《密钥分配与密钥管理.》由会员分享,可在线阅读,更多相关《密钥分配与密钥管理.(66页珍藏版)》请在金锄头文库上搜索。
1、第六章 密钥分配与 密钥管理 Key Distribution and Key Management 建立安全的密码系统要解决的一个赖手的 问题就是密钥的管理问题。即使密码体制 的算法是计算上的安全,如果缺乏对密钥 的管理,那么整个系统仍然是脆弱的。 问题的提出 (1)密钥管理量的困难 传统密钥管理:两两分别用一对密钥时,则 n个用户需要C(n,2)=n(n-1)/2个密钥,当用户 量增大时,密钥空间急剧增大。如: n=100 时, C(100,2)=4,995 n=5000时, C(500,2)=12,497,50 (2)数字签名的问题 传统加密算法无法实现抗抵赖的需求。 概述 从理论上说,
2、密钥也是数据,不过它是用来 加密其它数据的数据,因此,在密码学的研 究中,不妨把密钥数据与一般数据区分开来 。在设计密码系统时,对于密钥必须考虑以 下问题: 1.系统的那些地方要用到密钥,它们是如 何设置和安装在这些地方. 2.密钥预计使用期限是多长,每隔多久需 要更换一次密钥。 3.密钥在系统的什么地方。 4.如何对密钥进行严格的保护。 为了产生可靠的总体安全设计,对于不同 的密钥应用场合,应当规定不同类型的密 钥,所以根据密钥使用场合的不同,可以 把密钥分成不同的等级。 通常把密钥分为两大类型,即数据加密密 钥和密钥加密密钥。 密钥又可分为: 主密钥:对现有的密钥或存储在主机中 的密钥加密
3、,加密对象为初级密钥和二 级密钥。 初级密钥:用来保护数据的密钥。它也 叫数据加密/解密密钥.初级密钥用来进 行通讯保护时,叫做通讯密钥。用来保 护文件时叫做文件密钥。 二级密钥:它是用来加密保护初级密钥的密 钥。 密钥保护的基本原则: 密钥永远不可以以明文的形式出现在密码装 置 之外。 密码装置是一种保密工具,即可以是硬件, 也可以是软件。 密钥分配 (Key Distribution) 保密通信双方需共享密钥 共享密钥要经常更换 分配方式: A选择密钥并手工传递给B 第三方C选择密钥分别手工传递给A,B 用A,B原有共享密钥传送新密钥 与A,B分别有共享密钥的第三方C传送 新密钥给A和/或
4、B lN个用户集需要N(N-1)/2个共享密钥 基于对称密码体制的 密钥分配 Key Distribution of symmetric cryptography 概述 对称密码体制的主要商业应用起始于八十 年代早期,特别是在银行系统中,采纳了 DES标准和银行工业标准ANSI数据加密算 法,实际上,这两个标准所采用的算法是一 致的。 随着DES的广泛应用带来了一些研究话题 ,比如如何管理DES密钥。从而导致了 ANSI X9.17标准的发展,该标准于1985 年完成,是有关金融机构密钥管理的一个 标准。 金融机构密钥管理需要通过一个多级层次密钥机 构来实现。 ANSI X9.17三层密钥层次
5、结构: 1)主密钥(KKMs),通过手工分配; 2)密钥加密密钥(KKs),通过在线分 配; 3)数据密钥(KDs)。 KKMs保护KKs的传输,用KKs保护KDs的传输 。 主密钥是通信双方长期建立密钥关系的基础,是 用户和密钥分配中心的共享密钥。 用主密钥对所有初级密钥加密,使它们在密码装 置之外也受到保护。 象这样用一个密钥保护许多其他密钥的方法 ,在密码学中叫主密钥原理。 它从本质上把保护大量密钥的问题,简化成 了集中保护和使用一个密钥问题。 这实际上也是数据加密思想的进一步深化。 从原则上说,数据加密就是把保护大量数据的问 题简化为保护和使用少量数据的问题。 主密钥的分配方式 利用安
