对称密码学及其应用 第9章 密钥管理.ppt

1、第九章 密钥管理,密钥管理的基本概念 密钥的生成 密钥的分配与协商 密钥的保护、存储与备份 单钥体制下的密钥管理系统,9.1 密钥管理的基本概念,密钥的组织结构,9.1 密钥管理的基本概念,密钥的种类 基本密钥、初始密钥（Base Key，Primary Key） 会话密钥（Session Key） 密钥加密密钥（Key Encrypting Key） 主机主密钥（Host Master Key）,9.1 密钥管理的基本概念,密钥的长度与安全性,9.2 密钥的生成,主机主密钥的产生 这类密钥通常要用诸如掷硬币、骰子，从随机数表中选数等随机方式产生，以保证密钥的随机性，避免可预测性。 密钥加密密

2、钥的产生 可以由机器自动产生，也可以由密钥操作员选定。 会话密钥的产生 会话密钥可在密钥加密密钥作用下通过某种加密算法动态地产生，如用初始密钥控制一非线性移存器或用密钥加密密钥控制DES算法产生。,9.2 密钥的生成,弱密钥的产生 人们选择密码或者密钥的时候往往会选择一些容易记住的 易于受到字典攻击方法 随机密钥 一个安全的密钥应该是那些随机产生的比特数据，可以是密钥空间内的任何密钥。 这些密钥要么通过伪随机数发生器随机产生，要么从可靠的随机源产生。,9.2 密钥的生成,X9.17密钥产生 使用到3重DES算法来产生密钥 假设k是随机且安全的。V0是一个秘密的64比特种子，T是一个时间邮戳 ，

3、欲产生随机密钥Ri 计算： Ri= Ek (Ek (Ti)Vi) 欲产生Vi+1，计算：Vi+1=Ek (Ek(Ti)Ri),9.2 密钥的生成,DoD密钥产生 DoD建议使用DES在输出反馈模式（OFB）下产生随机密钥。 使用DES算法的密钥建议为系统中断向量、系统状态寄存器、系统计数器等； 由系统时钟、日期、时间产生初始化向量； 明文可以使用任何外部随机事件产生的64bit数据，例如由系统管理员随机键入的8个字符。 64bit“明文”作为OFB模式分组密码算法的输入，计算后获得的密文将作为随机密钥来使用。,9.3 密钥的分配与协商,密钥分配（Key Distribution） 系统中的一个

4、成员先选择一个秘密密钥，然后将它传送给另一个成员或别的成员。 密钥分配的基本模式,9.3 密钥的分配与协商,对称密码学的密钥分发协议 Needham 和Schroeder协议 由Roger Needham和Michael Schroeder发明的，采用对称密码和可信第三方。 协议： AKDC：（A，B，RA） KDC A ： EA（RA，B，K，EB（K，A） A B ： EB（K，A） B A ： EK（RB） A B ： EK（RB-1）,9.3 密钥的分配与协商,密钥协商（Key Agreement） 它通过两个或多个成员在一个公开的信道上通信，联合地建立一个秘密密钥。 Diffie-H

5、ellman密钥交换协议 第一个密钥协商是众所周知的 密钥交换算法的有效性依赖于计算离散对数的难度。 该算法描述如下： 首先A和B协商一个大素数n和g，g是模n的本原元。注意这两个大素数不必是秘密的； A随机的选取一个大整数x，A B ： X = gx mod n； B随机的选取一个大整数y， B A ：Y = gy mod n； A计算k = Yx mod n; B计算k = Xy mod n;,9.3 密钥的分配与协商,Diffie-Hellman算法也存在许多不足： 没有提供双方身份的任何信息。 它是计算密集性的，因此容易遭受阻塞性攻击，即敌手请求大量的密钥。受攻击者花费了相对多的计算资

6、源来求解无用的幂系数而不是在做真正的工作。 没办法抵御重放攻击。 容易遭受中间人的攻击。第三方C在和A通信时扮演B；和B通信时扮演A。A和B都与C协商了一个密钥，然后C就可以监听和传递通信量。,9.4 密钥的保护、存储与备份,终端密钥的保护。 可用二级通信密钥（终端主密钥）对会话密钥进行加密保护。终端主密钥存贮于主密钥寄存器中，并由主机对各终端主密钥进行管理。主机和终端之间就可用共享的终端主密钥保护会话密钥的安全。 主机密钥的保护 主密钥原则：可采用一个主密钥对其它各种密钥进行加密,9.4 密钥的保护、存储与备份,密钥的存储 单用户的密钥存储 将密钥储存在磁条卡中，嵌入ROM 芯片的塑料密钥，智能卡或者USB Key中。 把密钥平分成两部分，一半存入终端一半存入ROM 密钥使得这项技术更加安全。 可采用类似于密钥加密密钥的方法对难以记忆的密钥进行加密保存。,9.4 密钥的保护、存储与备份,密钥的备份 密钥托管方案 秘密共享协议 用智能卡作为临时密钥托管,9.