密码学密钥分配和密钥管理.ppt-得力文库

资源描述

《密码学密钥分配和密钥管理.ppt》由会员分享，可在线阅读，更多相关《密码学密钥分配和密钥管理.ppt（65页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第五章密钥分配与密钥管理n单钥加密体制的密钥分配n公钥加密体制的密钥管理n密钥托管n随机数的产生n秘密分割建立安全的密码系统要解决的一个赖手的问题就是密钥的管理问题。即使密码体制的算法是计算上的安全，如果缺泛对密钥的管理，那么整个系统仍然是脆弱的。问题的提出问题的提出（1）密钥管理量的困难）密钥管理量的困难传统密钥管理：两两分别用一对密钥时，则传统密钥管理：两两分别用一对密钥时，则n个用个用户需要户需要C(n,2)=n(n-1)/2个密钥，当用户量增大时，密个密钥，当用户量增大时，密钥空间急剧增大。如钥空间急剧增大。如:n=100 时，时，C(100,2)=4,995 n=5000时，

2、时，C(500,2)=12,497,500（2）数字签名的问题数字签名的问题传统加密算法无法实现抗抵赖的需求。传统加密算法无法实现抗抵赖的需求。概述从理论上说，密钥也是数据，不过它是用来加密其它数据的数据，因此，在密码学的研究中，不妨把密钥数据与一般数据区分开来。在设计密码系统时，对于密钥必须考虑以下问题：1.系统的那些地方要用到密钥，它们是如何设置和安装在这些地方.2.密钥预计使用期限是多长，每隔多久需要更换一次密钥。3.密钥在系统的什么地方。4.如何对密钥进行严格的保护。为了产生可靠的总体安全设计，对于不同的密钥应用场合，应当规定不同类型的密钥，所以根据密钥使用场合的不同，可以把密钥分

3、成不同的等级。通常把密钥分为两大类型，即数据加密密钥和密钥加密密钥。密钥加密密钥又可分为：主密钥：对现有的密钥或存储在主机中的密钥加密，加密对象初级密钥和二级密钥。初级密钥：用来保护数据的密钥。它也叫数据加密/解密密钥。当初级密钥用来进行通讯保护时，叫做通讯密钥。用来保护文件时叫做文件密钥。二级密钥：它是用来加密保护初级密钥的密钥。密钥保护的基本原则：密钥永远不可以以明文的形式出现在密码装置之外。密码装置是一种保密工具，即可以是硬件，也可以是软件。密钥分配密钥分配（Key DistributionKey Distribution）保密通信双方需共享密钥共享密钥要经常更换分配方式：A选择密钥并

4、手工传递给B第三方C选择密钥分别手工传递给A,B用A,B原有共享密钥传送新密钥与A,B分别有共享密钥的第三方C传送新密钥给A和/或BlN个用户集需要N(N-1)/2个共享密钥密钥分发中心密钥分发中心(Key Distribution Center)l每个用户与KDC有共享密钥(Master Key)lN个用户,KDC只需分发N个Master Keyl两个用户间通信用会话密钥(Session Key)用户必须信任KDCKDC能解密用户间通信的内容密钥分配方案n基于对称密码体制的密钥分配n基于公开密码体制的秘密密钥分配n几个密钥分配方案基于对称密码体制的密钥分配n对称密码体制的主要商业应用起始于八

5、十年代早期，特别是在银行系统中，采纳了DES标准和银行工业标准ANSI数据加密算法(DEA)。实际上，这两个标准所采用的算法是一致的。n随着DES的广泛应用带来了一些研究话题，比如如何管理DES密钥。从而导致了ANSI X9.17标准的发展，该标准于1985年完成，是有关金融机构密钥管理的一个标准。n金融机构密钥管理需要通过一个多级层次密钥机构来实现。n ANSI X9.17三层密钥层次结构：1）主密钥（KKMs），通过手工分配；2）密钥加密密钥（KKs），通过在线分配；3）数据密钥（KDs）。nKKMs保护KKs的传输，用KKs保护KDs的传输。n主密钥是通信双方长期建立密钥关系的基础，是用

