密钥管理的新进展.docx

密钥管理系统的新进展随着社会的信息化进程加速发展，尤其是计算机技术和网络技术的发展，使得人们越来越多地意识到信息安全在生产和生活中的重要性和紧迫性。基于密码学的信息安全解决方案是解决信息保密的可靠方式。加密技术广泛地运用于工作和生活之中，承担对军事、商业机密和个人隐私的保护任务。保密信息的安全性取决于对密钥的保护，而不是对算法或硬件本身的保护。加密算法决定了密钥管理的机制，不同的密码系统，其密钥管理方法也不相同， 如签名密钥对的管理和加密密钥对的管理。在网络环境中，密钥管理的所有工作都是围绕着一个宗旨：确保使用的密钥是安全的。设计安全的密码算法和协议并不容易， 而密钥管理则更困难，因此，网络系统中的密钥管理就成为核心问题。本文将从介绍密钥管理技术，并用单独的篇幅介绍密钥备份和密钥更新技术，同时研究其在一些领域内的进展。1. 密钥管理1.1. 目的及目标密钥管理是指与保护、存储、备份和组织加密密钥有关的任务的管理。高端数据丢失和遵规要求刺激了企业使用加密技术的大幅度上升。问题是单个企业可以使用几十个不同的，可能不兼容的加密工具，结果就导致有成千上万个密钥每一个都必须妥善的保存和保护。 密钥管理是数据加密技术中的重要一环，密钥管理的目的是确保密钥的安全性（真实性和有效性）。一个好的密钥管理系统应该做到：1、密钥难以被窃取；2、在一定条件下窃取了密钥也没有用，密钥有使用范围和时间的限制；3、密钥的分配和更换过程对用户透明，用户不一定要亲自掌管密钥。1.2. 机构及其动作过程1、对称密钥管理。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。2、公开密钥管理/数字证书。贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（ITU）制定的标准X.509，对数字证书进行了定义该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。 3、密钥管理相关的标准规范。目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成：一是密钥管理框架；二是采用对称技术的机制；三是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。1.3. 关键技术及流程密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生；工作密钥由上层的加密密钥进行保护，最上层的密钥称为主密钥，是整个密钥管理系统的核心；多层密钥体制大大加强了密码系统的可靠性，因为用得最多的工作密钥常常更换，而高层密钥用的较少，使得破译者的难度增大。从管理角度来说， 密钥管理应遵循如下原则：脱离密码设备的密钥数据应绝对保密；密码设备内部数据绝对不外泄， 一旦发现受到攻击应立即销毁密钥； 达到密钥生命期时应彻底销毁或更换。而管理中涉及到的技术则包括密钥生成技术、密钥分配技术、存储保护技术、备份恢复技术、密钥更新技术等， 其中密钥生成与分配技术是研究的主要内容，也是近几年研究的热点问题。（1）密钥生成密钥长度应该足够长。一般来说，密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大。选择好密钥，避免弱密钥。由自动处理设备生成的随机的比特串是好密钥，选择密钥时，应该避免选择一个弱密钥。对公钥密码体制来说，密钥生成更加困难，因为密钥必须满足某些数学特征。密钥生成可以通过在线或离线的交互协商方式实现，如密码协议等。