密鑰管理課件

第八章密鑰管理

一、密鑰管理的基本概念

二、密鑰生成與密鑰分發(fā)

三、秘密共享與密鑰托管

四、非線性序列

2011-7-101

2011-7-10

2

在先前的章節(jié)，我們所關(guān)注的是采用何種密

碼算法案實現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、認(rèn)證性

o泱而，卷一1個安全系統(tǒng)中，總體安全寸生依薪

于許多不同的因素，例如算法的強度、密鑰的

夫小、口令的選擇、鉆、議的完全性等，其中好

密鑰或口令的保護(hù)尤其重要。

釧

據(jù)

迷，

先號

勺

界

如

f取

密

對

而

關(guān)

法

全

的

保

安

無

鑰

與

of先

kh于

Ke決

全

完rc

取

不

簡

么

法

七

說

多

即

單

管

開

可

以

公

法

，

。

不

戶

失

錯

出

法

用

或

但

鑰

丟

強

一

旦

,密

法

使

信

會

且

可

竊

能

而

取

用

.匕

不

取

日

信

一

息4;

口

匕

，

戶

息

可見，密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)

安全中是尤為重要的。

2011-7-103定壽/李

?密鑰管理是處理密鑰自產(chǎn)生到最終銷毀的整

個過程中的有關(guān)問題，大體上講，密鑰管理

包括密鑰的產(chǎn)生、裝入、存儲、備份、分配

、更新、吊銷和銷毀等內(nèi)容，其中分配和存

儲是最棘手的問題。

?在分布式系統(tǒng)中，人們已經(jīng)設(shè)計了用于自動

密鑰分配業(yè)務(wù)的幾個方案。其中某些方案已

被成功使用，如Kerberos和ANSIX.9.17,以

及ISO-CCITTX.509目錄認(rèn)證方案。

2011-7-104

密鑰管理涉及的方面:

密鑰的種類：

初始密鑰，會話密鑰，加密密鑰，主機(jī)主密鑰;

密鑰的生成

密鑰的更換

密鑰的存儲

密鑰的銷毀

密鑰的吊銷

2011-7-105

密鑰管理的原則

密

管

鑰

個

系

是

須

統(tǒng)

程

從

理

必

工

一:

整

體

細(xì)

從

密

手

著

上

細(xì)

考

慮

嚴(yán)

，

理

致

地

完

分

充

才

測

試

的

施

能

工

，

，

較

好

鑰

此

問

決

題

^為

管

地

，

，

拳

理

些

首

先

基

的

密

清

本

一

要

則

原

。

2011-7-106

-區(qū)分秘鑰管理的策略和機(jī)制

—全程安全原則

-最小權(quán)利原則

-責(zé)任分離原則

-密鑰分級原則

-密鑰更換原則

-密鑰應(yīng)當(dāng)有足夠的長度

-密碼體制不同，密鑰管理也不同

2011-7-107

二、密鑰生成與密鑰分發(fā)

2011-7-10

8

密鑰生成

?密鑰是數(shù)據(jù)保密的關(guān)鍵，應(yīng)采用足夠安全的

方法來產(chǎn)生密鑰。在大型計算機(jī)密碼系統(tǒng)中

常采用主密鑰、二級密鑰和初級密鑰三種不

同等級的密鑰。針對不同的密鑰應(yīng)采用不同

的方法來產(chǎn)生。

?對于秘要的一個基本要求是要具有良好的隨

機(jī)性，這主要包括長周期性、非線性、統(tǒng)

