第七章 密码应用和密钥管理

29
多级层次密钥机构
金融机构密钥管理需要通过一个多级层次密 钥机构来实现。 ANSI X9.17三层密钥层次结构 主密钥（KKMs ）通过手工分配 密钥加密密钥（KKs ）通过在线分配 数据密钥（KDs） KKMs保护KKs的传输，用KKs保护KDs的传输。主 密钥是通信双方长期建立密钥关系的基础。
方及敌方的关系：
图7.1 网络通信安全模型
5
加密、认证和签名流程
会话秘钥 消息 消息签名 消息签名 摘要 算法 签名 算法 密文 加密 算法
消息
链接
消息摘要
时间戳
签名私钥 发送 图7.2 加密、认证和签名流程
6
2、加密位置

链路加密
面向链路的加密方法将网络看作是由链 路连接的结点集合，每一个链路被独立的加密。 网络上相邻结点之间对数据进行保护，加 密算法被臵于两个网络结点之间通信线路上， 即通信线路两端的密码设备中。这两个密码设 备被放在各自的节点及其相应的调制解调器之 间，并安装有相同的密钥。
25
密钥的存储(主要是指公钥密码体制）
第一种是将所有密钥或公钥存储在专用媒体：软盘、 芯片等，一次性发放给各用户，用户在本机中就可以获得 对方的公钥。协议非常简单又很安全，电脑黑客的入侵破 坏也只能破坏本机而不影响其他终端。这种形式只有在 KDC等集中式方式下才能实现。 第二种是用对方的公钥建立密钥环，各自分散保存。 第三种是将各用户的公钥存放在公用媒体中。前两种 都需要解决密钥传递技术，以获取对方的公钥。第三种还 要解决公用媒体的安全技术即数据库的安全问题。
16
7.2.3 密钥长度
原则：既保证系统的安全性，又不至于开 销太高。 对称密码的密钥长度 公钥密码的密钥长度
17
对称密码的密钥长度
假设算法的保密强度足够的，除了穷举攻击外，没有 更好的攻击方法。密钥长度和每秒钟可实现的搜索密钥数 决定了密码体制的安全性。 穷举攻击的复杂度： 密钥长为n位，则有2n种可能的密钥，因此需要2n次计 算。 使用40个工作站的空闲时间在一天内完成了对234个密 钥的测试。 一个40台计算机的网络，每台每秒执行32000次加密， 系统可用1天时间完成40位密钥的穷举攻击。


主机主密钥: 直接或间接装入,装入时须有电磁屏 蔽,装入后不能再读出(但可间接验证)。 密钥加密密钥: 直接或间接装入,装入时须有电磁 屏蔽,装入后不能再读出,可联机或者间接验证。 会话密钥:如主机与某终端通信主机产生会话密钥， 以相应的终端主密钥对其进行加密，将加密结果 送给相应的终端，终端收到后解密得到会话密钥。 初始密钥:直接或间接装入,装入后不能再读出,可 联机验证。
9
端—端加密方式
端—端加密是对用户之间的传输数据进行 保护，密文仅在最终目的地才被解密。密文在 中间节点或中间节点的保密设备中不以明文形 式出现。 端—端加密方法提供了更灵活的保护手段。 它可以对主机到主机，终端到主机，主机对进 程，进程对进程进行保护。
10
结点1
结点2
结点3
明文
Ek
密文
链路1
无中心密钥分配模式
33
中心化的密钥管理方式：由一个可信赖的联机服务 器作为密钥分配中心KDC或密钥转递中心KTC
① A→KDC:A,B,N1
KDC
② KDC→A:EAT(Ks,N1, QA，EBT(Ks,A)) ③ A→B:EBT(Ks,A) ④ B→A:EKs(N2)
B
1
2 3 A 4
⑤ A→B:EKs(f(N2)) 前3步完成密钥分配，后两步结 合第2、3步完成认证功能。另外， 第2步提供了抗重放的攻击。
27
7.2.5 密钥分配
密钥分配协议: 系统内的一个成员选择密钥，然后将它 们安全传给其他成员。 对称密码体制的密钥分配 公钥密码体制的密钥分配
28
7.2.5.1基于对称密码体制的密钥分配
对称密码体制主要在商业中应用，起始于八十 年代早期；特别是在银行系统中，采纳了DES标准 和银行工业标准ANSI数据加密算法(DEA)，实际上 这两个标准所采用的算法是一致的。 随着DES的广泛应用，带来了一些研究话题，比 如如何管理DES密钥，从而导致了ANSI X9.17标准 的发展，该标准于1985年完成，是有关金融机构密 钥管理的一个标准。
7
明文
结点1 密文
结点2 密文 链路1
结点3 明文
Ek1
Dk1
Ek2
链路2
Ek2
图7.3 链路—链路加密示意图
8
因为信息加密仅限于链路上，不包括节点内 部，因此，要求节点本身必须是安全的；同时， 源或目的节点可以假设是物理安全的。链路加 密要求所有中间节点同样是物理安全的；不仅 如此，还要求他们的硬、软件绝对能分隔通过 他们的每一个不同的连接。 链路方法的问题是中间节点的失误将暴露 所有的通信的信息，这无疑会限制人们采纳这 种方法。另一个问题是维护结点的安全性的代 价。
公开密钥密码体制是基于数学难题的： 大数因子分解和有限域中寻找离散对数。RSA密 钥的长度取决于因数分解的时间。 Bruce Schneier 公开密钥长度建议值：
年度 2000 对于个人 对于公司 对于政府 1024 1280 1536
2005
2010
1280
1280
1536
1536
2048
2048

