Chapter14

密鑰管理和分發(fā)

《計(jì)算機(jī)與網(wǎng)絡(luò)安全》

2023/2/1西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2主要內(nèi)容對(duì)稱(chēng)加密的對(duì)稱(chēng)密鑰分發(fā)

非對(duì)稱(chēng)加密的對(duì)稱(chēng)密鑰分發(fā)

公鑰分發(fā)X.509認(rèn)證服務(wù)

公鑰基礎(chǔ)設(shè)施2023/2/13§14.1對(duì)稱(chēng)加密的密鑰分發(fā)任何密碼系統(tǒng)的強(qiáng)度都與密鑰分配方法有關(guān)。密鑰分配方法指將密鑰發(fā)放給希望交換數(shù)據(jù)的雙方而不讓別人知道的方法。2023/2/14密鑰分配分配方法：A、B雙方通信密鑰由A選擇，親自交與B；第三方選擇密鑰后親自交與A和B；一方用雙方已有的密鑰加密一個(gè)新密鑰后發(fā)給另一方；A和B與第三方C均有秘密通道，則C可以將密鑰分別發(fā)送給A和B。2023/2/15密鑰分配對(duì)分配方法的分析方法1和2需要人工傳送密鑰，對(duì)鏈路加密要求不過(guò)分，對(duì)端到端加密則有些笨拙。方法3可用于鏈路加密和端到端加密。問(wèn)題：①攻擊者若已成功獲取一個(gè)密鑰；②初始密鑰的分配。對(duì)于端到端加密，方法4稍做變動(dòng)即可應(yīng)用。需要一個(gè)密鑰分配中心（KDC）參與分配。2023/2/16用于支持任意端點(diǎn)間通信所需的密鑰數(shù)2023/2/17密鑰分配密鑰分類(lèi)會(huì)話密鑰（ks）末端通信時(shí)使用的臨時(shí)加密密鑰主密鑰（km）加密ks的密鑰2023/2/18層次式密鑰2023/2/19一種透明的密鑰控制方案密鑰分發(fā)方案2023/2/110密鑰分配模式2023/2/111層次式密鑰控制單個(gè)KDC在網(wǎng)絡(luò)規(guī)模很大時(shí)不實(shí)際層次式可提高效率并降低風(fēng)險(xiǎn)2023/2/112會(huì)話密鑰的生命期在安全性與通信時(shí)間之間折衷考慮對(duì)面向連接的協(xié)議，改變連接時(shí)，改用新的ks對(duì)非面向連接的協(xié)議，定期更改。2023/2/113面向連接的密鑰自動(dòng)分發(fā)協(xié)議2023/2/114分散式密鑰控制會(huì)話密鑰生成步驟：2023/2/11514.1.6密鑰的使用方法會(huì)話密鑰的類(lèi)型數(shù)據(jù)加密密鑰，用于網(wǎng)絡(luò)中的通用通信PIN加密密鑰，用于電子資金轉(zhuǎn)賬和銷(xiāo)售點(diǎn)應(yīng)用的個(gè)人識(shí)別碼（PIN）文件加密密鑰，用于可公開(kāi)訪問(wèn)的加密文件2023/2/11614.1.6密鑰的使用方法會(huì)話密鑰的類(lèi)型密鑰標(biāo)志(以DES為例)一位表示主密鑰或會(huì)話密鑰一位表示密鑰可否用于加密一位表示密鑰可否用于解密其余位未用特點(diǎn)標(biāo)志含在密鑰中，密鑰分配時(shí)就被加密缺點(diǎn)：①位數(shù)少，限制了其靈活性和功能；②標(biāo)志不能以明文傳輸，解密后才能使用，限制了對(duì)密鑰的管理控制矢量方法2023/2/117會(huì)話密鑰的類(lèi)型密