传统密码算法（以RSA、AES 为代表）的密钥生成 RSA 是一种非对称加密算法，这种算法的密钥生成技术主要涉及通过素性检测随机生成一个大素数，此过程可由伪随机数发生器来完成。而后运用Rabin- Miller 算法检测素数，并在成功生成两个大素数之后， 运用欧几里德算法在默认公钥的前提下求得私钥， 然后就可运用公钥和私钥进行加密与解密了。文献8探讨了具体实现的方法。为保证生成密钥的安全性， 生成的素数必须足够大，通常要求在1 000 位以上。AES 算法加密过程中用到的密钥称为轮密钥，轮密钥由用户的密码密钥（随机产生的二进制序列）根据轮密钥生成算法产生。轮密钥的生成分两步进行：密钥扩展和轮密钥选择。算法遵循以下原则：（1） 轮密钥中的比特总数为数据块长度与轮数加1 的乘积；（2） 首先将用户的密码密钥扩展为一个扩展密钥；（3） 再从扩展密钥中选出轮密钥： 第一个轮密钥由扩展密钥中的前Nb个字组成，第二个轮密钥由接下来的Nb个字组成，以此类推。由于AES 算法的子密钥的前Nb个字完全由种子密钥填充而成，这就减弱了密钥的雪崩效应；同时它的轮密钥是通过递归定义生成的， 当泄露的密钥信息达到一定程度时， 其他的种子密钥或许就可通过穷举法获得，进而获得全部轮子密钥。对于公开的算法来说，如果密钥已知，我们就可以轻而易举地由密文译出明文， 信息的保密就受到了威胁。针对这一问题，文献10提出，应提高密钥生成算法的混淆性来有效抵抗密码攻击。身份密码体制的密钥生成 基于身份的加密系统IBE（ID-Based Encryption）中的公钥可以是任意的关于用户身份的字符串，如电子邮箱地址、手机号、税号等。用户在向可信第三方PKG 认证自己的身份后获得私钥，该过程可在接收到加密消息之前也可在之后完成。用户的公钥决定私钥，私钥的保密性来自系统主密钥。可信第三方PKG 可以像CA 一样为多个用户服务，以方便的实现用户密钥分配和撤销的问题。PKG 的主密钥是系统的核心，PKG 可以根据公钥（即E-mail 地址等）计算出每个用户的私钥。文献11-13研究了系统主密钥和用户私钥的生成算法。基于身份的密码系统中存在两个问题：首先，PKG 知道所有用户的私钥，因此当PKG 想要伪造网络中的任一用户时， 不会被其他用户发现；另外，PKG 节点为用户计算的私钥需要安全的信道传输，这在实际应用中是不现实的。基于生物特征的密钥生成 生物特征包括生理特征和行为特征，常用的生理特征有指纹、手形、脸形、虹膜、视网膜及气味等；行为特征有击键、声音、手写、步态等。为了将用户的生物特征转换成一个唯一的密钥，首先收集可信用户和其他用户的生物特征作为训练数据，进行一个用户依赖的特征变换，使得可信用户变换后的特征在特征空间是紧凑的， 而其他用户的特征要么分散，要么远离可信用户的特征。其次， 将变换得到的人体生物学特征连续型信号离散化， 并用适当的数据类型表征； 建立数学模型，从人体特征数据中提取出二元序列。最后，利用一个稳定的密钥生成机制生成稳定的密钥。这样生成的密钥具有破译困难、可随身携带、不会丢失及被盗的优点。量子密码系统的密钥生成 量子密码学的基本思路是利用光子传送密钥信息，将密钥信息编码在量子态中，采用单个光子传输。要获得安全的量子密钥需经过量子传输、数据筛选、数据纠错和保密加强4 个过程。由于量子的不可分性，窃听者（Eve）不能对传输中的量子密钥进行分流，且基于量子非克隆性（No-cloning）定理，Eve 也无法对传输中的密钥进行拷贝。无论用那一种方法， 生成密钥的过程或生成的密钥都要满足以下基本要求： 必须在安全环境中产生密钥，防止任何形式的泄露；密钥长度的设置根据信息类型和所需安全期的不同应有所区别；生成密钥时，应避免弱密钥；满足随机性和不可预测性；在层次化密钥管理体制中，不同级别或不同类别的密钥其产生机制应有所区别。