分配技术一般需要解决两个方面的问题：为减轻负担，提高效率，引入自动密钥分配机制；为提高安全性，尽可能减少系统中驻留的密钥量。3.2密钥管理技术

1．密钥分配的基本方法对于通信双方A和B，密钥分配可以有以下几种方法：①

密钥由A选定，然后通过物理方法安全地传递给B。②

密钥由可信赖的第三方C选取并通过物理方法安全地发送给A和B。③

如果A和B事先已有一密钥，那么其中一方选取新密钥后，用已有的密钥加密新密钥发送给另一方。④

如果A和B都有一个到可信赖的第三方C的保密信道，那么C就可以为A和B选取密钥后安全地发送给A和B。⑤如果A和B都在可信赖的第三方C发布自己的公开密钥，那么他们用彼此的公开密钥进行保密通信。第三章密钥管理技术2．对称密码技术的密钥分配方案（1）集中式密钥分配方案

下图就是具有密钥分配中心的密钥分配方案。图中假定A和B分别与KDC有一个共享的密钥Ka和Kb，A希望与B建立一个逻辑连接，并且需要一次性会话密钥来保护经过这个连接传输的数据，具体过程如下：

第三章密钥管理技术①A→KDC：IDA∥IDB∥N1。A向KDC发出会话密钥请求。请求的消息由两个数据项组成：一是A和B的身份IDA和IDB，二是本次业务的唯一标识符N1，每次请求所用的N1都应不同，常用一个时间戳、一个计数器或一个随机数作为这个标识符。为防止攻击者对N1的猜测，用随机数作为这个标识符最合适。

具有密钥分配中心的密钥分配方案

第三章密钥管理技术②KDC→A：EKa[Ks∥IDA∥IDB∥N1∥EKb[Ks∥IDA]]。KDC对A的请求发出应答。应答是由加密Ka加密的信息，因此只有A才能成功地对这一信息解密，并A相信信息的确是由KDC发出的。

第三章密钥管理技术③A→B：EKb[Ks∥IDA]。A收到KDC响应的信息后，同时将会话密钥Ks存储起来，同时将经过KDC与B的共享密钥加密过的信息传送给B。B收到后，得到会话密钥Ks，并从IDA可知对方是A，而且还丛EKb知道Ks确实来自KDC。由于A转发的是加密后密文，所以转发过程不会被窃听。④B→A：EKs[N2]。B用会话密钥加密另一个随机数N2，并将加密结果发送给A，并告诉A，B当前是可以通信的。⑤A→B：EKs[f（N2）]。A响应B发送的信息N2，并对N2进行某种函数变换（如f函数），同时用会话密钥Ks进行加密，发送给B。

实际上在第③步已经完成了密钥的分配，第④、⑤两步结合第③步执行的是认证功能，使B能够确认所收到的信息不是一个重放。

第三章密钥管理技术（2）分布式密钥分配方案

分布式密钥分配方案是指网络通信中各个通信方具有相同的地位，它们之间的密钥分配取决于它们之间的协商，不受何其他方的限制。这种密钥分配方案要求有n个通信方的网络需要保存[n(n-1)/2]个主密钥，对于较大型的网络，这种方案是不适用的，但是在一个小型网络或一个大型网络的局部范围内，这中方案还是有用的。

第三章密钥管理技术如果采用分布式密钥分配方案，通信双方A和B建立会话密钥的过程包括以下过程（见下页图所示）：

分布式密钥分配方案

①A→B：IDA∥N1。A向B发出一个要求会话密钥的请求，内容包括A的标识符IDA和一个一次性随机数N1，告知A希望与B通信，并请B产生一个会话密钥用于安全通信。

第三章密钥管理技术②B→A：EMKm[Ks∥IDA∥IDB∥f（N1）∥N2]。B使用与A共享的主密钥MKm对应答的信息进行加密并发送给A。应答的信息包括B产生的会话密钥Ks，A的标识符IDA、B的标识符IDB、f（N1）和一个一次性随机数N2。③A→B：EKs[f（N2）]。A使用B产生的会话密钥Ks对f（N2）进行加密，并发送给B。

第三章密钥管理技术3．非对称密码技术的密钥分配方案

（1）公钥的分配

非对称密码技术的密钥分配方案主要包括两方面的内容：非对称密码技术所用的公钥的分配和利用非对称密码技术来分配对称密码技术中使用的密钥。

获取公钥的途径有多种，包括公开发布、公用目录、公钥机构和公钥证书。①

公开发布：是指用户将自己的公钥发送给另外一个参与者，或者把公钥广播给相关人群。这种方法有一个非常大的缺点：任何人都可以伪造一个公钥冒充他人。

第三章密钥管理技术②

公用目录：是由一个可信任的系统或组织建立和管理维护公用目录，该公用目录维持一个公开动态目录。公用目录为每个参与者维护一个目录项{标识符，公钥}，每个目录项的信息必须进行安全认证。任何人都可以从这里获得需要保密通信的公钥。与公开发布公钥相比，这种方法的安全性高一些。但也有一个致命的弱点，如果攻击者成功地得到目录管理机构的私钥，就可以伪造公钥，并发送给给其他人达到欺骗的目的。

