第4講密鑰分配與管理王志偉博士計算機學(xué)院信息安全系zhwwang@2024/5/14南京郵電大學(xué)2本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2024/5/14南京郵電大學(xué)3密碼學(xué)方法應(yīng)用舉例-PGPPGP(PrettyGoodPrivacy),是一個基于公鑰加密體系的郵件加密軟件加密-防止非授權(quán)者閱讀簽名-確信郵件不是偽造的把公鑰體制的方便與私鑰體制的高速相結(jié)合2024/5/14南京郵電大學(xué)4PGP的原理首先產(chǎn)生一對鑰匙一個私鑰，一個公鑰傳送一封保密郵件時，首先取得對方的公鑰，再利用對方的公鑰加密對方收到加密后的郵件后，利用相應(yīng)的私鑰來解密還可以只簽名而不加密2024/5/14南京郵電大學(xué)5密鑰管理問題的提出公鑰比私鑰的發(fā)布要方便很多，但仍然存在安全性問題例如張三的公鑰被篡改防范方法直接從張三那得到公鑰通過共同的朋友王五由一個大家普遍信任的“認證權(quán)威”由多人簽名的公鑰收集起來，放到公共場合，希望大部分人至少認識其中的一個……公鑰的安全性問題是PGP安全問題的核心2024/5/14南京郵電大學(xué)6本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2024/5/14南京郵電大學(xué)7目前，大部分加密算法都已經(jīng)公開了，像DES和RSA等加密算法甚至作為國際標準來推行。因此明文的保密在相當大的程度上依賴于密鑰的保密。在現(xiàn)實世界里，密鑰的分配與管理一直是密碼學(xué)領(lǐng)域較為困難的部分。設(shè)計安全的密鑰算法和協(xié)議是不容易的，但可以依靠大量的學(xué)術(shù)研究。相對來說，對密鑰進行保密更加困難。因而，如何安全可靠、迅速高效地分配密鑰，如何管理密鑰一直是密碼學(xué)領(lǐng)域的重要問題。密鑰分配與管理要使常規(guī)加密有效地進行，信息交互的雙方必須共享一個密鑰，并且這個密鑰還要防止被其他人獲得。要使公開加密有效地進行，信息接收的一方必須發(fā)布其公開密鑰，同時要防止其私有密鑰被其他人獲得。2024/5/14南京郵電大學(xué)8密鑰分配的四種方法(1)密鑰可以由A選定，然后通過物理的方法安全地傳遞給B。(2)密鑰可以由可信任的第三方C選定，然后通過物理的方法安全地傳遞給A和B。

上述方法由于需要對密鑰進行人工傳遞，對于大量連接的現(xiàn)代通信而言，顯然不適用。

(3)如果A和B都有一個到可信任的第三方C的加密連接，那么C就可以通過加密連接將密鑰安全地傳遞給A和B。

采用的是密鑰分配中心技術(shù)，可信任的第三方C就是密鑰分配中心KDC(keydistributecenter)，常常用于常規(guī)加密密鑰的分配。2024/5/14南京郵電大學(xué)9(4)如果A和B都在可信任的第三方發(fā)布自己的公開密鑰，那么它們都可以用彼此的公開密鑰加密進行通信。

采用的是密鑰認證中心技術(shù)，可信任的第三方C就是證書授權(quán)中心CA(certificateauthority)，更多用于公開加密密鑰的分配。主要講(3)KDC(4)CA方式2024/5/14南京郵電大學(xué)10常規(guī)加密密鑰的分配1.集中式密鑰分配方案由一個中心節(jié)點或者由一組節(jié)點組成層次結(jié)構(gòu)負責(zé)密鑰的產(chǎn)生并分配給通信的雙方，在這種方式下，用戶不需要保存大量的會話密鑰，只需要保存同中心節(jié)點的加密密鑰，用于安全傳送由中心節(jié)點產(chǎn)生的即將用于與第三方通信的會話密鑰。這種方式缺點是通信量大，同時需要較好的鑒別功能以鑒別中心節(jié)點和通信方。目前這方面的主流技術(shù)是密鑰分配中心KDC技術(shù)。我們假定每個通信方與密鑰分配中心KDC之間都共享一個惟一的主密鑰，并且這個惟一的主密鑰是通過其他安全的途徑傳遞的。2024/5/14南京郵電大學(xué)11AKDC：IDa||IDb||N1KDC

