1、第4章 密鑰管理技術4.1 密鑰的分類4.2 密鑰的生成與存儲4.3 密鑰的分配4.4 密鑰的更新與撤銷4.5 密鑰共享4.6 會議密鑰分配4.7 密鑰托管小結習題第4章 密鑰管理技術在一個大型通信網絡中，數據將在多個終端和主機之間傳遞，要進行保密通信，就需要大量的密鑰，密鑰的存儲和管理變得十分復雜和困難。在電子商務系統中，多個用戶向同一系統注冊，要求彼此之間相互隔離。系統需要對用戶的密鑰進行管理，并對其身份進行認證。不論是對于系統、普通用戶還是網絡互連的中間節點，需要保密的內容的秘密層次和等級是不相同的，要求也是不一樣的，因此，密鑰種類各不相同。在一個密碼系統中，按照加密的內容不同，密鑰可以

2、分為會話密鑰、密鑰加密密鑰和主密鑰。4.1 密密 鑰鑰 的的 分分 類類 第4章 密鑰管理技術1. 會話密鑰會話密鑰會話密鑰(Session Key)，指兩個通信終端用戶一次通話或交換數據時使用的密鑰。它位于密碼系統中整個密鑰層次的最低層，僅對臨時的通話或交換數據使用。會話密鑰若用來對傳輸的數據進行保護，則稱為數據加密密鑰; 若用作保護文件，則稱為文件密鑰; 若供通信雙方專用，則稱為專用密鑰。第4章 密鑰管理技術會話密鑰若用來對傳輸的數據進行保護，則稱為數據加密密鑰; 若用作保護文件，則稱為文件密鑰; 若供通信雙方專用，則稱為專用密鑰。會話密鑰可由通信雙方協商得到，也可由密鑰分配中心(Key

3、Distribution Center，KDC)分配。由于它大多是臨時的、動態的，即使密鑰丟失，也會因加密的數據有限而使損失有限。 會話密鑰只有在需要時才通過協議取得，用完后就丟掉了，從而可降低密鑰的分配存儲量。基于運算速度的考慮，會話密鑰普遍是用對稱密碼算法來進行的，即它就是所使用的某一種對稱加密算法的加密密鑰。第4章 密鑰管理技術2. 密鑰加密密鑰密鑰加密密鑰密鑰加密密鑰(Key Encryption Key)用于對會話密鑰或下層密鑰進行保護，也稱為次主密鑰(Submaster Key)或二級密鑰(Secondary Key)。在通信網絡中，每一個節點都分配有一個這類密鑰，每個節點到其他各

4、節點的密鑰加密密鑰是不同的。但是，任意兩個節點間的密鑰加密密鑰卻是相同的、共享的，這是整個系統預先分配和內置的。在這種系統中，密鑰加密密鑰就是系統預先給任意兩個節點間設置的共享密鑰，該應用建立在對稱密碼體制的基礎之上。第4章 密鑰管理技術在建有公鑰密碼體制的系統中，所有用戶都擁有公、私鑰對。如果用戶間要進行數據傳輸，協商一個會話密鑰是必要的，會話密鑰的傳遞可以用接收方的公鑰加密來進行，接收方用自己的私鑰解密，從而安全獲得會話密鑰，再利用它進行數據加密并發送給接收方。在這種系統中，密鑰加密密鑰就是建有公鑰密碼基礎的用戶的公鑰。密鑰加密密鑰是為了保證兩節點間安全傳遞會話密鑰或下層密鑰而設置的，處在

5、密鑰管理的中間層。系統因使用的密碼體制不同，它可以是公鑰，也可以是共享密鑰。第4章 密鑰管理技術3. 主密鑰主密鑰主密鑰位于密碼系統中整個密鑰層次的最高層，主要用于對密鑰加密密鑰、會話密鑰或其他下層密鑰的保護。 主密鑰是由用戶選定或系統分配給用戶的，分發基于物理渠道或其他可靠的方法，處于加密控制的上層，一般存在于網絡中心、主節點、主處理器中，通過物理或電子隔離的方式受到嚴格的保護。在某種程度上，主密鑰可以起到標識用戶的作用。第4章 密鑰管理技術上述密鑰的分類是基于密鑰的重要性來考慮的，也就是說密鑰所處的層次不同，它的使用范圍和生命周期是不同的。概括地講，密鑰管理的層次結構如圖5-1-1所示。主