鑰標(biāo)志控制矢量方法思路會(huì)話密鑰的加密加密：H=h(CV)，Kc=Ekm⊕H[Ks]解密：H=h(CV)，Ks=Dkm⊕H[Kc]優(yōu)點(diǎn)控制矢量長(zhǎng)度不限控制矢量以明文傳輸，可多次運(yùn)用對(duì)密鑰的控制要求密鑰的使用方法2023/2/118⊕⊕控制矢量的加密和解密2023/2/119§14.2非對(duì)稱(chēng)加密的對(duì)稱(chēng)密鑰分發(fā)公鑰的分配公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配2023/2/120采用前面的方法獲得公鑰可以提供保密和認(rèn)證但公鑰算法常常很慢用私鑰加密可以保護(hù)信息內(nèi)容因此，需要會(huì)話密鑰許多可選的方案用于協(xié)商合適的會(huì)話密鑰2023/2/121簡(jiǎn)單的秘密鑰分配1979由Merkle提出A產(chǎn)生一個(gè)新的臨時(shí)用的公鑰對(duì)A發(fā)送自己的標(biāo)識(shí)和公鑰給BB產(chǎn)生一個(gè)會(huì)話密鑰，并用A的公鑰加密后發(fā)送給AA解密會(huì)話密鑰問(wèn)題是容易受到主動(dòng)攻擊，而通信雙方卻毫無(wú)察覺(jué)。2023/2/122利用公鑰加密建立會(huì)話密鑰Merkle協(xié)議的中間人攻擊A生成{KUa,KRa},AB:(IDA,KUa)E截獲,生成{KUe,KRe}冒充AB:(IDA,KUe)B生成隨機(jī)密鑰Ks,BA:EKUe(Ks)E截獲,解密后再用EKUa加密KsA:EKUa(Ks)A丟棄{KUa,KRa},B丟棄KUaE獲得了Ks,故以后只需進(jìn)行竊聽(tīng).A,B并不知曉它們被攻擊了Secretkeydistributionwithconfidentialityandauthentication假定A和B已經(jīng)獲得了雙方的公鑰:AB:EKUb(IDA,N1)BA:EKUa(N1,N2)AB:EKUb(N2)AB:Y=EKUb(EKRa(Ks))B解密Y獲得會(huì)話密鑰Ks=DKUa(DKRb(Y))2023/2/125混合方式的密鑰分配保留私鑰配發(fā)中心(KDC)每用戶與KDC共享一個(gè)主密鑰用主密鑰分配會(huì)話密鑰公鑰用于分配主密鑰在大范圍分散用戶的情況下尤其有用三層結(jié)構(gòu)基本依據(jù)性能向后兼容性2023/2/126§14.3公鑰分發(fā)公鑰的分配公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配2023/2/127公鑰的分配公鑰分配方法公開(kāi)發(fā)布公開(kāi)可訪問(wèn)目錄公鑰授權(quán)公鑰證書(shū)2023/2/128公鑰的公開(kāi)發(fā)布用戶分發(fā)自己的公鑰給接收者或廣播給通信各方例如：把PGP的公鑰放到消息的最后，發(fā)布到新聞組或郵件列表中缺點(diǎn)：偽造任何人都可以產(chǎn)生一個(gè)冒充真實(shí)發(fā)信者的公鑰來(lái)進(jìn)行欺騙直到偽造被發(fā)現(xiàn)，欺騙已經(jīng)形成2023/2/129無(wú)控制的公鑰分發(fā)2023/2/130公開(kāi)可訪問(wèn)的目錄通過(guò)使用一個(gè)公共的公鑰目錄可以獲得更大程度的安全性目錄應(yīng)該是可信的，特點(diǎn)如下：包含

