（通信与信息系统专业论文）安全局域网中的密钥管理系统.pdf

摘要 本文研究了密钥管理的理论及其应用。首先介绍了密钥管理相关的基础理论 知识；其次对1 e e e8 0 2 1 0 标准作了较为深入的研究和分析，并对其中的部分密钥 管理协议进行了改进，改进后应用到新设计的加密网卡中；最后提出了无线局域 网中移动站实现在a p 间漫游的密钥管理方案。 本文得到的主要成果如下 1 、详细介绍了i e e e8 0 2 1 0 标准中的安全构架，用b a n 逻辑对标准中的密钥管 理协议进行了详细分析，得出结论是安全构架适合于实现安全局域网，但是标 准中的部分密钥管理协议有缺陷。 2 、改进了标准中的部分密钥管理协议，并把基于密钥发放中心的密钥管理咖议应 用到了新设计的加密网卡。 3 、讨论了i e e e8 0 2 1 1 无线局域网的安全问题，简要描述了i e e e8 0 2 1 1 i 草案中 的密钥管理方法，提出了移动站实现在a p 间漫游的密钥管理方案。 关键词：密钥管理安全局域网i e e e8 0 2 。1 0i e e e8 0 2 。1 1漫游 a b s t r a c t k e ym a n a g e m e n t i st h es e to f t e c h n i q u e sa n dp r o c e d u r e ss u p p o a i n g t h ee s t a b l i s h m e n t a n dm a i n t e n a n c eo f k e y i n gr e l a t i o n s h i p sb e t w e e n a u t h o r i z e dp a r t i e si ti sak e yf a c t o ri na s e c u r en e t w o r k t h i st h e s i si n v e s t i g a t e st h et h e o r i e sa n da p p l i c a t i o n so fk e ym a n a g e m e n t f i r s t ，b a s i c k n o w l e d g ea b o u tk e ym a n a g e m e n t i si n t r o d u c e d ；s e c o n d l y , a f t e rt h ed e t a i l e da n a l y s i so f i e e e8 0 2 10s t a n d a r d ，s o m ek e ym a n a g e m e n tp r o t o c o l sa r ei m p r o v e d ，a n do n eo f t h e mi s a p p l i e di nn e w l yd e s i g n e dn e t w o r ki n t e r f a c ec a r dw i t he n c r y p t i o n ；f i n a l l y , af l e ws o l u t i o n o f k e ym a n a g e m e n t i sp r o p o s e dt oe n a b l es t a st or o a mb e t w e e na p s ih em a mc o n t e n t sa r e ： 1 t h es e c u r i t yf f a m e w o r ko fi e e e8 0 2 1 0s t a n d a r di sd e s c r i b e di nd e t a i l a f t e rt h e d e t a i l e d a n a l y s i so fk e ym a n a g e m e n tp r o t o c o l sb ym e a n so fb a nl o g i c w ed r a wa c o n c l u s i o nt h a tt h es e c u r i t yf r a m e w o r ki sf i tf o rt h er e a l i z a t i o no fs e c u r el a n b u ts o m e p r o t o c o l si nt h es t a n d a r d a r ef l a w e d 2 s o m ep r o t o c o l si nt h es t a n d a r da r ei m p r o v e d ，a n do n eo f t h e m ，n a m e l yt h ek e y m a n a g e m e n tp r o t o c o lb a s e do nk e yd i s t r i b u t i o nc e n t e r , i sa p p l i e di nt h en e w l yd e s i g n e d n e t w o r ki n t e r f a c