A：EKa[Ks

||IDa||IDb||N1||EKb[Ks||IDa]]AB：

EKb[Ks||IDa]BA：

EKs[N2]AB：

EKs[f（N2）]密鑰分配中心KDC的密鑰分配方案2024/5/14南京郵電大學(xué)12N1N2

Nonce現(xiàn)時實際上，到第(3)步已經(jīng)完成密鑰的分配過程，通信的雙方已經(jīng)共享了當前的會話密鑰Ks，第(4)步和第(5)步完成的是鑒別功能。2024/5/14南京郵電大學(xué)13問題單個密鑰分配中心KDC無法支持大型的通信網(wǎng)絡(luò)。每兩個可能要進行安全通信的終端都必須同某個密鑰分配中心共享主密鑰。當通信的終端數(shù)量很大時，將出現(xiàn)這樣的情況：每個終端都要同許多密鑰分配中心共享主密鑰，增加了終端的成本和人工分發(fā)密鑰分配中心和終端共享的主密鑰的成本。需要幾個特別大的密鑰分配中心，每個密鑰分配中心都同幾乎所有終端共享主密鑰。然而各個單位往往希望自己來選擇或建立自己的密鑰分配中心。2024/5/14南京郵電大學(xué)14解決辦法為解決這種情況，同時支持沒有共同密鑰分配中心的終端之間的密鑰信息的傳輸，我們可以建立一系列的密鑰分配中心，各個密鑰分配中心之間存在層次關(guān)系。各個密鑰分配中心按一定的方式進行協(xié)作，這樣，一方面主密鑰分配所涉及的工作量減至最少，另一方面也可以使得某個KDC失效時，只影響其管轄的區(qū)域，而不至于影響整個網(wǎng)絡(luò)。2024/5/14南京郵電大學(xué)15分散式密鑰分配方案使用密鑰分配中心進行密鑰的分配要求密鑰分配中心是可信任的并且應(yīng)該保護它免于被破壞。如果密鑰分配中心被第三方破壞，那么所有依靠該密鑰分配中心分配會話密鑰進行通信的所有通信方將不能進行正常的安全通信。如果密鑰分配中心被第三方控制，那么所有依靠該密鑰分配中心分配會話密鑰進行進信的所有通信方之間的通信信息將被第三方竊聽到。2024/5/14南京郵電大學(xué)16如果我們把單個密鑰分配中心分散成幾個密鑰分配中心，將會降低這種風(fēng)險。更進一步，我們可以把幾個密鑰分配中心分散到所有的通信方，也就是說每個通信方自己保存同其他所有通信方的主密鑰。這種分散式密鑰分配方案要求有n個通信方的網(wǎng)絡(luò)要保存多達[n(n一1)/2]個主密鑰。對于較大的網(wǎng)絡(luò)，這種方案是不適用的，但對于一個小型網(wǎng)絡(luò)或者一個大型網(wǎng)絡(luò)的局部范圍，這種分散化的方案還是有用的。2024/5/14南京郵電大學(xué)17分散式密鑰分配方案發(fā)起方響應(yīng)方（1）（2）（3）AB：IDa||N1BA：EMKm[Ks||IDa||IDb||f(N1)||N2]AB：EKs[f(N2)]2024/5/14南京郵電大學(xué)18分散式密鑰分配具體步驟1)AB：IDa||N1A給B發(fā)出一個要求會話密鑰的請求，報文內(nèi)容包括A的標識符IDa和一個現(xiàn)時N1，告知A希望與B進行通信，并請B產(chǎn)生一個會話密鑰用于安全通信。2024/5/14南京郵電大學(xué)19分散式密鑰分配具體步驟(2)BA：EMKm[Ks||IDa||IDb||f(N1)||N2]B使用—個用A和B之間共享的主密鑰加密的報文進行響應(yīng)。響應(yīng)的報文包括B產(chǎn)生的會話密鑰、A的標識符IDa、B的標識符IDb、f(N1)的值和另一個現(xiàn)時N2

