网络信息安全技术课件 第5章 密钥管理

第5章密钥管理对称密码体制的密钥管理公钥体制的密钥管理5.1对称密码体制的密钥管理5.1.1对称密钥的生成对称加密是基于共同保守密钥来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。ANSI(美国国家标准学会,AmericanNationalStandardsInstitute)颁布了ANSIX9.17金融机构密钥管理标准，为DES、AES等商业密码的应用提供了密钥管理指导。ANSIX9.17支持将密钥分为初级密钥、二级密钥和主密钥的三级密钥组织。(1)初级密钥初级密钥是真正用于加解密数据的密钥。初级密钥又称会话密钥，即通信双方用户在一次通话或交换数据时使用的密钥；当它用于加密文件时，又称为文件密钥。(2)二级密钥二级密钥又称为密钥加密密钥，主要用于对会话密钥或文件密钥进行加密。通信网络中的每个节点都分配有一个这类密钥。(3)主密钥主密钥是对二级密钥进行加密的密钥，它的安全级别最高，由密钥专职人员随机产生，并妥善安装。5.1.1对称密钥的生成不同等级的密钥产生的方式不同。(1)主密钥的产生主密钥是密码系统中的最高级密钥，用它对其他密钥进行保护，而且生产周期最长，因此要保证其完全随机性、不可重复性和不可预测性。主密钥应当是高质量的真随机序列，常采用物理噪声源的方法来产生，也可用投硬币、骰子等方法产生。(2)二级密钥的产生二级密钥的数量大（N(N-1)/2)，可由机器自动产生，也可由安全算法、伪随机数发生器等产生。(3)初级密钥的产生初级密钥可利用密钥加密密钥和某种算法（加密算法，单向函数等）产生。5.1.

2密钥的存储和备份不同级别的密钥应采用不同的存储形态，密钥的不同形态应当采用不同的存储方式。(1)主密钥的存储主密钥以明文形式存储，存储器必须是高度安全的，不但物理上安全，而且逻辑上安全。通常是将其存储在专用密码装置中。(2)二级密钥的存储二级密钥可以用密文形式或者不以直接明文形式存储。通常以高级密钥加密的形式存储二级密钥。这样可以减少明文形态数量，便于管理。(3)初级密钥的存储初级密钥分为初级文件密钥和会话密钥。初级文件密钥一般采用密文形式存储，通常采用以二级文件密钥加密的形式存储初级文件密钥。因为会话密钥一般采用“一次一密”的方式工作，使用时动态产生，使用完毕立即销毁，生命周期短。因此初级会话密钥的存储空间是工作存储器，应当确保工作存储器的安全。5.1.

2密钥的存储和备份密钥的备份本质上也是一种存储。不管以什么方式进行备份，应遵循以下原则：(1)密钥的备份应该异设备备份，甚至是异地备份。(2)备份的密钥应当受到存储密钥一样的保护。(3)一般采用高级密钥保护低级密钥的方式来进行备份。(4)高级密钥不能以密文方式备份。(5)密钥的备份恢复应当方便快捷。(6)密钥的备份和恢复都应写入日志文件，并进行审计。5.1.3密钥的分配对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。如何安全的将产生的对称密钥分发给通信双方或者另一方，在这个密钥的管理过程中是很重要的。1.主密钥的分配主密钥是以明文的方式使用和存储，在分配过程中要保证其安全性，一定要采取最安全的分配方法。一般采用人工分配主密钥，由专职密钥分配人员分配并由专职安装人员妥善安装。主密钥的使用分为点到点结构和中心结构。点到点结构中通信双方都需要共享一个主密钥，如果有N个成员组成的团体系统互相通信，那么需要手工分配的主密钥数位N(N-1)/2。在大型的网络中，这种结构的主密钥分配将变得极难处理。采用中心结构的主密钥共享，每个通信方和密钥中心共享一个主密钥，但是通信双方无共享的主密钥。N个成员组成的团体，手工分配的主密钥数为N。5.1.3密钥的分配2.二级密钥的分配二级密钥可以采用和主密钥相同的分配方式。但人工分配所带来的代价太大，一般直接利用已经分配的主密钥对二级密钥加密后在网络上传输分配。如图所示：5.1.3密钥的分配3.初级密钥的分配通常总是把一个随机数直接视为一个初级密钥被高级密钥加密之后的结果，这样初级密钥一产生就是密文形式。（1）基于对称密钥的密钥分配发送方直接把随机数（密文形式的初级密钥）通过计算机网络传给对方，接收端用高级密钥解密获取初级密钥5.1.3密钥的分配3.初级密钥的分配（2）基于公钥体制的密钥分配通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。