計意義上的等概率性以及不可預(yù)測性等。高

效的產(chǎn)生高質(zhì)量的真隨機(jī)序列，并不是一件

容易的事。在實際中，我們針對不同的情況

采用不同的隨機(jī)序列。

2011-7-109

單鋼加密體制密鑰生成

?主密鑰的產(chǎn)生。主密鑰應(yīng)當(dāng)是高質(zhì)量的真隨機(jī)序

歹“，常采用物理噪聲源的方法，但不管是基于什

么隨機(jī)源來產(chǎn)生密鑰，都要經(jīng)過嚴(yán)格的隨機(jī)性測

試，否則不能作為密鑰；

?二級密鑰的產(chǎn)生?？梢韵癞a(chǎn)生主密鑰那樣產(chǎn)生真

隨機(jī)的二級密鑰，也可以在主密鑰產(chǎn)生后，借助

于主密鑰和一個強的密碼算法萊產(chǎn)生二級密鑰；

?初級密鑰的產(chǎn)生。為了安全和簡便，通?？偸前?/p>

隨機(jī)數(shù)直接視為受高級密鑰（主密鑰或二級密鑰

）加密過的初級密鑰。

2011-7-1010

單鋼加密體制的畬鋼分配

?兩個用戶在使用單鑰體制進(jìn)行通信時，必須

預(yù)先共享秘密密鑰，并且應(yīng)當(dāng)時常更新，用

戶A和B共享密鑰的方法主要有

-A選取密鑰并通過物理手段發(fā)送給B

-第三方選取密鑰并通過物理手段發(fā)送給A和B

-A,B事先已有一密鑰，其中一方選取新密鑰，用已有密

鑰加密新密鑰發(fā)送給另一方

-A和B分別與第三方C有一保密信道，C為A,B選取密鑰

,分別在兩個保密信道上發(fā)送給A和B

2011-7-1011

單鋼加畬體制的卷鑰分配鎏

?如果有n個用戶，需要兩兩擁有共享密

鑰,一共需要n(n-1)/2的密鑰

?采用第4中方法，只需要n個密鑰

2011-7-1012

Ks：一次性會話密鑰

N15N2：隨機(jī)數(shù),

一個實例KA，KB：A與B和KDC的共享密鑰弋

f：某種函數(shù)變換

2011-7-1013

公鑰的分配一公開發(fā)布

?用戶將自己的公鑰發(fā)給每一個其他用戶

?方法簡單，但沒有認(rèn)證性，因為任何人都可

以偽造這種公開發(fā)布

2011-7-1014

公鋼的分配-公用目錄表

?公用的公鑰動態(tài)目錄表，目錄表的建立、維護(hù)

以友公鑰的分布由守信的實秣花組織承擔(dān)。

?管理員為每個用戶都在目錄表里建立一個目錄

，目錄中包括兩個數(shù)據(jù)項：一是用戶名，而是

用戶的公開密鑰。

?每一用戶都親自或以某種安全的認(rèn)證通信在管

理者處為自己的公開密鑰注冊。

?用戶可以隨時替換自己的密鑰。

?管理員定期公布或定期更新目錄。

?用戶可以通過電子手段訪問目錄。

2011-7-1015

公鋼的分配-公鋼管理機(jī)構(gòu)