ec a r dw i t he n c r y p t i o n 3 a f t e rt h ed e s c r i p t i o n so fs e c u r i t yi s s u e si ni e e e8 0 2 11w i r e l e s sl a na n do fk e y i l l a t l a g e n l e l x tm e t h o d si ni e e e8 0 2 1lid r a f t ，af l e ws o l u t i o no fk e ym a n a g e m e n ti sp r o p o s e dt o c n a b l es t a st or o a mb e t w e e na p s k e ) a v o r d s ：k e y m a n a g e m e n t s e c u r el a ni e e e8 0 2 1 0i e e e8 0 2 1 1 r o a m i n g 独创性( 或创新性) 声明 y 5 旦3 3 2 s 本人声明所里交的论文是我个人在导师指导下进行的研究二 作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 含有其他人已经发表或撰写的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：壑炭久同期 扩、， l 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的只是产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于保密，在年解密后使用本授权书。 本人签名：j 墼_ 乏叁日期抽。k ，z 导师签名：翻 日期生竺生，厶兰： 第一章绪论 第一章绪论 1 1 引言 在工作和生活中，我们有许多重要的文件，如项目规划、会议记录、个人帐本、日记、 照片、m p 3 音乐甚至是一些可执行程序等等，我们希望这些文件不被轻易窃取、篡改、破坏、 执行。或者两个商业巨头在进行一些重要通话，比如商榷交易价格，这些内容会关系到公司 的利益，因此他们不希望其他人能在通信线路上轻易的窃听到谈话的内容。这时候，人们通 常会想到加密数据加密或者信道加密。 加密的主要目的是防止信息的非授权泄露。加密可用于传输信息和存储信息。从谱分 折的角度看，加密把声音变成噪声，把图像变成雪花，把计算机数据变成一堆无规律的、杂 乱无章的字符。攻击者即使得到经过加密的信息即密文，也无法辨认原文。田此，加密训以 有效的对抗截收、非法访问数据库窃取信息等威胁。一般来说，加密是利j = ；j 一些信息变换规 则把可匿的信息变成不可懂的信息，其中的变换规则我们称之为加密算法。可懂的信息称为 明文，不可懂的信息称为密文。加密算法是一些数学公式、法则或程序，算法中的可变参数 是密钥。密钥不同，明文与密文的对应关系就不同。加密算法总是设计成相对稳定的，在这 个意义上可以把加密算法视为常量，而密码是变量。在采用密码技术保护的现代信息系统- h 不管最终是用于加密、完整性校验还是用于数字签名，其安全性均取决于对密钥的保护，而 不是对算法或硬件本身的保护。密码体制可以公开密码设备可能丢失，同一型号的密码机 仍可以继续使用。然而一旦密钥丢失或出错，可能会出现合法用户不能提取信息，还可能使 非法用户窃取到机密信息。 密钥管理就是处理密钥自产生到最终销毁的整个过程的有关问题的工作，包括系统的 初始化、密钥的产生、存储、备份，液复、加裁、分配、保护、更新、控制、丢失和销毁等内 容。密钥管理本身对提供安全性是复杂的，同时也是起决定作用的一个方面。密钥管理目的 是确保密钥的安全性( 真实性和有效性) 。 设计安全的密码算法和协议并不容易，而密钥管理则更难。密钥是保密系统中更为脆 弱的环节，其中分配和存储可能是最棘手的。密钥管理在过去都是手工作业来处理点对点通 信中的问题，所有的密钥都是手工发放。这种方法在密钥数量少的情况下是可以很方便实现 的。随着通信技术和多用户保密通信网的出现。在一个具有众多交换节点和服务器以及多出 前者几个数量级的工作站及用户的大型网络中，密钥管理工作极其复杂，要求密钥管理系统 逐步实现自动化。在一个大型通信网中，数据将在多个终端和主机之间进行传递。端对端加 密的目的在丁_ 使用户不能读取别人的信息，但这需要大量的密钥，从而使得密钥管理复杂化。 类似的在主机系统中，许多用户向同一主机存取信息，也要求彼此之间在严格的控制之下 相互隔离。因此，密钥管理系统应当保证在多用户、多主机和多终端情况下的安全和有效性。 密钥管理不仅影响系统的安全性，而且设计系统的可靠性、有效性和经济性。 密钥管理的目的是维护系统中各实体之间的密钥关系，以抗击各种可能的威胁。如： f 1 1 密钥的泄漏； ( 2 ) 秘密密钥或公开密钥确证性的丧失，其中确证性包括芙于一个密钥的实体身份的 资料或可证实性； r 3 ) 秘密密钥或公开密钥未经授权使用如使h j 火效的密钥或违例使刚密钥。 2 安全局域网中的密铡管理系统 密钥管理与特定的安全策略有关，而安全策略又根据系统环境中的安全威胁制定。