《数字鉴别与认证系统_密钥管理》由会员分享,可在线阅读,更多相关《数字鉴别与认证系统_密钥管理(67页珍藏版)》请在金锄头文库上搜索。
1、第五章 密钥管理高校信息安全专业系列课程5.1 密钥管理的基本概念1.密钥管理的必要性(1)密钥管理是信息系统安全性的重要因素信息加密系统的安全性取决于: 算法的安全性 密钥使用和管理的安全性。算法确定的条件下,保密系统的安全性取决于 密钥使用和管理的安全性。(2)保护好密钥比保护好算法要容易得多。算法是公开的,密钥是保密的。 (3)可以使用不同的密钥保护不同的秘密。 一个秘密信息的密钥被攻击,不会影响到其他的 秘密信息。5.1 密钥管理的基本概念包括密钥的生成、存储、分配、使用、备份/恢复 、更新、撤销、销毁等。其中分配和存储是最棘手的 问题。2.密钥管理的含义密钥管理处理从密钥产生到最终销
2、毁的整个过程 的有关问题。(1)密钥的生成 好的密钥:应当具有良好的随机性和密码特性,避免 弱密钥的出现。 5.1 密钥管理的基本概念 怎样产生好的密钥? 真正随机、等概:如掷硬币、掷骰子、从随机表中 选取等。 通过密钥生成器借助某种噪声源(光标或鼠标的位 置、内存的状态、上次按下的键、声音大小)产生 具有较好统计分布特性的序列,然后再对这些序列 进行各种随机性检验。 采用密钥揉搓或杂凑技术,将易记的长句子,经单 向函数变换成伪随机数串。5.1 密钥管理的基本概念(2)密钥的安全存储(对静态密钥的保护) 基于口令的软保护 基于用户口令,使用对称密钥算法来加密密钥。 一般步骤为 输入口令 用RN
3、G或PRNG生成一个“盐值”SALT 用一个混合算法将SALT和口令混合在一起,大多数情 况下混合算法的处理结果是一个消息摘要。 从上一步的随机输出的结果中选取一定的位数作为密 钥加密密钥,加密其他密钥。 扔掉生成的密钥,保护好口令和SALT以备解密。 引入SALT的目的:防止预计算。5.1 密钥管理的基本概念口令混合器密钥加密密钥SALTPRNGKEK5.1 密钥管理的基本概念 基于硬件的物理保护将密钥存储于与计算机相分离的某种物理设备中 ,以实现密钥的物理隔离保护。 实现方式:将密钥存储于磁条卡中。 将密钥存储于带ROM芯片的智能卡中。 将密钥存储于专用USB磁盘中。 将密钥分成两部分,一
4、半存入终端,一半存入ROM 密钥卡上。 优点: 平常攻击者不能访问到他们,因为他们并不与因特网 连接,可以防止远程攻击。5.1 密钥管理的基本概念这些物理设备本身还可受到口令或PIN的保护,具有 防御功能。 如果有人试图物理地访问其存储空间,设备将自动 销毁。 即使这些物理设备最终也要连接到计算机,并最终 连接到网络,但连接时间较短,不容易收到攻击。(3)密钥的更换密钥的使用时间越长,泄漏的机会越大;一旦泄 漏,密钥使用越久,损失越大,因此,密钥要定期更 换。5.1 密钥管理的基本概念密钥更换的频率依赖于: 被保护数据的敏感性;安全性越高,密钥更换越频繁 。 被保护数据的有效期:如,密钥加密密
5、钥就无需频繁 更换,因为他们只是偶尔用作密钥交换。 密钥算法的力量:用DES算法的系统与用AES算法的 系统相比,密钥应该更换的更频繁。(4)密钥的销毁 销毁的原因: 别人可用他来读原来曾用他加密的文件。 旧密钥有利于分析密码体制 销毁的方法 用高质量碎纸机粉碎记录密钥的纸张。 对于硬盘、EEPROM要进行多次冲写等。 5.1 密钥管理的基本概念(5)密钥的吊销如果密钥丢失或因其他原因在密钥未过期之前, 需要将它从正常运行使用的集合中除去,称为密钥吊 销。采用证书的公钥可以通过公布一个公钥撤销列表来 实现。5.2 密钥的协商与分发密钥协商:是指保密双方(或多方)通过公开信道的通信来 共同形成秘
