06密码学与网络安全第六讲.docx

1、06密码学与网络安全第六讲网络与信息安全第六讲 密码学实际应用中的问题 网络通信安全模型四个基本任务:（1）设计一个算法，执行安全相关的转换；（2）生成该算法的秘密信息；（3）研制秘密信息的分布与共享的方法；（4）设定两个责任者使用的协议，利用算法和秘密信息取得安全服务。讨论议题 密钥管理 密钥的长度 硬件加密和软件加密 存储数据加密的特点 压缩、编码和加密 文件删除一、 密钥管理 所有的密码技术都依赖于密钥。 密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。 密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。1、密钥类型 1）基本密钥（Base Key）又称初始密

2、钥（ Primary Key) 和用户密钥(User key)，是由用户选定或由系统分配给用户的，可在较长时间（相对于会话密钥）内由一对用户所专用的密钥。2）会话密钥（Session Key）即两个通信终端用户在一次通话或交换数据时使用的密钥。当它用于加密文件时，称为文件密钥(File key)，当它用于加密数据时，称为数据加密密钥(Data Encrypting Key)。3）密钥加密密钥（Key Encrypting Key）用于对会话密钥或文件密钥进行加密时采用的密钥。又称辅助（二级）密钥(SecondaryKey)或密钥传送密钥(key Transport key)。通信网中的每个节点

3、都分配有一个这类密钥。 4）主机主密钥（Host Master Key）它是对加密密钥进行加密的密钥，存于主机处理器中。5）在公钥体制下，还有公开密钥、秘密密钥、签名密钥之分。 将用于数据加密的密钥称三级密钥； 保护三级密钥的密钥称二级密钥，也称密钥加密密钥； 保护二级密钥的密钥称一级密钥，也称密钥保护密钥。如用口令保护二级密钥，那么口令就是一级密钥。2、密钥生存期 密钥的生存周期：授权使用该密钥的周期。 原因：（为什么设生存周期）1）一个密钥使用得太多了，会给攻击者增大收集密文的机会；2）假定一个密钥受到危及或用一个特定密钥的加密/解密过程被分析，则限定密钥的使用期限就相当于限制危险的发生。

4、 一个密钥主要经历以下几个阶段：1）产生（可能需要登记）2）分配3）使用4）更新/替换5）撤销6）销毁3、密钥管理1）密钥管理（key management)：在一种安全策略指导下密钥的产生, 存储, 分配, 删除, 归档及应用。 2）处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化，密钥的产生、存储、备份/恢复、装入、分配、保护、更新、泄露、撤销和销毁等内容。3）目的：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁： （1）密钥的泄露 （2）秘密密钥或公开密钥的身份的真实性丧失 （3）经未授权使用4)密钥管理包括： 密钥产生 密钥的装入 密钥的保护 密钥类型 密钥存储

5、密钥分配 密钥协定 密钥使用控制 密钥备份/恢复 更新密钥 密钥的撤销和销毁 公开密钥的管理 密钥产生 手工/自动(密钥生成器产生随机序列) 选择密钥方式不当会影响安全性 1）密钥空间 2）差的选择方式易受字典式攻击攻击者并不按照数字顺序去试所有可能的密钥，首先尝试可能的密钥，例如英文单词、名字等。（Daniel Klein使用此法可破译40%的计算机口令），方法如下：（1）用户的姓名、首字母、帐户名等个人信息；（2）从各种数据库得到的单词；（3）数据库单词的置换；（4）数据库单词的大写置换；（5）对外国人从外国文字试起；（6）尝试词组。 好的密钥的特点（1）真正的随机、等概；（2）避免使用特

6、定算法的弱密钥（单钥系统）；（3）双钥系统的密钥必须满足一定的关系；（4）选用易记难猜的密钥；（5）采用散列函数； 不同等级的密钥的产生方式不同（1）主机主密钥安全性至关重要，故要保证其完全随机性、不可重复性和不可预测性。可用投硬币、骰子，噪声发生器等方法产生；（2）密钥加密密钥数量大(N(N-1)/2)，可由机器自动产生，安全算法、伪随机数发生器等产生；（3）会话密钥可利用密钥加密密钥及某种算法(加密算法,单向函数等)产生；（4）初始密钥:类似于主密钥或密钥加密密钥的方法产生。 密钥的产生方式 必须在安全环境中产生密钥以防止对密钥的非授权访问。密钥生产形式现有两种，一种是由中心(或分中心)集