。(3)AB：EKs[f(N2)]A使用B產(chǎn)生的會話密鑰Ks對f(N2)進行加密，返回給B。2024/5/14南京郵電大學(xué)20每個通信方都必須保存多達(n一1)個主密鑰，但是需要多少會話密鑰就可以產(chǎn)生多少。同時，使用主密鑰傳輸?shù)膱笪暮芏蹋詫χ髅荑€的分析也很困難。2024/5/14南京郵電大學(xué)21公開加密密鑰的分配公開加密密鑰的分配要求和常規(guī)加密密鑰的分配要求有著本質(zhì)的區(qū)別。公開密鑰技術(shù)使得密鑰較易分配，但它也有自己的問題。無論網(wǎng)絡(luò)上有多少人，每個人只有一個公開密鑰。獲取一個人的公開密鑰有如下四種途徑：2024/5/14南京郵電大學(xué)22四種方式公開密鑰的公開宣布公開可用目錄公開密鑰管理機構(gòu)公開密鑰證書

2024/5/14南京郵電大學(xué)23四種方式1.公開密鑰的公開宣布公開密鑰加密的關(guān)鍵就是公開密鑰是公開的。任何參與者都可以將他的公開密鑰發(fā)送給另外任何一個參與者，或者把這個密鑰廣播給相關(guān)人群，比如PGP(prettygoodprivacy)。 致命的漏洞：任何人都可以偽造一個公開的告示，冒充其他人，發(fā)送一個公開密鑰給另一個參與者或者廣播這樣—個公開密鑰。2024/5/14南京郵電大學(xué)24四種方式2.公開可用目錄 由一個可信任的系統(tǒng)或組織負責(zé)維護和分配一個公開可以得到的公開密鑰動態(tài)目錄。公開目錄為每個參與者維護一個目錄項{標識，公開密鑰}，當然每個目錄項的信息都必須經(jīng)過某種安全的認證。任何其他方都可以從這里獲得所需要通信方的公開密鑰。

致命的弱點：如果一個敵對方成功地得到或者計算出目錄管理機構(gòu)的私有密鑰，就可以偽造公開密鑰，并發(fā)送給其他人達到欺騙的目的。2024/5/14南京郵電大學(xué)25四種方式3.公開密鑰管理機構(gòu)通過更嚴格地控制公開密鑰從目錄中分配出去的過程就可以使得公開密鑰的分配更安全。它比公開可用目錄多了公開密鑰管理機構(gòu)和通信方的認證以及通信雙方的認證。在公開密鑰管理機構(gòu)方式中，有一個中心權(quán)威機構(gòu)維持著一個有所有參與者的公開密鑰信息的公開目錄，而且每個參與者都有一個安全渠道得到該中心權(quán)威機構(gòu)的公開密鑰，而其對應(yīng)的私有密鑰只有該中心權(quán)威機構(gòu)才持有。

這樣任何通信方都可以向該中心權(quán)威機構(gòu)獲得他想要得到的其他任何一個通信方的公開密鑰，通過該中心權(quán)威機構(gòu)的公開密鑰便可判斷它所獲得的其他通信方的公開密鑰的可信度。2024/5/14南京郵電大學(xué)26四種方式4.公開密鑰證書公開密鑰管理機構(gòu)往往會成為通信網(wǎng)絡(luò)中的瓶頸。如果不與公開密鑰管理機構(gòu)通信，又能證明其他通信方的公開密鑰的可信度，那么既可以解決公開宣布和公開可用目錄的安全問題，又可以解決公開密鑰管理機構(gòu)的瓶頸問題，這可以通過公開密鑰證書來實現(xiàn)。目前，公開密鑰證書即數(shù)字證書是由證書授權(quán)中心CA頒發(fā)的。2024/5/14南京郵電大學(xué)27CA作為網(wǎng)絡(luò)通信中受信任的第三方，承擔(dān)檢驗公開密鑰的合法性的責(zé)任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書（經(jīng)CA簽名的包含公開密鑰擁有者信息以及公開密鑰的文件），數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。證書的格式遵循X.509標準。2024/5/14南京郵電大學(xué)28

