chap14-密鑰管理和分發(fā)

Chapter14

密鑰管理和分發(fā)

《計算機與網(wǎng)絡安全》

2023/2/1西安電子科技大學計算機學院2主要內(nèi)容對稱加密的對稱密鑰分發(fā)

非對稱加密的對稱密鑰分發(fā)

公鑰分發(fā)X.509認證服務

公鑰基礎設施2023/2/13§14.1對稱加密的密鑰分發(fā)任何密碼系統(tǒng)的強度都與密鑰分配方法有關。密鑰分配方法指將密鑰發(fā)放給希望交換數(shù)據(jù)的雙方而不讓別人知道的方法。2023/2/14密鑰分配分配方法：A、B雙方通信密鑰由A選擇，親自交與B；第三方選擇密鑰后親自交與A和B；一方用雙方已有的密鑰加密一個新密鑰后發(fā)給另一方；A和B與第三方C均有秘密通道，則C可以將密鑰分別發(fā)送給A和B。2023/2/15密鑰分配對分配方法的分析方法1和2需要人工傳送密鑰，對鏈路加密要求不過分，對端到端加密則有些笨拙。方法3可用于鏈路加密和端到端加密。問題：①攻擊者若已成功獲取一個密鑰；②初始密鑰的分配。對于端到端加密，方法4稍做變動即可應用。需要一個密鑰分配中心（KDC）參與分配。2023/2/16用于支持任意端點間通信所需的密鑰數(shù)2023/2/17密鑰分配密鑰分類會話密鑰（ks）末端通信時使用的臨時加密密鑰主密鑰（km）加密ks的密鑰2023/2/18層次式密鑰2023/2/19一種透明的密鑰控制方案密鑰分發(fā)方案2023/2/110密鑰分配模式2023/2/111層次式密鑰控制單個KDC在網(wǎng)絡規(guī)模很大時不實際層次式可提高效率并降低風險2023/2/112會話密鑰的生命期在安全性與通信時間之間折衷考慮對面向連接的協(xié)議，改變連接時，改用新的ks對非面向連接的協(xié)議，定期更改。2023/2/113面向連接的密鑰自動分發(fā)協(xié)議2023/2/114分散式密鑰控制會話密鑰生成步驟：2023/2/11514.1.6密鑰的使用方法會話密鑰的類型數(shù)據(jù)加密密鑰，用于網(wǎng)絡中的通用通信PIN加密密鑰，用于電子資金轉(zhuǎn)賬和銷售點應用的個人識別碼（PIN）文件加密密鑰，用于可公開訪問的加密文件2023/2/11614.1.6密鑰的使用方法會話密鑰的類型密鑰標志(以DES為例)一位表示主密鑰或會話密鑰一位表示密鑰可否用于加密一位表示密鑰可否用于解密其余位未用特點標志含在密鑰中，密鑰分配時就被加密缺點：①位數(shù)少，限制了其靈活性和功能；②標志不能以明文傳輸，解密后才能使用，限制了對密鑰的管理控制矢量方法2023/2/117會話密鑰的類型密鑰標志控制矢量方法思路會話密鑰的加密加密：H=h(CV)，Kc=Ekm⊕H[Ks]解密：H=h(CV)，Ks=Dkm⊕H[Kc]優(yōu)點控制矢量長度不限控制矢量以明文傳輸，可多次運用對密鑰的控制要求密鑰的使用方法2023/2/118⊕⊕控制矢量的加密和解密2023/2/119§14.2非對稱加密的對稱密鑰分發(fā)公鑰的分配公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配2023/2/120采用前面的方法獲得公鑰可以提供保密和認證但公鑰算法常常很慢用私鑰加密可以保護信息內(nèi)容因此，需要會話密鑰許多可選的方案用于協(xié)商合適的會話密鑰2023/2/121簡單的秘密鑰分配1979由Merkle提出A產(chǎn)生一個新的臨時用的公鑰對A發(fā)送自己的標識和公鑰給BB產(chǎn)生一個會話密鑰，并用A的公鑰加密后發(fā)送給AA解密會話密鑰問題是容易受到主動攻擊，而通信雙方卻毫無察覺。2023/2/122利用公鑰加密建立會話密鑰Merkle協(xié)議的中間人攻擊A生成{KUa,KRa},AB:(IDA,KUa)E截獲,生成{KUe,KRe}冒充AB:(IDA,KUe)B生成隨機密鑰Ks,BA:EKUe(Ks)E截獲,解密后再用EKUa加密KsA:EKUa(Ks)A丟棄{KUa,KRa},B丟棄KUaE獲得了Ks,故以后只需進行竊聽.A,B并不知曉它們被攻擊了Secretkeydistributionwithconfidentialityandauthentication假定A和B已經(jīng)獲得了雙方的公鑰:AB:EKUb(IDA,N1)BA:EKUa(N1,N2)AB:EKUb(N2)AB:Y=EKUb(EKRa(Ks))B解密Y獲得會話密鑰Ks=DKUa(DKRb(Y))2023/2/125混合方式的密鑰分配保留私鑰配發(fā)中心(KDC)每用戶與KDC共享一個主密鑰用主密鑰分配會話密鑰公鑰用于分配主密鑰在大范圍分散用戶的情況下尤其有用三層結構基本依據(jù)性能向后兼容性2023/2/126§14.3公鑰分發(fā)公鑰的分配公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配2023/2/127公鑰的分配公鑰分配方法公開發(fā)布公開可訪問目錄公鑰授權公鑰證書2023/2/128公鑰的公開發(fā)布用戶分發(fā)自己的公鑰給接收者或廣播給通信各方例如：把PGP的公鑰放到消息的最后，發(fā)布到新聞組或郵件列表中缺點：偽造任何人都可以產(chǎn)生一個冒充真實發(fā)信者的公鑰來進行欺騙直到偽造被發(fā)現(xiàn)，欺騙已經(jīng)形成2023/2/129無控制的公鑰分發(fā)2023/2/130公開可訪問的目錄通過使用一個公共的公鑰目錄可以獲得更大程度的安全性目錄應該是可信的，特點如下：包含

