1、第五章密钥管理技术第五章第五章 密钥管理技术密钥管理技术o5.1 密钥管理概述o5.2 对称密钥的管理o5.3 非对称密钥的管理o5.4 密钥管理系统o5.5 密钥产生技术o5.6 密钥的分散管理与托管5.1密钥管理技术概论密钥管理技术概论在现代的信息系统中用密码技术对信息进行保密,其安全性实际取决于对密钥的安全保护。在一个信息安全系统中,密码体制、密码算法可以公开,甚至所用的密码设备丢失,只要密钥没有被泄露,保密信息仍是安全的。而密钥一旦丢失或出错,不但合法用户不能提取信息,而且非法用户可能会窃取信息。因此密钥管理成为信息安全系统中的一个关键问题 密钥管理的定义密钥管理是处理密钥自产生到最终
2、销毁的整个过程的的所有问题,包括系统的初始化,密钥的产生、存储、备份/装入、分配、保护、更新、控制、丢失、吊销和销毁等。其中分配和存储是最大的难题。密钥管理不仅影响系统的安全性,而且涉及到系统的可靠性、有效性和经济性。当然密钥管理也涉及到物理上、人事上、规程上和制度上的一些问题。密钥管理的内容o产生与所要求安全级别相称的合适密钥;o根据访问控制的要求,决定每个密钥哪个实体应该接受密钥的拷贝;o用可靠办法使这些密钥对开放系统中的实体是可用的,即安全地将这些密钥分配给用户;o某些密钥管理功能将在网络应用实现环境之外执行,包括用可靠手段对密钥进行物理的分配。密钥交换是设计网络认证,保密传输等协议功能
3、的前提条件。密钥选取也可以通过访问密钥分配中心来完成,或经管理协议作事先的分配。密钥管理的三个层面(1)理论因素o按照信息论的理论,密文在积累到足够的量时,其破解是必然的。o假设Alice和Bob在使用对称密钥进行保密通信时,必然拥有相同的密钥。nKerberos系统中为了避免攻击者通过穷举攻击等方式获得密钥,必须经常更新或是改变密钥,对于更新的密钥也要试图找到合适的传输途径。n假设Alice在向Bob发送信息时,始终不更新密钥,那么在攻击者Mallory对信息M的收集量满足一定要求时,其成功破译系统的可能性会增大。o两个通信用户Alice和Bob在进行通信时,必须要解决两个问题n必须经常更新
4、或改变密钥n如何能安全地更新或是改变密钥。密钥管理的三个层面(续)(2)人为因素o破解好的密文非常的困难,困难到即便是专业的密码分析员有时候也束手无策,当然可以花费高昂的代价去购买破译设备,但可能得不偿失。商业上的竞争对手更愿意花费小额的金钱从商业间谍或是贿赂密钥的看守者从而得到密钥,因此导致安全的漏洞。实际上这种人为的情况往往比加密系统的设计者所能够想象的还要复杂的多,所以需要有一个专门的机构和系统防止上述情形的发生。(3)技术因素o 用户产生的密钥有可能是脆弱的;o 密钥是安全的,但是密钥保护有可能是失败的。5.2 对称密钥的管理对称密钥的管理本节提示o5.2.1 对称密钥交换协议o5.2
5、.2 加密密钥交换协议5.2.1 对称密钥交换协议对称加密对称加密是基于共同保守秘密来实现的。采用对称加密技术的双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换安全可靠,同时还要设定防止密钥泄密和更改密钥的程序。对称密钥对称密钥的管理和分发工作是一件具有潜在危险和繁琐的过程。可通过公开密钥加密技术实现对称密钥的管理,使相应的管理变得简单和更加安全,同时还解决了对称密钥体制模式中存在的管理、传输的可靠性问题和鉴别问题。对称密钥交换协议o如果用户Alice和Bob间的相互通信使用相同密钥K进行加密传输的话,由于Alice和Bob间要经常更换密钥,那么这个密钥如何来建立和传输是一个重要的问题,
6、建立传输密钥的信道必须是安全的。oDiffie-Hellman算法1976是一个公开的密钥算法,其安全性基于在有限域上求解离散对数的困难性。Diffie-Hellman协议的具体实现在密码学中已有体现。Diffie-Hellman协议的三方密钥传输 o假设Alice、Bob和Coral是需要通信的三方;o首先,Alice、Bob、Coral三方协商确定一个大的素数n和整数g(这两个数可以公开),其中g是n的本原元。;o由此所产生密钥过程为:nAlice首先选取一个大的随机整数,并且发送 给Bob。nBob首先选取一个大的随机整数,并且发送 给Coral。nCoral首先选取一个大的随机整数,并