6、密鑰處在最高層，用某種加密算法保護密鑰加密密鑰，也可直接加密會話密鑰。會話密鑰處在最低層，基于某種加密算法保護數據或其他重要信息。密鑰的層次結構使得除了主密鑰外，其他密鑰以密文方式存儲，有效地保護了密鑰的安全。一般來說，處在上層的密鑰更新周期相對較長，處在下層的密鑰更新較頻繁。對于攻擊者來說意味著，即使攻破一份密文，最多導致使用該密鑰的報文被解密，損失也是有限的。攻擊者不可能動搖整個密碼系統，從而有效地保證了密碼系統的安全性。第4章 密鑰管理技術圖 5-1-1 密鑰管理的層次結構第4章 密鑰管理技術密鑰的產生可以用手工方式，也可以用隨機數生成器。對于一些常用的密碼體制而言，密鑰的選取和長度都有

7、嚴格的要求和限制，尤其是對于公鑰密碼體制，公、私鑰對還必須滿足一定的運算關系。總之，不同的密碼體制，其密鑰的具體生成方法一般是不相同的。密鑰的存儲不同于一般的數據存儲，需要保密存儲。保密存儲有兩種方法: 一種方法是基于密鑰的軟保護; 另一種方法是基于硬件的物理保護。前者使用加密算法對用戶密鑰(包括口令)加密，然后密鑰以密文形式存儲。后者將密鑰存儲于與計算機相分離的某種物理設備(如智能卡、USB盤或其他存儲設備)中，以實現密鑰的物理隔離保護。4.2 密鑰的生成與存儲密鑰的生成與存儲 第4章 密鑰管理技術密鑰分配研究密碼系統中密鑰的分發和傳送中的規則及約定等問題。從分配途徑的不同來區分，密鑰的分配

8、方法可分為網外分配方式和網內分配方式。網外分配方式即人工途徑方式，它不通過計算機網絡，是一種人工分配密鑰的方法。這種方式適合小型網絡及用戶相對較少的系統，或者安全強度要求較高的系統。 網外分配方式的最大優點是安全、可靠; 缺點是分配成本過高。4.3 密密 鑰鑰 的的 分分 配配 第4章 密鑰管理技術網內分配方式指通過計算機網絡進行密鑰的分配，有兩種方式: 一種是在用戶之間直接實現分配，即通信一方向另一方直接傳送會話密鑰，以備在將要進行的通話或數據傳送中使用; 另一種是建立密鑰分配中心KDC，通過KDC來分配密鑰。按照分配的密鑰的性質不同，密鑰的分配分為秘密密鑰的分配和公開密鑰的分配。第4章 密

9、鑰管理技術5.3.1 秘密密鑰的分配秘密密鑰的分配秘密密鑰分配主要有以下兩種方法：(1) 用一個密鑰加密密鑰加密多個會話密鑰。這種方法的前提是通信雙方預先通過可靠的秘密渠道建立一個用于會話密鑰加密的密鑰，把會話密鑰加密后傳送給對方。該方法的優點是每次通信可臨時選擇不同的會話密鑰，提高了使用密鑰的靈活性。第4章 密鑰管理技術(2) 使用密鑰分配中心。這種方法要求建立一個可信的密鑰分配中心(KDC)，且每個用戶都與KDC共享一個密鑰，記為KA-KDC， KB-KDC，在具體執行密鑰分配時有兩種不同的處理方式。 會話密鑰由通信發起方生成。協議步驟如下: 第一步: AKDC: (KSIDB)。當A與B

10、要進行通話時，A隨機地選擇一個會話密鑰KS和希望建立通信的對象IDB，用KA-KDC加密，然后發送給KDC。KDCAKE第4章 密鑰管理技術第二步: KDCB:(KS，IDA)。KDC收到后，用KA-KDC解密，獲得A所選擇的會話密鑰KS和A希望與之建立通信的對象IDB，然后用KB-KDC加密這個會話密鑰和希望與B建立通信的對象IDA，并發送給B。 第三步: B收到后，用KB-KDC解密，從而獲得A要與自己通信和A所確定的會話密鑰KS。KDCBKE第4章 密鑰管理技術這樣，會話密鑰協商KS成功，A和B就可以用它進行保密通信了。 會話密鑰由KDC生成。協議步驟如下: 第一步: AKDC：IDAI

11、DB。當A希望與B進行保密通信時，它先給KDC發送一條請求消息表明自己想與B通信。第二步: KDCA: (KS，IDB); KDCB: (KS，IDA)。KDCAKEKDCBKE第4章 密鑰管理技術KDC收到這個請求后，就臨時產生一個會話密鑰KS，并將B的身份和所產生的這個會話密鑰一起用KA-KDC加密后傳送給A。同時，KDC將A的身份和剛才所產生的這個會話密鑰KS用KB-KDC加密后傳送給B，告訴B有A希望與之通信且所用的密鑰就是KS。第三步: A收到后，用KA-KDC解密，獲得B的身份及KDC所確定的會話密鑰KS; B收到后，用KB-KDC解密，獲得A的身份及KDC所確定的會話密鑰KS。這