③

公钥机构：为更严格控制公钥从目录分配出去的公钥更加安全，为此需要引入一个公钥管理机构来为各个用户建立、维护和控制动态的公用目录。与单纯的公用目录相比，该方法的安全性更高。但这种方式也有它的缺点：由于每个用户要想和其他人通信都需求助于公钥管理机构，因而管理机构可能会成为系统的瓶颈，而且由管理机构维护的公用目录也容易被攻击者攻击。

第三章密钥管理技术④

公钥证书：是在不与公钥管理机构通信，又能证明其他通信方的公钥的可信度，实际上完全解决了公开发布及公用目录的安全问题。采用公钥证书是为了解决公开密钥管理机构的瓶颈问题。

公钥证书即数字证书是由授权中心CA（CertificateAuthority）颁发的。证书的形式为CA=ESKCA[T，IDA，PKA]，其中IDA是用户A的身份标识符，PKA是A的公钥，T是当前时间戳，SKCA是CA的私钥。第三章密钥管理技术公钥证书的发放（产生）过程如下图所示

用户还可以把自己的公钥通过公钥证书发给另一用户，接收方使用CA的公钥PKCA对证书加以验证，DPKCA[ESKCA[T，IDA，PKA]]=[T，IDA，PKA]。第三章密钥管理技术（2）利用非对称密码技术进行对称密码技术密钥的分配（常用的有以下两种）：①简单分配：下图就是用非对称密码技术建立会话密钥的过程。但这一分配方案容易遭到主动攻击，假如攻击者已经接入A和B双方的通信信道，可以轻易地截获A、B双方的通信。第三章密钥管理技术用非对称密码技术建立会话密钥

②具有保密和认证功能的密钥分配：针对简单分配密钥的缺点，人们又设计了具有保密和认证功能的非对称密码技术的密钥分配，如下图所示。密钥分配过程既具有保密性，又具有认证性，因此既可以防止被动攻击，也可以防止主动攻击。

具有保密和认证功能的密钥分配

第三章密钥管理技术3.2.2

密钥管理技术

密钥管理涉及密钥的生成、使用、存储、备份、恢复以及销毁等，涵盖了密钥的整个生存周期。1．密钥的生成

密钥长度足够长是保证安全通信的必要条件之一，决定密钥长度需要考虑多方面的因素：数据价值有多大：数据要多长的安全期？攻击者的资源情况怎样？应该注意到，计算机的计算能力和加密算法的发展也是密钥长度的重要因素。

密钥的生成一般与生成的算法有关，大部分密钥生成算法采用随机或伪随机过程来产生随机密钥。第三章密钥管理技术2．密钥的使用：密钥的使用是指从存储介质上获得密钥进行加密和解密的技术活动。3．密钥的存储：密钥的存储分为无介质、记录介质和物理介质等几种。

第三章密钥管理技术

密钥备份是指在密钥使用期内，存储一个受保护的拷贝，用于恢复遭到破坏的密钥。

密钥的恢复是指当一个密钥要由于某种原因被破坏了，在还没有被泄露出去以前，从它的一个备份重新得到密钥的过程。密钥的备份与恢复保证了即使密钥丢失，由该密钥加密保护的信息也能够恢复。密钥托管技术就能够满足这种需求的一种有效的技术。4．密钥的备份与恢复第三章密钥管理技术

密钥必须定期更换，更换密钥后，原来的密钥必须销毁。密钥不再使用时，该密钥的的所有拷贝都必须删除，生成或构造该密钥的所有信息也应该被全部删除。5．密钥的销毁第三章密钥管理技术3.2.3

密钥托管技术

密钥托管提供一种密钥备份与恢复的途径，也称为托管加密。其目的是政府机关希望在需要时可通过密钥托管提供（解密）一些特定信息，在用户的密钥丢失或损坏的情况下可通过密钥托管技术恢复出自己的密钥。密钥托管技术的实现手段是把加密的数据和数据恢复密钥联系起来，数据恢复密钥不一定是直接解密的密钥，但由它可以得到解密密钥。理论上数据恢复密钥由所信赖的委托人持有（委托人可以是政府机构、法院或有合同的私人组织）。

