密鑰管理課件

第八章密鑰管理

一、密鑰管理的基本概念

二、密鑰生成與密鑰分發(fā)

三、秘密共享與密鑰托管

四、非線性序列

2011-7-101

2011-7-10

2

在先前的章節(jié)，我們所關(guān)注的是采用何種密

碼算法案實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、認(rèn)證性

o泱而，卷一1個(gè)安全系統(tǒng)中，總體安全寸生依薪

于許多不同的因素，例如算法的強(qiáng)度、密鑰的

夫小、口令的選擇、鉆、議的完全性等，其中好

密鑰或口令的保護(hù)尤其重要。

釧

據(jù)

迷，

先號(hào)

勺

界

如

f取

密

對(duì)

而

關(guān)

法

全

的

保

安

無

鑰

與

of先

kh于

Ke決

全

完rc

取

不

簡

么

法

七

說

多

即

單

管

開

可

以

公

法

，

。

不

戶

失

錯(cuò)

出

法

用

或

但

鑰

丟

強(qiáng)

一

旦

,密

法

使

信

會(huì)

且

可

竊

能

而

取

用

.匕

不

取

日

信

一

息4;

口

匕

，

戶

息

可見，密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)

安全中是尤為重要的。

2011-7-103定壽/李

?密鑰管理是處理密鑰自產(chǎn)生到最終銷毀的整

個(gè)過程中的有關(guān)問題，大體上講，密鑰管理

包括密鑰的產(chǎn)生、裝入、存儲(chǔ)、備份、分配

、更新、吊銷和銷毀等內(nèi)容，其中分配和存

儲(chǔ)是最棘手的問題。

?在分布式系統(tǒng)中，人們已經(jīng)設(shè)計(jì)了用于自動(dòng)

密鑰分配業(yè)務(wù)的幾個(gè)方案。其中某些方案已

被成功使用，如Kerberos和ANSIX.9.17,以

及ISO-CCITTX.509目錄認(rèn)證方案。

2011-7-104

密鑰管理涉及的方面:

密鑰的種類：

初始密鑰，會(huì)話密鑰，加密密鑰，主機(jī)主密鑰;

密鑰的生成

密鑰的更換

密鑰的存儲(chǔ)

密鑰的銷毀

密鑰的吊銷

2011-7-105

密鑰管理的原則

密

管

鑰

個(gè)

系

是

須

統(tǒng)

程

從

理

必

工

一:

整

體

細(xì)

從

密

手

著

上

細(xì)

考

慮

嚴(yán)

，

理

致

地

完

分

充

才

測

試

的

施

能

工

，

，

較

好

鑰

此

問

決

題

^為

管

地

，

，

拳

理

些

首

先

基

的

密

清

本

一

要

則

原

。

2011-7-106

-區(qū)分秘鑰管理的策略和機(jī)制

—全程安全原則

-最小權(quán)利原則

-責(zé)任分離原則

-密鑰分級(jí)原則

-密鑰更換原則

-密鑰應(yīng)當(dāng)有足夠的長度

-密碼體制不同，密鑰管理也不同

2011-7-107

二、密鑰生成與密鑰分發(fā)

2011-7-10

8

密鑰生成

?密鑰是數(shù)據(jù)保密的關(guān)鍵，應(yīng)采用足夠安全的

方法來產(chǎn)生密鑰。在大型計(jì)算機(jī)密碼系統(tǒng)中

常采用主密鑰、二級(jí)密鑰和初級(jí)密鑰三種不

同等級(jí)的密鑰。針對(duì)不同的密鑰應(yīng)采用不同

的方法來產(chǎn)生。

?對(duì)于秘要的一個(gè)基本要求是要具有良好的隨

機(jī)性，這主要包括長周期性、非線性、統(tǒng)