7、且发送 给Alice。nAlice计算 给Bob。nBob计算 给Coral。nCoral计算 给Alice。nAlice计算 作为秘密密钥。nBob计算 作为秘密密钥。nCoral计算 作为秘密密钥。o秘密密钥 ,由于在传送过程中,攻击者Mallory只能得到X、Y、Z和X1、Y1、Z1,而不能求得x,y和z,因此这个算法是安全的。Diffie-Hellman协议很容易能扩展到多人间的密钥分配中去,因此这个算法在建立和传输密钥上经常使用。5.2.2 加密密钥交换协议o加密密钥交换(Encryption Key Exchange,EKE)协议o因特网密钥交换(Internet Key Exch
8、ange,IKE)协议o基于Kerberos的Internet密钥协商(Kerberroized Internet Negotiation of Keys,KINT)协议 加密密钥交换(EKE)协议EKE(Encryption Key Exchange)协议由Steve Bellovin 和 假设A和B共享一个密钥或是口令 ,那么产生密钥 的过程为:n(1)A选取随机的公(私)密钥 ,使用 作为加密密钥,并且发送 给B。n(2)B计算求得 ,然后选取随机的对称密钥 ,使用 和 加密,发送 给A。n(3)A计算求得 ,那么此时这个数值就是产生的 。随后,鉴别和验证:n(4)A选取随机数字串 ,使
9、用 加密后,发送 给B。n(5)B计算求得 后,选取随机数字串 ,使用 加密后,发送 给A。n(6)A计算求得数字串 后,判断此时的数据串是否含有先前发送的数字串 。若是则取出数字串 ,使用 加密后,发送 给B;否则取消发送。n(7)B计算求得 后,判断此时的数据串是等于先前发送的 ,若是则选用密钥 作为通信密钥;否则取消通信。因特网密钥交换协议o因特网密钥交换(Internet Key Exchange,IKE)协议由RFC2409文档描述的IKE密钥交换属于一种混合型协议,由IETF工作组定义完善。IKE协议沿用了ISAKMP(ISAKMP的含义是密钥管理协议,ISAKMP本身并不建立会话
10、密钥,但是能够与各种不同的会话密钥建立协议)的基础、Oakley的模式以及SKEME的共享和密钥更新技术,从而提供完整的密钥管理方案。Oakley密钥决定协议采用混合的Diffie-Hellman技术建立会话密钥。IKE技术主要用来确定鉴别协商双方身份、安全共享联合产生的密钥。o由于目前广泛应用于VPN隧道构建的IKE密钥交换协议存在潜在的不安全因素,因此这一协议的推广应用有可能暂停,对此不做详细阐述。IKE协议存在的安全缺陷包括可能导致服务器过载的大量初始安全连接请求,及占用服务器处理能力的大量不必要安全验证等,这类缺陷可能会招致严重的DoS攻击及敏感信息泄露。基于Kerberos的Inte
11、rnet密钥协商协议基于Kerberos的Internet密钥协商(Kerberroized Internet Negotiation of Keys,KINT)协议是一个新的密钥协商协议,相对于IKE而言,它的协商速度更快、计算量更小、更易于实现。KINT使用Kerberos机制实现初期的身份认证和密钥交换,通过Kerberos提供对于协商过程的加密和认证保护。KINT将Kerberos快速高效的机制结合到密钥协商过程中,加快了身份认证和密钥交换的过程,缩减了协商所需要的时间。5.3 非对称密钥的管理非对称密钥的管理本节提示o5.3.1 非对称密钥的技术优势o5.3.2 非对称密钥管理的实现
12、5.3.1 非对称密钥的技术优势o无论是对称密钥还是公开密钥,都要涉及到密钥保护的问题。一个密钥系统是否是完善的,有时候取决于能否正常地保有密钥。对称密钥加密方法的致命弱点就在于它的密钥管理十分困难,因此其很难在电子商务和电子政务中得到广泛应用。o非对称密钥的的管理相对于对称密钥就要简单的多,因为对于用户Alice而言,只需要记住通信的他方Bob的公钥,即可以进行正常的加密通信和对Bob发送信息的签名验证。非对称密钥的管理主要在于密钥的集中式管理非对称密钥的技术优势o在使用对称密码系统时,发送加密信息的时候无须担心被截取(因为截取的人无法破译信息)。然而,如何安全地将密钥传送给需要接收消息的人