6、户和密钥分配中心的共享密钥。用主密钥对所有初级密钥加密，使它们在密码装置之外也受到保护。象这样用一个密钥保护许多其他密钥的方法，在密码学中叫主密钥原理。它从本质上把保护大量密钥的问题，简化成了集中保护和使用一个密钥问题。这实际上也是数据加密思想的进一步深化。从原则上说，数据加密就是把保护大量数据的问题简化为保护和使用少量数据的问题。主密钥的分配方式n利用安全信道实现（1）直接面议或通过可靠信使递送（2）将密钥分拆成几部分分别传送两种密钥分配技术名称特点优点缺点适用范围静态分配是一种由中心以脱线方式预分配的技术，是“面对面”的分发，安全性好，是长期沿用的传统密钥管理技术必须解决密钥的存储技术

7、静态分发只能以集中式机制存在动态分配是“请求分发”的在线分发技术需要有专门的协议的支持有中心和无中心的机制都可以采用两种密钥分配体制两种密钥分配体制名称特点缺点代表集中式集中式分配是引入一个中心服务器（通常称作密钥分配中心或KDC），在这个体系中，团体中的任何一个实体与中心服务器共享一个密钥。在这样的系统中，需要存储的密钥数量和团体的人数量差不多，KDC接受用户的请求，为用户提供安全的密钥分配服务动态分发时，中心服务器必须随时都是在线的 Kerboros协议分布式网络中的主机具有相同的地位，他们之间的密钥分配取决于他们之间的协商但Diffie-Hellman密钥交换协议

8、没有提供鉴别机制，不能抵抗中间人攻击比较著名的有Diffie-Hellman密钥交换协议静态分配n一个有n个用户的系统，需实现两两之间通信n个用户，需要n(n-1)/2个共享密钥对称密钥配置非对称密钥配置用户1 K1-2,K1-3,K1-nn个用户公钥，用户1自己私钥用户2 K2-1,K2-3,K2-n n个用户公钥，用户2自己私钥用户n Kn-1,Kn-2,Kn-n-1 n个用户公钥，用户n自己私钥动态分配n中心化的密钥管理方式，由一个可信赖的联机服务器作为密钥分配中心（KDC）或密钥转递中心（KTC）（a）（b）会话密钥的有效期会话密钥的有效期原则上，会话密钥更换的越频繁，系统的安

9、全性就越高。因为这样的话，即使敌手获得了一个会话密钥，也只能解密很少的密文。但是，会话密钥更换的太频繁，将会延迟用户之间的交换，同时还造成网络的负担。所以，应对会话密钥的有效期作出合理的权衡。对于面向连接的协议，在连接还未建立或断开时，会话密钥的有效期可以延长。而每次连接时，都应该使用新的会话密钥。如果逻辑连接的时间长，则应定期更换会话密钥。对于无连接的协议（如面向业务的协议），无法决定更换密钥的频率。为安全起见，用户每进行一次交换，都要使用新的会话密钥。这又影响了协议本身的优势，因此最好的办法是在一固定的周期内或对一定数目的业务使用同一会话密钥。带带鉴别与抗重放机制的密钥分配方案鉴别与抗重放

10、机制的密钥分配方案（有中心）（有中心）用户必须信任用户必须信任KDC KDC能解密用户间通信的内容能解密用户间通信的内容无中心的密钥分配无中心的密钥分配Decentralized key distribution适合于小型网络环境适合于小型网络环境密钥的控制使用密钥的控制使用密钥可根据期不同的用途分为会话密钥和主密钥。会话密钥又称为数据加密密钥，而主密钥称为密钥加密密钥。主密钥的安全性高于会话密钥。在对称密码体制中，有以下两种密钥控制技术：1.密钥标签用于DES的密钥控制，将DES的64比特密钥中的8个校验位作为控制使用这一密钥的标签。2.控制矢量：该方案为每一个会话密钥都指定了一个控制