5.1.3密钥的分配3.初级密钥的分配（3）密钥协定密钥协定是一个协议，它通过两个或多个成员在一个公开的信道上通信联合地建立一个秘密密钥。密钥交换协议主要有：Diffie-Hellman密钥交换协议；端-端协议；MTI协议。DH密钥交换算法成员A和成员B事先协商选好一个大素数p和p的一个原根α。Diffie-Hellman密钥分配方案如下：（1）成员A随机地产生一个数x，2≤x≤p-2,计算k1(=αxmodp)并将这个值发送给成员B；（2）成员B随机地产生一个数y，2≤y≤p-2,计算k2(=αymodp)并将这个值发送给成员A；（3）成员A计算KA=(k2)xmodp，成员B计算KB=(k1)ymodp。显然KA=KB，作为Key5.1.3密钥的分配3.初级密钥的分配（3）密钥协定密钥协定是一个协议，它通过两个或多个成员在一个公开的信道上通信联合地建立一个秘密密钥。密钥交换协议主要有：Diffie-Hellman密钥交换协议；端-端协议；MTI协议。DH密钥交换算法成员A和成员B事先协商选好一个大素数p和p的一个原根α。Diffie-Hellman密钥分配方案如下：（1）成员A随机地产生一个数x，2≤x≤p-2,计算k1(=αxmodp)并将这个值发送给成员B；（2）成员B随机地产生一个数y，2≤y≤p-2,计算k2(=αymodp)并将这个值发送给成员A；（3）成员A计算KA=(k2)xmodp，成员B计算KB=(k1)ymodp。显然KA=KB，作为Key5.

2公钥体制的密钥管理5.2.1公钥的分配1.公开发布用户将自己的公钥发给其他的每一个用户，可以采用公开发布到论坛、邮箱或者其他的web应用上，便于其他用户查阅和使用。这种方式简单，但安全性能低，任何人都可以伪造这种公开发布。2.公用目录表建立一个公用的公钥动态目录表，目录表的建立、维护以及分配由某个可信的实体或组织承担，通常称这个实体或者组织为公用目录的管理员。管理员为每个用户都在目录表里建立一个目录，目录中包括两个数据项：用户名；用户的公开密钥。每个用户都亲自或者以某种安全的认证通信在管理者处为自己的公开密钥注册。用户可以随时替换自己的密钥；管理员定期公布或者定期更新目录；用户可以通过电子手段访问目录。本方案的安全性虽然高于公开发布的安全性，但仍易受攻击。如果攻击者成功的获取了管理员的私钥，就可以伪造一个公用目录表，即攻击者可传递伪造的公钥，因此他可以假冒任何通信方，以窃取发送给通信方。5.2.1公钥的分配3.公钥管理机构在公钥目录的基础上，对公钥的分配进行更严格的控制，安全性会更好。需要引入一个公钥管理机构来为用户建立和维护动态的公钥目录。每个用户知道管理机构的公开密钥，只有管理机构知道自己的私钥。5.2.1公钥的分配过程①：用户A向公钥管理机构发出一个带时间戳的请求消息，申请获得用户B的当前公钥；过程②：公钥管理机构发送一条用其私钥加密的消息，A收到消息后用管理机构的公钥解密，确认该消息来自管理机构，同时得到B的公钥。过程④和⑤：B重复A的申请过程。过程③、⑥和⑦：使用彼此的公钥加密信息，实现身份的双向认证。使用公钥管理机构分配公钥的过程中，由于每个用户要和他人通信时都要向公钥管理机构申请对方的公钥，所以公钥管理员可能成为系统的瓶颈，而且公钥管理机构所维护的含有用户名和公钥的目录表也容易被篡改。5.2.1公钥的分配4.公钥证书（数字证书）一般地讲，证书是一个数据结构，它由证书用户可信的某一成员进行数字签名。一个公钥证书也是一个数据结构，它将某一成员的识别符和一个公钥值捆绑在一起。由某一被称作认证机构的成员进行数字签名。公钥证书也称为数字证书，用户通过数字证书交换各自公钥，无须与公钥管理机构联系。公钥证书能以不保护的方式进行存储和分配。假定一个用户提前知道认证机构的真实公钥，那么用户能检查对证书的签名的合法性。如果检查正确，那么用户就相信那个证书携带了要识别的成员的一个合法的公钥。公钥分配涉及到公钥证书，而且公钥证书是目前比较热门的一个话题。5.2.1公钥的分配4.公钥证书（数字证书）证书类型：(1)X.509公钥证书(2)简单PKI证书(3)PGP（PrettyGoodPrivacy）证书(4)属性（Attribute）证书证书具有各自不同的格式。一种类型的证书可以被定义为好几种不同的版本，每一种版本也可能以好几种不同的方式来具体实现。例如，X.509公钥证书就有三种版本。