13、是一个难点。公开密钥密码系统的一个基本特征就是采用不同的密钥进行加密和解密。使用公开密钥密码系统,公开密钥和私有密钥是成对的,而且公开密钥可以自由分发而无须威胁私有密钥的安全,但是私有密钥一定要保管好。通过公开密钥加密的信息只有配对的私有密钥才能解密。非对称密钥地安全问题在于一个用户如何能正常且正确地获得另一个用户的公钥而不用担心这个公钥是伪造的。o在公开密码系统发明之前,维护一个庞大的密钥管理系统几乎是不可能的。因为在采用对称加密密码系统的情况下,随着用户数目的增加,密钥的需求量按几何级数增加。公开密钥密码系统的发明对一个大规模网络的密钥管理起了极大的推动作用。虽然公开密钥密码系统有那么多优
14、点,但公开密钥密码系统的工作效率没有对称密钥密码系统好。公钥加密计算复杂,耗用的时间也长,公钥的基本算法比常规的对称密钥加密慢很多。为加快加密过程,通常采取对称密码和公开密钥的混合系统,也就是使用公开密钥密码系统来传送密码,使用对称密钥密码系统来实现对话 非对称密钥假设Alice和Bob相互要进行通话,他们按照如下步骤进行(电子信封技术):o1)Alice想和Bob通话,并向Bob提出对话请求。o2)Bob响应请求,并给Alice发送CA证书(CA证书是经过第三方认证和签名,并且无法伪造或篡改)。这个证书中包括了Bob的身份信息和Bob的公开密钥。o3)Alice验证CA证书,使用一个高质量、
15、快速的常用对称密钥加密法来加密一个普通文本信息和产生一个临时的通话密钥;然后使用Bob的公钥去加密该临时会话密钥。然后把此会话密钥和该已加密文本发送给Bob。o4)Bob接收到信息,并使用自己的私钥恢复出会话密钥。o5)Bob使用临时会话钥对加密文本解密。o6)双方通过这个会话密钥会话。会话结束,会话密钥也就废弃。通信的双方为每次进行交换的数据信息生成唯一的对称密钥,并使用公开密钥对该密钥进行加密,然后再将加密后的密钥和使用该对称密钥加密的信息一起发送给相应的通信方。由于对每次信息交换都对应生成了唯一的一把密钥,因此各通信方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即
16、使泄露了对称密钥也只将影响一次通信。而不会影响到通信双方之间所有的通信数据。这种方式还提供了通信双方发布对称密钥的一种安全途径,因此适用于建立贸易和电子商务的双方。5.3.2 非对称密钥管理的实现o公开密钥管理利用数字证书等方式实现通信双方间的公钥交换。o国际电信联盟(ITU)制定的标准X.509对数字证书进行了定义,该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC 9594-8195标准。o数字证书能够起到标识贸易双方的作用,目前网络上的浏览器,都提供了数字证书的识别功能来作为身份鉴别的手段。目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。
17、oISO与IEC下属的信息技术委员会(JTC1)起草的关于密钥管理的国际标准规范主要由3部分组成:n 密钥管理框架;n 采用对称密钥技术的机制;n 采用非对称密钥技术的机制。5.4 密钥管理系统密钥管理系统本节提示o5.4.1 基本概念o5.4.2 密钥的分配o5.4.3 计算机网络密钥分配方法o5.4.4 密钥注入和密钥存储o5.4.5 密钥更换和密钥吊销5.4.1 密钥管理基本概念o密钥的管理需要借助于加密、认证、签字、协议、公证等技术。密钥管理系统是依靠可信赖的第三方参与的公证系统。o密钥的种类繁杂,但一般将不同场合的密钥分为以下几类:(1)初始密钥n由用户选定或系统分配的,在较长的一段
18、时间内由一个用户专用的秘密密钥。要求它既安全又便于更换。(2)会话密钥n会话密钥是两个通信终端用户在一次会话或交换数据时所用的密钥。这类密钥往往由系统通过密钥交换协议动态产生。会话密钥使用的时间很短,从而限制了密码分析者攻击时所能得到的同一密钥加密的密文量。在不慎丢失时,由于使用该会话密钥加密的数据量有限,因此对系统的保密性影响不大。(3)密钥加密密钥(Key Encrypting Key,KEK)n用于传送会话密钥时采用的密钥。(4)主密钥(Mater Key)n主密钥是对密钥加密密钥进行加密的密钥,存于主机的处理器中。o密钥安全保密是密码系统安全的重要保证,保证密钥安全的原则是除了在有安全
