密钥管理与密钥协商PPT课件.ppt

密钥管理与密码协商 1 主要内容 1 对称密码体制的密钥管理密钥分类密钥分配 2 公钥密码体制的密钥管理公钥的分配数字证书X 509证书公钥基础设施PKI 2 对称密码体制的优缺点 1 优点 加密速度快 保密度高2 缺点 1 密钥是保密通信的关键 发信方必须安全 妥善的把密钥送到收信方 不能泄露其内容 密钥的传输必须安全 如何才能把密钥安全送到收信方是对称加密体制的突出问题 2 n个合作者 就需要n各不同的密钥 如果n个人两两通信需要密钥数量n n 1 使得密钥的分发复杂 3 通信双方必须统一密钥 才能发送保密信息 如果双方不相识 这就无法向对方发送秘密信息了 4 难以解决电子商务系统中的数字签名认证问题 对开放的计算机网络 存在着安全隐患 不适合网络邮件加密需要 3 非对称密码体制的优缺点 1 缺点 加密算法复杂 加密和解密的速度比较慢2 优点 1 公钥加密技术与对称加密技术相比 其优势在于不需要共享通用的密钥 2 公钥在传递和发布过程中即使被截获 由于没有与公钥相匹配的私钥 截获的公钥对入侵者没有太大意义 3 密钥少便于管理 N个用户通信只需要N对密钥 网络中每个用户只需要保存自己的解密密钥 4 密钥分配简单 加密密钥分发给用户 而解密密钥由用户自己保留 4 密钥管理简介 所有的密码技术都依赖于密钥 密钥的管理本身是一个很复杂的课题 而且是保证安全性的关键点 5 密钥管理简介 密钥管理包括确保产生的密钥具有必要的特性 通信双方事先约定密钥的方法以及密钥的保护等 密钥管理方法实质上因所使用的密码体制 对称密码体制和公钥密码体制 而异 6 1 所有的密钥都有生存期 2 密钥的生存周期 授权使用该密钥的周期 3 原因 1 拥有大量的密文有助于密码分析 一个密钥使用得太多了 会给攻击者增大收集密文的机会 2 假定一个密钥受到危机或用一个特定密钥的加密 解密过程被分析 则限定密钥的使用期限就相当于限制灾难性后果影响的范围 密钥的生命周期 7 一个密钥主要经历以下几个阶段 1 产生 可能需要登记 2 分配3 启用 停用4 更新 替换5 撤销6 销毁 密钥的管理 8 1 密钥的产生 好 密钥的特性 避免使用特定密码算法的弱密钥随机 等概率的比特序列足够的复杂度 1 密钥产生的技术硬件技术 软件技术 X9 17三重DES密钥产生算法 密钥的管理 9 2 不同类型密钥的产生方法主密钥 真随机数密钥加密密钥 高保真随机数 主密钥控制下的某种算法会话密钥 随机数发生器 3 密钥的登记将产生的密钥与特定的使用捆绑在一起 例如 用于数字签名的密钥 必须与签名者的身份捆绑在一起 这个捆绑必须通过某一授权机构来完成 10 2 密钥的注入键盘输入软盘输入专用密钥注入设备 11 3 密钥的存储 1 存储方式 用口令加密后存储在本地软盘或硬盘中存储在网络目录服务器中存储在智能卡中USBkey存储 12 2 保护措施由一个可信方来分配 将一个密钥分成两部分 委托给两个不同的人 通过机密性 例如 用另一个密钥加密 和 或完整性服务来保护 在网络安全中 用最后一种方法导致密钥层次的概念 这个概念通常出现在密钥管理之中 13 4 密钥的使用与控制在现代网络安全实现中 有许多用于不同目的的不同密钥 例如 初始密钥用于加密和解密数据 而密钥加密密钥用于保护所分配的别的密钥 除了秘密保存密钥之外 有时密钥分配过程也是很重要的 因为该过程确保打算用于一种目的的密钥不能和用于另一种目的的密钥交替使用 这就要求将密钥值和密钥的合法使用范围封装在一起 14 5 密钥的更新6 密钥的吊销与销毁 1 密钥撤销 在特定的环境中是必须的 撤销的原因 与密钥有关的系统的迁移怀疑一个特定的密钥已受到威胁 密钥的使用目的已经改变 提高安全级别 2 密钥销毁 清除一个密钥的所有踪迹 一个密钥的值在被停止使用后可能还要持续一段时间 例如 一条记载的加密数据流包含的信息可能仍然需要保密一段时间 为此 使用的任何密钥的秘密性都需要保持到所保护的信息不再需要保密为止 15 密钥管理要达到目标 在遇到如下威胁时 仍能保持密钥关系和密钥 危及秘密密钥的机密性 攻击机密性 危及秘密密钥或公钥的真实性 欺骗 危及密钥或公钥的未授权使用 16 秘密密钥的分配 基于对称密码体制的密钥分配基于公钥密码体制的密钥分配 17 基于对称密码体制的密钥分配 对称密码体制的主要商业应用起始于八十年代早期 特别是在银行系统中 采纳了DES标准和银行工业标准ANSI数据加密算法 DEA 