一 般安全策略需要对下属几个方面做出规定： ( 1 ) 密钥管理的技术和行政方面要实现哪些要求以及所采用的方法，包括人- e 4 莉r 自动 方式； ( 2 ) 每个参与者的责任和义务； ( 3 ) 为支持、审计和最终与安全有关事件需做的记录类型 密钥管理要借助于加密、认证、签名、协议、公证等技术。密钥管理系统中常常依赖 可信赖第三方参与的公证系统。公证系统是通信网中实施安全保密的一个重要工具，它不仅 可以协助实现密钥的分配和证实，而且可以作为证书机构、时戳代理、密钥托管代理和公正 代理等。不仅可以断定文件的签署时间而且还可以保证文件本身的真实可靠性，使签字者 不能否认在特定时间对文件的签字。在发生纠纷时可以根据系统提供的信息进行仲裁。公证 机构还可以采用审计追踪技术，对密钥的注册、证书的制作、密钥更新、撤销进行记录审计 等。 1 2 需要的安全服务 密码系统可以用来提供以下几个基本的安全服务：数据保密性、数据完整性、认证、 授权和不可抵赖性。要对密钥进行保护，我们可能需要以上这些服务。此外，我 f f j , e 有可能 需要一些额外的服务来支持这些服务，如密钥建立和随机数产生等。 1 2 1 数据保密性 数据保密性就是要防止信息泄露给非授权的组织和个人。要达到数据保密性，可以使 用密码技术对信息进行加密，使这些信息只有授权方才能读懂。 1 2 2 数据完整性 数据完整性是要保证数据不受到非授权的改动。这些非授权的改动包括插入额外数据、 删除或更改部分数据等等。要想完全防止数据不被篡改是不可能的，但是我们却可以确定我 们的数据是否曾经被篡改过。因此，数据完整性服务就是对数据进行校验以确定数据是否曾 被篡改过。 实现数据完整性有好几种方法：数字签名、消息认证码和带密钥的杂凑值。 1 2 3 认证 认证是用来确定消息的起源，也就是确定发送消息的系统或用户的身份。认证服务可 以用来解决某些问题，比如“发送者有权使用该系统吗? ”或者“发送者可以阅读这些敏感 信息吗? ”等等。 有好几种密码学机制可以提供认证服务。常用的认证技术有数字签名和消息认证码。 另外，有一些密钥约定技术也可以提供认证。 第一章绪论 1 2 4 授权7 授权就是对安全相关的功能或行为给予止式的许可。通常，授权过程紧跟在认证过干! l 之后。我们可以用一个非密码学的例子米说明授权与认证的关系。当你要进入省政府机关人 j 时要出示你的证件出示证件给警卫检查相当于一个认证的过程，当你被允许进入人门时 相当于一个授权的过程。得到授权就是允许去访问某些资源。 1 2 5 不可抵赖性 不可抵赖陛是指对数据的来源和完整性可以提供证据，以方便第三方来验证。在网络 信息系统的信息交互过程中，不可抵赖性是要确信参与者的真实同一性。也就是说，所有参 与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地 否认已发送信息，利用递交接收证据可以防【e 收信方事后否认已经接收的信息。 我们可以使用数字签名来实现不可抵赖性。 1 2 6 其他一些服务 密码技术提供的服务需要其他一些服务的支持。例如，密钥建立和随机数产生等等。 1 3 密钥管理的方法 密钥管理的方法多种多样，通常可以按照他们所基于的密码学机制来划分为两火类 基丁+ 对称密码机制的密钥管理和基于非对称( 公开密钥) 密码机制的密钥管理。 1 3 1 基于对称密码机制的密钥管理 这一类的密铜管理协议是基于事先发放的密钥或共享密钥。比如基于k e r b e r o s 协议的 密钥管理方案 1 】，基于a n s ix 9 1 7 的密钥管理方案【2 】等等。 1 3 1 1 基于k e r b e r o s 协议的密钥管理方案 k e r b e r o s 是m i t l 9 8 5 年开始的a t h e n a 计划中的一部分，是为t c p i p 网络设计的可信 第三方鉴别协议。网络上的k e r b e r o s 服务器起着可信仲裁者的作_ i j 。k e r b e r o s 可以提供安全 的网络鉴别允许个人访问网络中不同的服务器。k e r b e r o s 是基于n e e d h a m 和s c h r o e d e r 的 可信第三方协议 3 】，在分布式环境中具有足够的安全性，能够防止攻击和窃听，还能够提供 高可靠的和高效的服务，具有透明性( 用户除了发送密码外不会觉察出认证的过程) ， ：且 可扩充性好。 实行k e r b e r o s 协议的网络中有一个k e r b e r o s 服务器，该服务器上存放有所有客户的秘 密密钥。因此，k e r b e r o s 服务器能够产生消息，向一个实体证实另一个实体的身份，也就是 充当可信的第三方。k e r b e r o s 服务器能产生会话密钥，供一台客户机和一台服务器或两台客 4 安全局域网中的密钊管理系统 户机之间使用。会话密钥用米加密通信双方的会话信息，该次会话结束卮销毁会话密钥。这 种运作方式使得k e r b e r o s 服务器很像一个密钥管理中心。 