19、保证环境下进行密钥的产生、分配、装入以及存入保密柜内备用外,密钥决不能以明文的形式出现。密钥存储时,还必须保证密钥的机密性、认证性和完善性,防止泄漏和修改。5.4.2 密钥的分配 密钥的分配要解决两个问题:o密钥的自动分配机制,自动分配密钥以提高系统的效率;o应尽可能减少系统中驻留的密钥量。密钥分配是密钥管理系统中最为复杂的问题,根据不同的用户要求和网络系统的大小,有不同的解决方法。根据密钥信息的交换方式,密钥分配可以分成3类:n人工密钥分发;n基于中心的密钥分发;n基于认证的密钥分发。(1)人工密钥分发o在很多情况下,用人工的方式给每个用户发送一次密钥。然后,后面的加密信息用这个密钥加密后,
20、再进行传送,这时,用人工方式传送的第一个密钥就是密钥加密密钥。o对一些保密要求很高的部门,采用人工分配是可取的。只要密钥分配人员是忠诚的,并且实施的计划周密,则人工分配密钥是安全的。随着计算机通信技术的发展,人工分配密钥的安全性将会加强。然而,人工分配密钥却不适应现代计算机网络的发展需要,利用计算机网络的数据处理和数据传输能力实现密钥分配自动化,无疑有利于密钥安全,反过来又提高了计算机网络的安全。(2)基于中心的密钥分发(1/2)o基于中心的密钥分发利用可信任的第三方,进行密钥分发。可信第三方可以在其中扮演两种角色:n 密钥分发中心(Key Distribuion Center,KDC);n
21、密钥转换中心(Key Translation Center,KTC)。o此方案的优势在于,如果用户知道自己的私钥和KDC的公钥,就可以通过密钥分发中心获取他将要进行通信的他方的公钥,从而建立正确的保密通信。o大多数的密钥分发方法都适合于特定的应用和情景。例如,依赖于时间戳的密钥分发方案比较适合本地认证环境,因为在这种环境中,所有的用户都可访问大家都信任的时钟服务器。(2)基于中心的密钥分发(2/2)o在Kerberos中,如果主体Alice和Bob通信时需要一个密钥,那么,Alice需要在通信之前先从KDC获得一个密钥。这种模式又称为拉模式(pull model)。o美国金融机构密钥管理标准(
22、ANSI X9.17)要求通信方Alice首先要和Bob建立联系,然后,让Bob从KDC取得密钥。这种模式称推模式(push model),表示是由Alice推动Bob去和KDC联系取得密钥。o从安全性方面,推模式和拉模式没有优劣之分,至于要实现哪种模式要看具体的环境而定。在Kerberos实现认证管理的本地网络环境中,把获取密钥的任务交给大量的客户端,这样可以减轻服务器的负担。而在使用X9.17设计的广域网环境中,采用由服务器去获得密钥的方案会好一些,因为服务器一般和KDC放在一起,而客户端通常和KDC离得很远。(3)基于认证的密钥分发o基于认证的密钥分发也可以用来进行建立成对的密钥。基于认
23、证的密钥分发技术又分成两类:n 用公开密钥加密系统,对本地产生的加密密钥进行加密,来保护加密密钥在发送到密钥管理中心的过程,整个技术叫做密钥传送;n 加密密钥由本地和远端密钥管理实体一起合作产生密钥。这个技术叫做密钥交换,或密钥协议。最典型的密钥交换协议是Diffie-Hellman密钥交换。5.4.3 计算机网络密钥分配方法(1)只使用会话密钥o这个方法适合比较小的网络系统中不同用户间的保密通信。它由一专门机构生成密钥后,将其安全发送到每个用户节点,保存在安全的保密装置内。在通信双方通信时,就直接使用这个会话密钥对信息加密。这个密钥被各个节点所共享。但这种只使用这一种密钥的通信系统的安全性低
24、,而且由于密钥被每个节点共享,容易泄露。在密钥更新时就必须在同一时间,在网内的所有节点(或终端)上进行,比较繁琐。o这种情况不适合现在开放性、大容量网络系统的需要。计算机网络密钥分配方法(2/3)(2)采用会话和基本密钥o为了提高保密性、可使用两种密钥会话密钥和基本密钥。对于这种方法,进行数据通信的过程是:主体在发送数据之前首先产生会话密钥,用基本密钥对其加密后,通过网络发送到客体;客体收到后用基本密钥对其解密,双方就可以开始通话了;会话结束,会话密钥消失。由于数据加密密钥只在一次会话内有效,会话结束,会话密钥消失,下次再会话时,再产生新的会话密钥,实现了密钥的动态更新,一次一密,因此大大提高
