密钥分配与密钥管理

用主密钥对所有初级密钥加密，使它们在密码装 置之外也受到保护。 象这样用一个密钥保护许多其他密钥的方法， 在密码学中叫主密钥原理。 它从本质上把保护大量密钥的问题，简化成了 集中保护和使用一个密钥问题。 这实际上也是数据加密思想的进一步深化。从 原则上说，数据加密就是把保护大量数据的问题简 化为保护和使用少量数据的问题。
对称密钥配置
用户1 用户2 K1-2,K1-3,…,K1-n K2-1, K2-3,…,K2-n
非对称密钥配置
n个用户公钥，用户1自己私钥 n个用户公钥，用户2自己私钥
…
用户n Kn-1,Kn-2,…,Kn-n-1 n个用户公钥，用户n自己私钥
• n个用户，需要n(n-1)/2个共享密钥
动态分配
• 中心化的密钥管理方式，由一个可信赖的联机服 务器作为密钥分配中心（KDC）或密钥转递中心 （KTC）
用户U选择 一随机数aU， 计算
aU
用户V选择 一随机数aV， 计算
aV
Yu mod p
aU
Yv aV mod p
K YvaU mod p
K YuaV mod p
生成的会话密钥为K
Diffie-Hellman密钥交换协议
•Diffie-Hellman密钥交换协议: 双方选择素数p以及p的一个原根 U随机选择aUZp,计算aU mod p并发给V V随机选择aVZp,计算aV mod p并发给U U计算(aV mod p)aU mod p = aUaV mod p V计算(aU mod p)aV mod p = aUaV mod p 双方获得共享密钥(aUaV mod p) •这个协议可以被中间人攻击
密钥托管
Key Escrow
密钥托管
• 也称托管加密，其目的在于保证个人没有 绝对的隐私和绝对不可跟踪的匿名性。 • 实现手段是把已加密的数据和数据恢复密 钥联系起来。 • 由数据恢复密钥可以得到解密密钥，由所 信任的委托人持有。 • 提供了一个备用的解密途径，不仅对政府 有用，也对用户自己有用。
第六章 密钥分配与 密钥管理
Key Distribution and Key Management
问题的提出
建立安全的密码系统要解决的一个赖手的 问题就是密钥的管理问题。即使密码体制 的算法是计算上的安全，如果缺乏对密钥 的管理，那么整个系统仍然是脆弱的。
（1）密钥管理量的困难 传统密钥管理：两两分别用一对密钥时，则 n个用户需要C(n,2)=n(n-1)/2个密钥，当用 户量增大时，密钥空间急剧增大。如: n=100 时， C(100,2)=4,995 n=5000时， C(500,2)=12,497,50
主密钥的分配方式
• 利用安全信道实现
－（1）直接面议或通过可靠信使递送
－（2）将密钥分拆成几部分分别传送
信使 发送方 分解密钥 挂号信 K1 K2 K3 K4 K5 k1 k2 k3 k4 k5
接收方 组合密钥
特快专递 电话 信鸽 k1 k2 k3 k4 k5
两种密钥分配技术
名 称
静 态 分 配 动 态 分 配
特点
是一种由中心以脱 线方式预分配的技 术，是“面对面” 的分发， 是“请求—分发” 的在线分发技术
优点
缺点
适用范围
安全性好，是长 必须解决密钥的 静态分发只 存储技术 期沿用的传统密 能以集中式 机制存在 钥管理技术 需要有专门的协 有中心和无 议的支持 中心的机制 都可以采用
静态分配
• 一个有n个用户的系统，需实现两两之间通信
4.如何对密钥进行严格的保护。 为了产生可靠的总体安全设计，对于不同 的密钥应用场合，应当规定不同类型的密 钥，所以根据密钥使用场合的不同，可以 把密钥分成不同的等级。 通常把密钥分为两大类型，即数据加密密 钥和密钥加密密钥。
密钥又可分为： 主密钥：对现有的密钥或存储在主机中 的密钥加密，加密对象为初级密钥和二 级密钥。 初级密钥：用来保护数据的密钥。它也 叫数据加密/解密密钥.初级密钥用来进 行通讯保护时，叫做通讯密钥。用来保 护文件时叫做文件密钥。
H h(CV ) K in K m H K out EK m H [ K S ] K S DK in [ K out ]
优点： 1.CV长度没有限制 2.CV以明文形式存在
基于公钥密码体制的 密钥管理
Key Management of Public Key Cryptography
CA
证书的产生过程
CA的公开钥
公开钥 姓名 产生密钥 证书
CA的秘密钥 签字
秘密钥 用户的计算机 CA的计算机
用公钥分配对称密码体制的密钥
简单分配
1.PKA||IDA A
EPKE [ K S ]
B 2. EPK A [ K S ]
易受到主动攻击
2.PKE||IDA B 3.