12、樣，A和B就可以用會話密鑰KS進行保密通信了。第4章 密鑰管理技術4.3.2 公開密鑰的分配公開密鑰的分配在公開密鑰密碼體制中，公開密鑰是公開的，私有密鑰是保密的。在這種密碼體制中，公開密鑰似乎像電話號碼簿那樣可以公開查詢。其實不然。一方面，密鑰更換、增加和刪除的頻度是很高的; 另一方面，如果公開密鑰被篡改或替換，則公開密鑰的安全性就得不到保證，公開密鑰同樣需要保護。此外，公開密鑰相當長，不可能靠人工方式進行管理和使用，因此，需要密碼系統采取適當的方式進行管理。公開密鑰分配主要有廣播式公開發布、建立公鑰目錄、帶認證的密鑰分配、使用數字證書分配等4種形式。第4章 密鑰管理技術1. 廣播式公開發布

13、廣播式公開發布根據公開密鑰算法的特點，可通過廣播式公布公開密鑰。該方法的優點是簡便，不需要特別的安全渠道; 缺點是可能出現偽造公鑰，容易受到假冒用戶的攻擊。因此，公鑰必須從正規途徑獲取或對公鑰的真偽進行認證。2. 建立公鑰目錄建立公鑰目錄建立公鑰目錄是指由可信機構負責一個公開密鑰的公開目錄的維護和分配，參與各方可通過正常或可信渠道到目錄權威機構登記公開密鑰，可信機構為參與者建立用戶名和與其公開密鑰的關聯條目，并允許參與者隨時訪問該目錄，以及申請增、刪、改自己的密鑰。為安全起見，參與者與權威機構之間的通信安全受鑒別保護。 該方式的缺點是易受冒充權威機構偽造公開密鑰的攻擊，優點是安全性強于廣播式公

14、開發布密鑰分配。第4章 密鑰管理技術3. 帶認證的密鑰分配帶認證的密鑰分配帶認證的密鑰分配是指由一個專門的權威機構在線維護一個包含所有注冊用戶公開密鑰信息的動態目錄。這種公開密鑰分配方案主要用于參與者A要與B進行保密通信時，向權威機構請求B的公開密鑰。權威機構查找到B的公開密鑰，并簽名后發送給A。為安全起見，還需通過時戳等技術加以保護和判別。該方式的缺點是可信服務器必須在線，用戶才可能與可信服務器間建立通信鏈路，這可能導致可信服務器成為公鑰使用的一個瓶頸。第4章 密鑰管理技術4. 使用數字證書分配使用數字證書分配為了克服在線服務器分配公鑰的缺點，采用離線方式不失為一種有效的解決辦法。所謂離線方

15、式，簡單說就是使用物理渠道，通過公鑰數字證書方式，交換公開密鑰，無需可信機構在線服務。公鑰數字證書由可信中心生成，內容包含用戶身份、公鑰、所用算法、序列號、有效期、證書機構的信息及其他一些相關信息，證書須由可信機構簽名。通信一方可向另一方傳送自己的公鑰數字證書，另一方可以驗證此證書是否由可信機構簽發、是否有效。該方式的特點是: 用戶可以從證書中獲取證書持有者的身份和公鑰信息; 用戶可以驗證一個證書是否由權威機構簽發以及證書是否有效; 數字證書只能由可信機構簽發和更新。 第4章 密鑰管理技術密鑰的使用壽命是有周期的，在密鑰有效期快要結束時，如果對該密鑰加密的內容需要繼續保護，該密鑰就需要由一個新

16、的密鑰取代，這就是密鑰的更新。密鑰的更新可以通過再生密鑰取代原有密鑰的方式來實現。如果原有密碼加密的內容較多，必須逐一替換，以免加密內容無法恢復。對于密鑰丟失或被攻擊的情況，該密鑰應該立即被撤銷，所有使用該密鑰的記錄和加密的內容都應該重新處理或銷毀，使得它無法恢復，即使恢復也沒有什么可利用的價值。會話密鑰在會話結束時，一般會立即被刪除。下一次需要時，重新協商。5.4 密鑰的更新與撤銷密鑰的更新與撤銷 第4章 密鑰管理技術當公鑰密碼受到攻擊或假冒時，對于數字證書這種情況，撤銷時需要一定的時間，不可能立即生效; 對于在線服務器形式，只需在可信服務器中更新新的公鑰，用戶使用時通過在線服務器可以隨時得