版本1是版本2的子集，版本2又是版本3的子集。因为版本3的公钥证书又包括好几种可选的不同扩展，所以它可以以不同的应用方式来具体实现。例如，安全电子交易（SET）证书就是X.509版本3的公钥证书结合专门为SET交易制定的特别扩展而成的。5.2.2X.509证书贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。5.2.2X.509证书1.证书结构和语义•版本号——标示证书的版本（版本1，版本2，或是版本3）。•序列号——由证书颁发者分配的本证书的唯一标识符。•签名算法——签名算法标识符（由对象标识符加上相关参数组成），用于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。•颁发者——证书颁发者的可识别名（DN），这是必须说明的。•有效期——证书有效的时间段。本字段由“NotValidBefore”和“NotValidAfter”两项组成，他们分别由UTC时间或一般的时间表示。•主体名称——证书拥有者的可识别名（非空）。•主体公钥信息——主体的公钥以及使用的公开密钥算法。•颁发者唯一标识符——可选字段，很少使用。•主体唯一标识符——可选字段，很少使用。•扩展项——密钥和主体的附加属性说明。•颁发者签名。5.2.2X.509证书2.证书验证(1)一个可信CA已经在证书上签名。注意这可能包括证书路径处理；(2)证书有良好的完整性，即证书上的数字签名与签名者的公钥和单独计算出来的证书杂凑值相一致；(3)证书处在有效期内；(4)证书没有被撤销；(5)证书的使用方式与任何声明的策略和使用限制相一致。5.2.2X.509证书3.证书策略证书策略指的是一整套规则，这些规则用于说明颁发给特定团体的证书的适用范围或遵从普通安全限制条件的应用的分类。例如，某一特定的证书策略可以声明用于电子数据交换贸易的证书的适用范围就是某一预定的价格范围。5.2.2X.509证书4.认证机构和证书机构要将实体（及其属性）和公钥捆绑定在一起就需要公钥证书，而认证机构（CA）就是负责颁发这些公钥证书的机构。这些证书上都有颁发者CA的私钥签名。CA被更多地称为证书机构而不是认证机构。严格讲，策略机构（或策略管理机构）才是关于证书的机构；CA只是一个严格按照策略机构制定的策略颁发证书的工具。证书可以被自由随意地传播（假定它们不含有任何敏感信息），因为CA在它所颁发的证书上进行了数字签名，所以从完整性的角度来看，证书是得到了保护的。根据信任模型的不同，CA也扮演不同的角色。例如，在一个企业区域，可以让一个或多个CA来给企业的员工颁发证书。员工们实质上是将他们的“信任”放入了企业的CA。5.2.2X.509证书5.注册机构注册的功能可以直接由CA来实现，也可专门用一个单独的机构即注册机构（RA）来实现。随着在某个PKI区域里的终端实体用户的数目增加或是终端实体在地理上很广泛的分布，集中登记注册的想法就遇到了麻烦。多个RA（也叫局部注册机构或LRA）的明智实施将有助于解决这一问题。RA的主要目的就是分担CA的一定功能以增强可扩展性并且降低运营成本。5.2.3证书管理证书生命周期管理表示的是与公/私钥对以及相关证书的创建、颁发及随后的取消有关的功能。证书生命周期管理大体经历三个不同阶段，即初始化阶段，颁发阶段和取消阶段。1.初始化阶段在终端实体能够使用系统支持的服务之前，它们必须初始化进入系统。由以下几步组成：（1）终端实体注册----是单个用户或进程的身份被建立和验证的过程。（2）密钥对产生——密钥资料可以在终端实体注册过程之前或直接响应终端实体注册过程时产生。在终端实体的客户系统中（例如，在浏览器中）、在RA中或在CA中产生密钥资料是可能的。可以选择的是，一个可信第三方的密钥产生设施可能在某些环境下是适当的。（3）证书创建和证书分发证书创建的责任单独落在被授权的CA上。如果公钥是被实体而不是CA所产生的，该公钥必须被安全地传送到CA以便其能够被放入证书。证书分发要求依赖于密钥资料在哪儿产生以及是否要求密钥备份。请求证书和从可信实体（即CA）取回证书的必要条件是要求定义一个安全协议机制。5.2.3证书管理1.初始化阶段（4）证书分发---传送证书给另一个实体带外分发：在一个公众的资料库或数据库中公布来使查询和在线检索简便；带内协议分发：例如，包括带有安全E-MAIL报文（S/MIME）的适用的验证证书。