基于k e r b e r o s 协议的密钥管理方案有明显的缺点： ( 1 ) 密钥没有“私有性” 客户的秘密密钥需要存放在k e r b e r o s 认证服务器上，因此并未真正实现密钥的 私有性。一旦认证服务器遭到攻击而出现安全漏洞，很有可能需要更换所有用户的 密钥，这将是一笔很大的开销。从这个角度来说，密钥管理方案并不十分安全。 ( 2 ) 时钟同步机制 k e r b e r o s 机制的实现要求一个时钟基本同步的环境，这将要求引用一个时间同 步机制，同步该机制本身也必须考虑安全性。否则，如果攻击者有能力调节某一台 主机的时间，则可以达到重用旧口令的目的，实现重放攻击。 1 3 1 2 基于a n s ix 9 1 7 的密钥管理方案 a n s ix 9 1 7 是由美国主要的标准化委员会a n s i 开发的一种内容广泛的标准。共有两 种基本类型的x 9 1 7 模型。第一种是点到点的模型，第二种模型则多了一个可信任的第三方。 第一种模型中两个相互通信的系统共享一个主密钥，并且不涉及其他系统。当需要时，每个 系统产生新的会话密钥和用于加密密钥的密钥，并在更高层密钥( 最终为主密钥) 的保护f 把它们传送到另一个系统。 这种方案的主要缺点是当系统足够大时，密钥数量将变得非常庞大，而不再实用。比 如，如果有1 1 个系统的团体想相互通信，那么需要用人工方式分发的主密钥的数目将为n 2 个。 因此在第二种类型的构造中引进了密钥中心，它由通信系统的团体所使用。在这种构造中， 每个通信系统需要与密钥中心共享一个主密钥，而不是相互之间共享一个主密钥。该密钥中 心既是密钥分发中心也是密钥管理中心。如图1 1 所示。 图1 1 ：带有密钥中心的密钥管理模型 1 3 1 3 基于对称密码机制的密钥管理的特点 我们可以看出基于对称密码技术( 使用共享密钥) 的密钥管理具有以下特点： ( 1 ) 安全性方面：当攻击者获得某个通信实体与密钥管理中心的共享密钥时，只是对 该通信实体有影响，而对其他通信实体基本没有影响，也就是多个通信实体之间 的安全性基本上是独立的。 ( 2 ) 系统效率方面：由于使用了密钥管理中心( 或类似的服务器) ，集中为各个通信实 第一章绪论 体协商密钥，每一对通信实体进行通信时均由密钥管理中心为它们协商密钥，当 通信实体很多时，密钥管理中心的效率会成为整个认证系统的瓶颤。即使使j _ j 分 级管理机制，其最终的通信效率仍然无法与非对称密码体制相媲美。 ( 3 ) 算法运算速度方面：与非对称密码体制相比，对称密码体制的加密解密算法一般 较为快速。 1 3 2 基于公钥密码机制的密钥管理 公开密钥密码体系对密钥分发的要求在本质上与对称密码体制的情况十分不同。在对 称密码体系中，需要将某一密钥的拷贝发送给当事双方以用来保护它们之间的通信，并对所 有其他方保守该密钥的秘密。在公钥密码体制中，当事人拥有一对密钥，公钥和私钥。公钥 是公开的，任何人都可以得到该公钥，而私钥只有当事人自己知道。公钥体制的加密模型雨i 认证模型如图1 2 所示。 兰竺三竺竺竺f 警竺三竺兰竺j i lif 譬匡兰f i 斟文 【，、一【一 2 ) 认证模型 图1 2 ：公钥体制的加密模型和认证模型 文 基于公钥密码体制的密钥管理可以大致分为两种：一种是基于x 5 0 9 协议【4 的公钥体 制密钥管理方案，这种方案直接使用公钥来加密通信的数据；另种是混合型的密钥管理方 案，实际的会话使用的是对称密钥公钥用作密钥加密密钥，只是用来在实际会话之前协商 会话密钥。 1 3 2 1 基于x 5 0 9 协议的公钥体制密钥管理方案 x 5 0 9 协议提出了一种公钥密码基础设施p k i 。这种p k i 能够为所有网络应川透明的提 供采埘加密和数字签名等密码服务所必需的密钥和证书管理。在p k i 中，必须具有认证机关 6 安全局域网中的密钥管理系统 ( c a ) 、证书库、密钥备份恢复系统、证书作废处理系统、客户端证书处理系统等基本部分。 所有这些部分的存在，都是为了管理密钥和证书。一个机构通过采用p k i 构架来管理密钥和 证书，就可以建立起一个安全的网络环境。从整体上讲，一个典型、完整、有效的p k i 应用 系统应当由证书存储服务器( r e p o s i t o r y ) 、p k i 证书管理协议、认证中心c a 、证书登记机构 r a 和证书用户5 个部分组成。 p k i 的使麒流程如图1 3 所示。 终端实体 加载初始化信息 初始化注册登记； 证书密钥对更新、恢复： 证书撤销； 证书更新； 证书废弃清求： p k i 用户 掣磷磐 证书c r l 发布 p k i 管理端 证书机构 c a 信息的 对外发布 交叉认证 交叉证书更新 其它c a 图1 3 ：p k i 的主要组成部分和使用流程 p k i 的主要组成部分及其功能描述如下： ( 1 ) c a 认证中，i 二, ( c e r t i f i c a t e a u t h o r i t y ) 。它是一个发证中心。可以说是p k i 体系的中枢。 在c a 中心会存储一些用户的基本信息，包括c a 证书的名字、c a 证书是否可用、 c a 证书使用者基本信息( 名称、电子邮件地址) 以及“公匙”。