第三章-密钥管理技术.ppt

1、22:10:12,密码系统的安全性包括两个方面，一方面是系统本身的安全性，即系统抗密码分析的安全性；另一方面是系统中秘密密钥的安全性，即秘密密钥保管的安全性。密码系统本身的安全性依赖于系统中基于的困难问题（因子分解、离散对数、二次剩余等）或者复杂的算法结构。,22:10:12,本章内容提要: 密钥管理技术概述 密钥的分类 密钥的协商与分发技术 公钥基础设施PKI 密钥管理技术应用 密码管理技术发展趋势,22:10:12,3.1 密钥管理技术概述,密钥管理就是管理密钥从产生到销毁的过程，包括密钥的产生、存储、分配、保护、更新、吊销和销毁等。在这一系列的过程中，都存在安全隐患威胁系统的密钥安全。,

2、22:10:12,保证密钥的安全基础,限制一个密钥的使用时间,密钥长度,22:10:12,3.2 密钥的分类,为了在网络应用中保证密钥的安全，需要有不同种类的密钥在一个保密系统中分别起不同的作用。例如，用会话密钥对通信的数据信息进行加密，而用密钥加密密钥对会话密钥进行加密保护。,22:10:12,保证密钥的安全基础,限制一个密钥的使用时间,密钥长度,22:10:12,从密码体制的不同上进行分类，密钥包括对称密钥和非对称密钥。,密钥从作用上可以分为以下三种,会话密钥 密钥加密密钥 主密钥,会话密钥是指在通信或者数据交换中，用来对用户数据进行加密操作的密钥。会话密钥往往是仅对当前一次会话有效或在一

3、个短时期内有效。,密钥加密密钥是指，用于对密钥（会话密钥）进行加密操作的密钥，即用于加密用户数据的会话密钥。,主密钥是在一对用户之间的长期共享的秘密密钥，它往往作为生成会话密钥或密钥加密密钥的种子，实现这些密钥的分发和安全保护。,22:10:12,层次化密钥的优点,密码系统的安全性,密钥的生成和管理,22:10:12,3.3 密钥的协商与分发技术,典型的密钥分发方案有两类：集中式分配方案和分布式分配方案。所谓集中式分配方案是指利用网络中的“密钥管理中心”来集中管理系统中的密钥，“密钥管理中心”接收系统中用户的请求，为用户提供安全分配密钥的服务。分布式分配方案则是由通信方自己协商完成会话密钥的共

4、享工程，不受任何其他方面的限制。,22:10:12,3.3 密钥的协商与分发技术,双方密钥协商与Diffie-Hellman密钥交换协议,基于密钥分发中心的密钥分发,22:10:12,所谓密钥协商是指需要保密通信的双方通过公开信道的通信来达成一个共享的秘密密钥的过程。,Diffie-Hellman密钥交换协议过程,通信方A选择一个大的随机数x，使得0 xp-1，计算R1=gx mod p，并将R1发送给通信方B。 通信方B选择另一个大的随机数y，使得0yp-1，计算R2=gy mod p，并将R2发送给通信方A。 A在收到R2后，计算K=(R2)xmod p。 B在收到R1后，计算K=(R1)

5、ymod p。,Diffie-Hellman协议过程如图所示。,22:10:12,Diffie-Hellman密钥 交换协议的安全,离散对数攻击,中间人攻击,Diffie-Hellman协议的中间人攻击如图所示,22:10:12,中间人攻击之所以能够奏效，究其原因在于协议设计中并没有对于来自于另一方的消息进行认证，即通信方A和B之间没有确认消息确实来自于对方。,改进的Diffie-Hellman协议如图所示,22:10:12,3.3 密钥的协商与分发技术,双方密钥协商与Diffie-Hellman密钥交换协议,基于密钥分发中心的密钥分发,22:10:12,基于KDC的密钥生成和分发方法,方式一

6、：通信发起方生成会话密钥,（1 设通信方A要与B进行保密通信时，A随机地选择一个会话 密钥Ks；用KA-KDC加密会话密钥，即得到,，并发送,表示信息的级联。,给KDC。其中，符号,（2 KDC收到后，用KA-KDC解密获得A所选择的会话密钥Ks及所希望 的通信方B。KDC将（KsA）用自己和B共享的密钥KB-KDC加密， 并将,发送给B。,22:10:12,基于KDC的密钥生成和分发方法,3）通信方B收到后，用自己和KDC的共享密钥解密，从而得到希望和自己通信的机构是A，并获得会话密钥Ks。,方式二：由KDC为A、B生成通信的会话密钥。,1）通信方A在希望与B通信时，首先向KDC发送请求消息

7、。,2）KDC收到来自于A的消息后，随机选择一个会话密钥Ks， 并将 发送给B，将 发送给A。,22:10:12,3）A、B收到来自于KDC的密文消息后，分别用自己与KDC的共享密钥解密，获得会话密钥Ks。,Needham-Schroeder密钥分发协议描述如下,1）通信发起方A把一个包含自己生成的一次性随机数（nonce）RA、个人身份以及B的身份的信息发送给KDC。,2）KDC返回一个包含RA、B的身份、会话密钥和一个给通信方B的加密票据的加密信息给通信方A。整个信息用KA-KDC加密。,3）通信方A解密得到的信息，获得会话密钥KAB，并把得到的通信方B的票据转发给B。,22:10:12,