17、到新的有效的公鑰。第4章 密鑰管理技術在密碼系統中，主密鑰是整個密碼系統的關鍵，是整個密碼系統的基礎，也可以說是整個可信任體系的信任根，受到了嚴格的保護。一般來說，主密鑰由其擁有者掌握，并不受其他人制約。但是，在有些系統中密鑰并不適合由一個人掌握，而需要由多個人同時保管，其目的是為了制約個人行為。比如，某銀行的金庫鑰匙一般情況下都不是由一個人來保管使用的，而要由多個人共同負責使用(為防止其中某個人單獨開鎖產生自盜行為，規定金庫門鎖開啟至少需由三人在場才能打開)。4.5 密密 鑰鑰 共共 享享 第4章 密鑰管理技術解決這類問題最好的辦法是采用密鑰共享方案，也就是把一個密鑰進行分解，由若干個人分別

18、保管密鑰的部分份額，這些保管的人至少要達到一定數量才能恢復密鑰，少于這個數量是不可能恢復密鑰的，從而對于個人或小團體起到了制衡和約束作用。第4章 密鑰管理技術所謂密鑰共享方案，是指將一個密鑰k分成n個子密鑰k1，k2，kn，并秘密分配給n個參與者，且需滿足下列兩個條件: (1) 用任意t個子密鑰計算密鑰k是容易的; (2) 若子密鑰的個數少于t個，要求得密鑰k是不可行的。第4章 密鑰管理技術我們稱這樣的方案為(t，n)門限方案(Threshold Schemes)， t為門限值。由于重構密鑰至少需要t個子密鑰，故暴露r(rt-1)個子密鑰不會危及密鑰。因此少于t個參與者的共謀也不能得到密鑰。另

19、外，若一個子密鑰或至多n-t個子密鑰偶然丟失或破壞，仍可恢復密鑰。密鑰共享方案對于特殊的保密系統具有特別重要的意義。 第4章 密鑰管理技術以色列密碼學家Shamir于1979年提出了上述密鑰共享方案的思想，并給出了一個具體的方案拉格朗日插值多項式門限方案，現介紹如下：設p為一個素數，密鑰kZp，假定由可信機構TA給n(np)個合法參與者wi (1in) 分配子密鑰, 操作步驟如下: (1) TA隨機選擇一個t-1次多項式F(x)=a0+a1x+at-1xt-1(mod p)，tn，aiZp; (2) 確定密鑰k=F(0)=a0; (3) TA在Zp中任意選取n個非零且互不相同的元素x1，x2，

20、xn，這些元素xi用于標識參與者wi，并計算ki=F(xi)，1in;第4章 密鑰管理技術(4) 將(xi，ki)(1in)分配給參與者wi(1in)，其中xi公開，ki為wi的子密鑰。至此，n個參與者都分得了密鑰的部分份額子密鑰ki，當至少有t個參與者提供其份額時，就可據此計算出密鑰k; 不足t個時，無法計算。第4章 密鑰管理技術事實上，從任意t個子密鑰ki和對應的用戶標識xi可得到線性方程組:t1t1tt22t1t021t1t222212011t1t1221110kaxaxaxa kaxaxaxakaxaxaxa第4章 密鑰管理技術上述方程組有唯一解a0，a1，at，從而得到k=F(0)=

21、a0。若已知的子密鑰不足t個，則方程組無解。 從理論上講，尋找a0是不可行的，即尋找密鑰k是不可行的。給定t個子密鑰ki(1it)，利用拉格朗日插值公式重構的F(x)為jijtij1jit1ixxxxkF(x)第4章 密鑰管理技術其中，加、減、乘、除運算都是在Zp上運算的，除法是乘以分母的逆元素。顯然，只要知道F(x)，便易于計算出密鑰k。因為密鑰k=F(0)，所以ijjtij1jit1ixxxkF(0)k第4章 密鑰管理技術 若令bi=，則有k=F(0)= bikiijjtij1jxxxt1i例例 5-1 設p=17，t=3，n=5， k=13，令xi=i(1i5)。 假定k1=8， k3=

22、10， k5=11，試按Shamir方案重構密鑰。第4章 密鑰管理技術解解 由k1、k2、k3重構共享密鑰時，利用bi的計算公式，分別得到b1=35(3-1) -1(5-1) -1=4(mod 17) b3=15(1-3) -1(5-3) -1=3(mod 17) b5=13(1-5) -1(3-5) -1=11(mod 17)x)(xx(xxx151353)x)(xx(xxx353151)x)(xx(xxx535131第4章 密鑰管理技術故有k=biki=48+310+1111=13(mod 17) 也可解線性方程組: a0+a1+a2=8a0+3a1+9a2=10a0+5a1+25a2=1