一个密钥有可能被折分成多个分量，分别由多个委托人持有。

1．密钥托管技术简介第三章密钥管理技术

目前,许多国家都制定了密钥托管相关的法律法规。美国政府1993年4月颁布了EES标准（EscrowEncryptionStandard,托管加密标准），该标准体现了一种新的思想，即对密钥实行法定托管代理的机制。该标准使用的托管加密技术不仅提供了加密功能，同时也使政府可以在实施法律许可下的监听（如果向法院提供的证据表明，密码使用者是利用密码在进行危及国家安全和违反法律规定的事，经过法院许可，政府可以从托管代理机构取来密钥参数，经过合成运算，就可以直接侦听通信。）。该标准的加密算法使用的是Skipjack。在1994年2月，美国政府进一步改进提出了密钥托管标准KES（KeyEscrowStandard）政策，希望用这种办法加强政府对密码使用的调控管理。第三章密钥管理技术

目前，在美国有许多组织都参加了KES和EES的开发工作，系统的开发者是司法部门（DOJ），国家标准技术研究所（NIST）和基金自动化系统分部对初始的托管（Escrow）代理都进行了研究，国家安全局（NSA）负责KES产品的生产，联邦调查局（FBI）被指定为最初的合法性强制用户。

密钥托管技术是通过一个防窜扰的托管加密芯片（Clipper芯片）来实现，该技术包括两个主要的核心内容：第三章密钥管理技术（1）Skipjack加密算法：是由NSA设计的，用于加解密用户之间通信的信息。它是一个对称密钥分组加密算法，密钥长为80bits，输入和输出分组长度为64bits。该算法的实现方式采用供DES使用的联邦信息处理标准（FIPS-81）中定义的4种实现方式。

（2）LEAF（LawEnforcementAccessField，法律实施访问域）：通过这个访问域，法律实施部门可以在法律授权的情况下，实现对用户之间通信的监听（解密或无密钥）。这也看成是一个“后门”。

密钥托管技术具体实施时有3个主要环节：生产托管Clipper芯片、用芯片加密通信和无密钥存取。第三章密钥管理技术2．密钥托管密码技术的组成

密钥托管密码技术在逻辑上分为3个主要的模块（如下图所示）：USC（UserSecurityComponent，用户安全模块）、KEC（KeyEscrowComponent，密钥托管模块）和DRC（DataRecoveryComponent，数据恢复模块）。这些逻辑模块是密切相关的，对其中的一个设计将影响着其他模块。这几个模块的相互关系：USC用密钥K加密明文，并且在传送的同时传送一个数据恢复域DRF（DataRecoveryField），DRC则从KEC提供的和DRF中包含的信息中恢复出密钥K来解密密文。第三章密钥管理技术密钥托管密码技术的组成

第三章密钥管理技术（1）USC：

USC由软件、硬件组成（一般情况下，硬件比软件安全、不易发生窜扰），提供数据加密/解密的能力，执行支持数据恢复的操作，同时也支持密钥托管。这种支持体现在将数据恢复域（DRF）附加到数据上。USC的功能表现在以下几个方面：第三章密钥管理技术①

提供具有数据加解密能力的算法及支持密钥托管功能的硬件或相关软件。②

提供通信（包括电话、电子邮件及其他类型的通信，由相关部门在法律许可的条件下对通信的监听后执行对突发事件的解密）和数据存储的密钥托管。③提供突发解密的识别符（包括用户或USC的识别符、密钥的识别符、KEC或托管代理机构的识别符）和密钥（包括属于芯片单元密钥KEC所使用的全局系统密钥，密钥还可以是公钥或私钥，私钥的备份以托管的方式有托管机构托管）。第三章密钥管理技术（2）KEC：可以作为公钥证书密钥管理系统的组成部分，也可以作为通用密钥管理的基础部分。它由密钥管理机构控制，主要用于向DRC提供所需的数据和服务，管理着数据恢复密钥的存储、传送和使用。数据恢复密钥主要用于生成数据加密密钥，因此在使用托管密码加密时，所有的托管加密数据都应与被托管的数据恢复密钥联系起来。第三章密钥管理技术数据恢复密钥主要由以下内容组成：①

密钥选项②密钥分割③密钥的产生和分配④密钥托管时间⑤密钥更新⑥密钥的全部和部分⑦密钥存储

第三章密钥管理技术KEC在向DRC提供诸如托管的密钥等服务时，服务包括如下部分：①授权过程：对操作或使用DRC的用户进行身份认证和对访问加密数据的授权证明。②传送数据恢复密钥（主密钥不提供）：如果数据恢复密钥是会话密钥或产品密钥，KEC向DRC直接传送数据恢复密钥。密钥传送时和有效期一起传送，有效期过后，密钥将被自动销毁。③传送派生密钥：KEC向DRC提供由数据恢复密钥导出的另一密钥（派生密钥）。比如受时间限制的密钥，被加密的数据仅能在一个特定的有效时间段内被解密。④解密密钥：如果在DRF中使用主密钥加密数据加密密钥时，KEC只向DRC发送解密密钥，而不发送主密钥。⑤执行门限解密：每个托管机构向DRC提供自