当加密传输信息的 时候，c a 会验证证书是否仍然有效。如果证书无效，c a 会将其作废。引发证书作 废的原因有很多，例如用户离职、忘记密码、认证证书过期、认证证书被破坏等。 ( 2 ) r a 证书登记机构( r e g i s t r a t i o n a u t h o r i t y ) 。它完成对证书用户的登记注册和一定的 c a 功能( 如颁发证书) 。r a 是c a 的代理，r a 服务器可以包含在c a 服务器中。 r a 接受用户认证请求，一旦用户身份被确认则将其转交给c a ，根据用户所申请的 认证保密程度的不同，r a 从技术上可以为其设置不同的流程进行确认。安全级别 要求不高的可以采用程序自动处理的方式，例如程序自动验证用户所填写电子自口箱 地址有效即可：安全级别高的则可以手工通过，例如当面检验身份证。 c e r t c r l 存储库 第一章绪论 7 ( 3 ) r e p o s i t o r y 证1 b 库。它用来存储、分配证一棒取l 无簸证忙列表c r l ，定期公布让书及证10 撤 销信息。它必须使用某种稳定可靠的、规模可扩充的在线资料序，以便用户能找到 安全通信所需要的证书信息或证书撤销信息。实现证书库的方式有多种，包括 x 5 0 0 、轻营级目录访闯协议l d a p 、w e b 服务器、数据库服务器等等。一般大型的 企! 世级p k i 一般使用x 5 0 0 目录服务和轻量级目录访问协议l d a p ，挪图14 所示。 图1 4 ：轻量级目录访问协议 ( 4 、证书撤销 c a 签发的证书捆绑了用户的身份和公钥。这神绑定在已颁发证一i 的生命周期 里都是有效的。但在现实环境中，由于某些原因，必须存在一种机制撤消这种认可。 这些原因包括：用户身份的改变、对密钥的怀疑( 丢失或泄露) 、用户工作的变动等。 证书撤消最常用的方式是使用证书废除列表c r l ( c e r t i f i c a t er e v o c a t i o nl i s t ) 。 c r l 是一种包含了撒消的证书列表的签名数据结构，c r l 的完整性和可靠性由它本 身的数字签名来保证，通常c r l 的签名者一般就是证书的签发者。 ( 5 ) 密钥备份与恢复 在任何可操作的p k i 环境中，在密钥或证书的生命周期内都会有部分 ；f j 户丢失 他们的私钥，可能有如下的原因：( 1 ) 遗失加密私钥的保护口令：( 2 ) 存放私钥的 媒体被损坏，如硬盘、软盘或智能卡遭到破坏。 在很多环境下，由于丢失密钥造成被保护数据的丢失或不可访问所造成的损失 非常巨大，因此通行的办法是备份并能恢复私铜。 ( 6 ) 自动密钥更新 一个证书的有效期是有限的，这既可能是理论上的原因也可能是基于安全策略 上的考虑。用手工操作定期更新自己的证书是件令人头疼的工作，用户常忘记自己 证粥的过期时阍。如果忘了定期更新，他们就无法获得p k i 的相关服务。因此，p k i 本身应能自动完成密钥或证书的更新，而无需用户的干预。 ( 7 ) 交叉认证 一个管理全世界所有用户的单一的全球p k i 是不可能也不现实的，可行的办法 是多个p k i 独立地运行和操作，为不同的环境和不同的用户团体服赘。在系列独 立开发的p k i 或c a 中，相关部分互连是不可避免的。由于业务关系的改变或其他 原因就需要交叉认证：如中国人民银行有自己的c a ，铁道部有自己的c a ，如果铁 道部决定将票款清算业务交给银行来负责，就需要交叉认证。交叉认证可以在以前 没有芙联的p k i 之问建立信任芙系，能保证一个p k l 团体的用户验证另个p k i 团体的用户证书。 ( 8 ) 证书用户 8 安全局域网中的密纠管理系统 p k i 的使用者。如果使用者要进行登记注册、密钥对更新、证书撤销或者证书 更新，要先向r a 提交申请。 跟对称密钥机制的加密解密速度比较，公钥体制的计算速度慢得多。这种机制直接用 公钥进行通信加密t 直接用私钥对数据进行签名。在接收方要解密和验证签名是一件破费时 间的事。 1 3 2 2 混合型的密钥管理方案 直接用公钥进行通信加密和直接用私钥对数据进行签名的做法效率太低，而公钥体制 不需要共享的通用密钥而且在身份验证方面很有优势，因此出现了公钥体制和对称密钥体 制混合起来的密钥管理方案。这种方案是利用公钥来协商临时的会话密钥，再用会话密钥来 加密会话内容。 我们看一下通常混合机制的密钥管理是怎样来实现的。我们假定有两个用户( u s e r i 和u s e r 2 ) 想要相互通信，网络上还有一个可信的第三方( c a ) 。u s e r l 和u s e r 2 均有自 己的公钥和私钥，其中公钥公开在c a 上，私钥则自己秘密保存。如图1 5 所示。 图1 5 ：混合体制的密钥管理 ( 1 ) u s e r i 发起通信，先随机生成一个会话密钥k e y ，从c a 得到u s e r 2 的公钥 p k 2 ，用p k 2 加密k e y ，发送给u s e r 2 。 。 ( 2 ) u s e r 2 收到后，用自己的私钥s k 2 解密得到k e y 。这时双方都已经拥有会话密 钥。