重要的一点是证书必须是容易获得的，完全实现公钥密码体制的好处。当数字签名被验证时，与被用作创建数字签名的签名私钥相应的验证证书必须是可获得的，以便验证那个数字签名的可靠性。类似地，当一个报文的发送者给一个或多个预定接收者加密一个E-MAIL报文时，这些接收者的加密证书必须是可用的，以便将用作加密E-MAIL报文的一次性对称密钥为每一个接收者加密。（5）密钥备份如果公/私钥对被用作机密性，初始化阶段也可以包括由可信第三方对密钥和证书的备份。是否需要备份，由管理策略来决定。5.2.3证书管理2.颁发阶段（1）证书检索——远程资料库的证书检索，证书检索与访问一个终端实体证书的能力有关。检索一个终端实体证书的需求可能被两个不同的使用要求所驱动：加密发给其它实体的数据的需求和验证一个从另一个实体收到的数字签名的需求；（2）证书验证——确定一个证书的有效性；（3）密钥恢复——不能正常访问密钥材料时，从CA或可信第三方中恢复。因为可扩展性和将系统管理员和终端用户的负担减至最小的原因，这个过程必须尽可能最大程度地自动化。任何综合的生命周期管理协议必须包括对这个能力的支持。（4）密钥更新——当一个合法的密钥对将过期时，新的公/私钥的自动产生和相应证书的颁发。因为扩展性，这个过程必须是自动的，而且任何综合的生命周期管理协议必须包括对这个能力的支持。另外，这个过程应该对终端用户完全透明。5.2.3证书管理3.取消阶段（1）证书过期——证书的自然过期；（2）证书撤销——证书撤销是关于在证书自然过期之前对给定证书的即时取消。撤销证书的这个要求可能基于许多因素，包括可疑的密钥损害，作业状态的变化或者雇佣的终止；（3）密钥历史——维持一个有关密钥资料的记录（一般是关于终端实体的）以便被随后过期的密钥资料加密的数据可以被解密；（4）密钥档案——为了密钥历史恢复、审计和解决争议的目的，密钥资料需第三方安全贮存。5.2.4公钥基础设施PKI1.PKI概述PKI(PublicKeyInfrastructure)公钥基础设施，是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础共同组成公开密钥基础设施PKI。X.509标准中，为了区别于权限管理基础设施(PrivilegeManagementInfrastructure，简称PMI)，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。强调PKI必须支持公开密钥的管理，也就是说，仅仅使用公钥技术还不能叫做PKI，还应该提供公开密钥的管理。PKI就是一种基础设施。PKI是一种标准的密钥管理平台。美国是最早(1996)推动PKI建设的国家。1998年中国的电信行业建立了我国第一个行业CA，此后金融、工商、外贸、海关和一些省市也建立了自己的行业CA或地方CA。5.2.4公钥基础设施PKI2.PKI的组成PKI在公开密钥密码的基础上，主要解决密钥属于谁，即密钥认证的问题。在网络上证明公钥是谁的，就如同现实中证明谁是什么名字一样具有重要的意义。通过数字证书，PKI很好地证明了公钥是谁的。PKI的核心技术就围绕着数字证书的申请、颁发、使用与撤销等整个生命周期进行展开。其中，证书撤销是PKI中最容易被忽视，但却是很关键的技术之一，也是基础设施必须提供的一项服务。PKI技术的研究对象包括了数字证书，颁发数字证书的证书认证中心，持有证书的证书持有者和使用证书服务的证书用户，以及为了更好地成为基础设施而必须具备的证书注册机构、证书存储和查询服务器，证书状态查询服务器，证书验证服务器等。认证中心CA作为PKI的核心部分，CA实现了PKI中一些很重要的功能，概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。5.2.4公钥基础设施PKI2.PKI的组成CA的核心功能就是发放和管理数字证书，具体描述如下：（1）接收验证最终用户数字证书的申请。（2）确定是否接受最终用户数字证书的申请-证书的审批。（3）向申请者颁发、拒绝颁发数字证书-证书的发放。（4）接收、处理最终用户的数字证书更新请求-证书的更新。（5）接收最终用户数字证书的查询、撤销。（6）产生和发布证书废止列表（CRL）。（7）数字证书的归档。（8）密钥归档。（9）历史数据归档。5.2.4公钥基础设施PKI2.PKI的组成认证中心CA为了实现其功能，主要由以下三部分组成：注册服务器：通过Web