目前密钥生成技术实现了生成的自动化，不仅减轻了人工制造密钥的工作负担，而且消除了人为差错引起的泄露。（2）密钥分发采用对称加密算法进行保密通信，需要共享同一密钥。通常是系统中的一个成员先选择一个秘密密钥，然后将它传送另一个成员或别的成员。X9.17标准描述了两种密钥：密钥加密密钥和数据密钥。密钥加密密钥加密其它需要分发的密钥；而数据密钥只对信息流进行加密。密钥加密密钥一般通过手工分发。为增强保密性，也可以将密钥分成许多不同的部分然后用不同的信道发送出去。（3）验证密钥密钥附着一些检错和纠错位来传输，当密钥在传输中发生错误时，能很容易地被检查出来，并且如果需要，密钥可被重传。接收端也可以验证接收的密钥是否正确。发送方用密钥加密一个常量，然后把密文的前2-4字节与密钥一起发送。在接收端，做同样的工作，如果接收端解密后的常数能与发端常数匹配，则传输无错。（4）更新密钥当密钥需要频繁的改变时，频繁进行新的密钥分发的确是困难的事，一种更容易的解决办法是从旧的密钥中产生新的密钥，有时称为密钥更新。可以使用单向函数进行更新密钥。如果双方共享同一密钥，并用同一个单向函数进行操作，就会得到相同的结果。（5）密钥存储密钥可以存储在脑子、磁条卡、智能卡中。也可以把密钥平分成两部分，一半存入终端一半存入ROM密钥。还可采用类似于密钥加密密钥的方法对难以记忆的密钥进行加密保存。（6）备份密钥密钥的备份可以采用和密钥的分散保存一样的方式，以免知道密钥的人太多；密钥的销毁要有管理和仲裁机制，否则密钥会被有意无意的丢失，从而造成对使用行为的否认。密钥的备份可以采用密钥托管、秘密分割、秘密共享等方式，本文第二部分将详细介绍。（7）密钥有效期加密密钥不能无限期使用，有以下有几个原因：密钥使用时间越长，它泄露的机会就越大；如果密钥已泄露，那么密钥使用越久，损失就越大；密钥使用越久，人们花费精力破译它的诱惑力就越大枣甚至采用穷举攻击法；对用同一密钥加密的多个密文进行密码分析一般比较容易。（8）销毁密钥如果密钥必须替换，旧钥就必须销毁，密钥必须物理地销毁。（9）公开密钥的密钥管理公开密钥密码使得密钥较易管理。无论网络上有多少人，每个人只有一个公开密钥。使用一个公钥/私钥密钥对是不够的。任何好的公钥密码的实现需要把加密密钥和数字签名密钥分开。但单独一对加密和签名密钥还是不够的。象身份证一样，私钥证明了一种关系，而人不止有一种关系。如Alice分别可以以私人名义、公司的副总裁等名义给某个文件签名。2. 密钥备份密钥的备份可以采用和密钥的分散保存一样的方式，以免知道密钥的人太多；密钥的销毁要有管理和仲裁机制，否则密钥会被有意无意的丢失，从而造成对使用行为的否认。密钥的备份与恢复只能有可信赖的机构来完成。密钥的备份的必要性是以合理的实际的商业需求为出发点, 与法律或政府对加密数据的管理无关, 而密钥托管不同, 他是出于对法律强制或者政府对加密数据的访问控制的要求而设置的。密钥的保存机制的重点在于安全问题， 但也有可靠性问题， 因此密钥的备份机制也是必要的。密钥的备份和恢复通常使用秘密共享技术和密钥托管技术。秘密共享（Secret Sharing Scheme， 简记为SSS）技术的基本思想是，将秘密按以下方式分成n 个份额（shares）：k1，k2，kn。（1） 已知任意t（不大于n）个shares 易于计算出k；（2） 已知任意少于t 个shares ， 计算秘密等价于穷举。这种方法也称为（t，n）门限（threshold）方法。SSS 的优点是：任意秘密（主密钥等）被拆分成n 个份额（shares）分别给予n 个用户；由于重构需要至少掌握任意t 个shares ，故泄漏任意（t1）个shares 不会危及秘密的安全， 且任意少于t 个用户合谋也无法获取秘密的任何信息。