?公鑰管理機(jī)構(gòu)為用戶建立維護(hù)動態(tài)的公鑰目

錄。

?每個用戶知道管理機(jī)構(gòu)的公開鑰。

?只有管理機(jī)構(gòu)知道自己的秘密鑰。

2011-7-1016

公鋼管理機(jī)構(gòu)分配公鑰

有可能成為系統(tǒng)的瓶頸，容易受到敵手的串?dāng)_

2011-7-1017

公鋼證書

?用戶通過公鑰證書交換各自公鑰，無須與公鑰

管理機(jī)構(gòu)聯(lián)系

?公鑰證書由證書管理機(jī)構(gòu)CA(Certificate

Authority)為用戶建立。

■證書的形式為：T-時間，PKA-A的公鑰，IDA-A

的身份，S&A-CA的私鑰

?時戳T保證證書的新鮮性，防止重放舊證書。

2011-7-1018

證書的產(chǎn)生過程

2011-7-1019

公銅加嗷體制密鑰生成

?由于公開密鑰密碼體制與傳統(tǒng)的單鑰加密體

制是性質(zhì)不同的兩種密碼體制，所以公開密

鑰密碼體制的密鑰產(chǎn)生與傳統(tǒng)密碼體制的密

鑰產(chǎn)生有著本質(zhì)的區(qū)別。

?公開密鑰密碼體制本質(zhì)上是一種單向陷門函

數(shù)，它們都是建立在某一數(shù)學(xué)難題之上的。

不同的公開密鑰密碼體制所依據(jù)的數(shù)學(xué)難題

不同，因此其密鑰產(chǎn)生的具體要求不同。但

是，它們都必須滿足密碼安全性和應(yīng)用的有

效性對密鑰所提出的要求。

2011-7-1020

用公鋼加卷分配單鋼卷瑪體制的卷銅

簡單分配

易受到主動攻擊

2011-7-1021

用公鑰加卷分配單鋼卷瑪體制的畬鋼產(chǎn)囊

具有保密性和認(rèn)證性的密鑰分配

2011-7-1022

Kerboros協(xié)議

Kerboros協(xié)議是一個基于私鑰密碼體制的

流行的密鑰服務(wù)系統(tǒng)。在這個系統(tǒng)中，每個用

戶U和可信中心（對稱密鑰分發(fā)中心KDC）共享

一個秘密的DES密鑰。在協(xié)議的最新版本中，傳

送的所有消息都通過CBC模式進(jìn)行加密。

用ID（U）表示用戶U的某些識別信息。使

用Kerboros協(xié)議傳輸一個會話密鑰的過程可描

述如下：

?用戶U為了和用戶V通信，他向可信中心要一個會話密

鑰；

?可信中心隨機(jī)選擇一個會話密鑰K,一個時戳T和一個

生存期L;

2011-7-1023定洋）李

?可信中心計算mi=EKu(K,ID(V),T,L)和

m2=EKV(K,ID(U),T,L),并將叫和m2發(fā)給U;

?用戶U首先解密叫獲得K,ID(V),T和L。然后計

算013=EK(ID(U),T),并將m3和可信中心發(fā)送來

的in?一起發(fā)給V;

?用戶V首先解密Hi?獲得K,ID(U),T和L。然后適

用K解密上獲得T和ID(U)并檢測T的兩個值和

ID(U)的兩個值是否一樣。如果是一樣的，那

么V計算叫=EK(T+1),并將叫發(fā)送給U；

?U使用K解密叫獲得T+1并驗證解密結(jié)果是T+L

2011-7-1024

?

傳輸在協(xié)議中的信息流程圖為:

EKV(K,ID(U),T,L)

EKU(K,ID(V),TJEK(ID(U),T)

可信中心---------?用戶u------?用戶V

EKV(KJD(U),T,L)E(T+1)