35
Simple secret key distribution
Merkle协议： ①A生成{KUa,KRa}, A→B: (IDA,KUa) ②B生成会话密钥Ks, B→A: EKUa(Ks) ③A解密EKUa(Ks)得到Ks: DKRa(EKUa(Ks)) ④A丢弃{KUa,KRa},B丢弃KUa
必须在安全环境中产生密钥，以防止对密钥 的非授权访问。 密钥生产形式现有两种： 一种是由中心(或分中心)集中生产也称有边 界生产，另一种是由个人分散生产也称无边界 生产。
23
两种密钥产生方式对比
方式Baidu Nhomakorabea
集中式
代表
传统的密 钥分发中 心和证书 分发中心
生产者
在中心 统一进 行
用户数量
特点
安全性
交易中的 安全责任 由中心承 担
37
具有保密和鉴别能力的分配
1、A→B: EKUb( (IDA),N1) 相互确认的过程 2、B→A: EKUa(N1,N2) 3、A→B: EKUb(N2) 4、A→B: EKUb(EKRa(Ks)) 传递密钥的过程 5、B→A: DKUa(DKRb(EKUb(EKRa(Ks))))
18


各种类型数据所需密钥长度
所保存信息的价值 信息保密的时间 信息的攻击者及其使用的设备和资源的情况
信息类型 企业赢利信息 商业秘密 外交秘密 美国统计数据 保密时间 几天/周 几十年 65年以上 100年 最短密钥长度 64 112 至少128 至少128
19
公开密钥密码体制的密钥长度
不可重复性和不可预测性。可用投硬币骰子噪声发生 器等方法产生。 会话密钥：可利用密钥加密密钥及某种算法(加密算法, 单向函数等)产生 密钥加密密钥：数量大(N(N-1)/2),可由机器自动产生, 安全算法伪随机数发生器等产生。 主机密钥：类似于密钥加密密钥的方法产生。
22

密钥的产生方式
26
密钥的保护
所有密钥的完整性也需要保护，因为一个入侵者 可能修改或替代密钥从而危及机密性服务。 在实际中最安全的方法是将其放在物理上安全的 地方，当一个密钥无法用物理的办法进行安全保护时, 密钥必须用其它的方法来保护。 (1)将一个密钥分成两部分委托给两个不同的人。 (2)通过机密性（例如用另一个密钥加密）和/或完 整性服务来保护。 极少数密钥(主机主密钥)以明文存储于有严密物 理保护的密码器中,其他密钥都被(主密钥或次主密钥) 加密后存储。
适用范围
网络边界 确定的有 中心的系 统
生产有边界，密钥的认 边界以所能 证协议简 配臵的密钥 洁 总量定义， 其用户数量 有限。
分散式
由个人生 产
密钥生产无 边界，其用 户数量不受 限制。
密钥变量 安全责任 中的公钥 由个人承 必须公开， 担 需经第三 方认证
无边界的 和无中心 的系统
24
密钥的装入
30
主密钥的分配方式

