密钥管理技术

密钥管理技术
一、摘要
密钥管理是处理密钥自产生到最终销毁的整个过程的的所有问题，包括系统的初始化，密钥的产生、存储、备份/装入、分配、保护、更新、控制、丢失、吊销和销毁等。

其中分配和存储是最大的难题。

密钥管理不仅影响系统的安全性，而且涉及到系统的可靠性、有效性和经济性。

当然密钥管理也涉及到物理上、人事上、规程上和制度上的一些问题。

密钥管理包括：
1、产生与所要求安全级别相称的合适密钥；
2、根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝；
3、用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户；
4、某些密钥管理功能将在网络应用实现环境之外执行，包括用可靠手段对密钥进行物理的分配。

二、关键字
密钥种类密钥的生成、存储、分配、更新和撤销密钥共享会议密钥分配密钥托管
三、正文
（一）密钥种类
1、在一个密码系统中，按照加密的内容不同，密钥可以分为一般数据加密密钥
(会话密钥)和密钥加密密钥。

密钥加密密钥还可分为次主密钥和主密钥。

（1）、会话密钥, 两个通信终端用户在一次会话或交换数据时所用的密钥。

一般由
系统通过密钥交换协议动态产生。

它使用的时间很短，从而限制了密码分析者攻
击时所能得到的同一密钥加密的密文量。

丢失时对系统保密性影响不大。

（2）、密钥加密密钥（Key Encrypting Key，KEK）, 用于传送会话密钥时采用的密
钥。

（3）、主密钥（Mater Key）主密钥是对密钥加密密钥进行加密的密钥，存于主机
的处理器中。

2、密钥种类区别
（1）、会话密钥
会话密钥(Session Key)，指两个通信终端用户一次通话或交换数据时使用的密钥。

它位于密码系统中整个密钥层次的最低层，仅对临时的通话或交换数据使用。

会话密钥若用来对传输的数据进行保护则称为数据加密密钥，若用作保护文件则称为文件密钥，若供通信双方专用就称为专用密钥。

会话密钥大多是临时的、动态的，只有在需要时才通过协议取得，用完后就丢掉了，从而可降低密钥的分配存储量。

基于运算速度的考虑，会话密钥普遍是用对称密码算法来进行的
（2）、密钥加密密钥
密钥加密密钥(Key Encryption Key)用于对会话密钥或下层密钥进行保护，也称次主密钥(Submaster Key)、二级密钥(Secondary Key)。

在通信网络中，每一个节点都分配有一个这类密钥，每个节点到其他各节点的密钥加密密钥是不同的。

但是，任两个节点间的密钥加密密钥却是相同的，共
享的，这是整个系统预先分配和内置的。

在这种系统中，密钥加密密钥就是系统
预先给任两个节点间设置的共享密钥，该应用建立在对称密码体制的基础之上。

在建有公钥密码体制的系统中，所有用户都拥有公、私钥对。

如果用户间要进行数据传输，协商一个会话密钥是必要的，会话密钥的传递可以用接收方的公
钥加密来进行，接收方用自己的私钥解密，从而安全获得会话密钥，再利用它进
行数据加密并发送给接收方。

在这种系统中，密钥加密密钥就是建有公钥密码基
础的用户的公钥。

密钥加密密钥是为了保证两点间安全传递会话密钥或下层密钥而设置的，处在密钥管理的中间层次。

（3）、主密钥
主密钥位于密码系统中整个密钥层次的最高层，主要用于对密钥加密密钥、会话密钥或其它下层密钥的保护。

它是由用户选定或系统分配给用户的，分发基
于物理渠道或其他可靠的方法。

密钥的层次结构如图所示。

主密钥处在最高层，用某种加密算法保护密钥加密密钥，也可直接加密会话密钥，会话密钥处在最低层，基于某种加密算法保护
数据或其他重要信息。

密钥的层次结构使得除了主密钥外，其他密钥以密文方式存储，有效地保护了密
钥的安全。

（二）密钥的生成、存储、分配、更新和撤销
1、密钥的生成
密钥的产生可以用手工方式，也可以用随机数生成器。

对于一些常用的密码体制而言，密钥的选取和长度都有严格的要求和限制，尤其是对于公钥密码体制，公
私钥对还必须满足一定的运算关系。

总之，不同的密码体制，其密钥的具体生成方
法一般是不相同的。

（1）、密钥产生的硬件技术
噪声源输出随机数序列有以下常见的几种：
1）伪随机序列：也称作伪码，具有近似随机序列（噪声）的性质，而又能按一定规律（周期）产生和复制的序列。