11、矢量。杂凑函数加密函数控制矢量CV主密钥会话密钥加密的会话密钥结合过程结合过程恢复过程加密的会话密钥解密函数会话密钥实现算法实现算法：秘密密钥的管理秘密密钥的管理密钥由用户使用，用以保护存储在文件中的数据，最简单的方法是不把密钥存储在系统中。仅仅在加密、解密时才把密钥输入系统。比如我们在DES加密算法中，要求输入56位密钥通常有两种方法；一种是直接输入8字节密钥，在这种情况下，只有完全随机选择56位密钥的情况下才能使用这种格式，因为仅有由英文字母或数字构成的密钥太容易被穷举法破译，因为用户比较容易记忆有意义的字母。另一种用户可输入一个长字符串作为密钥输入，在加密时从该串中取56位用作密钥。

12、对密钥的存储，也可以把密钥记录在只读存储器或磁卡上。这种由硬件实现的密钥可以直接插入与用户终端连接的专用阅读机而输入系统。当使用单密钥体制时，用户向系统登记其秘密密钥以便在他们的终端和中心计算机之间建立安全通道，从而使密钥得到保护。此外，一个最简单的办法是把他们存储在用系统密钥加密的文件中。与口令不同，密钥不能用单向函数加密保护，否则将无法解密恢复。基于公开密钥体制基于公开密钥体制的密钥管理的密钥管理公钥加密的一个主要用途是分配单钥密码体制中所使用的密钥。下面介绍两方面的内容：公开密钥体制中所使用的公钥的分配；如何使用公钥体制分配单密钥体制所需的密钥。n公钥的分配1.公开发布2.公用的目录表

14、th confidentiality and auhtentication 混合方案混合方案Hybrid scheme基于公开密钥体制基于公开密钥体制的秘密密钥分配的秘密密钥分配Simple secret key distributionMerkle的建议的建议:Merkle 79A生成生成PKa,SKa,AB:(IDA,PKa)B生成随机密钥生成随机密钥Ks,BA:EPKa(Ks)A解密解密EPKa(Ks)得到得到Ks:DSKa(EPKa(Ks)A丢弃丢弃PKa,SKa,B丢弃丢弃PKa通讯前不需存在密钥通讯前不需存在密钥,通讯后也不存在密钥通讯后也不存在密钥能抵抗偷听能抵抗偷听,不能抵抗主

15、动攻击不能抵抗主动攻击(中间人攻击中间人攻击)Merkle协议的中间人攻击A生成生成PKa,SKa,AB:(IDA,PKa)E截获截获,生成生成PKe,SKe冒充冒充AB:(IDA,PKe)B生成随机密钥生成随机密钥Ks,BA:EPKe(Ks)E截获截获,解密后再用解密后再用EPKa加密加密KsA:EPKa(Ks)A丢弃丢弃PKa,SKa,B丢弃丢弃PKaE获得了获得了Ks,故以后只需进行窃听故以后只需进行窃听.A,B并不知晓它们被攻击了并不知晓它们被攻击了用于机密和认证的密钥分配协议用于机密和认证的密钥分配协议n假定假定A和和B已经获得了双方的公钥已经获得了双方的公钥:nAB:EKUb(ID

16、A,N1)nBA:EKUa(N1,N2)nAB:EKUb(N2)nAB:Y=EKUb(EKRa(Ks)nB解密解密Y获得会话密钥获得会话密钥Ks=DKUa(DKRb(Y)Diffie-Hellman密钥交换协议 aU aV用户U选择一随机数aU，计算用户V选择一随机数aV，计算生成的会话密钥为基本模式基本模式Diffie-Hellman密钥交换协议Diffie-Hellman密钥交换协议密钥交换协议:双方选择素数双方选择素数p以及以及p的一个原根的一个原根 U随机选择随机选择aU Zp,计算计算 aU mod p并发给并发给VV随机选择随机选择aV Zp,计算计算 aV mod p并发给并发给