实际上 这两个标准所采用的算法是一致的 18 基于对称密码体制的密钥分配 随着DES的广泛应用带来了一些研究话题 比如如何管理DES密钥 从而导致了ANSIX9 17标准的发展 该标准于1985年完成 是有关金融机构密钥管理 批发 的一个标准 19 基于对称密码体制的密钥分配 金融机构密钥管理需要通过一个多级层次密钥机构来实现 用于加密大部分数据的密钥需要频繁更改 例如 每天更改一次或每次会话更改一次 显然 这不适应于通过手工密钥分配系统来完成 因为这种系统的代价太高 20 对称密钥分配 1 密钥分配问题是对称加密的核心问题 2 密钥分配的几种方法密钥由A选择 并亲自交给B第三方选择 并亲自交给A和B用最近使用的密钥加密新密钥并发给对方使用秘密信道3 密钥使用的规模 N N 1 2 21 密钥的分层管理 ANSIX9 17三层密钥层次结构 1 主密钥 通过手工分配 2 密钥加密密钥 通过在线分配 3 初始密钥或数据密钥 22 用主密钥保护密钥加密密钥的传输 用密钥加密密钥保护初始密钥的传输 主密钥是通信双方长期建立密钥关系的基础 有两类基本的结构 1 点到点结构 2 密钥中心 23 使用对称密码技术分配对称密钥的方法在许多环境中仍然使用 然而 人们倾向于使用公钥密码或DH密钥分配方法分配对称密钥 24 通常采用公钥密码体制分发密钥 而采用对称密码体制进行数据加密 这里采用的是可逆公钥密码体制 例如 如果成员A和成员B想使用RSA建立一个对称初始密钥 那么他们可按下列步骤来操作 25 1 成员A获得成员B的公钥 2 成员A随机地产生一个对称密钥K 并将密钥K用B的公钥加密后发送给B 3 B解密获得密钥K 这个方案不再需要在线服务器和成员之间的协商 它适合于诸如加密电子邮件等应用 26 公钥密码体制的密钥分配和公钥证书 公钥分配证书简介 27 公钥密码体制的密钥分配要求与对称密码体制的密钥分配要求有着本质的差别 在一个对称密码体制中 要求将一个密钥从通信的一方通过某种方式发送到另一方 只有通信双方知道密钥 而其余任何一方都不知道该密钥 与秘密密钥匹配使用的公钥是公开的 任何人都可以使用该公钥 与私钥的拥有者进行秘密通信 公钥分配 28 公钥的完整性 当分配一个公钥时 不需要机密性 然而 公钥的完整性是必需的 绝对不允许攻击者用别的值替代成员A的公钥使得成员B相信该值是成员A的公钥 否则下列的攻击就会奏效 29 例如 一个攻击者伪造一个声称来自成员A的消息 并使用他自己的私钥产生一个数字签名 然后 攻击者用他自己的公钥替换成员A的公钥使得成员B相信是成员A的公钥 这样 攻击者可以成功地冒充成员A 因此 公钥的分配不像在电话簿上公布电话号码那样简单 它需要以某种特定的方式来分配 目前人们采用证书的格式来分配 公钥的完整性 30 利用公钥分配对称密码体制的密钥 可以归结为下列几种 简单密钥分配高可靠性的密钥分配混合方法 31 混合方法 混合方法也是利用公钥密码来进行密钥分配 这种方法需要密钥分配中心 KDC 该KDC与每一个用户共享一个秘密的主密钥 通过该主密钥来实现会话密钥的分配 公钥方法在这里只是用来分配主密钥 实现了三层结构的密钥管理 这种方法的优势是 1 在需要频繁交换会话密钥的应用中 公钥密码只是偶尔在用户和KDC中更新主密钥 不会降低系统性能 2 只需花费很小的代价 就可以很容易地将混合方法用于KDC方法中 3 增加公钥层是分配主密钥的一种安全手段 这对于一个KDC对应很多分散用户的系统而言具有优越性 32 公钥分配 公钥分配的方案很多 本质上可以归结为下列几种 公开发布公开可访问目录公钥授权公钥证书 33 公开可访问目录 1公开可访问的目录的几点说明 管理员通过对每个通信方建立一个目录项 姓名 公钥 来维护该目录 每个通信方通过目录管理员来注册一个公钥 通信方可以在任何时刻用新公钥代替当前公钥 管理员定期发布或更新该目录 通信方可以安全的访问电子目录 为了实现这一目标 访问必须得到安全认证 2 优缺点 1 优点 比公开发布公钥安全 2 缺点 一旦攻击者获得或计算出目录管理员的私钥 则攻击者可以方便的上传伪造的公钥 34 公钥证书 通信各方使用证书来交换密钥 而不通过公钥管理员 密钥的可靠性与直接从公钥管理员处获得密钥相当 证书包含公钥和公钥持有者等信息 并可以被通信各方读取 证书由证书管理员产生 并发送给持有相应私钥的通信方 通信一方通过传递证书将密钥信息传递给通信的另一方 通信方可以验证证书确实是由证书管理员产生 