計(jì)意義上的等概率性以及不可預(yù)測性等。高

效的產(chǎn)生高質(zhì)量的真隨機(jī)序列，并不是一件

容易的事。在實(shí)際中，我們針對(duì)不同的情況

采用不同的隨機(jī)序列。

2011-7-109

單鋼加密體制密鑰生成

?主密鑰的產(chǎn)生。主密鑰應(yīng)當(dāng)是高質(zhì)量的真隨機(jī)序

歹“，常采用物理噪聲源的方法，但不管是基于什

么隨機(jī)源來產(chǎn)生密鑰，都要經(jīng)過嚴(yán)格的隨機(jī)性測

試，否則不能作為密鑰；

?二級(jí)密鑰的產(chǎn)生?？梢韵癞a(chǎn)生主密鑰那樣產(chǎn)生真

隨機(jī)的二級(jí)密鑰，也可以在主密鑰產(chǎn)生后，借助

于主密鑰和一個(gè)強(qiáng)的密碼算法萊產(chǎn)生二級(jí)密鑰；

?初級(jí)密鑰的產(chǎn)生。為了安全和簡便，通?？偸前?/p>

隨機(jī)數(shù)直接視為受高級(jí)密鑰（主密鑰或二級(jí)密鑰

）加密過的初級(jí)密鑰。

2011-7-1010

單鋼加密體制的畬鋼分配

?兩個(gè)用戶在使用單鑰體制進(jìn)行通信時(shí)，必須

預(yù)先共享秘密密鑰，并且應(yīng)當(dāng)時(shí)常更新，用

戶A和B共享密鑰的方法主要有

-A選取密鑰并通過物理手段發(fā)送給B

-第三方選取密鑰并通過物理手段發(fā)送給A和B

-A,B事先已有一密鑰，其中一方選取新密鑰，用已有密

鑰加密新密鑰發(fā)送給另一方

-A和B分別與第三方C有一保密信道，C為A,B選取密鑰

,分別在兩個(gè)保密信道上發(fā)送給A和B

2011-7-1011

單鋼加畬體制的卷鑰分配鎏

?如果有n個(gè)用戶，需要兩兩擁有共享密

鑰,一共需要n(n-1)/2的密鑰

?采用第4中方法，只需要n個(gè)密鑰

2011-7-1012

Ks：一次性會(huì)話密鑰

N15N2：隨機(jī)數(shù),

一個(gè)實(shí)例KA，KB：A與B和KDC的共享密鑰弋

f：某種函數(shù)變換

2011-7-1013

公鑰的分配一公開發(fā)布

?用戶將自己的公鑰發(fā)給每一個(gè)其他用戶

?方法簡單，但沒有認(rèn)證性，因?yàn)槿魏稳硕伎?/p>

以偽造這種公開發(fā)布

2011-7-1014

公鋼的分配-公用目錄表

?公用的公鑰動(dòng)態(tài)目錄表，目錄表的建立、維護(hù)

以友公鑰的分布由守信的實(shí)秣花組織承擔(dān)。

?管理員為每個(gè)用戶都在目錄表里建立一個(gè)目錄

，目錄中包括兩個(gè)數(shù)據(jù)項(xiàng)：一是用戶名，而是

用戶的公開密鑰。

?每一用戶都親自或以某種安全的認(rèn)證通信在管

理者處為自己的公開密鑰注冊。

?用戶可以隨時(shí)替換自己的密鑰。

?管理員定期公布或定期更新目錄。

?用戶可以通過電子手段訪問目錄。

2011-7-1015

公鋼的分配-公鋼管理機(jī)構(gòu)