6、全信道实现 (1)直接面议或通过可靠信使递送 (2)将密钥分拆成几部分分别传送 两种密钥分配技术 名 称 特点优点缺点适用范围 静 态 分 配 是一种由中心以脱 线方式预分配的技 术,是“面对面” 的分发, 安全性好,是 长期沿用的传 统密钥管理技 术 必须解决密钥 的存储技术 静态分发只 能以集中式 机制存在 动 态 分 配 是“请求分发” 的在线分发技术 需要有专门 的 协议 的支持 有中心和无 中心的机制 都可以采用 静态分配 一个有n个用户的系统,需实现两两之间通信 n个用户,需要n(n-1)/2个共享密钥 对称密钥配置 非对称密钥配置 用户1 K1-2,K1-3,K1-nn个用户公钥
7、,用户1自己私钥 用户2 K2-1, K2-3,K2-n n个用户公钥,用户2自己私钥 用户n Kn-1,Kn-2,Kn-n-1 n个用户公钥,用户n自己私钥 动态分配 中心化的密钥管理方式,由一个可信赖的联机 服务器作为密钥分配中心(KDC)或密钥转递 中心(KTC) (a) (b) 密钥分发中心 密钥分发中心(Key Distribution Center) l每个用户与KDC有共享密钥(Master Key) lN个用户,KDC只需分发N个Master Key l两个用户间通信用会话密钥(Session Key) 用户必须信任KDC KDC能解密用户间通信的内容 KS:一次性会话密钥 N
8、1,N2:随机数 KA,KB:A与B和KDC的共享密钥 f:某种函数变换 有中心的密钥分配方案 4. KDC A B 1. Request|N1 5. 2. 3. 密钥的分层控制 用户数目很多并且分布地域很广,一个KDC无法 承担,需要采用多个KDC的分层结构。 本地KDC为本地用户分配密钥。 不同区域内的KDC通过全局KDC沟通。 无中心的密钥控制 有KDC时,要求所有用户信任KDC,并且要求对 KDC加以保护。 无KDC时没有这种限制,但是只适用于用户少的 场合 无中心的密钥控制 A B 1. Request|N1 2. 3. 用户A和B建立会话密钥的过程 密钥的控制使用 根据用途不同分为
9、 会话密钥(数据加密密钥) 主密钥(密钥加密密钥),安全性高于 会话密钥 根据用途不同对密钥使用加以控制 密钥标签 用于DES的密钥控制,8个校验位作为密钥 标签 1比特表示这个密钥是会话密钥还是主密 钥 1比特表示这个密钥能否用于加密 1比特表示这个密钥能否用于解密 其余比特保留 控制矢量 对每一密钥指定相应 的控制矢量,分为若 干字段,说明在不同 情况下是否能够使用 有KDC产生加密密钥 时加在密钥之中 h为hash函数,Km是 主密钥,KS为会话密 钥 控制矢量CV明文发 送 优点: 1.CV长度没有限制 2.CV以明文形式存在 基于公钥密码体制的 密钥管理 Key Management
10、 of Public Key Cryptography 基于公钥密码体制的密钥管理 两方面内容: 公钥密码体制中所使用的公钥的分配; 使用公钥分配对称加密体制的密钥。 公钥的分配公开发布 用户将自己的公钥发给每一个其他用户 方法简单,但没有认证性,因为任何人 都可以伪造这种公开发布 公钥的分配公用目录表 公用的公钥动态目录表,目录表的建立、 维护以及公钥的分布由可信的实体和组 织承担。 每一用户都亲自或以某种安全的认证通 信在管理者处为自己的公开密钥注册。 用户可以随时替换自己的密钥。 管理员定期公布或定期更新目录。 用户可以通过电子手段访问目录。 公钥的分配公钥管理机构 公钥管理机构为用户建