23、1從而解得a0=13(mod 17)t1i853第4章 密鑰管理技術目前，隨著網絡多媒體技術的發展，網絡視頻會議以及網絡電話會議已逐漸成為一種重要的會議和通信的方式。基于這種網絡會議系統，如何保證所有參會者能夠安全地參與會議，同時又能防止非法竊聽者，這就是網絡通信中信息的多方安全傳遞問題。下面介紹的會議密鑰廣播方案能夠較好地解決這個難題。Berkovitz提出了一種基于門限方案的會議密鑰廣播分配方案，其主要設計思路是讓每個可能的接收者得到一個密鑰份額，然后廣播部分密鑰份額，合法成員可利用門限方案的重構密鑰，進入系統接收會議信息，而非法成員則不能。 4.6 會議密鑰分配會議密鑰分配 第4章 密鑰

24、管理技術假設系統有t個合法成員，在廣播會議信息m時，用密鑰k加密，并完成以下操作: (1) 系統選取一個隨機數j，用它來隱藏消息接收者的數目。(2) 系統創建一個(t+j+1，2t+j+1)的密鑰共享門限方案，且滿足k為密鑰; 給每一個合法成員分配一個由該門限方案產生的關于密鑰k的一個秘密份額; 非法接收者不能得到密鑰k的任何份額。第4章 密鑰管理技術(3) 除去已分配給合法用戶的t個份額外，在余下的份額中隨機選取t+j個份額進行廣播。(4) 每一合法成員利用所得到的秘密份額和廣播的t+j個份額，按照門限方案的重構算法能夠計算出密鑰k，從而就能解讀消息m。反之，非法成員最多只能擁有t+j個份額

25、，無法重構密鑰k，因此不能解讀消息m。第4章 密鑰管理技術所謂密鑰托管，是指為公眾和用戶提供更好的安全通信同時，也允許授權者(包括政府保密部門、企業專門技術人員和用戶等)為了國家、集團和個人隱私等安全利益，監聽某些通信內容和解密有關密文。所以，密鑰托管也叫“密鑰恢復”，或者理解為“數據恢復”和“特殊獲取”等含義。密鑰由所信任的委托人持有，委托人可以是政府、法院或有契約的私人組織。一個密鑰也可能在數個這樣的委托人中分拆。授權機構可通過適當的程序(如獲得法院的許可)，從數個委托人手中恢復密鑰。4.7 密密 鑰鑰 托托 管管第4章 密鑰管理技術1993年4月，美國政府為了滿足其電信安全、公眾安全和國

26、家安全，提出了托管加密標準(Escrowed Encryption Standard，EES)，該標準所使用的托管技術不僅提供了強加密功能，而且也為政府機構提供了實施法律授權下的監聽。EES于1994年2月正式被美國政府公布采用，該標準的核心是一個稱為Clipper的防竄擾芯片，它是由美國國家安全局(NSA)主持開發的軟、硬件實現密碼部件。 第4章 密鑰管理技術它有兩個主要的特性: (1) 一個加密算法Skipjack算法，該算法是由NSA設計的，用于加密與解密用戶間通信的消息。(2) 為法律實施部門提供“后門恢復”的權限，即通過法律強制訪問域(Law Enforcement Access F

27、ield ，LEAF)實現對用戶通信的解密。第4章 密鑰管理技術美國政府的EES公布之后，在社會上引起了很大的爭議。 有關密鑰托管爭論的主要焦點在于以下兩方: 一方認為，政府對密鑰管理控制的重要性是出于安全考慮，這樣可以允許合法的機構依據適當的法律授權訪問該托管密鑰。不但政府通過法律授權可以訪問加密過的文件和通信，用戶在緊急情況時，也可以對解密數據的密鑰恢復訪問。 另一方認為，密鑰托管政策把公民的個人隱私置于政府情報部門手中，一方面違反了美國憲法和個人隱私法，另一方面也使美國公司的密碼產品出口受到極大的限制和影響。第4章 密鑰管理技術從技術角度來看，贊成和反對的意見也都有。贊成意見認為，應宣揚和推動這種技術的研究與開發; 反對意見認為，該系統的技術還不成熟，基于“密鑰托管”的加密系統的基礎設施會導致安全性能下降，投資成本增高。第4章 密鑰管理技術(1) 密碼系統中依據密鑰的重要性可將密鑰大體上分為會話密鑰、密鑰加密密鑰和主密鑰三大類。主密鑰位于密鑰層次的最高層，用于對密鑰加密