u s e r 2 发送一个确认给u s e r i 。 协商之后，u s e r i 和u s e r 2 使用会话密钥k e y 来通信。 如果u s e r 2 要确认u s e r l 的身份，那么在( 1 ) 中，u s e r i 还要加上自己的签名。也 就是用私钥s k i 加密一个能表明自己身份的标记( 如“u s e r l ”) ，把加密结果附带发送给 u s e r 2 。此肘，在( 2 ) 中u s e r 2 就可以用u s e r l 的公钥来检验u s e r l 的签名了。 以上只是个简单的密钥管理方法，在实际应用中密钥管理可能复杂得多，可能要考虑 数据完整性、时间戳、密钥更新等问题。 其中所用到的公钥密码算法，可以是d i f f i e h e l l m e n 5 】、r s a 6 】、椭圆曲线 7 】等等。 第一章绪论 9 1 4 本文所包含的内容 本文主要着限于局域嘲内的密钥管理。本文内容安排如f ： 在第一二章，作者简要介绍了密钥管理的基础理论。 在第三章，作者描述和分析了i e e e8 0 2 1 0 标准 8 】中的安全构架和密钥管理方案 9 】， 分析中作者使用了b a n 逻辑 1 0 】，分析后作者指出了密钥管理方案的不足= f = 针对其 中一些密钥管理方案提出了相应的改进。 在第四章，作者描述了自己改进的密钥管理方案在“加密网卜”项目中的应t 【_ | j 。 在第五章，作者讲述8 0 2 ，l i 无线局域网【1 l 】的安全问题，并提出了一种s t a 漫游的 密钥管理方案。 第六章是结论。 第二章密铜管理基础理论 第二章密钥管理基础理论 密钥管理是密码学领域中较为困难的部分。设计安全的密钥算法和协议的确不容易 但是可以借助于大量的学术研究。相对来说，对密钥进行保密更加困难。 假如攻击者能够轻易的从粗心的管理员那里得到密钥，他就无需费尽心思去破译那些 对称密钥系统或者公开密钥系统。安全系统被破解的很多情况都是因为密钥没有正确的存放， 而不是安全系统的设计有缺陷。 下面几节将介绍一些密钥管理基础理论，按照安全操作的时间顺序可以分为3 个阶段： 安全操作前的阶段，安全操作阶段，安全操作后的阶段。 安全操作前的阶段：是指通信备方在安全通信之前的原始阶段，此时密钥信息还没有 形成没有密钥以用来保护会话的安全。通信各方需要进行密钥分配、密钥协商或者密钥生 成来得到密钥从而进行后续的安全操作。可能会有公钥私钥对的生成和发放，密钥加密密钥 的发放，主密钥的发放，会话密钥的协商等等。 安全操作阶段：在这个阶段通信各方可能已经拥有了很基本的密钥如密钥加密密钥、 主密钥等，甚至已经拥有了会话密钥，此时通信各方可以直接进行安全通信。 安全操作后的阶段：这个阶段的通信各方都已经结束了通话，各种密钥处于非激活状 态。通信各方在此阶段可能是保存密钥以供下次会话使用。也有能因为某些原因而失效或者 需要销毁比如当前会话密钥已经泄漏，或者此时会话密钥使用时间过长。窃听者已经有能 力破解该密钥。此时可能需要重新生成或协商新密钥。 2 ，l 安全操作前的阶段 2 。1 。l 密钥材料的安装 密钥材料安装过程要保证安全，因为这个过程对一个系统的安全来说是至关重要的。 如果系统在设置原始密码时，被人偷看到密码，则系统可能已经算不上安全。安装的过程中， 密钥材料要保证系统的软件、硬件、加密模块或设备等都能够正常使用，也就是说，密钥材 料要合适可用该过程应该是在加密模块或设备的初始安装时进行的。密钥材料的安装可以 是加入新的密钥材料，也可以是用新的密钥材料代替已存在的密钥材料。无论怎样，密钥材 料的安装过程应该考虑到对密钥材料加以适当的保护。 2 1 2 密钥建立 密钥建立既包括通信各方为自己生成密钥材料，也包括通信各方之间生成、发放或协 商通信用的密钥材料。在这个阶段里，有些密钥材料可能是通过传送得到的，如手动或通过 报文发放的密钥材料，有些密钥材料可能是本地生成的。无论是哪一种情况，密钥材料应该 得到保护如保证密钥材料的保密性、完整性、可用性等等。 2 安全局域网中的密钏管理系统 2 1 2 1 生成和发放非对称密钥对 密钥对的生成应该与相应标准的数学规范相一致。每一对静态的密钥对应该使_ 珥j 经过 多年验证过的密钥生成方法来生成或者利用经过认证的机密生成工具来生成。静态密钥对 应该由即将拥有该密钥对的通信实体或者由特殊的设备来生成。如果是由即将拥有该密钥对 的通信实体来生成的话，那么私钥就不要发放给其他的实体。这样既保证了私钥的保密性， 也保证了以后的签字有不可抵赖性。 在密钥建立过程中通常会用到临时的密钥。这些密钥寿命很短，而且在每一个密钥建 立过程中都是统计独立的。临时的密钥对也应该使用经过多年验证过的密钥生成方法来生成， 比如r s a 和d s a 1 6 。 2 1 - 2 1 1 发放静态的公钥 静态公钥是相对临时密钥而言的，表示密钥不经常更换，也就是说寿命相对要长一些， 它们通常用于某个算法的一些运算中。发放静态公钥时要向该密钥的接收者确认以下几点： l _ 密钥的所有者是已知的。密码系统的强度和受保护数据的有效性的可信程度很大 一部分是取决于公钥所有者的身份确认。 