一般用数学方法和少量的种子密钥来产生。

一般都有良好的、能受理论检验的随机统计特性，但当序列的长度超过了唯一解的
距离时，就成了一个可预测的序列。

常用的伪随机序列有m序列、M序列和R－S序列。

2）物理随机序列：
物理随机序列是用热噪声等客观方法产生的随机序列。

实际的物理噪声往往要受到温度、电源、电路特性等因素的限制，其统计特性常代有一定的偏向性。

因此
也不能算是真正的随机序列。

3）准随机序列：
用数学方法和物理方法相结合产生的随机序列。

这种随机序列可以克服前两者的缺点，具有很好的随机性。

物理噪声源按照产生的方法不同有以下常见的几种：
1）基于力学噪声源的密钥产生技术
通常利用硬币、骰子等抛散落地的随机性产生密钥。

这种方法效率低，而且随机性较差。

2）基于电子学噪声源的密钥产生技术
这种方法利用电子方法对噪声器件（如真空管、稳压二极管等）的噪声进行放大、整形处理后产生密钥随机序列。

根据噪声迭代的原理将电子器件的内部噪声放大，
形成频率随机变化的信号，在外界采样信号CLK的控制下，对此信号进行采样锁存，
然后输出信号为"0"、"1"随机的数字序列。

3）基于混沌理论的密钥产生技术
在混沌现象中，只要初始条件稍有不同，其结果就大相径庭，难以预测，在有些情况下，反映这类现象的数学模型又是十分简单。

因此利用混沌理论的方法，不仅
可以产生噪声，而且噪声序列的随机性好，产生效率高。

（2）、针对不同密钥类型的产生方法
1）主机主密钥的产生
这类密钥通常要用诸如掷硬币、骰子，从随机数表中选数等随机方式产生，以保证密钥的随机性，避免可预测性。

而任何机器和算法所产生的密钥都有被预测的危险。

主机主密钥是控制产生其他加密密钥的密钥，而且长时间保持不变，因此它的安全性是至关重要的。

2）加密密钥的产生
加密密钥可以由机器自动产生，也可以由密钥操作员选定。

密钥加密密钥构成的密钥表存储在主机中的辅助存储器中，只有密钥产生器才能对此表进行增加、修改、删除、和更换密钥，其副本则以秘密方式送给相应的终端或主机。

一个由个终端用户的通信网，若要求任一对用户之间彼此能进行保密通信，则需要个密钥加密密钥。

当较大时，难免有一个或数个被敌手掌握。

因此密钥产生算法应当能够保证其他用户的密钥加密密钥仍有足够的安全性。

可用随机比特产生器（如噪声二极管振荡器等）或伪随机数产生器生成这类密钥，也可用主密钥控制下的某种算法来产生。

3）会话密钥的产生
会话密钥可在密钥加密密钥作用下通过某种加密算法动态地产生，如用初始密钥控制一非线性移存器或用密钥加密密钥控制DES算法产生。

初始密钥可用产生密钥加密密钥或主机主密钥的方法生成。

2、密钥的存储
密钥的存储不同于一般的数据存储，需要保密存储。

保密存储有两种方法：一种是基于密钥的软保护；另一种方法是基于硬件的物理保护。

前者使用加密算法对用户密钥（包括口令）加密，然后密钥以密文形式存储。

后者将密钥存储于与计算机相分离的某种物理设备中，以实现密钥的物理隔离保护。

如智能卡、USB盘或其他存储设备。

3、密钥的分配
密钥的分配要解决两个问题：
a.密钥的自动分配机制，自动分配密钥以提高系统的效率；
b.应该尽可能减少系统中驻留的密钥量。

根据密钥信息的交换方式，密钥分配可以分成三类：
a.人工密钥分发；
b.基于中心的密钥分发；
c.基于认证的密钥分发。

（1）、使用密钥分配中心
这种方法要求建立一个可信的密钥分配中心KDC ，且每个用户都与KDC 共享一
个密钥，记为 ， ， …，在具体执行密钥分配时有两种不
同的处理方式。