?K

2011-7-1025

?Kerboros協(xié)議的缺點：

網(wǎng)絡(luò)中的所有用戶都是同步時鐘，因為

目前目前的時間被用來確定是否一個給定的

會話密鑰K是合法的。

Kerboros的口令沒有進(jìn)行額外的特殊處

理，使用窮舉攻擊法的時間復(fù)雜性僅和口令

長度成比例。

Kerboros認(rèn)證中心要求保存大量的共享

私鑰，無論管理還是更新都有很大的困難，

需要特別細(xì)致的安全保護(hù)措施，將付出極大

的系統(tǒng)代價。

2011-7-1026

三、秘密共享和密鑰托管

2011-7-10

27

秘密共享

?在導(dǎo)彈控制發(fā)射、重要場所通行檢驗等情況下，

通常必須由兩人或多人同時參加才能星藪，這時

都需要將秘密分給多人掌管，并且必須有一定人

數(shù)的掌管秘密的人同時到場才能恢復(fù)這一秘密。

由此，引入門限方案的一般概念。

2011-7-1028

?定義:設(shè)秘密s被分成n個部分信息，每一部分信

息稱為一個子密鑰或影子，由一個參與者排有，

使得：

1.由k個或多于k個參與者所持有的部分信息可

重構(gòu)s。

2.由少于k個參與者所持有的部分信息則無法重

構(gòu)s。

則稱這種方案為（k,n）-秘密共享門限方案，k

稱為方案的門限值

2011-7-1029

Shamirr]F艮方案

?基于多項式Lagrange插值公式

設(shè)｛(Xi，yj,…,色曠。｝是平面上k個點構(gòu)成

的點集,其中Xj(i=l,…k,)各不相同,那么在

平面上存在唯一的k?l次多項式f(x)通過這k個

點.若把秘密s取做f(0),n個shadow取做

f(xj(i=l,…n),那么利用其中任意k個！shadow可

以重構(gòu)f(x),從而可以得到秘密s。

2011-7-1030

Shamir門F艮方米g

?有限域GF(q),q為大素數(shù)，q>n+L秘密s是

GF(q)\{0}上均勻選取的隨機(jī)數(shù)，表示為

sCRGF(q)\{O}.k-l個系數(shù)21色,…ahi選取aj

€RGF(q)\{0}.在GF(q)上構(gòu)造一個k?1次多項式

f(x)=ao+a^+...+a^x^1

?N個參與者Pl…?,Pn￡的Shadow為川)。任意k個參與

者得到秘密，可使用{(1f(i|))|1=1，…,k}構(gòu)造方程組

"o+"1+""1('1)—/(，；)

*

<:

2011-7-1031定洋)李

Shamir門F艮方米

?由Lagrange插值公式

J/(%)=E/0；)n~~(modq)

j=i1=1ij~h

loj

-(modq)

7=1/=i￡-i/

l巧

2011-7-1032

Shamir門F艮方親

?如果k?l個參與者想獲得s,可構(gòu)造k?l個

方程，有k個未知量。對任一So,設(shè)f(0尸

So.這樣可以得到第k個方程,得到f(x)。

好每個都有唯一的多項式滿足,訪有

由k?l個shadow得不到任何s的信息。因

此此方案是完善的。

2011-7-1033

Shamir門限方親

?例k=3,n=5,q=19,s=ll。隨機(jī)選ai=2,a2=7

2

f(x)=7x+2x+11mod19o

?計算f⑴=l,f⑵=5,f(3)=4,f(4)=17,f(5)=6

已知f(2),f(3),f(5),重構(gòu)

“、(x-3)(x-5)(x-2)(x-5)(x-2)(x-3)

/(x)=5------------+4-------------+6-------------

(2-3)(2-5)(3-2)(3-5)(5-2)(5-3)

=7x2+2x+11

2011-7-1034

Asmuth-Bloom門F艮方嗓

?首先選取大素數(shù)q,正整數(shù)s（秘密數(shù)據(jù)）,

以及n個嚴(yán)格遞增的滿足

1.q>s

2.叫（叫尸1（對所有的）

N/q大于任取的k-1和不

3.4電尸1（對所有i）同的町的乘積

kk-\I）

4.N="叫〉qY[mn_i+；

Z=1Z=1

選隨機(jī)的A,滿足04A<[N/q]-l,公布q和A

2011-7-1035^笄J孝

Asmuth-Bloom門限方<

?如果伍有k-1個參與者，只能求得y"=ymod

N",而N'YN/q,無法確定y。

?例k=2,n=3,q=7,s=4,mi=9,m2=11,m3=13

N=171^2=99>91=7*13=qm3

在[0,[99/7]-1]=[0J3]中隨機(jī)取A=10,求y=

s+Aq=4+10X7=74.

〔

y=ymodm1=2(9,2),(11,8),(13,9)構(gòu)

成(2,3)門限方案

y2=ymodm2=8

y3=ymodm3=9

2011-7-1036

Asmuth-Bloom門限方>9

?若已知(9,2),(11,8),可建立方程組

2(mod9)=y

<

8(mod11)=y

?解得y=(llx5x2+9x5x8)mod99=74

?S=y-Aq=74T0x7=4

2011-7-1037

密鑰托管W

?也稱托管加密，其目的在于保證個人沒有絕

對的銀絲和絕對不可跟蹤的匿名性。

?實現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰

聯(lián)系起來。

?由數(shù)據(jù)恢復(fù)密鑰可以得到解密密鑰，由所信

任的委托人持有。

?提供了一個備用的解密途徑，不僅對政府有

用，也對用戶自己有用。

2011-7-1038

英國托管加密標(biāo)準(zhǔn)￡

?1993年4月提出托管