2 该密钥的功能或用法是已知的。比如密钥用于r s a 算法中的数字签名。 3 和该公钥相关的参数是已知的。比如r s a 中的大素数1 3 和模n 的本原元g 。 4 该公钥是在正常情况下生成的。比如公钥的所有者确实拥有相对应的私钥，并且 公钥的有效性已经校验通过。 密钥可以分成多个类型：公开的签名验证密钥、公开的认证密钥、公开的密钥传送密 钥、公开的密钥协商密钥和公开的授权密钥。 p l ( i 中的可信c a 的公钥的发放 认证中心( c a ) ，是p k i 中的核心环节，是p k i 中信赖的基础。它通过自身的 注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使p k i 中的用 户属性客观真实性与证书的真实性一致。由于认证中心的重要性，对它们的认证是 p k i 中的至关紧要的一步，这样也就有了可信c a 的公钥发放。 假设有多个层次的信任关系，那么可信c a 的列表可以由多种机制获得。通常 可信的仲裁方以x 5 0 9 证书的形式发放。可信的c a 列表通常内嵌到应用程序中， 并随应用程序一起发放，例如。安装一个新的w e b 浏览器通常会安装或更新用户的 可信c a 的列表。操作系统通常也会集成一些可倍c a 的公钥。用户依赖于对软件 发放机制的认证来确保安装或更新过程中可信c a 是有效的。有些情况下，应用程 序可以在w e b 浏览器中安装可信c a 。 w e b 浏览器中涉及到的可信c a 一般用作以下几种用途：验证s m i m e 1 2 】电子 邮件的证书。验证使用了s s l t l s 协议【1 3 】的安全网站的证书。用户如果在登陆“安 全网站”时遇上了并非由可信c a 发放的证书，那么用户可以选择是否接受该证书 如果接受的话是暂时接受还是永久接受。建议用户在接受不知名的证书时要格外小 心，以免不经意的添加了永久的可信c a ， 当漫游的用户在咖啡屋、图书馆或者酒店等地方使用公用主机来访问“安全网 站”对，他们可能会更加关注可信c a 。因为用户无法控制在主机系统中已安装的 可信c a ，只能相信系统会正确地选择出可信c a 。如果用户相信软件的发放过程， 那么他也会相信以软件安装的方式来安装可信c a 列表可以避免恶意代码的出现。 第二章密宅 i 管理基础理论 如果用户直接参与到p k i 中，那么他可以与p k i 进行交互操作( 比如获得证书等) 来注册他的密钥，这样的交互操作也可以用来提供可信c a 的有关信息。 将密钥提交给r a 或c a 公钥可以提交给c a 或r a 从而让c a 进行后续的认证。在此过程中，c a 或 r a 必须确认密钥所有者的身份、所使用的参数和公钥的有效性。 通常情况下，密钥的所有者的身份资料在用户注册时已经建立。如果接受匿名 公钥的话，密钥的所有者可以产生一个随机数来作为自己的身份，或者由r a 产生。 除了公钥的确认以外，密钥对的所有者应该提供所有权证明( p r o o fo f p o s s e s s i o n ) 以证明它拥有相对应的私钥。如果不要求密钥拥有者提交所有权证明， 那么很有可能c a 会把该公钥错误绑定给了其它的实体。因此，作为一个普遍的规 则，密钥拥有者必须用自己的私钥来进行某种指定的操作以提供所有权证明。例如， 在密钥传送中，密钥所有者收到c a 送过来的用自己公钥加密过的一个密钥，要求 密钥所有者解密。如果密钥所有者能够用对应的私钥正确的解密出密文，那么密钥 所有者就已经进行了所有权证明。 安全基础设施的安全强度也取决于用户将密钥提交给r a 或c a 的提交方法。 有很多种方法可以实现提交，每一种都有自己适合的应用场合。现在列举一些常用 的方法： 1 公钥、各种确认和所有权证明有公钥所有者亲自提交，或者由私钥所有者 的授权代表提交。 2 在用户注册过程中，公钥所有者亲自在r a 或c a 建立自己的身份，或者 由公钥所有者的授权代表来建立。在这段时间内，r a 或c a 会递交给密 钥所有者一些独特的、不可预测的信息，作为一组秘密值。在该秘密值的 保护下，注册用户利用某种通信协议向r a 或c a 提交公钥、各种确认和 所有权证明。专家建议密钥所有者在证书成功生成之后立即销毁该秘密值， 而r a 或c a 也不要再次使用该秘密值来证明用户身份。 当有多个得到提前授权的公钥所有者来注册密钥时，秘密值可能会成批量的生 成。这种情况下，防止秘密值的泄漏是至关紧要的。，最好是限制秘密值的生存期， 但是生存期要足以让用户完成登陆r a 或c a 、密钥生成和向r a 或c a 提交公钥。 当用户没有得到提前授权，r a 或c a 必须当用户在场的情况下生成该秘密值。 这种情况下秘密值的生存期应该更加短，因为公钥所有者只需要生成自己的密钥 并提交给c a 或r a 。 普通的发放类型 用户的公钥可以通过其他不同的方法来发放。这些方法包括： 1 由公钥所有者自己手动发放公钥例如面对面的传递、可信的朋友传送或 者有担保的快递。 2 由公钥所有者、c a 或者证书库以证书的形式来手动发放，或电子软件发 放。 3 使用某种带认证和完整性校验的通信协议米对公钥进行电子软件发放，在 此过程中发放的公钥受到经过鉴定的密钥对的保护。 