1、22:10:12,密碼系統(tǒng)的安全性包括兩個方面，一方面是系統(tǒng)本身的安全性，即系統(tǒng)抗密碼分析的安全性；另一方面是系統(tǒng)中秘密密鑰的安全性，即秘密密鑰保管的安全性。密碼系統(tǒng)本身的安全性依賴于系統(tǒng)中基于的困難問題（因子分解、離散對數(shù)、二次剩余等）或者復(fù)雜的算法結(jié)構(gòu)。,22:10:12,本章內(nèi)容提要: 密鑰管理技術(shù)概述 密鑰的分類 密鑰的協(xié)商與分發(fā)技術(shù) 公鑰基礎(chǔ)設(shè)施PKI 密鑰管理技術(shù)應(yīng)用 密碼管理技術(shù)發(fā)展趨勢,22:10:12,3.1 密鑰管理技術(shù)概述,密鑰管理就是管理密鑰從產(chǎn)生到銷毀的過程，包括密鑰的產(chǎn)生、存儲、分配、保護(hù)、更新、吊銷和銷毀等。在這一系列的過程中，都存在安全隱患威脅系統(tǒng)的密鑰安全。,

2、22:10:12,保證密鑰的安全基礎(chǔ),限制一個密鑰的使用時間,密鑰長度,22:10:12,3.2 密鑰的分類,為了在網(wǎng)絡(luò)應(yīng)用中保證密鑰的安全，需要有不同種類的密鑰在一個保密系統(tǒng)中分別起不同的作用。例如，用會話密鑰對通信的數(shù)據(jù)信息進(jìn)行加密，而用密鑰加密密鑰對會話密鑰進(jìn)行加密保護(hù)。,22:10:12,保證密鑰的安全基礎(chǔ),限制一個密鑰的使用時間,密鑰長度,22:10:12,從密碼體制的不同上進(jìn)行分類，密鑰包括對稱密鑰和非對稱密鑰。,密鑰從作用上可以分為以下三種,會話密鑰 密鑰加密密鑰 主密鑰,會話密鑰是指在通信或者數(shù)據(jù)交換中，用來對用戶數(shù)據(jù)進(jìn)行加密操作的密鑰。會話密鑰往往是僅對當(dāng)前一次會話有效或在一

3、個短時期內(nèi)有效。,密鑰加密密鑰是指，用于對密鑰（會話密鑰）進(jìn)行加密操作的密鑰，即用于加密用戶數(shù)據(jù)的會話密鑰。,主密鑰是在一對用戶之間的長期共享的秘密密鑰，它往往作為生成會話密鑰或密鑰加密密鑰的種子，實現(xiàn)這些密鑰的分發(fā)和安全保護(hù)。,22:10:12,層次化密鑰的優(yōu)點,密碼系統(tǒng)的安全性,密鑰的生成和管理,22:10:12,3.3 密鑰的協(xié)商與分發(fā)技術(shù),典型的密鑰分發(fā)方案有兩類：集中式分配方案和分布式分配方案。所謂集中式分配方案是指利用網(wǎng)絡(luò)中的“密鑰管理中心”來集中管理系統(tǒng)中的密鑰，“密鑰管理中心”接收系統(tǒng)中用戶的請求，為用戶提供安全分配密鑰的服務(wù)。分布式分配方案則是由通信方自己協(xié)商完成會話密鑰的共

4、享工程，不受任何其他方面的限制。,22:10:12,3.3 密鑰的協(xié)商與分發(fā)技術(shù),雙方密鑰協(xié)商與Diffie-Hellman密鑰交換協(xié)議,基于密鑰分發(fā)中心的密鑰分發(fā),22:10:12,所謂密鑰協(xié)商是指需要保密通信的雙方通過公開信道的通信來達(dá)成一個共享的秘密密鑰的過程。,Diffie-Hellman密鑰交換協(xié)議過程,通信方A選擇一個大的隨機(jī)數(shù)x，使得0 xp-1，計算R1=gx mod p，并將R1發(fā)送給通信方B。 通信方B選擇另一個大的隨機(jī)數(shù)y，使得0yp-1，計算R2=gy mod p，并將R2發(fā)送給通信方A。 A在收到R2后，計算K=(R2)xmod p。 B在收到R1后，計算K=(R1)