6、密密钥的过程。一个密钥协商方案中,密 钥的值是某个函数值,其输入是两个(或多个)成员 提供。协商的结果:参与双方(或多方)都可得到相同 的密钥,其他任何方(除可信机构外)都不能知道。 密钥分发是指保密通信中的一方或可信第三方生成并选择 秘密密钥,然后把该密钥发送给通信参与的其他一方 或多方的机制。1.密钥协商与分发的基本概念5.2 密钥的协商与分发2.密钥分发的方式 按分发的途径 网外分发:通过非通信网络的可靠物理渠道携带密钥 分发给互相通信的各用户。 o 随着用户的增多,密钥量大大增加。 o 为了保证可靠性,密钥必须定期更换。 o 不能满足电子商务中陌生人之间的保密通信, o 密钥分发成本过
7、高。 网内分发:通过计算机网络在线、自动的分发密钥。 o 在用户之间直接分配。o 设立一个密钥分发中心,由它负责密钥分发。 5.2 密钥的协商与分发 按分发的内容秘密密钥的分发公开密钥的分发 3.秘密密钥的分发(1)用一个已有的共享密钥K加密会话密钥。改进方案:5.2 密钥的协商与分发具有挑战响应的密钥分发 :(2)使用密钥导出和不可逆函数的密钥分发在这种方法中,导出的密钥基于每次会话中某一 参与方提供的随机输入。缺点:此方法不能提供密钥新鲜性保证。5.2 密钥的协商与分发(3)无预先共享密钥的密钥分发 Shamir的无密钥协议:只能抵抗被动攻击。 参数生成:选择公用大素数p,A和B分别选择秘
8、密数 x,y,其中1x,y p-2,均与p-1互素。 密钥分发:5.2 密钥的协商与分发(4)使用密钥分发中心(KDC) 会话密钥由通信发起方生成 用户的主密钥放在一个可信第三方集中管理。 不同用户之间相互通信时,由通信发起方生成会话密钥, 秘密发送给KDC,然后由KDC将会话密钥秘密转发给接收方, 完成密钥分发过程。5.2 密钥的协商与分发用户主密钥 AKA BKB .ABKDC5.2 密钥的协商与分发会话密钥由KDC生成用户主密钥 AKA BKB .ABKDC 不同用户之间相互通信时,由第三方生成会话密钥,秘 密发送给发起方,然后由发起方将会话密钥秘密转发给 接收方,完成密钥分发过程。5.
9、2 密钥的协商与分发 不同用户之间相互通信时,由第三方生成会话密钥,第 三方分别将会话密钥秘密发送给发起方和接收方,完成 密钥分发过程。用户主密钥 AKA BKB .ABKDC5.2 密钥的协商与分发(5)使用密钥转换中心(KTC) KTC不用于生成密钥,而只用于密钥转发,有以下 两种方式:ATKTCB5.2 密钥的协商与分发ATKTCB5.2 密钥的协商与分发(5)使用中心化密钥管理(KDC/KTC)的优/缺点优点: 具有存储效率的优势 每一个参与方只需要与可信第三方保持一个长期的秘密 密钥。 缺点: 如果中心节点泄密,就会丧失整个系统的安全性。 如果中心节点超载,就会导致性能瓶颈。 如果中
10、心节点失败,就会丧失服务。 要求在线可信服务器。5.2 密钥的协商与分发4.公开密钥的分发(1)公钥的公开发布 任一通信方将他的公钥发送给另一通信方或广播给其他 通信各方。如PGP缺点:攻击者可以伪造公钥的公开发布。 (2)建立公钥目录 要求一个称为目录管理员的可信实体或组织负责公钥目 录的维护,其他用户可以基于公开渠道访问该公钥目录 来获取公钥。 缺点: 一旦管理员的密钥被窃取,攻击者可以假冒任何通信方, 伪造密钥。5.2 密钥的协商与分发(3)带认证的公钥分发(在线服务器方式) 要求有一个在线的目录服务器,任一通信方可靠的知道 目录管理员的公钥。目录管理员用私钥加密任一通信方 请求的某个用
11、户的公钥,以保证传输公钥的真实性。CAAB5.2 密钥的协商与分发缺点: 目录服务器必须在线,导致可信服务器有可能称为瓶颈 。 目标通信方和可信服务器之间必须有通信链路。 (4)基于数字证书的公钥分发(离线服 务器方式) 由可信第三方用自己的私钥签发一个数 字证书,将证书持有者的身份与其相应 的公开密钥绑定在一起。 数字证书的目标:它提供了一个用于加密的密钥,使得证书的使用者可以 对传送给证书持有人的数据进行加密。5.2 密钥的协商与分发它提供了一种证据,表明证书的持有人就是证书上所 声称的那个人。 5.密钥的协商(1)基于已有共享密钥的密钥协商5.2 密钥的协商与分发(2)基于非对称技术的密