?公鑰管理機(jī)構(gòu)為用戶建立維護(hù)動(dòng)態(tài)的公鑰目

錄。

?每個(gè)用戶知道管理機(jī)構(gòu)的公開鑰。

?只有管理機(jī)構(gòu)知道自己的秘密鑰。

2011-7-1016

公鋼管理機(jī)構(gòu)分配公鑰

有可能成為系統(tǒng)的瓶頸，容易受到敵手的串?dāng)_

2011-7-1017

公鋼證書

?用戶通過公鑰證書交換各自公鑰，無須與公鑰

管理機(jī)構(gòu)聯(lián)系

?公鑰證書由證書管理機(jī)構(gòu)CA(Certificate

Authority)為用戶建立。

■證書的形式為：T-時(shí)間，PKA-A的公鑰，IDA-A

的身份，S&A-CA的私鑰

?時(shí)戳T保證證書的新鮮性，防止重放舊證書。

2011-7-1018

證書的產(chǎn)生過程

2011-7-1019

公銅加嗷體制密鑰生成

?由于公開密鑰密碼體制與傳統(tǒng)的單鑰加密體

制是性質(zhì)不同的兩種密碼體制，所以公開密

鑰密碼體制的密鑰產(chǎn)生與傳統(tǒng)密碼體制的密

鑰產(chǎn)生有著本質(zhì)的區(qū)別。

?公開密鑰密碼體制本質(zhì)上是一種單向陷門函

數(shù)，它們都是建立在某一數(shù)學(xué)難題之上的。

不同的公開密鑰密碼體制所依據(jù)的數(shù)學(xué)難題

不同，因此其密鑰產(chǎn)生的具體要求不同。但

是，它們都必須滿足密碼安全性和應(yīng)用的有

效性對(duì)密鑰所提出的要求。

2011-7-1020

用公鋼加卷分配單鋼卷瑪體制的卷銅

簡單分配

易受到主動(dòng)攻擊

2011-7-1021

用公鑰加卷分配單鋼卷瑪體制的畬鋼產(chǎn)囊

具有保密性和認(rèn)證性的密鑰分配

2011-7-1022

Kerboros協(xié)議

Kerboros協(xié)議是一個(gè)基于私鑰密碼體制的

流行的密鑰服務(wù)系統(tǒng)。在這個(gè)系統(tǒng)中，每個(gè)用

戶U和可信中心（對(duì)稱密鑰分發(fā)中心KDC）共享

一個(gè)秘密的DES密鑰。在協(xié)議的最新版本中，傳

送的所有消息都通過CBC模式進(jìn)行加密。

用ID（U）表示用戶U的某些識(shí)別信息。使

用Kerboros協(xié)議傳輸一個(gè)會(huì)話密鑰的過程可描

述如下：

?用戶U為了和用戶V通信，他向可信中心要一個(gè)會(huì)話密

鑰；

?可信中心隨機(jī)選擇一個(gè)會(huì)話密鑰K,一個(gè)時(shí)戳T和一個(gè)

生存期L;

2011-7-1023定洋）李

?可信中心計(jì)算mi=EKu(K,ID(V),T,L)和

m2=EKV(K,ID(U),T,L),并將叫和m2發(fā)給U;

?用戶U首先解密叫獲得K,ID(V),T和L。然后計(jì)

算013=EK(ID(U),T),并將m3和可信中心發(fā)送來

的in?一起發(fā)給V;

?用戶V首先解密Hi?獲得K,ID(U),T和L。然后適

用K解密上獲得T和ID(U)并檢測T的兩個(gè)值和

ID(U)的兩個(gè)值是否一樣。如果是一樣的，那

么V計(jì)算叫=EK(T+1),并將叫發(fā)送給U；

?U使用K解密叫獲得T+1并驗(yàn)證解密結(jié)果是T+L

2011-7-1024

?

傳輸在協(xié)議中的信息流程圖為:

EKV(K,ID(U),T,L)

EKU(K,ID(V),TJEK(ID(U),T)

可信中心---------?用戶u------?用戶V

EKV(KJD(U),T,L)E(T+1)

?K

2011-7-1025

?Kerboros協(xié)議的缺點(diǎn)：

網(wǎng)絡(luò)中的所有用戶都是同步時(shí)鐘，因?yàn)?/p>

目前目前的時(shí)間被用來確定是否一個(gè)給定的

會(huì)話密鑰K是合法的。

Kerboros的口令沒有進(jìn)行額外的特殊處

理，使用窮舉攻擊法的時(shí)間復(fù)雜性僅和口令

長度成比例。

Kerboros認(rèn)證中心要求保存大量的共享

私鑰，無論管理還是更新都有很大的困難，

需要特別細(xì)致的安全保護(hù)措施，將付出極大

的系統(tǒng)代價(jià)。

2011-7-1026

三、秘密共享和密鑰托管

2011-7-10

27

秘密共享

?在導(dǎo)彈控制發(fā)射、重要場所通行檢驗(yàn)等情況下，

通常必須由兩人或多人同時(shí)參加才能星藪，這時(shí)

都需要將秘密分給多人掌管，并且必須有一定人

數(shù)的掌管秘密的人同時(shí)到場才能恢復(fù)這一秘密。

由此，引入門限方案的一般概念。

2011-7-1028

?定義:設(shè)秘密s被分成n個(gè)部分信息，每一部分信

息稱為一個(gè)子密鑰或影子，由一個(gè)參與者排有，

使得：

1.由k個(gè)或多于k個(gè)參與者所持有的部分信息可

重構(gòu)s。

2.由少于k個(gè)參與者所持有的部分信息則無法重

構(gòu)s。

則稱這種方案為（k,n）-秘密共享門限方案，k

稱為方案的門限值

2011-7-1029

Shamirr]F艮方案

?基于多項(xiàng)式Lagrange插值公式

設(shè)｛(Xi，yj,…,色曠。｝是平面上k個(gè)點(diǎn)構(gòu)成

的點(diǎn)集,其中Xj(i=l,…k,)各不相同,那么在

平面上存在唯一的k?l次多項(xiàng)式f(x)通過這k個(gè)