{姓名，公鑰}目錄項通信方只能安全的注冊到目錄中通信方可在任何時刻進行密鑰更替目錄定期發(fā)布或更新目錄可被電子化地訪問缺點：仍存在被篡改偽造的風險2023/2/131公開的公鑰發(fā)布2023/2/132公鑰授權通過更加嚴格地控制目錄中的公鑰分配，使公鑰分配更加安全。具有目錄特性每一通信方必須知道目錄管理員的公鑰用戶和目錄管理員進行交互以安全地獲得所希望的公鑰當需要密鑰時，確實需要能夠?qū)崟r訪問目錄。公鑰目錄管理員成為系統(tǒng)的瓶頸。2023/2/133公鑰授權公鑰發(fā)布方案2023/2/1利用公鑰管理機構的公鑰分發(fā)建立、維護動態(tài)的公鑰目錄表每個用戶都可靠地知道公鑰管理機構的公鑰.SKAU

：公鑰管理機構自己的秘鑰，僅公鑰管理機構自己知道；2023/2/135公鑰證書用證書進行密鑰交換，可以避免對公鑰目錄的實時授權訪問證書包含標識和公鑰等信息

通常還包含有效期，使用權限等其它信息含有可信公鑰或證書授權方(CA)的簽名知道公鑰或證書授權方的公鑰的所有人員都可以進行驗證例如：X.509標準2023/2/136公鑰證書公鑰證書交換2023/2/137§14.4X.509認證服務CCITTX.500目錄服務的一部分維護用戶信息數(shù)據(jù)庫的分布式服務器定義了認證服務的框架目錄可存儲公鑰證書由認證中心簽名的用戶的公鑰定義了認證協(xié)議使用了公鑰密碼和數(shù)字簽名技術未作算法規(guī)定，但推薦使用RSAX.509證書已得到了廣泛地使用2023/2/138X.509認證服務的應用X.509建議最早在1988年發(fā)布，1993年和1995年又分別發(fā)布了它的第二和第三個修訂版。X.509目前已經(jīng)是一個非常重要的標準，因為X.509定義的認證證書結構和認證協(xié)議已經(jīng)被廣泛應用于諸多應用過程。IPSec(提供了一種網(wǎng)絡層的安全性)SSL/TLS(securitysocketlayer/transportlayersecurity，安全套接層，可用來解決傳輸層的安全性問題)SET(電子商務交易，SET是一種開放的加密安全規(guī)范，用于保護Internet上的信用卡交易)S/MIME(保證電子郵件安全，側重于作為商業(yè)和團體使用的標準，而PGP則傾向于為許多用戶提供個人電子郵件的安全性)2023/2/139X.509證書由認證中心發(fā)放(CA),包括:version(1,2,or3)serialnumber(uniquewithinCA)identifyingcertificatesignaturealgorithmidentifierissuerX.500name(CA)periodofvalidity(from-todates)subjectX.500name(nameofowner)subjectpublic-keyinfo(algorithm,parameters,key)issueruniqueidentifier(v2+)subjectuniqueidentifier(v2+)extensionfields(v3)signature(ofhashofallfieldsincertificate)符號

CA<<A>>表示由CA簽名的A的證書2023/2/1X.509證書格式2023/2/12023/2/1西安電子科技大學計算機學院42公鑰證書的使用2023/2/143在X.509中，證書機構Y頒發(fā)給用戶X的證書表示為：Y<<X>>；Y對信息I進行的簽名表示為Y{I}。這樣一個CA頒發(fā)給用戶A的X.509證書可以表示為：CA<<A>>=CA{V,SN,AI,CA,TA,A,Ap}V:版本號，SN：證書序列號，AI：算法標識，TA：有效期,Ap：

A的公開密鑰信息。X.509證書2023/2/144獲得一個用戶證書任何可以訪問CA的用戶都可以得到一個證書只有CA可以修改證書由于證書不能偽造，所以證書可以放到一個公共目錄中2023/2/145CA層次

如果兩個用戶共享同一個CA,則兩者知道彼此的公鑰否則，CA就要形成層次用證書將層次中的各CA鏈接每個CA有對客戶的證書(前向)和對父CA的證書(后向)

每一個客戶信任所有父證書層次中的所有其它CA的用戶，可以驗證從一個CA獲得的任何證書2023/2/1西安電子科技大學計算機學院46CA層次的使用2023/2/12.交叉認證交叉認證是把以前無關的CA連接到一起的認證機制。當兩者隸屬于不同的CA時，可以通過信任傳遞的機制來完成兩者信任關系的建立。CA簽發(fā)交叉認證證書是為了形成非層次的信任路徑。一個雙邊信任關系需要兩個證書，它們覆蓋每一方向中的信任關系。這些證書必須由CA之間的交叉認證協(xié)議來支持。當某證書被證明是假的或者令人誤解的時候，該協(xié)議將決定合作伙伴的責任。2023/2/12.交叉認證鐵道總公司CA開發(fā)部CA運輸部CA銀行1支行CA銀行2支行CA鐵道分公司CA銀行總行CA銀行分行CA交叉認證例如：2023/2/13.證書鏈頒發(fā)者名稱主體名稱公鑰信息其他信息頒發(fā)者名稱主體名稱公鑰信息其他信息頒發(fā)者名稱主體名稱公鑰信息其他信息頒發(fā)者名稱主體名稱公鑰信息其他信息…自簽證書子證書子證書端實體證書…2023/2/1