12、钥协商Diffe-Hellman密钥协商 参数设置:选择一个大素数p及 上的生成元g(2 g p-2) 密钥协商:5.2 密钥的协商与分发 特点:可以抵抗被动攻击;但是不具有实体认证的 功能。三方密钥协商ABCA、B、C分别得到会话密钥为gxyzmod p5.2 密钥的协商与分发Needham-Schroeder公钥协议 参数设置:假设A、B拥有彼此的可信公钥。 密钥协商: 特点:不仅具有抵抗被动攻击的能力,还有双方实体 认证功能。5.2 密钥的协商与分发 上述方案中在返回消息中用密钥材料作为收到秘密值 的确认,共需三条加密信息。可以将上述方案改为用 随机数实现确认,将三条加密信息该为二条。5
13、.2 密钥共享信息加密的安全性取决于两方面的因素:算法的 安全性;密钥使用和管理的安全性。 1.密钥共享的必要性(1) 主密钥偶然或蓄意地被暴露,整个系统就会受到 攻击。 (2)主密钥丢失或毁坏,系统中所有的信息将无法访 问。 (3)如采用备份方式防止主密钥丢失,密钥暴露的可 能性会增大。 (4)另外,在某些重要任务的执行时,如银行出纳打 开保险柜、控制导弹发射、重要场所的通行等,不允 许单个人作出决定。由此提出了密钥共享的概念。5.2 密钥共享2.密钥共享的概念将一个密钥分成若干份,每一份称为一个共享, 将这些共享分发给不同的用户保存,称为密钥共享。需要使用密钥时,特定的用户子集共同提供他们
14、 拥有的共享才能重构初始密钥。 3.阈值法设计的基本原则将密钥k按下列方式分成n个影子密钥或子密钥 k1,k2,kn,满足下列条件: 已知任意t个不同的ki(1in),可以容易地重构密钥k. 仅知道t-1个或少于t-1个不同的ki(1in)就会由于信息 不足而不能重构k.这类方法也称为(t,n)阈值法或 (t,n)门限法5.2 密钥共享4. 基于Lagrange方法(Shamir门限方案)(1)基本思想 一个t-1次单变量多项式 完善的阈值方案或门限方案是指:在一个阈值方案中 ,仅知道t-1个或更少的子密钥,不会比没有任何信息 的敌手得到更多的益处。能够通过t个xi不同的点(xi,yi)唯一确
15、定(因为这些点确定 了t个含t个未知数的线性方程)5.2 密钥共享我们可以把多项式的常数项作为密钥k(即ka0) ,t个不同xi的点(xi,yi)作为影子或子密钥。知道至少t个不同点(xi,yi),可以唯一确定多项式 h(x),也就确定了k。少于t个不同点(xi,yi),不能确定多项式h(x),当然也不 等确定k.5.2 密钥共享(2)方案描述密钥分割功能:一个可信方给n个用户分发关于密钥k的影子 密钥或子密钥。 可信第三方T选择一个素数pmax(k,n),a0=k. T随机选择t-1个独立的系数a1,a2,at-1,0ajp,定义 随机多项式 T计算ki=h(xi),(1 xi p),并传送
16、秘密的ki和公开 的xi给n个不同的用户。5.2 密钥共享密钥重构 任意t个用户(xi)联合他们的子密钥( ki )通过 Lagrange插值法重构h(x), k =a0h(0) Lagrange公式:对于t-1次未知多项式h(x),如果给定点 ( xi ,yi)(1 i t),则Lagrange公式为:5.2 密钥共享5.2 密钥共享5.2 密钥共享完善的:仅知道t-1个或更少的子密钥,不会比没有 任何信息的敌手得到更多的益处。 理想的:每一个子密钥(影子)与密钥等长。 对于新用户的可扩展性:新的子密钥可以在不影响 现有用户的子密钥的基础上来计算和分发。 控制级别变化的可能性:给单独的一个用户更多的 子密钥(