只有证书管理员才可以产生并更新证书 任何通信方可以检验证书的当前性 35 证书是一个数据结构 它由证书用户可信的某一成员进行数字签名 公钥证书 将某一成员的识别符和一个公钥值捆绑在一起 证书 36 公钥证书是用来绑定实体姓名 以及有关该实体的其它属性 和相应公钥的 证书类型 1 X 509公钥证书2 简单PKI SimplePublicKeyInfrastructure 证书3 PGP PrettyGoodPrivacy 证书4 属性 Attribute 证书 证书类型 37 所谓协议 Protocol 是指两个或两个以上的参者为了达到特定的目的而采取的一系列步密12 例如 ssL协议中的实现身份认证的握手协议等 协议的概念包含以下三层含义 1 协议至始至终是有序的过程 每一步骤必须依次执行 在前一步骤没有执行完之前 后面的步骤不可能执行 2 协议至少需要两个参与者 一个人可以通过执行一系列的步骤完成某项任务 但它不构成协议 3 通过执行协议必须能够完成特定目标 某些东西即使看似协议 但它如果没有达成任何目标 也不能称之为协议 只能是浪费时问的空操作 密码协议 38 例如 一个简单的分西瓜协议 在这个协议中 参与者是Alice和Bob 通过执行一个协议把西瓜公平地分成两份 Alice和Bob各取一份 可以采用 一个人切 一个人先取 的方法来实现 具体如下 1 Alice将西瓜切为两份 2 Bob选择其中的一份作为自己所得 3 Alice取走剩下的一份做为自己所得 这个简单的协议中有两个参与者 他们通过执行上述的过程 达到一个目的 将一个西瓜在两个参与考中实现公平的分配 39 观察上述实例 协议应具有以下四个特点 1 协议中的每个人部必须了解协议 并且预先知道所要完成的所有步骤 2 协议中的每个人都必须同意井遵守协议 3 协议必须是完整的 对于每一种可能的情况都规定了应该采取的行动 4 协议必须是清楚的 每一步必须明确定义 并且不会引起误解 40 密码协议的分类 密码协议的分类是件很难的事情 从不同角度出发 就有不同的分类方法 根据协议对可信第三方的依赖程度 可以将其分为仲裁协议 裁决协议和自动执行协议 根据协议中采用的密码算法的种类 可以将其分为双钥 公钥 协议 单钥协议或混合协议 根据密码协议的功能 可以分为认证协议 密钥建立 交换 分配 协议 认证的密钥建立 交换 分配 协议和电子商务协议 根据ISO的七层参考模型 可以将其分为低层协议和高层协议 41 其实 比较合理的是按照协议对可信第三方的依赖程度分类 而不管协议具体采用了何种密码技术 因此 密码协议可以分为以下三类 仲裁协议裁决协议自动执行协议 42 密码协议的安全需求 在网络中执行的协议容易遭受窃听 篡改的攻击 因此密码协议除了具有一般协议所要求的正确性以及执行效率之外 还需满足如下安全需求 1 机密性 2 认证性 3 完整性 4 不可抵赖性 43 密码协议的攻击类型 实际上 对于不同的密码协议可以有不同的攻击方法 比如重放攻击 口令猜测攻击等可以说密码协议的攻击方法多种多样 以下介绍几种典型的密码协议攻击方法 1 重放攻击重放攻击是指入侵者捕获以前协议运行或当前协议运行中的消息用于对当前协议进行攻击 这是最常见的一种攻击 2 口令猜测攻击口令猜测攻击是指入侵者使用包含许多相对较小的口令字典进行的攻击 主要包括在线攻市利息给攻市 3 类型攻击类型攻击是指消息接收者承认消息的有效性 但对表示消息成分的位序列的解释不同于建立该位序列的主体 44 4 并行会话攻击并行会话攻击是指当协议同时运行两次或多次时 攻击考用某一次运行的消息形成另一次运行中的消息 目前 还没有防止并行攻击的有效方法 但通过对协议进行不同标记将有助于防止并行会话攻击 5 与现实相关的攻击如果协议中未明确定义密码算法 随机数选择等实现方法 则实际中所采用的实现方法易致使遵守协议定义的协议不安全 这就是与现实相关的攻击 6 中间人攻击中间人攻击是指攻击考冒充协议中的一方 读取或篡改协议中酌信息的一种攻击 45 零知识证明 假设示证者P知道打开密门的咒语 并想向验证者v证明这一点 但又不想向v泄露咒语 下面是他向v证明白已知道咒语的协议过程 1 验证者v站在A点 2 示证者P从A点走到B点 然后随机选择是从左通道走到c点还是从右通道走到D点 3 P消失在洞穴中后 v从A点走到B点 4 v向P发送命令 要他 a 从左通道出来 或者 b 从右通道出来 5 P服从v的命令 必要时用咒语打开C点和D点之间