5、ymod p。,Diffie-Hellman協(xié)議過程如圖所示。,22:10:12,Diffie-Hellman密鑰 交換協(xié)議的安全,離散對數(shù)攻擊,中間人攻擊,Diffie-Hellman協(xié)議的中間人攻擊如圖所示,22:10:12,中間人攻擊之所以能夠奏效，究其原因在于協(xié)議設(shè)計中并沒有對于來自于另一方的消息進(jìn)行認(rèn)證，即通信方A和B之間沒有確認(rèn)消息確實來自于對方。,改進(jìn)的Diffie-Hellman協(xié)議如圖所示,22:10:12,3.3 密鑰的協(xié)商與分發(fā)技術(shù),雙方密鑰協(xié)商與Diffie-Hellman密鑰交換協(xié)議,基于密鑰分發(fā)中心的密鑰分發(fā),22:10:12,基于KDC的密鑰生成和分發(fā)方法,方式一

6、：通信發(fā)起方生成會話密鑰,（1 設(shè)通信方A要與B進(jìn)行保密通信時，A隨機(jī)地選擇一個會話 密鑰Ks；用KA-KDC加密會話密鑰，即得到,，并發(fā)送,表示信息的級聯(lián)。,給KDC。其中，符號,（2 KDC收到后，用KA-KDC解密獲得A所選擇的會話密鑰Ks及所希望 的通信方B。KDC將（KsA）用自己和B共享的密鑰KB-KDC加密， 并將,發(fā)送給B。,22:10:12,基于KDC的密鑰生成和分發(fā)方法,3）通信方B收到后，用自己和KDC的共享密鑰解密，從而得到希望和自己通信的機(jī)構(gòu)是A，并獲得會話密鑰Ks。,方式二：由KDC為A、B生成通信的會話密鑰。,1）通信方A在希望與B通信時，首先向KDC發(fā)送請求消息

7、。,2）KDC收到來自于A的消息后，隨機(jī)選擇一個會話密鑰Ks， 并將 發(fā)送給B，將 發(fā)送給A。,22:10:12,3）A、B收到來自于KDC的密文消息后，分別用自己與KDC的共享密鑰解密，獲得會話密鑰Ks。,Needham-Schroeder密鑰分發(fā)協(xié)議描述如下,1）通信發(fā)起方A把一個包含自己生成的一次性隨機(jī)數(shù)（nonce）RA、個人身份以及B的身份的信息發(fā)送給KDC。,2）KDC返回一個包含RA、B的身份、會話密鑰和一個給通信方B的加密票據(jù)的加密信息給通信方A。整個信息用KA-KDC加密。,3）通信方A解密得到的信息，獲得會話密鑰KAB，并把得到的通信方B的票據(jù)轉(zhuǎn)發(fā)給B。,22:10:12,

8、4）通信方B用KB-KDC解密來自于A的KDC頒發(fā)票據(jù)，獲得希望與自己通信的用戶信息以及會話密鑰KAB，并隨機(jī)生成一個隨機(jī)數(shù)RB，用會話密鑰KAB加密發(fā)送給A。,5）通信方A應(yīng)答來自于B的質(zhì)詢，即用會話密鑰解密得到RB，計算 并發(fā)送給B；在B收到之后，即可用會話密鑰解密并驗證RB-1,Needham-Schroeder密鑰分發(fā)協(xié)議步驟如圖所示,22:10:12,3.4 公鑰基礎(chǔ)設(shè)施PKI,在公鑰密碼系統(tǒng)中，由于私鑰是用戶秘密持有，故不存在私鑰的分發(fā)問題；而必須解決的一個問題是公鑰的權(quán)威性公開問題。公鑰基礎(chǔ)設(shè)施PKI即是用于公鑰權(quán)威發(fā)布的一系列組件。,22:10:12,3.4 公鑰基礎(chǔ)設(shè)施PKI

9、,PKI概述,公鑰證書,公鑰證書管理,PKI的信任模型,22:10:12,PKI是由認(rèn)證機(jī)構(gòu)（Certificate Authority，CA）、公鑰證書庫、密鑰備份及恢復(fù)系統(tǒng)、公鑰證書撤銷系統(tǒng)、PKI應(yīng)用接口等部分組成的。,它是一個用公鑰概念和技術(shù)來實現(xiàn)并提供安全服務(wù)的具有普遍適用性的基礎(chǔ)設(shè)施，是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺。,22:10:12,3.4 公鑰基礎(chǔ)設(shè)施PKI,PKI的信任模型,PKI概述,公鑰證書,公鑰證書管理,22:10:12,目前，證書有多種不同的類型，常用的包括以下幾種。,X.509公鑰證書 簡單PKI（Simple Public Key Infrastructure）證書