25、了系统的保密性。o为了防止会话密钥和中间一连串加密结果被非法破译,加密方法和密钥必须保存在一个被定义为保密装置的保护区中。基本密钥必须以秘密信道的方式传送,注入保密装置,不能以明文形式存在于保密装置以外。o基于这种情况的密钥分配已经产生了很多成熟的密钥协议。例如简单的Wide-Mouth Frog密钥分配协议,讨论的比较多的Yahalom密钥分配协议,可以有效防范重传攻击的Needham-Schroeder协议,还有著名的Kerberos协议。计算机网络密钥分配方法(3/3)(3)采用非对称密码体制的密钥分配o非对称密钥密码体制不仅可对数据进行加密,实现数字签名,也可用于对称密码体制中密钥的分
26、配。当系统中某一主体A想发起和另一主体B进行秘密通信时,先进行会话密钥的分配。A首先从认证中心获得B的公钥,用该公钥对会话密钥进行加密,然后发送给B,B收到该信息后,用自己所唯一拥有的私钥对该信息解密,就可以得到这次通信的会话密钥。这种方法是现在目前比较流行的密钥分配方法。5.4.4 密钥注入和密钥存储 密钥注入密钥注入o密钥的注入通常采用人工方式。特别对于一些很重要的密钥可由多人、分批次独立、分开完成注入,并且不能显示注入的内容,以保证密钥注入的安全。密钥的注入过程应当在一个安全、封闭的环境,以防止可能被窃听,防止电磁泄露或其他辐射造成的泄密等。当然,进行密钥注入工作的人员应当是绝对可靠的,
27、这是前提条件。o密钥常用的注入方法有:键盘输入、软盘输入、专用密钥注入设备(密钥枪)输入。采用密钥枪或密钥软盘应与键盘输入的口令相结合的方式来进行密钥注入更为安全。只有在输入了合法的加密操作口令后,才能激活密钥枪或软盘里的密钥信息。因此,应建立一定的接口规约。在密钥注入过程完成后,不允许存在任何可能导出密钥的残留信息,比如应将使用过的存储区清零。当将密钥注入设备用于远距离传递密钥时,注入设备本身应设计成像加密设备那样的封闭式物理逻辑单元。密钥注入后,还要检验其正确性。密钥存储o在密钥注入后,所有存储在加密设备里的密钥平时都以加密的形式存放,而对这些密钥的操作口令应该实现严格的保护,专人操作,口
28、令专人拥有或用动态口令卡来进行保护等。这样可以防止装有密钥的加密设备丢失也不至于造成密钥的泄露。o而且加密设备应有一定的物理保护措施。一部分最重要的密钥信息应采用掉电保护措施,使得在任何情况下,只要拆开加密设备,这部分密钥就会自动丢掉。o如果采用软件加密的形式,应有一定的软件保护措施。重要的加密设备应有紧急情况下自动消除密钥的功能。在可能的情况下,应有对加密设备进行非法使用的审计,把非法口令输入等事件的发生时间等纪录下来。高级专用加密设备应做到:无论通过人工的方法还是自动的(电子、X射线、电子显微镜等)方法都不能从密码设备中读出信息。对当前使用的密钥应有密钥合法性验证措施,以防止被篡改。密钥存
29、储(续)o通过这些保护措施的使用,应该做到存储时必须保证密钥的机密性、认证性和完整性,防止泄露和篡改。比较好的解决方案是:将密钥储存在磁条卡中,使用嵌入ROM芯片的塑料密钥或智能卡,通过计算机终端上特殊的读入装置把密钥输入到系统中。当用户使用这个密钥时,他并不知道它,也不能泄露它,他只能用这种方法使用它。若将密钥平分成两部分,一半存入终端,一半存入ROM钥卡上。即使丢掉了ROM钥卡也不致泄露密钥。将密钥做成物理形式会使存储和保护它更加直观。对于难以记忆的密钥可用加密形式存储,利用密钥加密密钥来加密。o公钥密码中的公钥不需要机密性保护,但应该提供完整性保护以防止篡改。公钥密码中的私钥必须在所有时
30、间都妥善保管。如果攻击者得到私钥的副本,那么它就可以读取发送给密钥对拥有者的所有机密通信数据,还可以像密钥对的拥有者那样对信息进行数字签名。对私钥的保护包括它们的所有副本。因此必须保护带有密钥的文件,可能包含这个文件的所有备份也应保护。o私钥管理成了公钥系统安全中薄弱的环节,从私钥管理途径进行攻击比单纯破译密码算法的代价要小得多,如何保护用户的私钥成了防止攻击的重点。大多数系统都使用密码对私钥进行保护。这样可以保护密钥不会被窃取,但是密码口令必须精心选择,以防止口令攻击。私钥存储方案 o(1)用口令加密后存放在本地软盘或硬盘o(2)存放在网络目录服务器中o(3)智能卡存储o(4)USB Key
31、存储5.4.5 密钥更换和密钥吊销(1)密钥更换o密钥的使用是有寿命的,一旦密钥有效期到,必须消除原密钥存储区,或者使用随机产生的噪声重写。为了保证加密设备能连续工作,也可以在新密钥生成后,旧密钥还可以保持一段时间,以防止密钥更换期间不能解密的死锁。密钥的更换,可以采用批密钥的方式,即一次注入多个密钥,在更换时可以按照一个密钥生效,另一个密钥废除的形式进行。替代的次序可以采用密钥的序号,如果批密钥的生成与废除是顺序的,则序数低于正在使用的密钥的所有密钥都已过期,相应的存储区清零。(2)密钥吊销o密钥的寿命不是无限的。由于会话密钥只能存在于一个会话中,所以在会话结束时,这个密钥会被删除,不需要吊