密钥托管系统 28 是具有备份解密能力的加密体制，它允许获得授权者，包括用户、民间组织、政府机构在特定的条件下， 借助于一个以上持有专用数据恢复密钥可信赖的委托人的支持解密密文。所谓“数据恢复密钥”不同于通常用于解密、加密的密钥，它只是为确定数据解密/加密密钥提供了一种方法。将密钥K分成n块，每部分叫做它的“影子”，知道任意m个或更多的块就能够计算出密钥K，知道任意m-1个或更少的块都不能够计算出密钥K，这叫做（m,n）门限（阈值）方案。目前，人们基于拉格朗日内插多项式法、射影几何、线性代数、孙子定理等提出了许多秘密共享方案。拉格朗日插值多项式方案是一种易于理解的秘密共享(m,n)门限方案。秘密共享解决了两个问题：一是若密钥偶然或有意地被暴露，整个系统就易受攻击；二是若密钥丢失或损坏，系统中的所有信息就不能用了。密钥托管技术是一种能够在紧急情况下提供获取信息解密密集新途径的技术。它用于保存用户的私钥备份, 既可在必要时帮助国家司法或安全等部门获取原始明文信息, 也可在用户丢失、损坏自己的密钥后恢复密文。密钥托管要求所有用户将自己的密钥交给密钥托管中心，由密钥托管中心备份保管密钥（如锁在某个地方的保险柜里或用主密钥对它们进行加密保存），一旦用户的密钥丢失（如用户遗忘了密钥或用户意外死亡），按照一定的规章制度，可从密钥托管中心索取该用户的密钥。另一个备份方案是用智能卡作为临时密钥托管。如Alice把密钥存入智能卡，当Alice不在时就把它交给Bob，Bob可以利用该卡进行Alice的工作，当Alice回来后，Bob交还该卡，由于密钥存放在卡中，所以Bob不知道密钥是什么。秘密分割把秘密分割成许多碎片，每一片本身并不代表什么，但把这些碎片放到一块，秘密就会重现出来。3. 密钥更新任何密钥成分都应该有规定的使用期限，制定使用期限的依据主要不是取决于在这段时间内密码能否被破译，而是从概率的意义上看密钥机密是否有可能被泄漏出去。层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生；工作密钥由上层的加密密钥进行保护，最上层的密钥称为主密钥，是整个密钥管理系统的核心；多层密钥体制大大加强了密码系统的可靠性，因为用得最多的工作密钥常常更换，而高层密钥用的较少，使得破译者的难度增大。不同密钥应有不同有效期。数据密钥的有效期主要依赖数据的价值和给定时间里加密数据的数量。价值与数据传送率越大所用的密钥更换越频繁。密钥加密密钥无需频繁更换，因为它们只是偶尔地用作密钥交换。在某些应用中，密钥加密密钥仅一月或一年更换一次。用来加密保存数据文件的加密密钥不能经常地变换。通常是每个文件用唯一的密钥加密，然后再用密钥加密密钥把所有密钥加密，密钥加密密钥要么被记忆下来，要么保存在一个安全地点。当然，丢失该密钥意味着丢失所有的文件加密密钥。公开密钥密码应用中的私钥的有效期是根据应用的不同而变化的。用作数字签名和身份识别的私钥必须持续数年（甚至终身），用作抛掷硬币协议的私钥在协议完成之后就应该立即销毁。即使期望密钥的安全性持续终身，两年更换一次密钥也是要考虑的。旧密钥仍需保密，以防用户需要验证从前的签名。但是新密钥将用作新文件签名，以减少密码分析者所能攻击的签名文件数目。在去年11月Gawker遭受的重创中，部分原因就是密码信息惨遭泄露，这些密码被几十年未更新过的陈旧加密技术保护着。而这一情况并非特例。许多企业都需要对数据进行加密，但使用的却是超级老旧的加密方式，这简直像是在用纸做的盔甲来保护自己的身体。一旦密钥有效期到，必须清除原密钥存储区，或者用随机产生的噪声重写。但为了保证加密设备能连续工作，也可以设计成新密钥生效后，旧密码还继续保持一段时间，以防止在更换密钥的期间出现不能解密的死报。4. 