1.PKA||IDA A 4. EPK A [ K S ] 攻击者E
基于公钥密码体制的密钥管理
两方面内容： 公钥密码体制中所使用的公钥的分配； 使用公钥分配对称加密体制的密钥。
公钥的分配－公开发布
• 用户将自己的公钥发给每一个其他用户 • 方法简单，但没有认证性，因为任何人 都可以伪造这种公开发布
公钥的分配－公用目录表
• 公用的公钥动态目录表，目录表的建立、 维护以及公钥的分布由可信的实体和组 织承担。 • 每一用户都亲自或以某种安全的认证通 信在管理者处为自己的公开密钥注册。 • 用户可以随时替换自己的密钥。 • 管理员定期公布或定期更新目录。 • 用户可以通过电子手段访问目录。
美国托管加密标准
二级密钥：它是用来加密保护初级密钥的密钥。 密钥保护的基本原则： 密钥永远不可以以明文的形式出现在密码装置 之外。 密码装置是一种保密工具，即可以是硬件，也 可以是软件。
密钥分配 （Key Distribution）
• • •

保密通信双方需共享密钥 共享密钥要经常更换 分配方式： A选择密钥并手工传递给B 第三方C选择密钥分别手工传递给A,B 用A,B原有共享密钥传送新密钥 与A,B分别有共享密钥的第三方C传送 新密钥给A和/或B N个用户集需要N(N-1)/2个共享密钥
有中心的密钥分配方案
KDC 1. Request||N1 KS：一次性会话密钥 N1,N2：随机数 KA,KB：A与B和KDC的共享密钥 f：某种函数变换
2.
EK A [ K s || Re quest || N1 || EK B ( K s || IDA )]
3. A
EK B [ K s || IDA ]
KDC
② K ①
KTC
① K ② K ③
A
K ③
B
A
B
（a）
KTC
① K K ② ① K
KTC
K ②
A
K
B
③
A
B
（b）
密钥分发中心
密钥分发中心(Key Distribution Center) 每个用户与KDC有共享密钥(Master Key) N个用户，KDC只需分发N个Master Key 两个用户间通信用会话密钥(Session Key) 用户必须信任KDC KDC能解密用户间通信的内容
公钥的分配－公钥管理机构
• 公钥管理机构为用户建立维护动态的公钥 目录。 • 每个用户知道管理机构的公开钥。 • 只有管理机构知道自己的秘密钥。
公钥管理机构分配公钥
公钥管理机构 1.Request||Time1 4.Request||Time2
2. ESK AU [ PK B || Re quest || Time1 ] 5. ESK AU [ PK A || Re quest || Time2 ] 3. EPKB [ ID A || N1 ] A 6. EPK A [ N1 || N 2 ] 7. B
（2）数字签名的问题
传统加密算法无法实现抗抵赖的需求。
概述
从理论上说，密钥也是数据，不过它是用来 加密其它数据的数据，因此，在密码学的研 究中，不妨把密钥数据与一般数据区分开来。 在设计密码系统时，对于密钥必须考虑以下 问题： 1.系统的那些地方要用到密钥，它们是如 何设置和安装在这些地方. 2.密钥预计使用期限是多长，每隔多久需 要更换一次密钥。 3.密钥在系统的什么地方。
EPK B [ N 2 ]
公钥证书ຫໍສະໝຸດ Baidu
• 用户通过公钥证书交换各自公钥，无须与 公钥管理机构联系 • 公钥证书由证书管理机构CA（Certificate Authority）为用户建立。 • 证书的形式为 C A ESK [T , IDA , PK A ] • T-时间，PKA-A的公钥，IDA－A的身份， SKCA－CA的私钥 • 时戳T保证证书的新鲜性，防止重放旧证 书。
• 金融机构密钥管理需要通过一个多级层次密钥机构 来实现。 • ANSI X9.17三层密钥层次结构： 1）主密钥（KKMs），通过手工分配； 2）密钥加密密钥（KKs），通过在线分 配； 3）数据密钥（KDs）。 • KKMs保护KKs的传输，用KKs保护KDs的传输。 • 主密钥是通信双方长期建立密钥关系的基础，是用 户和密钥分配中心的共享密钥。
4.