32、销它。一些密钥可能需要在给定的时间段内有效,一般来说,公钥对的有效期为一年到两年。有效的公钥会给出失效日期,在这个日期之后,读到该证书的系统不会认为它是有效的,因此不需要吊销已经失效的证书。不过,此类密钥也可能丢失或者被攻击。在发生这种情况时,密钥的拥有者必须将密钥不再有效并且不应该继续使用这一情况通知其他用户。对于私钥加密系统,如果密钥被攻击,那么启用新的密钥。o对于公钥的情况,如果密钥对被攻击或吊销,则没有明显的途径可以通知公钥的潜在使用者这个公公钥不再有效。在某些情况下,公钥被发布给公钥服务器。那些希望与密钥的拥有者通信的他们都可以连接到该服务器,以获得有效的公钥。通信他方必须定期访问密
33、钥服务器,以查看密钥是否被吊销,密钥的拥有者必须向所有潜在的密钥服务器发送吊销消息。密钥服务器还必须在原始证书有效期到期之前保留这条吊销信息。5.5 密钥产生技术密钥产生技术 本节提示o5.5.1 密钥产生的制约条件o5.5.2 如何产生密钥o5.5.3 针对不同密钥类型的产生方法5.5.1 密钥产生的制约条件1.通信的双方密钥选择o保密通信的双方间是否能选择合适的密钥,对算法的安全性有致命影响。一个不合适的密钥有可能很容易被对方破解,这种密钥被称为弱密钥。导致弱密钥的产生有以下两种情形:n(1)密钥产生设置的缺陷和密钥空间的减少;n(2)人为选择的弱密钥。密钥产生的制约条件2.密钥的尺度 o
34、针对密钥的产生还要考虑密钥的尺度要求。密钥尺度,也就是密钥的长度,对密钥的强度有直接的影响。密钥的尺度涉及到两个问题:多长的密钥才适合保密通信的要求;密钥系统对于对称/非对称密钥长度的匹配问题。n(1)密钥尺度的要求与信息的安全需要环境有关。n(2)对称/非对称密钥长度的匹配。诚然,使用对称密钥的算法在实现上比公开密钥的算法要快很多,而且密钥长度也要短。但是,公钥技术具有更大的实际使用效果。5.5.2 如何产生密钥o现代通信技术中需要产生大量的密钥分配给系统中的各个节点或实体,依靠人工产生密钥的方式不能适应现在对密钥大量需求的现状,因此实现密钥产生的自动化,不仅可以减轻人为制造密钥的工作负担,
35、而且可以消除人为差错引起的泄密。o本节主要介绍:n1.密钥产生的硬件技术n2.密钥产生的软件技术1、密钥产生的硬件技术噪声源技术是密钥产生的常用方法。因为噪声源具有产生二进制的随机序列或与之对应的随机数的功能,因此成为密钥产生设备的核心部件。噪声源还有一个功能是在物理层加密的环境下进行信息填充,使网络具有防止流量分析的功能。当采用序列密码时,也有防止乱数空发的功能。噪声源还被用于某些身份验证技术中,如对等实体鉴别中。为了防止口令被窃取,常常使用随机应答技术,这时的提问与应答是由噪声源控制的。因此噪声源在信息的安全传输和保密中有着广泛的应用。噪声源输出随机数序列(1)伪随机序列o伪随机序列也称作
36、伪码,具有近似随机序列(噪声)的性质,而又能按一定规律(周期)产生和复制的序列。因为真正的随机序列是只能产生而不能复制的,所以称其是“伪”的随机序列。一般用数学方法和少量的种子密钥来产生。伪随机序列一般都有良好的、能受理论检验的随机统计特性,但当序列的长度超过了唯一解的距离时,就成了一个可预测的序列。常用的伪随机序列有m序列、M序列和R-S序列。(2)物理随机序列o物理随机序列是用热噪声等客观方法产生的随机序列。实际的物理噪声往往要受到温度、电源、电路特性等因素的限制,其统计特性常带有一定的偏向性,因此也不能算是真正的随机序列。(3)准随机序列o用数学方法和物理方法相结合产生的随机序列。这种随
37、机序列可以克服前两者的缺点,具有很好的随机性。物理噪声源(1)基于力学噪声源的密钥产生技术o通常利用硬币、骰子等抛散落地的随机性产生密钥。例如,用1表示硬币的正面,用0表示硬币的反面,选取一定数量随机地抛撒并纪录其落地后的状态,便产生出二进制的密钥。这种方法效率低,而且随机性较差。(2)基于电子学噪声源的密钥产生技术o这种方法利用电子方法对噪声器件(如真空管、稳压二极管等)的噪声进行放大、整形处理后产生密钥随机序列。根据噪声迭代的原理将电子器件的内部噪声放大,形成频率随机变化的信号,在外界采样信号CLK的控制下,对此信号进行采样锁存,然后输出信号为0、1随机的数字序列。(3)基于混沌理论的密钥