8、4）通信方B用KB-KDC解密来自于A的KDC颁发票据，获得希望与自己通信的用户信息以及会话密钥KAB，并随机生成一个随机数RB，用会话密钥KAB加密发送给A。,5）通信方A应答来自于B的质询，即用会话密钥解密得到RB，计算 并发送给B；在B收到之后，即可用会话密钥解密并验证RB-1,Needham-Schroeder密钥分发协议步骤如图所示,22:10:12,3.4 公钥基础设施PKI,在公钥密码系统中，由于私钥是用户秘密持有，故不存在私钥的分发问题；而必须解决的一个问题是公钥的权威性公开问题。公钥基础设施PKI即是用于公钥权威发布的一系列组件。,22:10:12,3.4 公钥基础设施PKI

9、,PKI概述,公钥证书,公钥证书管理,PKI的信任模型,22:10:12,PKI是由认证机构（Certificate Authority，CA）、公钥证书库、密钥备份及恢复系统、公钥证书撤销系统、PKI应用接口等部分组成的。,它是一个用公钥概念和技术来实现并提供安全服务的具有普遍适用性的基础设施，是一种遵循标准的密钥管理平台。,22:10:12,3.4 公钥基础设施PKI,PKI的信任模型,PKI概述,公钥证书,公钥证书管理,22:10:12,目前，证书有多种不同的类型，常用的包括以下几种。,X.509公钥证书 简单PKI（Simple Public Key Infrastructure）证书

10、 PGP（Pretty Good Privacy）证书,22:10:12,3.4 公钥基础设施PKI,PKI的信任模型,PKI概述,公钥证书,公钥证书管理,22:10:12,证书的管理就是要提供证书的创建、分配和撤销等一系列证书管理工作，主要由CA负责完成。,证书的管理包括以下几个方面,证书的检索 证书的验证 证书的吊销,当网络用户需要通过公钥密码体制给另一个用户发送加密消息时，需要证书来获取该用户的公钥，以完成加密运算；或者需要验证另一个用户的数字签名时，也需要通过查询公钥证书而获取该用户的公钥，以进行数字签名的验证,如果网络用户A向网络用户B提供了自己的公钥证书，网络用户B可以向CA请求，

11、验证该证书的有效性,在超出证书的有效期时，CA可以吊销证书；在由于私钥的泄密而需要更换公私钥对时，用户也可以向CA提出请求吊销证书,22:10:12,3.4 公钥基础设施PKI,PKI的信任模型,PKI概述,公钥证书,公钥证书管理,22:10:12,层次结构信任模型,在这种模式中，认证机构（CA）是严格按照层次结构组织的，整个CA体系可以描绘成一个倒转的树，如图所示。,【例】用户3把一系列证书CA 和 CA1发给用户1。用户1验证证书并提取用户3的公钥的步骤如下。, 用户1用CA的公钥确认CA。 用户1从CA中提取CA1的公钥。 用户1用CA1的公钥确认CA1。 用户1从CA1中提取用户3的公

12、钥,22:10:12,网状信任模型,网状信任模型也称为分布式信任模型，这种信任模型把信任分散到两个或者多个CA上，用于将若干具有严格层次结构的PKI系统之间互联起来，即在一个组织或一个小的团体中使用层次结构的PKI，而在需要将几个小团体结合成一个大的信任域时，将其互联起来，建立互相之间的信任关系。网状信任模型如图所示,22:10:12,网状配置 中心辐射配置 Web信任模型 以用户为中心的信任,即在所有根CA之间建立交叉认证，形成信任网格。这种方式是以网格结构把根连接起来，每个根都有一个自身的分级结构。,建立一个中心地位的CA，并实现其与其他每个CA之间的交叉双向认证，这样，就建立起了不同信任

13、域的用户之间信任验证路径。,这是一种技术密切相关的信任模型，它依赖于浏览器，例如，Navigator和Internet Explorer（IE）。,在这种信任模型中，每个用户都自主地决定信赖哪个证书和拒绝哪个证书。,22:10:12,3.5 密钥管理技术应用,IKE是IPSec的一个重要构成要件，它提供密钥协商与管理机制。当使用IPSec时，必须提供一种方法与对方协商加密算法以及在数据交换中使用的密钥。IKE不是一个单一的协议，而是两个协议的组合，它将Internet安全关联、密钥管理协议和Oakley密钥交换协议集成在一起。,22:10:12,IKE的交换模式有如下三种,主模式 野蛮模式 快

14、速模式,IKE的主模式为建立第一个阶段的IKE SA提供了一个三阶段机制，用于协商以后的通信参数,在该模式中，发起者在交换开始生成一个Diffie-Hellman对，并建议一个SA，以及携带用于对方签名的一次性随机数,在两个通信实体使用主模式或者野蛮模式建立了一个IKE SA之后，它们就可以使用快速模式协商通用的IPSec服务或者生成新的密钥信息。,22:10:12,3.6 密钥管理技术发展趋势,密钥管理方案往往和具体的应用环境以及安全要求相关，例如，基于门限的密钥管理方案可以提供n个成员共同持有秘密份额，t个成员可以恢复出秘密，而t-1个成员无法恢复出秘密，这种基于秘密共享思想而设计的方案可以提供安全性更强的密钥管理服务，可能会在未来的多方安全