EK S [ N 2 ]
B
5.EK S [ f ( N 2 )]
密钥的分层控制
• 用户数目很多并且分布地域很广，一个KDC无法承 担，需要采用多个KDC的分层结构。 • 本地KDC为本地用户分配密钥。 • 不同区域内的KDC通过全局KDC沟通。
无中心的密钥控制
• 有KDC时，要求所有用户信任KDC，并且要求对KDC 加以保护。 • 无KDC时没有这种限制，但是只适用于用户少的场 合
EPKE [ K S ]
用公钥分配对称密码体制的密钥
具有保密性和认证性的密钥分配
1.
EPK B [ N1 || ID A ]
2. EPK A [ N1 || N 2 ] A 3. B
EPK B [ N 2 ]
4. EPK B [ ESK A [ K S ]]
Diffie-Hellman密钥交换协议
Diffie-Hellman密钥交换攻击
• 中间人攻击图示
A
K = aXaXo
O
K = aXbXo
B
•
中间人攻击 – 1 双方选择素数p以及p的一个原根a(假定O知道) – 2 A选择Xa<p,计算Ya=aXa mod p, AB: Ya – 3 O截获Ya,选Xo,计算Yo=aXo mod p,冒充AB:Yo – 4 B选择Xb<p,计算Yb=aXb mod p, BA: Yb – 5 O截获Yb,冒充BA:Yo – 6 A计算: (Xo)Xa(aXo)XaaXoXa mod p – 7 B计算: (Xo)Xb(aXo)XXbaXoXb mod p – 8 O计算: (Ya)XoaXaXo mod p, (Yb)XoaXbXo mod p O永远必须实时截获并冒充转发,否则会被发现
密钥标签
• 用于DES的密钥控制，8个校验位作为密钥 标签 • 1比特表示这个密钥是会话密钥还是主密钥 –1比特表示这个密钥能否用于加密 –1比特表示这个密钥能否用于解密 –其余比特保留
控制矢量
• 对每一密钥指定相应 的控制矢量，分为若 干字段，说明在不同 情况下是否能够使用 • 有KDC产生加密密钥 时加在密钥之中 • h为hash函数，Km是主 密钥，KS为会话密钥 • 控制矢量CV明文发送
无中心的密钥控制
用户A和B建立会话密钥的过程
1. Request||N1 A 2.
EK AB [ K s || Re quest || IDB || f ( N1 ) || N 2 ]
3.EK S [ f ( N 2 )]
B
密钥的控制使用
• 根据用途不同分为 – 会话密钥（数据加密密钥） – 主密钥（密钥加密密钥），安全性高于 会话密钥 – 根据用途不同对密钥使用加以控制
基于对称密码体制的 密钥分配
Key Distribution of symmetric cryptography
概述
• 对称密码体制的主要商业应用起始于八十年 代早期，特别是在银行系统中，采纳了DES 标准和银行工业标准ANSI数据加密算法,实 际上，这两个标准所采用的算法是一致的。 • 随着DES的广泛应用带来了一些研究话题， 比如如何管理DES密钥。从而导致了ANSI X9.17标准的发展，该标准于1985年完成， 是有关金融机构密钥管理的一个标准。