直接面议或通过可靠信使递送； 将密钥分拆成几部分分别传送。
31
一个有n个用户的系统需实现两两之间 通信，共需要n(n-1)/2个共享密钥。
32
无中心密钥分配模式：A和B建立会话密钥
1
A
2 3
B
① A→B：QA||N1
② B→A：Kab（Ks,B,f(N1),N2） ③ A→B：Ks（f(N2)）
不能抵抗主动攻击(中间人攻击)
36
Merkle协议的中间人攻击
①A生成{KUa,KRa}, A → B: (IDA,KUa) ②E截获,生成{KUe,KRe}冒充A → B: (IDA,KUe) ③B生成随机密钥Ks, B → A: EKUe(Ks) ④ E截获,解密后再用EKUa加密Ks → A: EKUa(Ks) ⑤A丢弃{KUa,KRa},B丢弃KUa E获得了Ks,故以后只需进行窃听。A、B并不 知晓它们被攻击了。
13


密钥加密密钥（Key Encrypting Key） 用于对会话密钥或文件密钥进行加密时采用的密 钥，又称辅助二级密钥(Secondary Key)或密钥传送 密钥(key Transport key) 。通信网中的每个节点都 分配有一个这类密钥。 主机主密钥（Host Master Key） 它是对密钥加密密钥进行加密的密钥，存于主机 处理器中。 另外，在公钥体制下还有公开密钥、秘密密钥、 签名密钥之分。
34
5
7.2.5.2 基于公开密钥体制的秘密密钥分配
（1）分配对称密码体制密钥
简单的秘密密钥分配（Simple secret key Distribution） 具有保密和鉴别能力的分配（Secret key distribution with confidentiality and authentication）
12
7.2.2密钥类型
从网络应用角度，密钥可以不严格分为：


基本密钥（Base Key） 又称初始密钥（Primary Key) 、用户密钥(User key) ，是由用户选定或由系统分配给用户的可在较 长时间由一对用户所专用的密钥。 会话密钥（Session Key） 即两个通信终端用户在一次通话或交换数据时使 用的密钥。当它用于加密文件时称为文件密钥(File key) ，当它用于加密数据时称为数据加密密钥(Data Encrypting Key)。
密文
链路2
Dk
明文
图7.4 端—端加密示意图
11
7.2 密钥管理
7.2.1概述
所有的密码技术都依赖于密钥。 密钥的管理本身是一个很复杂的课题，而且 是保证安全性的关键点。 密钥管理：管理密钥的产生到销毁的全过程， 包括系统初始化、密钥的产生、存储、备份、恢 复、装入、分配、保护、更新、控制、丢失、吊 销和销毁等。
20
7.2.4
密钥产生
方式：手工/自动化 好的密钥的特点： 真正的随机等概率； 避免使用特定算法的弱密钥； 双钥系统的密钥必须满足一定的关系； 选用易记难猜的密钥，如较长短语的首字 母、词组，用标点符号分开；
21

不同等级的密钥的产生方式不同
基本密钥：安全性至关重要，故要保证其完全随机性、
第七章 密码应用与密钥管理
主要内容: 密码应用 密钥管理 公开密钥基础设施PKI
1
7.1 密码应用
1、信息加密、认证和签名流程 加密 密码体制 算法 加密工作模式 信息认证 消息认证码、签名、加密、序列完整性 等。
2
信息否认：起源的否认和接收的否认。
抗起源否认机制：
发送者签名 可信第三方签名
抗接收否认机制：
接收者签名确认
可信接收代理确认
3
安全通信四个基本任务
设计一个算法执行安全相关的转换；（密码算法）
生成该算法的秘密信息；（密钥生成） 研制秘密信息的分布与共享的方法；（密钥分配）
设定两个责任者使用的协议，利用算法和秘密信息
取得安全服务。（安全协议）
4
信息传递过程中，发送方、接收方、可信第三
14
几类密钥之间的关系：
会话密钥Ks
基本密钥Kp
混合器
密钥生成器
数据加密密钥
图7.5 几类密钥之间的关系
15
从密钥的安全级别分类：
将用于数据加密的密钥称三级密钥。 保护三级密钥的密钥称二级密钥，也称密钥
加密密钥。 保护二级密钥的密钥称一级密钥，也称密钥 保护密钥。如用口令保护二级密钥，那么口 令就是一级密钥。