密钥管理系统的应用应用于金融支付与安全密钥管理系统广泛应用于各类需要保证服务用户信息安全的环境中，在金融支付与安全方面的应用尤甚。在全国银行IC卡联合试点中，各级银行利用密钥管理系统来实现密钥的安全管理。密钥管理系统采用3DES加密算法，运用中国人民 银行总行、人民银行地区分行（商业银行总行）、成员银行三级管理体制，安全共享公共主密钥的，实现卡片互通、机具共享。整个安全体系结构主要包括三类密钥：全国通用的人总行消费/取现主密钥GMPK、发卡银行的消费/取现主密钥MPK和发卡银行的其他主密钥。根据密钥的用途，系统采用不同的处理策略。密钥管理系统采用3DES加密算法，运用中国人民银行总行、人行地区分行（商业银行总行）和成员银行三级管理体制，实现公共主密钥的安全共享；在充分保证密钥安全性的基础上，支持IC卡联合试点密钥的生成、注入、导出、备份、恢复、更新、服务等功能，实现密钥的安全管理；密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同的权限；用户可根据实际使用的需要，选择密钥管理系统不同的配置和不同功能；密钥服务一般以硬件加密机的形式提供，也可采用密钥卡的形式；密钥存储以密钥卡或硬件加密机的形式，而密钥备份可以采用密钥卡或密码信封的形式。CPU卡密钥管理系统采用硬件加密的新型密钥管理在传统的密钥管理系统中，密钥通常是存储在设计机或磁盘里，并借助于网络、磁盘以邮件的方式进行传递。为了安全起见，通常在传递之前，必须先将所要传递的密钥进行加密处理，接收方收到后再对其进行解密处理。由于采用这种方式时仍然需要传递密钥，只是具体的密钥对象改变了，因此安全性还是没有明显地提高；即命名采用专门的硬件加密机器进行加密处理，但由于储存和传递环节的影响，其安全性能仍等同于软件加密效果，为此有必要提高储存和传递环节的安全性。虽然传递密钥比较安全的做法是采用非对称加密体制，用己方私钥和对方公钥进行双重签名加密，对方用其私钥和已公钥进行解密处理。采用这种方法来传递密钥比较麻烦，实现起来非常困难，不仅要求通信双方要有已方的公钥和私钥，而且还要获得对方的公钥。公钥和私钥的产生比较复杂和困难，而且通常还需要作为公证的第三方介入。目前绝大多数的通信双方都没有这些条件，并且它们之间的通信绝大多数是一次性的。考虑到上述原因，往往不采用非对称加密体制，而仍然采用实现方法和途径都相对简单和容易得到的对称加密体制。采用对称加密体制时，加密密钥和解密密钥是相同的或相关联的，因此对其存储和传递的安全性要求非常高。如前所述，采用传统方式进行加密处理时，其效果等同于软件加密效果，在安全性方面不如硬件直接加密的效果；由此可以看出，如果我们既用硬件设备进行加密处理，又用专门的硬件设备来存储和传递密钥，这样就可以极大地提高密钥系统的安全性。目前能满足这两种要求，而且得到业界广泛认可的器件只有CPU智能卡。CPU卡具有硬件加密结构，可以作为加密器件使用；而且其特殊的软件体系-COS（Chip Operation System）又为数据存储和操作提供了较高的安全性，可用于小批量数据的存储。CPU卡密钥管理系统的主要功能是提供各种密钥的生成机制和加密算法，并将生成的密钥存储在具有密钥导出功能的CPU智能卡，即SAM（Security Access Module）卡中。密钥的发行采用梯级生成、下发方式，即由上级生成下一级所需的各种子密钥，并以卡片的形式，采用线路加密的方式传递给下一级，极大地提高了系统的安全性和应用的方便性。根据功能，系统分为：根密钥系统、主密钥系统、初始化密钥系统和SAM卡密钥系统。系统结构具有一定的伸缩性，可以根据实际需要进行裁减，减少或增加分级层次，通常不超过三级传递关系（图中所示即为三级），以免系统过于复杂。在我们投入实际使用的系统中，根据用户要求和系统规模