大学安全工程之密码学4PKI

信息安全

密钥管理和PKI1网络安全模型消息安全消息安全消息消息秘密消息安全变换秘密消息安全变换信息通道攻击者可信的第三方（如仲裁者、秘密信息分配者）发送方接收方2设计安全服务需要包括四个方面 设计执行安全相关的算法。该算法是攻击者无法攻破的。产生算法使用的秘密信息设计分配和共享秘密信息的方法指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务3主要内容 密钥分配与管理PKI与PMI4密钥分配所有的密码技术都依赖于密钥。网络安全中，密钥的地位举足轻重。如何安全可靠、迅速高效地分配密钥，如何管理密钥一直是密码学领域的重要问题。密钥管理方法因所使用的密码体制不同而不同。5密钥分配所有的密码技术都依赖于密钥。网络安全中，密钥的地位举足轻重。如何安全可靠、迅速高效地分配密钥，如何管理密钥一直是密码学领域的重要问题。密钥管理方法因所使用的密码体制不同而不同。6密钥分配密钥的生存周期：授权使用该密钥的周期拥有大量的密文有助于密码分析；一个密钥使用得太多了，会给攻击者增大收集密文的机会；在单一密钥受到威胁时，限制信息的暴露限制一技术使用到它估计的有效期限制计算密集型密码分析攻击的有效时间7密钥分配密钥经历的阶段产生分配使用更新撤销销毁8密钥分配密钥类型基本密钥（BaseKey），又称初始密钥（PrimaryKey)，用户密钥(Userkey)，是由用户选定或由系统分配给用户的，可在较长时间（相对于会话密钥）内由一对用户所专用的密钥。会话密钥（SessionKey），即两个通信方在一次通话或交换数据时使用的密钥。密钥加密密钥（KeyEncryptingKey），用于对会话密钥进行加密时采用的密钥。又称辅助（二级）密钥(SecondaryKey)或密钥传送密钥(keyTransportkey)。通信网中的每个节点都分配有一个这类密钥。主机主密钥（HostMasterKey），对密钥加密密钥进行加密的密钥。9密钥分配密钥类型公钥体制下，还有公开密钥、秘密密钥、签名密钥之分。安装使用期限分长期密钥（包括主密钥、密钥加密密钥和用于完成密钥协定的密钥）和短期密钥（数据密钥和用于一次会话的会话密钥）。10密钥分配对于通信双方A和B，密钥的分配可以有以下方法密钥由A选定，通过物理的方法安全地传递给B密钥由可信第三方C选定，通过物理的方法传递给A和B若A和B都有一个到可信第三方C的加密连接，则C可以通过加密连接将密钥安全的传递给A和B若A和B都在可信第三方发布自己的公开密钥，在他们都可以用彼此的公钥进行加密通信11对称加密密钥分配集中式密钥分配方案由一个中心节点负责密钥的产生并分配给通信各方，或由一组节点组成层次结构负责密钥的产生并分配给通信的各方。用户不需要保存大量的会话密钥，只需要保存同中心节点的加密密钥，用于安全传送由中心节点产生的会话密钥。缺点：通信量大，需要较好的鉴别功能以认证中心节点和通信方密钥分配中心KDC技术12集中式密钥分配方案密钥分配中心KDC技术中，假定每个通信方与KDC之间都共享一个唯一的主密钥，且这个主密钥是通过其他安全途径传递的。(1)A