1）会话密钥由通信发起方生成
2）会话密钥由KDC 生成
（2）、公开密钥分配主要有：广播式公开发布、建立公钥目录、带认证的密钥分配、使
用数字证书分配等4种形式。

1）广播式公开发布
根据公开密钥算法特点，可通过广播式公布公开密钥。

优点是简便，不需要特别的安全渠道。

缺点是可能出现伪造公钥，容易受到假冒用户的攻击。

使用公钥时，必须从正规途径获取或对公钥的真伪进行认证。

2）建立公钥目录
KDC A K -KDC B K -
由可信机构负责一个公开密钥的公开目录的维护和分配。

参与各方可通过正常或可信渠道到目录权威机构登记公开密钥，可信机构为参与者建立用户名与其
公开密钥的关联条目，并允许参与者随时访问该目录，以及申请增、删、改自己
的密钥。

为安全起见，参与者与权威机构之间通信安全受鉴别保护。

缺点：易受冒充权威机构伪造公开密钥的攻击。

安全性强于广播式公开密钥分配。

（3）、带认证的密钥分配
由一个专门的权威机构在线维护一个包含所有注册用户公开密钥信息的动态目录。

这种公开密钥分配方案主要用于参与者A要与B进行保密通信时，向权威
机构请求B的公开密钥。

权威机构查找到B的公开密钥，并签名后发送给A。

为安
全起见，还需通过时戳等技术加以保护和判别。

该方法的缺点是可信服务器必须在线，用户才可能与可信服务器间建立通信链路，这可能导致可信服务器成为公钥使用的一个瓶颈。

（4）、数字证书分配
为了克服在线服务器分配公钥的缺点，采用离线方式不失为一种有效的解决办法。

所谓离线方式，简单说就是使用物理渠道，通过公钥数字证书方式，交换公开
密钥，无需可信机构在线服务。

公钥数字证书由可信中心生成，内容包含用户身份、
公钥、所用算法、序列号、有效期、证书机构的信息及其它一些相关信息，证书须
由可信机构签名。

通信一方可向另一方传送自己的公钥数字证书，另一方可以验证
此证书是否由可信机构签发、是否有效。

该方法的特点是：用户可以从证书中获取证书持有者的身份和公钥信息；用户可以验证一个证书是否由权威机构签发以及证书是否有效；数字证书只能由可信机
构才能够签发和更新。

4、更新与撤销
密钥的使用寿命是有周期的，在密钥有效期快要结束时，如果对该密钥加密的内容需要继续保护，该密钥就需要由一个新的密钥取代，这就是密钥的更新。

密钥的更新可以通过再生密钥取代原有密钥的方式来实现。

如果原有密码加密的内容较多，务必逐一替换以免加密内容无法恢复。

对于密钥丢失或被攻击的情况，该密钥应该立即撤销，所有使用该密钥的记录和加密的内容都应该重新处理或销毁，使得它无法恢复，即使恢复也没有什么可利
用的价值。

会话密钥在会话结束时，一般会立即被删除。

下一次需要时，重新协商（三）密钥共享
在密码系统中，主密钥是整个密码系统的关键，受到了严格的保护。

一般来说，主密钥由其拥有者掌握，并不受其他人制约。

有些系统，密钥并不适合一个人掌握，需要由多个人同时保管，其目的是为了制约个人行为。

解决这类问题最好的办法是采用密钥共享方案，也即是把一个密钥进行分解，由若干个人分别保管密钥的部分份额，这些保管的人至少要达到一定数量才能恢
复密钥，少于这个数量是不可能恢复密钥的，从而对于个人或小团体起到制衡和
约束作用。