如果用戶數(shù)量極多，則僅一個CA負責為用戶簽署證書就有點不現(xiàn)實，通常應有多個CA，每個CA為一部分用戶發(fā)行、簽署證書。例如：設用戶A已從證書發(fā)放機構X1處獲取了公開密鑰證書，用戶B已從X2處獲取了證書。如果A不知X2的公開密鑰，則他雖然能讀取B的證書，但卻無法驗證用戶B證書中X2的簽名，因此B的證書對A來說是沒有用處的。然而，如果兩個CA：X1和CA：X2彼此間已經(jīng)安全地交換了公開密鑰，則A可通過以下過程獲取B的公開密鑰：2023/2/1(1)?A從目錄中獲取由X1簽署的X2的證書X1《X2》，因A知道X1的公開密鑰，所以能驗證X2的證書，并從中得到X2的公開密鑰。(2)?A再從目錄中獲取由X2簽署的B的證書X2《B》，并由X2的公開密鑰對此加以驗證，然后從中得到B的公開密鑰。以上過程中，A是通過一個證書鏈來獲取B的公開密鑰的，證書鏈可表示為X1《X2》X2《B》Y《X》表示證書發(fā)放機構Y向用戶X發(fā)放的證書，Y{I}表示Y對I的哈希值簽名2023/2/152證書的撤銷證書有效期過期前撤銷，例如:用戶的密鑰被認為不安全了用戶不再信任該CACA證書被認為不安全了CA維護一個證書撤銷列表證書撤銷列表，theCertificateRevocationList(CRL)用戶應該檢查CA的CRL2023/2/153認證過程X.509包括三種可選的認證過程

單向認證雙向認證三向認證三種方法都采用公鑰簽名2023/2/154單向認證1消息(A->B)完成單向認證

A的標識和A創(chuàng)建的消息B所需要的消息消息的完整性和原創(chuàng)性（不能多次發(fā)送）消息必須含有時間戳，臨時交互號和B的標識，并由A簽名也可以包含B所需要的其它信息例如，會話密鑰

2023/2/155單向認證2023/2/156雙向認證2消息如上建立外(A->B,B->A)，還需:B的標識和B生成的應答消息A需要的消息應答的完成性和真實性

應答包括從A產(chǎn)生的臨時交互號，也有由B產(chǎn)生的時戳和臨時交互號還可以包括其它A需要的附加信息2023/2/157雙向認證2023/2/158三向認證3在沒有同步時鐘情況下，消息(A->B,B->A,A->B)可以完成認證從A回到B的相應包含B產(chǎn)生的臨時交互號時戳不必檢查了2023/2/159三向認證2023/2/160X.509Version3已經(jīng)認識到證書中附加信息的重要性email/URL,策略細節(jié),使用限制增加了一些可選的擴展項證書每一個擴展項都包括:擴展標識危險指示（T/F）擴展值2023/2/161證書擴展項密鑰和策略信息傳達證書主體和發(fā)行商密鑰相關的附加信息，以及證書策略的指示信息，如密鑰用途證書主體和發(fā)行商屬性支持可變的名字，以可變的形式表示證書主體或發(fā)行商的某些屬性，如公司位置，圖片等。證書路徑約束允許限制由其它CA發(fā)行的證書的使用企業(yè)或機構身份證書

符合X.509標準的數(shù)字安全證書，證書中包含企業(yè)信息和企業(yè)的公鑰，用于標識證書持有企業(yè)的身份。數(shù)字安全證書和對應的私鑰存儲于E-key或IC卡中，可以用于企業(yè)在電子商務方面的對外活動，如合同簽定、網(wǎng)上證券交易、交易支付信息等方面。什么是E-Key?

E-Key是一種形狀類似U盤的智能存儲設備，用于存放識別隨易通用戶身份的數(shù)字證書，內(nèi)有cpu芯片，可進行數(shù)字簽名和簽名驗證的運算，外形小巧，可插在電腦的USB接口中使用。

由于E-Key具有存儲信息不可讀取、導出的特征，安全性高，用于身份識別可有效防止用戶帳號被竊取、散發(fā)?，F(xiàn)多用于銀行的網(wǎng)上銀行服務。

2023/2/12023/2/163§14.5公鑰基礎設施PKI系統(tǒng)是有硬件、軟件、人、策略和程序構成的一整套體系（RFC2822）

IETF的PKIX工作組在X.509的基礎上，建立一個可以構建網(wǎng)絡認證的基本模型。2023/2/164§14.5公鑰基礎設施2023/2/1

為管理公開密鑰（生成、認證、存儲、安裝），須建立一套公鑰基礎設施（PKI-PublicKeyInfr