2 1 2 1 2 发放椭圆曲线公钥 在使用中，椭圆曲线公钥是作为密钥协商协议的一部分来发放的。密钥协商的过榉( 密 钥协商策略+ 协议+ 相关的协商) 应该给接收者一系列的确认( 密钥所有者、密钥用法、参数 1 4 安全局域网中的密钥管理系统 等) 。椭圆曲线公钥的接收者应该立即校验密钥的有效性，然后再继续密钥协商过程。 2 1 2 1 3 集中生成的密钥对的发放 当密钥对被集中生成后，下一步就是递交给期待的密钥所有者。密钥对中的私钥只能 发放给所期望的密钥对所有者，发放过程中要对私钥进行保护，并且要利用用户注册的信息 对接收者的身份进行认证。 密钥对可以通过手动的方式发放到期待的所有者手中，比如快递、邮件等，也可以用 安全电子软件方式来发放，比如安全的通信协议。私钥的发放应该像发放对称密钥一样，也 就是说，每一个密钥都应该得到妥善的保护。 如果手动发放私钥时用到秘密分割( s p l i tk n o w l e d g e ) 1 4 技术，密钥应该分裂成与原 密钥长度相同的多个密钥组件，而且每一个密钥组件不应该显示出原密钥的信息例如每个 密钥组件就像随机生成的一样。 在接收到密钥对之后，密钥所有者应该校验公钥和私钥的相关性，例如看看私钥签名 后是否能用公钥来验证等等。还应该得到公钥的有效性确认。在验证了以上这些之后，公钥 才能对外发放。 2 1 2 2 对称密钥的生成和发放 对称密钥用于数据或其它密钥的加密和加密， 该由可靠的方法来生成，并且得到妥善的保护。 对称密钥应该符合以下某点： 1 使用密钥传送机制来手动的生成和发放 放或协商。 也可以用于计算m a c 1 5 。这些密钥应 或者使用事先发放的密钥加密密钥来发 2 通过使用密钥协商簟略来建立，在一个过程中实现生成和发放。 3 由密钥更新过程来决定 4 由主密钥来生成 2 1 2 2 1 密钥生成 由密钥生成方法得到的对称密钥应该是由经过认可的随机数生成法来生成，或者在密 钥更新过程中从前一个密钥中创建。或者由主密钥得到应该注意到的是，在某些应用中。 密钥从密码中生成，现在还没有对使用此类密钥来保护信息的应用进行评估。但是可以确定 的是，如果使用一个弱的密钥产生方法，那么整个系统都将是弱的。因为如果能够破译密钥 产生算法，攻击者就不需要去破译你的加密算法了。 如果密钥的手动发放用到秘密分割技术，同样密钥应该分裂成与原密钥长度相同的多 个密钥组件，而且每一个密钥组件不应该显示出原密钥的信息，例如每个密钥组件就像随机 生成的一样，从密钥组件看不出原密钥的任何信息。 密钥应该使用经过多年验证的密钥生成方法或其它经认可的工具来生成。 用于信息存储的密钥不应该发放，除非要进行备份，或者组织内有其它实体要求访问 密钥所保护的信息。如果密钥用于保护实体问传送的数据或者密钥那么由其中一个实体负 责生成密钥，并把密钥传送给其它实体。 第二章密钥管理基础理论 2 1 2 2 2 密钥发放 生成的密钥可以用来作为密钥加密密钥( 用作密钥保密) ，也可以用作密钥更新的初始 化密钥，或者用作密钥导出的主密钥或者直接用来保护通信信息。这些密钥将会手动发放， 或者使用密钥传送协议来实现电子发放。 2 1 2 2 2 1 手动密钥发放 在手动发放密钥时，必须保证密钥自始至终受到妥善的保护。在手动发放过程中，密 钥或者私钥要么经过加密，要么使用物理上安全的适当流程来发放。如果需要进行多方控制， 那么还有可能用到秘密分割技术。手动发放的过程应该做到： 1 密钥的发放是经过授权的， 2 发放密钥的实体是对生成密钥方和接收密钥方来说都是可信的， 3 密钥得到妥善的保护， 4 密钥最终的接收方是经过授权的 如果密钥是以加密形式发放的，那么峦钥应该由密钥加密密钥来加密，而密钥加密密 钥只用来进行密钥保密。或者密钥由公开的密钥传送密钥来传送，该密钥传送密钥属于密钥 的接收方。密钥加密密钥和密钥传送密钥应该事先稳妥的发放。 如果使用了秘密分割技术，那么每一个密钥组件都应该以加密形式发放，或者各自单 独经由安全通道发放到每一个实体。这些密钥组件应该都被视为敏感信息从而使用适当的物 理上安全的流程来保护。 物理上安全的流程可以用来手动发放任何形式的密钥。然而，当密钥以明文形式发放 时这些流程就格外的紧要。除了确保以上措施以外，在发放过程中最好也用上记账和审计。 2 1 2 2 2 2 密钥的电子发放( 密钥传送) 密钥的电子发放，或者称为密钥传送，用于通过通信信道( 例如i n t e m e t 或卫星传送) 来发放密钥。密钥的传送要求得到安全保护，否则密钥泄漏会使后来的消息加密火去了意义。 x 9 1 7 标准【2 】中描述了两种密钥：密钥加密密钥和数据密钥。密钥加密密钥只用作加密其它 待发放的密钥，而数据密钥只用作数据信息的加密。密钥的电子传送要求事先发放了密钥加 密密钥或者公开的密钥传送密钥，以用于后来的密钥保密。 使用的密钥传送策略应该保证： 1 密钥加密密钥和已经发放的私钥不能泄露和更改： 2 传送的密钥要加以适当的保护。 除此以外，密钥传送策略和相关的密钥建立协议。应该对接收者保证接收到的密钥是 正确的密钥。在某些协议中，还保证了发送者发