{姓名，公鑰}目錄項(xiàng)通信方只能安全的注冊(cè)到目錄中通信方可在任何時(shí)刻進(jìn)行密鑰更替目錄定期發(fā)布或更新目錄可被電子化地訪問(wèn)缺點(diǎn)：仍存在被篡改偽造的風(fēng)險(xiǎn)2023/2/131公開(kāi)的公鑰發(fā)布2023/2/132公鑰授權(quán)通過(guò)更加嚴(yán)格地控制目錄中的公鑰分配，使公鑰分配更加安全。具有目錄特性每一通信方必須知道目錄管理員的公鑰用戶和目錄管理員進(jìn)行交互以安全地獲得所希望的公鑰當(dāng)需要密鑰時(shí)，確實(shí)需要能夠?qū)崟r(shí)訪問(wèn)目錄。公鑰目錄管理員成為系統(tǒng)的瓶頸。2023/2/133公鑰授權(quán)公鑰發(fā)布方案2023/2/1利用公鑰管理機(jī)構(gòu)的公鑰分發(fā)建立、維護(hù)動(dòng)態(tài)的公鑰目錄表每個(gè)用戶都可靠地知道公鑰管理機(jī)構(gòu)的公鑰.SKAU

：公鑰管理機(jī)構(gòu)自己的秘鑰，僅公鑰管理機(jī)構(gòu)自己知道；2023/2/135公鑰證書(shū)用證書(shū)進(jìn)行密鑰交換，可以避免對(duì)公鑰目錄的實(shí)時(shí)授權(quán)訪問(wèn)證書(shū)包含標(biāo)識(shí)和公鑰等信息

通常還包含有效期，使用權(quán)限等其它信息含有可信公鑰或證書(shū)授權(quán)方(CA)的簽名知道公鑰或證書(shū)授權(quán)方的公鑰的所有人員都可以進(jìn)行驗(yàn)證例如：X.509標(biāo)準(zhǔn)2023/2/136公鑰證書(shū)公鑰證書(shū)交換2023/2/137§14.4X.509認(rèn)證服務(wù)CCITTX.500目錄服務(wù)的一部分維護(hù)用戶信息數(shù)據(jù)庫(kù)的分布式服務(wù)器定義了認(rèn)證服務(wù)的框架目錄可存儲(chǔ)公鑰證書(shū)由認(rèn)證中心簽名的用戶的公鑰定義了認(rèn)證協(xié)議使用了公鑰密碼和數(shù)字簽名技術(shù)未作算法規(guī)定，但推薦使用RSAX.509證書(shū)已得到了廣泛地使用2023/2/138X.509認(rèn)證服務(wù)的應(yīng)用X.509建議最早在1988年發(fā)布，1993年和1995年又分別發(fā)布了它的第二和第三個(gè)修訂版。X.509目前已經(jīng)是一個(gè)非常重要的標(biāo)準(zhǔn)，因?yàn)閄.509定義的認(rèn)證證書(shū)結(jié)構(gòu)和認(rèn)證協(xié)議已經(jīng)被廣泛應(yīng)用于諸多應(yīng)用過(guò)程。IPSec(提供了一種網(wǎng)絡(luò)層的安全性)SSL/TLS(securitysocketlayer/transportlayersecurity，安全套接層，可用來(lái)解決傳輸層的安全性問(wèn)題)SET(電子商務(wù)交易，SET是一種開(kāi)放的加密安全規(guī)范，用于保護(hù)Internet上的信用卡交易)S/MIME(保證電子郵件安全，側(cè)重于作為商業(yè)和團(tuán)體使用的標(biāo)準(zhǔn)，而PGP則傾向于為許多用戶提供個(gè)人電子郵件的安全性)2023/2/139X.509證書(shū)由認(rèn)證中心發(fā)放(CA),包括:version(1,2,or3)serialnumber(uniquewithinCA)identifyingcertificatesignaturealgorithmidentifierissuerX.500name(CA)periodofvalidity(from-todates)subjectX.500name(nameofowner)subjectpublic-keyinfo(algorithm,parameters,key)issueruniqueidentifier(v2+)subjectuniqueidentifier(v2+)extensionfields(v3)signature(ofhashofallfieldsincertificate)符號(hào)

CA<<A>>表示由CA簽名的A的證書(shū)2023/2/1X.509證書(shū)格式2023/2/12023/2/1西安電子科技大學(xué)計(jì)算機(jī)學(xué)院42公鑰證書(shū)的使用2023/2/143在X.509中，證書(shū)機(jī)構(gòu)Y頒發(fā)給用戶X的證書(shū)表示為：Y<<X>>；Y對(duì)信息I進(jìn)行的簽名表示為Y{I}。這樣一個(gè)CA頒發(fā)給用戶A的X.509證書(shū)可以表示為：CA<<A>>=CA{V,SN,AI,CA,TA,A,Ap}V:版本號(hào)，SN：證書(shū)序列號(hào)，AI：算法標(biāo)識(shí)，TA：有效期,Ap：

A的公開(kāi)密鑰信息。X.509證書(shū)2023/2/144獲得一個(gè)用戶證書(shū)任何可以訪問(wèn)CA的用戶都可以得到一個(gè)證書(shū)只有CA可以修改證書(shū)由于證書(shū)不能偽造，所以證書(shū)可以放到一個(gè)公共目錄中2023/2/145CA層次