KDC:IDa||IDb||N1(2)KDC

A:EKa[Ks||IDa||IDb||N1||Ekb[Ks||IDa]](3)AB:EKb[Ks||IDa](4)BA:EKs[N2](5)AB:EKs[f(N2)]IDa和IDb标识通信双方；N1和N2是一个当前量(nonce)用来标识当前交互；Ks是分配的会话密钥13密钥分配中心(KDC)发起方A发起方B(3)(4)(5)(1)(2)集中式密钥分配方案14单个密钥分配中心KDC无法支持大型的通信网络。每两个可能要进行安全通信的终端都必须同某个KDC共享密钥当通信的终端数量很大，会出现下列问题每个终端都要同许多密钥分配中心共享密钥，增加了终端的成本和人工分发密钥分配中心和终端共享的主密钥的成本需要几个特别大的密钥分配中心，每个密钥分配中心都同几乎所有终端共享主密钥，然而各个单位往往都希望自己来选择或建立自己的KDC集中式密钥分配方案15要求n个通信方保存多达(n(n-1))/2个主密钥，适合于小型网络或一个大型网络的局部范围分散式密钥分配方案发起方A发起方BIDa||N1EMK[Ks||IDa||IDb||f(N1)}}N2]EKs[f(N2)]16公钥的密钥分配获取通信方的公钥的多种途径公钥的公开宣布公开可用目录公钥管理机构公钥证书17利用公钥进行对称加密密钥的分配假定通信方A和B已经通过某种方法得到对方的公钥，需要进行对称密钥的分配1-3步进行身份认证，4-5步由A产生密钥Ks，分配于B，并与B共享发起方A发起方BEKUb[N1||IDa]EKUa[N1||N2]EKUb[N2]EKUb[EKRa[Ks]]DKUa[EKUb[EKRa[Ks]]]18密钥的管理密钥的生成密钥的生成与所使用的密钥生成算法相关，如果生成的密钥强度不一致，则称该算法构成的密钥空间是非线性密钥空间，否则是线性密钥空间。大部分密钥生成算法采用随机过程或伪随机过程生成密钥。19密钥的管理密钥的使用使用时注意保密，并及时更新确保打算用于一种目的的密钥不能和用于另一种目的的密钥交替使用。将密钥值和密钥的合法使用范围绑定在一起。密钥的存储将公钥存储在专用媒体（软盘、芯片等）一次性发放给各用户，用户在本机中就可以获得对方的公钥，协议非常简单，又很安全。这种形式只有在KDC等集中式方式下才能实现。用对方的公钥建立密钥环各自分散保存（如PGP）。将各用户的公钥存放在公用媒体中。20密钥的管理密钥的备份与恢复如果备份的密钥拷贝是可读的，它们应该以两个或两个以上的密钥分量形式存储。当恢复密钥时，必须知道该密钥的所有分量。每个密钥分量应当包括足够大的检验和，是的校验的错误率较低。密钥的恢复应在多重控制下进行21密钥的管理密钥的销毁密钥必须定期更换，更换密钥后，原来的密钥必须销毁。当密钥不再使用，该密钥的所有拷贝都被删除，重新生成或重新构造该密钥的所需信息也被全部删除时，该密钥中止它的生命期。22主要内容 密钥分配与管理PKI与PMI23PKI技术公钥基础设施（PKI）利用公钥理论和技术建立的提供信息安全服务的基础设施PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。认证技术数字签名身份识别信息的完整性验证24PKI技术PKI的功能证书、密钥的自动更新交叉认证加密密钥和签名密钥的分隔支持对数字签名的不可抵赖密钥历史的管理25PKI技术PKI组成数字证书库注册机构（RA）认证机关（CA）密钥备份及恢复系统证书作废系统PKI应用结构系统26PKI技术注册机构（RA）接收和验证新注册人的注册信息；代表最终用户生成密钥对；接收和授权密钥备份和恢复请求；接收和授权证书吊销请求；按需分发或恢复硬件设备，如令牌。27PKI技术认证机构（CA）验证并标识证书申请者的身份。确保CA用于签名证书的非对称密钥的质量。确保整个签证过程和签名私钥的安全性。证书材料信息（如公钥证书序列号、CA等）的管理。