38、产生技术o在混沌现象中,只要初始条件稍有不同,其结果就大相径庭,难以预测,而且在有些情况下,反映这类现象的数学模型又是十分简单,甚至一维非线性迭代函数就能显示出这种混沌特性。因此利用混沌理论的方法,不仅可以产生噪声,而且噪声序列的随机性好,产生效率高。2、密钥产生的软件技术 oX9.17(X9.17-1985金融机构密钥管理标准,由ANSI美国国家标准定义)标准定义了一种产生密钥的方法。oX9.17标准产生密钥的算法是三重DES,算法的目的并不是产生容易记忆的密钥,而是在系统中产生一个会话密钥或是伪随机数。其过程如下:o假设表示用密钥对比特串进行的三重DES加密,是为密钥发生器保留的一个特殊密
39、钥。是一个秘密的64位种子,是一个时间标记。产生的随机密钥可以通过下面的两个算式来计算:o对于128位和192位密钥,可以通过上法生成几个64位的密钥后,串接起来就可以。ANSI X9.17 密钥产生的过程 5.5.3 针对不同密钥类型的产生方法 o(1)主机主密钥的产生o(2)加密密钥的产生o(3)会话密钥的产生5.6 密钥的分散管理与托管密钥的分散管理与托管 本节提示:o5.6.1 密钥分散技术o5.6.2 密钥的分散、分配和分发o5.6.3密钥的托管技术o5.6.4部分密钥托管技术5.6.1 密钥分散技术o在密钥数据库中,系统的安全依赖于唯一的主密钥。这样,一旦主密钥被偶然或蓄意泄露,整
40、个系统就容易受到攻击。如果主密钥被丢失或损坏,则系统的全部信息便不可访问。因此就提出了密钥的分散管理问题。o密钥的分散管理就是把主密钥拷贝给多个可靠的用户保管,而且可以使每个持密钥者具有不同的权力。其中权力大的用户可以持有几个密钥,权力小的用户只持有一个密钥。也就是说密钥分散把主密钥信息进行分割,不同的密钥持有者掌握其相应权限的主密钥信息。密钥的分散管理 密钥分散技术o在这个密钥模型下,网络中所有节点都拥有公钥 ,把私有密钥 分配给 个不同的子系统。这样,不同子系统的私有密钥分别是 。即各个子系统分别掌握私钥的一部分信息,而要进行会话的真实密钥是所有这些子系统所掌握的不同密钥的组合,但不是简单
41、的合并。这样做的好处是,攻击者只有将各个子系统全部破解,才能得到完整的密钥。但是,这种机制也有很明显的缺陷,就是节点多的话,要得到所有 个子系统的私有密钥才能完成认证,这会导致系统效率不高。采用存取门限机制可以解决认证过程复杂,低效的问题。一般来说,门限子系统的个数不应该少于 个子系统的一半,这样才能保证系统的安全。假设实际密钥 ,通过3个服务器进行分散管理,而设定的门限值是2,即只要能获得两个服务器所掌握的密钥信息,就可以获得实际进行通信的密钥 。提高密钥管理的安全性o通过这种门限存取机制可以大大提高系统的运行效率,使得这种机制的实现具有了可行性。密钥管理的复杂性主要体现在密钥的分配和存储,
42、对于不是主密钥的其他密钥,也可以分散存储。为了提高密钥管理的安全性,采用如下两种措施:n 尽量减少在网络系统中所使用的密钥的个数;n 采用(k,w)门陷体制增强主密钥的保密强度,即将密钥E分成w个片段,密钥由k(kw)个密钥片段产生,小于或等于k-1个片段都不能正确产生E,这样小于或等于k-1个密钥片段的泄露不会威胁到E的安全性。网络管理结构 目前有3种基本的网络管理结构:集中式、层次式和分布式结构,可以实现密钥的分散管理,其中层次式结构是一种重要的网络管理结构。层次式结构使用了对管理者进行管理(Manager of Managers)的概念,每个域管理者只负责他自己的域的管理,并不知道其它域
43、的存在,更高级管理者从下级的域管理者获得信息,在域管理者之间不进行直接通信,这个结构具有很好的扩展性和较好的灵活性。5.6.2 密钥的分散、分配和分发o 密钥的分散是指主密钥在密钥的管理系统中具有重要地位,因此他的安全至关重要,所以需要将主密钥按照权限分散在几个高级用户(或是机构)中保管。这样可以避免攻击者破获主密钥的可能性。o 分配是指用户或是可信第三方为通信双方所产生密钥协商的过程。o 分发是指密钥管理系统与用户间的密钥协商过程。密钥的分散、分配和分发示意图 5.6.3密钥的托管技术 加密技术的快速发展,给保密通信和电子商务起到了良好的推动作用。但是,也使得政府法律职能部门难以跟踪截获犯罪