如果兩個(gè)用戶共享同一個(gè)CA,則兩者知道彼此的公鑰否則，CA就要形成層次用證書(shū)將層次中的各CA鏈接每個(gè)CA有對(duì)客戶的證書(shū)(前向)和對(duì)父CA的證書(shū)(后向)

每一個(gè)客戶信任所有父證書(shū)層次中的所有其它CA的用戶，可以驗(yàn)證從一個(gè)CA獲得的任何證書(shū)2023/2/1西安電子科技大學(xué)計(jì)算機(jī)學(xué)院46CA層次的使用2023/2/12.交叉認(rèn)證交叉認(rèn)證是把以前無(wú)關(guān)的CA連接到一起的認(rèn)證機(jī)制。當(dāng)兩者隸屬于不同的CA時(shí)，可以通過(guò)信任傳遞的機(jī)制來(lái)完成兩者信任關(guān)系的建立。CA簽發(fā)交叉認(rèn)證證書(shū)是為了形成非層次的信任路徑。一個(gè)雙邊信任關(guān)系需要兩個(gè)證書(shū)，它們覆蓋每一方向中的信任關(guān)系。這些證書(shū)必須由CA之間的交叉認(rèn)證協(xié)議來(lái)支持。當(dāng)某證書(shū)被證明是假的或者令人誤解的時(shí)候，該協(xié)議將決定合作伙伴的責(zé)任。2023/2/12.交叉認(rèn)證鐵道總公司CA開(kāi)發(fā)部CA運(yùn)輸部CA銀行1支行CA銀行2支行CA鐵道分公司CA銀行總行CA銀行分行CA交叉認(rèn)證例如：2023/2/13.證書(shū)鏈頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息頒發(fā)者名稱(chēng)主體名稱(chēng)公鑰信息其他信息…自簽證書(shū)子證書(shū)子證書(shū)端實(shí)體證書(shū)…2023/2/1

如果用戶數(shù)量極多，則僅一個(gè)CA負(fù)責(zé)為用戶簽署證書(shū)就有點(diǎn)不現(xiàn)實(shí)，通常應(yīng)有多個(gè)CA，每個(gè)CA為一部分用戶發(fā)行、簽署證書(shū)。例如：設(shè)用戶A已從證書(shū)發(fā)放機(jī)構(gòu)X1處獲取了公開(kāi)密鑰證書(shū)，用戶B已從X2處獲取了證書(shū)。如果A不知X2的公開(kāi)密鑰，則他雖然能讀取B的證書(shū)，但卻無(wú)法驗(yàn)證用戶B證書(shū)中X2的簽名，因此B的證書(shū)對(duì)A來(lái)說(shuō)是沒(méi)有用處的。然而，如果兩個(gè)CA：X1和CA：X2彼此間已經(jīng)安全地交換了公開(kāi)密鑰，則A可通過(guò)以下過(guò)程獲取B的公開(kāi)密鑰：2023/2/1(1)?A從目錄中獲取由X1簽署的X2的證書(shū)X1《X2》，因A知道X1的公開(kāi)密鑰，所以能驗(yàn)證X2的證書(shū)，并從中得到X2的公開(kāi)密鑰。(2)?A再?gòu)哪夸浿蝎@取由X2簽署的B的證書(shū)X2《B》，并由X2的公開(kāi)密鑰對(duì)此加以驗(yàn)證，然后從中得到B的公開(kāi)密鑰。以上過(guò)程中，A是通過(guò)一個(gè)證書(shū)鏈來(lái)獲取B的公開(kāi)密鑰的，證書(shū)鏈可表示為X1《X2》X2《B》Y《X》表示證書(shū)發(fā)放機(jī)構(gòu)Y向用戶X發(fā)放的證書(shū)，Y{I}表示Y對(duì)I的哈希值簽名2023/2/152證書(shū)的撤銷(xiāo)證書(shū)有效期過(guò)期前撤銷(xiāo)，例如:用戶的密鑰被認(rèn)為不安全了用戶不再信任該CACA證書(shū)被認(rèn)為不安全了CA維護(hù)一個(gè)證書(shū)撤銷(xiāo)列表證書(shū)撤銷(xiāo)列表，theCertificateRevocationList(CRL)用戶應(yīng)該檢查CA的CRL2023/2/153認(rèn)證過(guò)程X.509包括三種可選的認(rèn)證過(guò)程