11、立维护动态的公钥 目录。 每个用户知道管理机构的公开钥。 只有管理机构知道自己的秘密钥。 公钥管理机构分配公钥 公钥管理机构 AB 1.Request|Time1 2. 3. 6. 4.Request|Time2 5. 7. 公钥证书 用户通过公钥证书交换各自公钥,无须 与公钥管理机构联系 公钥证书由证书管理机构CA( Certificate Authority)为用户建立。 证书的形式为 T-时间,PKA-A的公钥,IDAA的身份 ,SKCACA的私钥 时戳T保证证书的新鲜性,防止重放旧证 书。 CA的计算机用户的计算机 证书的产生过程 产生密钥 姓名 秘密钥 公开钥 CA的公开钥 CA的秘
12、密钥 签字 证书 用公钥分配对称密码体制的密钥 AB 1.PKA|IDA 2. 简单分配 易受到主动攻击 AB攻击者E 1.PKA|IDA2.PKE|IDA 3. 4. 用公钥分配对称密码体制的密钥 具有保密性和认证性的密钥分配 AB 2. 3. 4. 1. Diffie-Hellman密钥交换协议 aUaV 用户U选择 一随机数aU, 计算 用户V选择 一随机数aV, 计算 生成的会话密钥为K Diffie-Hellman密钥交换协议 Diffie-Hellman密钥交换协议: 双方选择素数p以及p的一个原根 U随机选择aUZp,计算aU mod p并发给V V随机选择aVZp,计算aV m
13、od p并发给U U计算(aV mod p)aU mod p = aUaV mod p V计算(aU mod p)aV mod p = aUaV mod p 双方获得共享密钥(aUaV mod p) 这个协议可以被中间人攻击 Diffie-Hellman密钥交换攻击 中间人攻击图示 A B K = aXaXo O K = aXbXo 中间人攻击 1 双方选择素数p以及p的一个原根a(假定O知道) 2 A选择Xap,计算Ya=aXa mod p, AB: Ya 3 O截获Ya,选Xo,计算Yo=aXo mod p,冒充AB:Yo 4 B选择Xb0 231 a 乘数 0am a=75=16807
14、c 增量 0 cm X0 种子 0 X0m 线性同余伪随机数缺乏不可预测性 基于密码的随机数产生 循环加密 DES输出反馈方式 ANSI X.917 伪随机数产生器 Blum Blum Shub(BBS)产生器 循环加密 DES输出反馈模型 ANSI X9.17 Ri=EDEK1,K2(ViEDEK1,K2(DTi) Vi+1= EDEK1,K2(RiEDEK1,K2(DTi) BBS伪随机数产生器 首先选择两个大素数p,q pq 3(mod4) 选择s与n互素 通过了“下一位”测试(next-bit test) 不存在多项式时间的算法使得在已知前 k位的情况下预测出第k+1位的概率大 于0.
15、5。 BBS的安全性同样基于分解n的难度。 秘密分割 在导弹控制、重要场所通行检验等情况, 通常必须由两个或多个人同时参与才能 生效,这时都需要将秘密分给多个人, 掌管秘密的人同时到场才能恢复这一秘 密。由此,引入门限方案的一般概念。 定义 定义:设秘密s被分成n个部分信息,每一部 分 称为一个子密钥,由参与者持有,使得 : n由k个或多于k个参与者所持有的部分信息 可重构s。 n由少于k个参与者所持有的部分信息则无法 重构s。 则称这种方案为(k,n)秘密分割门限 方案,k称为方案的门限值,参与者的集 合称为授权子集。 若一个秘密分割方案,由少于k个参与者 所持有的部分信息得不到秘密s的任何信 息,则称该方案是完善的。 两种最具代表性的秘密分割门限方案。 nShamir门限方案 nAsmuthBloom方案 Shamir门限方案 n随机选择 一个有限域 上的 次的多 项式 ,其中 。计算 并发送给参与者 。 n每一参与者接收到 后,任何t个参与者一 起利用 ,利用Lagrange插 值法构造多项式: 3. 计算 可得秘密s。 例1 设k=3,n=5,q=19,s=11,随机选取a1=2,a2=7,得 多项式为 f(x)=(7x2+2x+11) mod 19 分