44、嫌疑人员的通信,为此,产生了密钥托管技术。1993年4月美国政府公布托管加密标准(Escrowed Encryption Standard,EES),提出了密钥托管的新概念,即提供强密码算法实现用户的保密通信,并使获得合法授权的法律执行机构利用密钥托管机构提供的信息,恢复出会话密钥从而对通信实施监听。自从美国政府公布托管加密标准EES以来,该领域受到了世界广泛的关注。密钥托管技术的硬件技术,包括对EES进行分析和改进,并提出更完善的硬件实现方案;密钥托管技术的软件技术,主要是提出各种新的密钥托管加密方案,以满足各种不同的托管要求,并对其安全性进行分析。但由于密钥托管本身非常复杂,致使有些问题目
45、前仍有许多争论,并且就密钥托管加密技术而言,由于其集密钥管理、密码、认证、数字签名、零知识证明、秘密共享等于一身,因此实现起来非常困难。密钥托管 o密钥托管是指用户向在申请数据加密证书之前,必须把自己的密钥分成份交给可信赖的个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这个人存储的密钥合在一起才能得到用户的完整密钥。n1.密钥托管的重要功能n2.密钥托管加密系统的组成1、密钥托管的重要功能o(1)防抵赖。在商务活动中,通过数字签名即可验证自己的身份可防抵赖。但当用户改变了自己的密码,他就可抵赖没有进行过此商务活动。为了防止这种抵赖有几种办法,一种是用户在改密码
46、时必须向说明,不能自己私自改变。另一种是密钥托管,当用户抵赖时,其他位托管人就可出示他们存储的密钥合成用户的密钥,使用户没法抵赖。o(2)政府监听。政府、法律职能部门或合法的第三者为了跟踪、截获犯罪嫌疑人员的通信,需要获得通信双方的密钥。这时合法的监听者就可通过用户的委托人收集密钥片后得到用户密钥,就可进行监听。o(3)密钥恢复。用户遗忘了密钥想恢复密钥,就可从委托人那里收集密钥片恢复密钥。2、密钥托管加密系统的组成密钥托管加密系统按照功能的不同,逻辑上可分为5大部分。即:o用户安全部分(Use rSecurity Component,USC)o密钥托管部分(Key Escrow Compon
47、ent,KEC)o政府监听部分(数据恢复部分(Data Recovery Component,DRC),o法律授权部分(Court Authorization Component,CAC)o外部攻击部分(Outsider Attack Component,OAC)其中前4部分属于内部主要成分,第5部分属于外部主要成分。5.6.4部分密钥托管技术 o1995年,Shamir提出部分密钥托管的方案,其目的是为了在监听时延迟恢复密钥,从而阻止了政府大规模实施监听事件的发生。所谓部分密钥托管,就是把整个私钥c分成两个部分x0和a,使得c=x0+a,其中a是小比特数,x0是被托管的密钥。x0被分成许多份
48、子密钥,它们分别被不同的托管机构托管,只有足够多的托管机构合在一起才能恢复x0。监听机构在实施监听时依靠托管机构只能得到x0,要得到用户的私钥c,就需穷搜出a。从上面的描述可以看出,一旦监听机构对某个用户实施监听后,监听机构就可以知道用户的私钥c。这样,用户不得不重新申请密钥。这对诚实合法的用户来说是不公平的。小结小结 o本章主要讨论了为什么要进行密钥管理和如何进行密钥管理的问题,分别对公钥管理技术和对称密钥管理技术进行了说明。将这两种技术统一形成了密钥管理系统。密钥管理系统是涉及密钥的产生、传输、验证、使用、更新、备份、销毁和有效期等环节的综合过程。密钥管理是一个非常复杂的过程。密钥的生存周
49、期是指授权使用该密钥的周期。在实际中,存储密钥最安全的方法就是将其放在物理上安全的地方。密钥登记包括将产生的密钥与特定的应用绑定在一起。密钥管理的重要内容就是解决密钥的分发问题。密钥销毁包括清除一个密钥的所有踪迹。密钥分发技术是将密钥发送到数据交换的两方,而其他人无法看到的地方。o密钥管理系统的存在,对于相同密钥管理系统内的用户间的数据传输,有了安全上的保障。对于不同密钥管理系统内的用户,必须通过分层管理实现。分层管理的实质,是不同密钥管理系统间的相互认证。对于单一密钥管理系统而言,也要考虑密钥分散管理的问题。最后,介绍了密钥托管技术。思考题思考题 o1.为什么要引进密钥管理技术?o2.密钥管理系统涉及到密钥管理的那些方面?o3.什么是密钥托管?
个人主页