所谓密钥共享方案是指：将一个密钥k分成n个子密钥，并秘密分配给n 个参与者。

需满足下列两个条件：
a.用任意t 个子密钥计算密钥k 是容易的；
b.若子密钥的个数少于t个，要求得密钥k是不可行的。

称这样的方案为（t,n）门限方案(Threshold Schemes)，t为门限值。

由于重构密钥至少需要t 个子密钥，故暴露r (r ≤t－1 )个子密钥不会危及密钥。

因此少于t个参与者的共谋也不能得到密钥。

另外，若一个子密钥或至多n-t
个子密钥偶然丢失或破坏，仍可恢复密钥。

Shamir密钥共享门限方案：
（四）会议密钥分配
目前，随着网络多媒体技术的发展，网络视频会议以及网络电话会议逐渐成为一种重要的会议和通信的方式。

基于这种网络会议系统，如何保证所有参会者能够安全地参与会议，同时又能防止非法窃听者，这就是网络通信中信息的多方安全传递问题。

会议密钥广播方案能够较好地解决这个难题。

Berkovitz提出了一种基于门限方案的会议密钥广播分配方案。

主要设计思路是让每个可能的接收者得到一个密钥份额，然后广播部分密钥份额，合法成员可
利用门限方案的重构密钥，从而进入系统接收会议信息，而非法成员则不能。

假设系统有t 个合法成员，在广播会议信息m时，用密钥k加密，并完成以下操作：
S1: 系统选取一个随机数j ，用它来隐藏消息接收者的数目；
S2: 系统创建一个(t+j+1,2t+j+1) 的密钥共享门限方案，且满足k 为密钥；给每一个合法成员分配一个由该门限方案产生的关于密钥k的一个秘密份额；非法
接收者不能得到密钥k 的任何份额。

S3: 除去已分配给合法用户的t个份额外，在余下的份额中随机选取t+j 个份
额进行广播；
S4: 每一合法成员利用所得到的秘密份额和广播的的t+j个份额，按照门限方案的重构算法能够计算出密钥k，从而就能解读消息m 。

反之，非法成员最多只
能拥有t+j个份额，无法重构密钥，因此不能解读消息m 。

（五）密钥托管
所谓密钥托管，是指为公众和用户提供更好的安全通信同时，也允许授权者(包括政府保密部门、企业专门技术人员和用户等)为了国家、集团和个人隐私等安全
利益，监听某些通信内容和解密有关密文。

所以，密钥托管也叫“密钥恢复”，或
者理解为“数据恢复”和“特殊获取”等含义。

1. 密钥托管有如下重要功能
防抵赖。

政府监听。

密钥恢复
2. 密钥托管加密系统的组成
密钥托管加密系统按照功能的不同，逻辑上可分为五大部分
用户安全部分（Use rSecurity Component，USC）
密钥托管部分（Key Escrow Component，KEC）
政府监听部分（数据恢复部分（Data Recovery Component，DRC）），
法律授权部分（Court Authorization Component，CAC）
外部攻击部分（Outsider Attack Component，OAC）
密钥由所信任的委托人持有，委托人可以是政府、法院或有契约的私人组织。

一个密钥也可能在数个这样的委托人中分拆。

授权机构可通过适当程序，如获得
法院的许可，从数个委托人手中恢复密钥。

美国政府的EES标准公布之后，在社会上引起很大的争议。

四、附录
参考文献
《密码学与信息安全技术》
作者：罗守山北京邮电大学出版社（2009）
《密码学原理与实践(第3版)》
作者：冯登国电子工业出版社 (2009年7月1日) 《现代密码学(第2版)》
作者：杨波清华大学出版社 (2007年4月1日) 《密码学:密码算法与协议》
作者：郑东、李祥学、黄征电子工业出版社 (2009年6月1日) 《现代密码学》
作者：何大可、彭代渊、唐小虎人民邮电出版社 (2009-09出版) 《密码学基础》
作者：陈少真科学出版社 (2008-05出版)。