數(shù)字證書采用公開密鑰體制，即利用一對匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把僅為本人所知的私有密鑰，用它進行解密和簽名；同時設(shè)定一把公開密鑰并由本人公開，為一組用戶所共享，用于加密和驗證簽名。證書授權(quán)中心CA的公開密鑰證書方案參見P111圖8.32024/5/14南京郵電大學(xué)29公開密鑰加密進行常規(guī)加密密鑰分配由于公開密鑰加密和解密的速度都相當慢，所以公開密鑰加密更多的時候是用于常規(guī)加密密鑰的分發(fā)。這種方式把公開加密和常規(guī)加密的優(yōu)點很好地整合在一起。保證了常規(guī)加密密鑰的安全性。用常規(guī)加密方法來保護傳送的數(shù)據(jù)，由于其加密密鑰是安全的，因而其傳送的數(shù)據(jù)也是安全的，同時也利用了常規(guī)加密速度快的特點，因而這種方法有很強的適應(yīng)性。2024/5/14南京郵電大學(xué)30公開密鑰加密進行常規(guī)加密密鑰分配發(fā)起方A響應(yīng)方B（1）EKUb[N1||IDa]（2）EKUa[N1||N2]（3）EKUb[N2]（4）EKUb[EKRa[Ks]]2024/5/14南京郵電大學(xué)31具體步驟假定通信的雙方A和B已經(jīng)通過某種方法得到對方的公開密鑰，常規(guī)加密密鑰分發(fā)過程如下步驟所示：

(1)AB：EKUb[N1||IDa]

A使用B的公開密鑰KUb加密一個報文發(fā)給B，報文內(nèi)容包括一個A的標識符IDa和一個現(xiàn)時值N1，該現(xiàn)時值用于惟一地標識本次交互。2024/5/14南京郵電大學(xué)32(2)BA：EKUa[N1||N2]B返回一個用A的公開密鑰KUa加密的報文給A，報文內(nèi)容包括A的現(xiàn)時值N1和B新產(chǎn)生的現(xiàn)時值N2。因為只有B才可以解密(1)中的報文，報文(2)中的N1存在使得A確信對方是B。2024/5/14南京郵電大學(xué)33AB：EKUb[N2] A返回一個用B的公開密鑰KUb加密的報文給B，因為只有A才可以解密(2)中的報文，報文(3)中的N2存在使得B確信對方是A。

AB：EKUb[EKRa[Ks]]

A產(chǎn)生一個常規(guī)加密密鑰Ks，并對這個報文用A的私有密鑰KRa加密(簽名)，保證只有A才可能發(fā)送它，再用B的公有密鑰KUb加密，保證只有B才可能解讀它。2024/5/14南京郵電大學(xué)34(5)B計算DKUa[DKRb[EKUb[EKRa[Ks]]]]得到Ks， 從而獲得與A共享的常規(guī)加密密鑰，因而通過Ks可以與之安全通信。2024/5/14南京郵電大學(xué)35本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2024/5/14南京郵電大學(xué)36密鑰的管理密鑰管理機制對常規(guī)加密體制來說，在進行通信之前，雙方必須持有相同的密鑰，在通信過程中要防止密鑰泄密和更改密鑰。通常是設(shè)立KDC來管理密鑰，但增加了網(wǎng)絡(luò)成本，降低了網(wǎng)絡(luò)的性能?；蛘呃霉_密鑰加密技術(shù)來實現(xiàn)對常規(guī)密鑰的管理，此使密鑰管理變得簡單，同時解決了對稱密鑰中的可靠性和鑒別的問題。公開密鑰的管理通常采用數(shù)字證書。密鑰的管理涉及密鑰的生成、使用、存儲、備份、恢復(fù)以及銷毀等多個方面，涵蓋了密