确定并检查证书的有效期限。确保证书主体标识的唯一性，防止重名。

发布并维护作废证书表。

对整个证书签发过程做日志记录。

向申请人发通知。28PKI技术证书库一种网上公共信息库，用于证书的集中存放，用户可以从此处获得其他用户的证书和公钥。构造证书库的方法可以采用LDAP协议的目录系统，用户或相关应用通过LDAP访问证书库系统必须确保证书库的完整性、防止伪造、篡改证书。29PKI技术证书（Certificate）PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途签名证书和加密证书分开最常用的证书格式为X.509v330PKI技术字段定义主题名称唯一标识证书所有者的标识符签证机关名称(CA)唯一标识证书签发者的标识符主体的公开密钥证书持有者的公钥签名算法标识符指该证书中的签名算法CA的数字签名CA对证书的数字签名，保证证书的权威性有效期证书在该期间内有效序列号CA产生的唯一性数字，用于证书管理用途主体公钥的用途证书的主要内容31PKI技术X.509证书格式版本1.0版本2.0版本3.032PKI技术密钥备份及恢复系统为了防止用户丢失用于脱密数据的密钥以后，密文数据无法被脱密，从而造成数据丢失，为了避免此类情况出现，PKI应该提供脱密密钥的备份和恢复的机制。脱密密钥的备份和恢复应该由可信机构来完成，如CA。密钥备份与恢复只能针对脱密密钥，签名私钥不能够做备份。33PKI技术证书作废的策略作废一个或多个主体的证书作废由某一对密钥签发的所有证书作废由某个CA签发的所有证书PKI中作废证书的方法CA维护一个CRL(CertificateRevocationList)必须保证CRL的完整性34PKI技术PKI应用接口系统为所有应用提供一致、可信的方式使用公钥证书以安全、一致的方式与PKI的密钥备份与恢复系统交互，为应用提供密钥备份与恢复确保签名私钥只能在用户本人的控制之下根据安全策略自动为用户更换密钥向应用提供历史密钥的安全管理服务为所有应用访问统一的公用证书库提供支持提供统一的证书作废服务提供统一模式的交叉认证支持支持多种密钥存放介质PKI应用接口系统应该是跨平台的。35最终用户RA管理员RA中心硬件加密机目录服务、CRL、OCSP、时戳服务…证书管理服务器

数据库服务器

签名服务器密钥管理中心（KMC）系统管理服务器CA管理员CA中心密钥管理员36第三方信任CA认证中心信任AliceBob信任PKI技术37CA信任关系一个PKI用户能够信任的证书是怎么被确定的？这种信任关系是怎么被建立的？在一定的环境下，这种信任如何被控制？38信任模型其他信任模型分布式信任结构模型Web模型以用户为中心的信任模型PGP39交叉认证两个不同的CA层次结构之间可以建立信任关系单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证40PKI提供的基本服务认证：采用数字签名技术，签名作用于相应的数据之上数据源认证服务身份鉴别服务完整性数字签名：既可以是实体认证，也可以是数据完整性MAC：如DES-CBC-MAC或者HMAC-MD5保密性用公钥分发随机密钥，然后用随机密钥对数据加密不可否认发送方的不可否认——数字签名接受方的不可否认——收条+数字签名41PKI技术PKI的性能透明性和易用性可扩展性互操作性支持多应用、多平台42与PKI相关的标准由RSA实验室制订的PKCS系列标准，是一套针对PKI体系的加解密、签名、密钥交换、分发格式及行为标准PKCS#1：RSAEncryptionStandardPKCS#3：Diffie-HellmanKey-AgreementStandardPKCS#5：Password-BasedEncryptionStandardPKCS#6：Extended-CertificateSyntaxStandardPKCS#7：CryptographicMessageSyntaxStandardPKCS#8：Private-KeyInformationSyntaxStandardPKCS#9：SelectedAttributeTypesPKCS#10：CertificationRequestSyntaxStandardPKCS#11：CryptographicTokenInterfaceStandardPKCS#12：PersonalInformationExchangeStandardPKCS#13：EllipticCurveCryptographyStandardPKCS#15：CryptographicTokenInformationFormatStandard43与PKI相关的其他信任证书的概念扩展为一些更广的信任特征信用卡公司可能对验证你的经济状况比验证你的身份更感兴趣，希望使用证书将经济状况和密钥绑定在一起。两个相关标准的草案ANSI标准X.945SPKI（SimplePublicKeyInfrastructure，简单公钥