10、 PGP（Pretty Good Privacy）證書,22:10:12,3.4 公鑰基礎(chǔ)設(shè)施PKI,PKI的信任模型,PKI概述,公鑰證書,公鑰證書管理,22:10:12,證書的管理就是要提供證書的創(chuàng)建、分配和撤銷等一系列證書管理工作，主要由CA負(fù)責(zé)完成。,證書的管理包括以下幾個方面,證書的檢索 證書的驗證 證書的吊銷,當(dāng)網(wǎng)絡(luò)用戶需要通過公鑰密碼體制給另一個用戶發(fā)送加密消息時，需要證書來獲取該用戶的公鑰，以完成加密運算；或者需要驗證另一個用戶的數(shù)字簽名時，也需要通過查詢公鑰證書而獲取該用戶的公鑰，以進(jìn)行數(shù)字簽名的驗證,如果網(wǎng)絡(luò)用戶A向網(wǎng)絡(luò)用戶B提供了自己的公鑰證書，網(wǎng)絡(luò)用戶B可以向CA請求，

11、驗證該證書的有效性,在超出證書的有效期時，CA可以吊銷證書；在由于私鑰的泄密而需要更換公私鑰對時，用戶也可以向CA提出請求吊銷證書,22:10:12,3.4 公鑰基礎(chǔ)設(shè)施PKI,PKI的信任模型,PKI概述,公鑰證書,公鑰證書管理,22:10:12,層次結(jié)構(gòu)信任模型,在這種模式中，認(rèn)證機(jī)構(gòu)（CA）是嚴(yán)格按照層次結(jié)構(gòu)組織的，整個CA體系可以描繪成一個倒轉(zhuǎn)的樹，如圖所示。,【例】用戶3把一系列證書CA 和 CA1發(fā)給用戶1。用戶1驗證證書并提取用戶3的公鑰的步驟如下。, 用戶1用CA的公鑰確認(rèn)CA。 用戶1從CA中提取CA1的公鑰。 用戶1用CA1的公鑰確認(rèn)CA1。 用戶1從CA1中提取用戶3的公

12、鑰,22:10:12,網(wǎng)狀信任模型,網(wǎng)狀信任模型也稱為分布式信任模型，這種信任模型把信任分散到兩個或者多個CA上，用于將若干具有嚴(yán)格層次結(jié)構(gòu)的PKI系統(tǒng)之間互聯(lián)起來，即在一個組織或一個小的團(tuán)體中使用層次結(jié)構(gòu)的PKI，而在需要將幾個小團(tuán)體結(jié)合成一個大的信任域時，將其互聯(lián)起來，建立互相之間的信任關(guān)系。網(wǎng)狀信任模型如圖所示,22:10:12,網(wǎng)狀配置 中心輻射配置 Web信任模型 以用戶為中心的信任,即在所有根CA之間建立交叉認(rèn)證，形成信任網(wǎng)格。這種方式是以網(wǎng)格結(jié)構(gòu)把根連接起來，每個根都有一個自身的分級結(jié)構(gòu)。,建立一個中心地位的CA，并實現(xiàn)其與其他每個CA之間的交叉雙向認(rèn)證，這樣，就建立起了不同信任

13、域的用戶之間信任驗證路徑。,這是一種技術(shù)密切相關(guān)的信任模型，它依賴于瀏覽器，例如，Navigator和Internet Explorer（IE）。,在這種信任模型中，每個用戶都自主地決定信賴哪個證書和拒絕哪個證書。,22:10:12,3.5 密鑰管理技術(shù)應(yīng)用,IKE是IPSec的一個重要構(gòu)成要件，它提供密鑰協(xié)商與管理機(jī)制。當(dāng)使用IPSec時，必須提供一種方法與對方協(xié)商加密算法以及在數(shù)據(jù)交換中使用的密鑰。IKE不是一個單一的協(xié)議，而是兩個協(xié)議的組合，它將Internet安全關(guān)聯(lián)、密鑰管理協(xié)議和Oakley密鑰交換協(xié)議集成在一起。,22:10:12,IKE的交換模式有如下三種,主模式 野蠻模式 快

14、速模式,IKE的主模式為建立第一個階段的IKE SA提供了一個三階段機(jī)制，用于協(xié)商以后的通信參數(shù),在該模式中，發(fā)起者在交換開始生成一個Diffie-Hellman對，并建議一個SA，以及攜帶用于對方簽名的一次性隨機(jī)數(shù),在兩個通信實體使用主模式或者野蠻模式建立了一個IKE SA之后，它們就可以使用快速模式協(xié)商通用的IPSec服務(wù)或者生成新的密鑰信息。,22:10:12,3.6 密鑰管理技術(shù)發(fā)展趨勢,密鑰管理方案往往和具體的應(yīng)用環(huán)境以及安全要求相關(guān)，例如，基于門限的密鑰管理方案可以提供n個成員共同持有秘密份額，t個成員可以恢復(fù)出秘密，而t-1個成員無法恢復(fù)出秘密，這種基于秘密共享思想而設(shè)計的方案可以提供安全性更強(qiáng)的密鑰管理服務(wù)，可能會在未來的多方安全