單向認(rèn)證雙向認(rèn)證三向認(rèn)證三種方法都采用公鑰簽名2023/2/154單向認(rèn)證1消息(A->B)完成單向認(rèn)證

A的標(biāo)識(shí)和A創(chuàng)建的消息B所需要的消息消息的完整性和原創(chuàng)性（不能多次發(fā)送）消息必須含有時(shí)間戳，臨時(shí)交互號(hào)和B的標(biāo)識(shí)，并由A簽名也可以包含B所需要的其它信息例如，會(huì)話密鑰

2023/2/155單向認(rèn)證2023/2/156雙向認(rèn)證2消息如上建立外(A->B,B->A)，還需:B的標(biāo)識(shí)和B生成的應(yīng)答消息A需要的消息應(yīng)答的完成性和真實(shí)性

應(yīng)答包括從A產(chǎn)生的臨時(shí)交互號(hào)，也有由B產(chǎn)生的時(shí)戳和臨時(shí)交互號(hào)還可以包括其它A需要的附加信息2023/2/157雙向認(rèn)證2023/2/158三向認(rèn)證3在沒(méi)有同步時(shí)鐘情況下，消息(A->B,B->A,A->B)可以完成認(rèn)證從A回到B的相應(yīng)包含B產(chǎn)生的臨時(shí)交互號(hào)時(shí)戳不必檢查了2023/2/159三向認(rèn)證2023/2/160X.509Version3已經(jīng)認(rèn)識(shí)到證書(shū)中附加信息的重要性email/URL,策略細(xì)節(jié),使用限制增加了一些可選的擴(kuò)展項(xiàng)證書(shū)每一個(gè)擴(kuò)展項(xiàng)都包括:擴(kuò)展標(biāo)識(shí)危險(xiǎn)指示（T/F）擴(kuò)展值2023/2/161證書(shū)擴(kuò)展項(xiàng)密鑰和策略信息傳達(dá)證書(shū)主體和發(fā)行商密鑰相關(guān)的附加信息，以及證書(shū)策略的指示信息，如密鑰用途證書(shū)主體和發(fā)行商屬性支持可變的名字，以可變的形式表示證書(shū)主體或發(fā)行商的某些屬性，如公司位置，圖片等。證書(shū)路徑約束允許限制由其它CA發(fā)行的證書(shū)的使用企業(yè)或機(jī)構(gòu)身份證書(shū)

符合X.509標(biāo)準(zhǔn)的數(shù)字安全證書(shū)，證書(shū)中包含企業(yè)信息和企業(yè)的公鑰，用于標(biāo)識(shí)證書(shū)持有企業(yè)的身份。數(shù)字安全證書(shū)和對(duì)應(yīng)的私鑰存儲(chǔ)于E-key或IC卡中，可以用于企業(yè)在電子商務(wù)方面的對(duì)外活動(dòng)，如合同簽定、網(wǎng)上證券交易、交易支付信息等方面。什么是E-Key?

E-Key是一種形狀類(lèi)似U盤(pán)的智能存儲(chǔ)設(shè)備，用于存放識(shí)別隨易通用戶身份的數(shù)字證書(shū)，內(nèi)有cpu芯片，可進(jìn)行數(shù)字簽名和簽名驗(yàn)證的運(yùn)算，外形小巧，可插在電腦的USB接口中使用。

由于E-Key具有存儲(chǔ)信息不可讀取、導(dǎo)出的特征，安全性高，用于身份識(shí)別可有效防止用戶帳號(hào)被竊取、散發(fā)?，F(xiàn)多用于銀行的網(wǎng)上銀行服務(wù)。

2023/2/12023/2/163§14.5公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)是有硬件、軟件、人、策略和程序構(gòu)成的一整套體系（RFC2822）

IETF的PKIX工作組在X.509的基礎(chǔ)上，建立一個(gè)可以構(gòu)建網(wǎng)絡(luò)認(rèn)證的基本模型。2023/2/164§14.5公鑰基礎(chǔ)設(shè)施2023/2/1

為管理公開(kāi)密鑰（生成、認(rèn)證、存儲(chǔ)、安裝），須建立一套公鑰基礎(chǔ)設(shè)施（PKI-PublicKeyInfr