17、UU计算计算(aV mod p)aU mod p=aUaV mod pV计算计算(aU mod p)aV mod p=aUaV mod p双方获得共享密钥双方获得共享密钥(aUaV mod p)与与Diffie-Hellman密钥分配协议不同密钥分配协议不同:此处的此处的aU,aV是变是变化的化的这个协议可以被中间人攻击这个协议可以被中间人攻击 Diffie-Hellman密钥交换攻击密钥交换攻击中间人攻击图示中间人攻击图示ABK=aXaXoOK=aXbXo 中间人攻击中间人攻击1 双方选择素数双方选择素数p以及以及p的一个原根的一个原根a(假定假定O知道知道)2 A选择选择Xap,计算计算Y

18、a=aXa mod p,AB:Ya3 O截获截获Ya,选选Xo,计算计算Yo=aXo mod p,冒充冒充AB:Yo4 B选择选择Xb0 231 a 乘数 0am a=75=16807 c 增量 0 cm X0 种子 0 X0m线性同余伪随机数缺乏不可预测性基于密码的随机数产生n循环加密nDES输出反馈方式nANSI X.917 伪随机数产生器nBlum Blum Shub(BBS)产生器循环加密DES输出反馈模型 ANSI X9.17Ri=EDEK1,K2(Vi EDEK1,K2(DTi)Vi+1=EDEK1,K2(Ri EDEK1,K2(DTi)BBS伪随机数产生器n(1)首先选择两个大素

19、数p,q pq 3(mod4)n(2)选择s与n互素n通过了“下一位”测试(next-bit test)不存在多项式时间的算法使得在已知前k位的情况下预测出第k+1位的概率大于0.5。nBBS的安全性同样基于分解n的难度。秘密分割在导弹控制、重要场所通行检验等情况，通常必须由两个或多个人同时参与才能生效，这时都需要将秘密分给多个人，掌管秘密的人同时到场才能恢复这一秘密。由此，引入门限方案的一般概念。定义定义：设秘密s被分成n个部分信息，每一部分称为一个子密钥，由参与者持有，使得：1.由k个或多于k个参与者所持有的部分信息可重构s。2.由少于k个参与者所持有的部分信息则无法重构s。称这种方案为

20、（k，n）秘密分割门限方案，k称为方案的门限值。参与者的集合称为授权子集。若一个秘密分割方案，由少于k个参与者所持有的部分信息得不到秘密s的任何信息，则称该方案是完善的。n两种最具代表性的秘密分割门限方案。1.Shamir门限方案2.AsmuthBloom方案nShamir门限方案1.随机选择一个有限域上的次的多项式，其中。计算并发送给参与者。2.每一参与者接收到后，任何t个参与者一起利用，利用Lagrange插值法构造多项式：3.计算可得秘密s。nAsmuthBloom方案首先选取一个大素数q，正整数s，以及n个严格递增的数，满足秘密数据为s，随机选择A，满足并公开q和A。秘密的分割秘密的分割求即为一个子秘密构成另一个（k,n）门限方案秘密的恢复利用中国剩余定理，求解方程组得唯一解 y=y mod N。由s=y-Aq恢复出秘密s。习题P138：1.2.3.5.1.密钥管理的原则是什么?2.对称密码体制的密钥管理策略是什么？3.对称密钥体制下密钥分配的方法有哪些？4.公钥密码体制的秘密密钥的分配方法有哪些？5.公钥密码体制的公钥管理策略是什么？6.公钥密钥体制如何实施公开密钥的分配？7.随机数在密码算法中的使用有哪些？简述DES的输出反馈模式产生随机数的工作原理？8.密钥托管的目的是什么，简述密钥托管的工作原理。

展开阅读全文