點(diǎn).若把秘密s取做f(0),n個(gè)shadow取做

f(xj(i=l,…n),那么利用其中任意k個(gè)！shadow可

以重構(gòu)f(x),從而可以得到秘密s。

2011-7-1030

Shamir門F艮方米g

?有限域GF(q),q為大素?cái)?shù)，q>n+L秘密s是

GF(q)\{0}上均勻選取的隨機(jī)數(shù)，表示為

sCRGF(q)\{O}.k-l個(gè)系數(shù)21色,…ahi選取aj

€RGF(q)\{0}.在GF(q)上構(gòu)造一個(gè)k?1次多項(xiàng)式

f(x)=ao+a^+...+a^x^1

?N個(gè)參與者Pl…?,Pn￡的Shadow為川)。任意k個(gè)參與

者得到秘密，可使用{(1f(i|))|1=1，…,k}構(gòu)造方程組

"o+"1+""1('1)—/(，；)

*

<:

2011-7-1031定洋)李

Shamir門F艮方米

?由Lagrange插值公式

J/(%)=E/0；)n~~(modq)

j=i1=1ij~h

loj

-(modq)

7=1/=i￡-i/

l巧

2011-7-1032

Shamir門F艮方親

?如果k?l個(gè)參與者想獲得s,可構(gòu)造k?l個(gè)

方程，有k個(gè)未知量。對(duì)任一So,設(shè)f(0尸

So.這樣可以得到第k個(gè)方程,得到f(x)。

好每個(gè)都有唯一的多項(xiàng)式滿足,訪有

由k?l個(gè)shadow得不到任何s的信息。因

此此方案是完善的。

2011-7-1033

Shamir門限方親

?例k=3,n=5,q=19,s=ll。隨機(jī)選ai=2,a2=7

2

f(x)=7x+2x+11mod19o

?計(jì)算f⑴=l,f⑵=5,f(3)=4,f(4)=17,f(5)=6

已知f(2),f(3),f(5),重構(gòu)

“、(x-3)(x-5)(x-2)(x-5)(x-2)(x-3)

/(x)=5------------+4-------------+6-------------

(2-3)(2-5)(3-2)(3-5)(5-2)(5-3)

=7x2+2x+11

2011-7-1034

Asmuth-Bloom門F艮方嗓

?首先選取大素?cái)?shù)q,正整數(shù)s（秘密數(shù)據(jù)）,

以及n個(gè)嚴(yán)格遞增的滿足

1.q>s

2.叫（叫尸1（對(duì)所有的）

N/q大于任取的k-1和不

3.4電尸1（對(duì)所有i）同的町的乘積

kk-\I）

4.N="叫〉qY[mn_i+；

Z=1Z=1

選隨機(jī)的A,滿足04A<[N/q]-l,公布q和A

2011-7-1035^笄J孝

Asmuth-Bloom門限方<

?如果伍有k-1個(gè)參與者，只能求得y"=ymod

N",而N'YN/q,無法確定y。

?例k=2,n=3,q=7,s=4,mi=9,m2=11,m3=13

N=171^2=99>91=7*13=qm3

在[0,[99/7]-1]=[0J3]中隨機(jī)取A=10,求y=

s+Aq=4+10X7=74.

〔

y=ymodm1=2(9,2),(11,8),(13,9)構(gòu)

成(2,3)門限方案

y2=ymodm2=8

y3=ymodm3=9

2011-7-1036

Asmuth-Bloom門限方>9

?若已知(9,2),(11,8),可建立方程組

2(mod9)=y

<

8(mod11)=y

?解得y=(llx5x2+9x5x8)mod99=74

?S=y-Aq=74T0x7=4

2011-7-1037

密鑰托管W

?也稱托管加密，其目的在于保證個(gè)人沒有絕

對(duì)的銀絲和絕對(duì)不可跟蹤的匿名性。

?實(shí)現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰

聯(lián)系起來。

?由數(shù)據(jù)恢復(fù)密鑰可以得到解密密鑰，由所信

任的委托人持有。

?提供了一個(gè)備用的解密途徑，不僅對(duì)政府有

用，也對(duì)用戶自己有用。

2011-7-1038

英國托管加密標(biāo)準(zhǔn)￡

?1993年4月提出托管