7、中生产，也称有边界生产；另一种是由个人分散生产，也称无边界生产。 两种密钥产生方式对比 密钥登记 密钥登记：将产生的密钥与特定的使用捆绑在一起，例如，用于数字签名的密钥，必须与签名者的身份捆绑在一起。这个捆绑必须通过某一授权机构来完成。 密钥的装入主机主密钥：直接或间接装入，装入时须有电磁屏蔽，装入后不能再读出(但可间接验证)。密钥加密密钥：直接或间接装入，装入时须有电磁屏蔽，装入后不能再读出，可联机或者间接验证。初始密钥：直接或间接装入，装入后不能再读出，可联机验证。 密钥的存储 一种是将所有密钥或公钥存储在专用媒体（软盘、芯片等）一次性发放给各用户，用户在本机中就可以获得对方的公钥，协议非

8、常简单，又很安全。电脑黑客的入侵破坏，也只能破坏本机而不影响其他终端。这种形式只有在KDC等集中式方式下才能实现。 第二种是用对方的公钥建立密钥环各自分散保存。 第三种是将各用户的公钥存放在公用媒体中。这两种都需要解决密钥传递技术，以获取对方的公钥。第三种还要解决公用媒体的安全技术，即数据库的安全问题。 密钥的保护 所有密钥的完整性也需要保护，因为一个入侵者可能修改或替代密钥，从而危及机密性服务。 除了公钥密码系统中的公钥外，所有的密钥需要保密。 在实际中，最安全的方法是将其放在物理上安全的地方。 当一个密钥无法用物理的办法进行安全保护时，密钥必须用其它的方法来保护:(1)将一个密钥分成两部分

9、，委托给两个不同的人；(2)通过机密性（例如，用另一个密钥加密）和/或完整性服务来保护。 极少数密钥(主机主密钥)以明文存储于有严密物理保护的密码器中，其他密钥都被(主密钥或次主密钥)加密后存储 。 密钥分配与密钥协定密钥分配协议：系统内的一个成员选择密钥，然后将它们安全传给其他成员；密钥协定协议：系统两个或者多个成员在公开的信道上联合建立秘密密钥。两个成员的密钥协定也称为密钥交换；有些协议既是密钥分配协议，也是密钥协定协议。 密钥分配 基于对称密码体制的密钥分配 基于公开密码体制的秘密密钥分配 几个密钥分配方案1. 基于对称密码体制的密钥分配 对称密码体制的主要商业应用起始于八十年代早期，特

10、别是在银行系统中，采纳了DES标准和银行工业标准ANSI数据加密算法(DEA)。实际上，这两个标准所采用的算法是一致的。 金融机构密钥管理需要通过一个多级层次密钥机构来实现。2. 三层密钥层次结构：1）主密钥（KKMs），通过手工分配；2）密钥加密密钥（KKs），通过在线分配；3）数据密钥（KDs）。 KKMs保护KKs的传输，用KKs保护KDs的传输。 主密钥是通信双方长期建立密钥关系的基础。 主密钥的分配方式 利用安全信道实现 （1）直接面议或通过可靠信使递送（2）将密钥分拆成几部分分别传送 两种密钥分配技术两种密钥分配体制 静态分配 一个有n个用户的系统，需实现两两之间通信 n个用户，需

11、要n(n-1)/2个共享密钥 动态分配 中心化的密钥管理方式，由一个可信赖的联机服务器: 基于公开密钥体制的秘密密钥分配Simple secret key distribution Merkle协议的中间人攻击 密钥分配人工手动分配密钥: 存在问题：1）效率低；2）成本高；3）每个用户要存储与所有用户通信的密钥；4）安全性差；机器自动分配密钥: 基本要求1） 任何两个用户能独立计算他们之间的秘密密钥；2） 传输量小；3） 存储量小；4） 任何一个(或多个)用户不能计算出其他用户之间的秘密密钥。 密钥协定key agreement 是一个协议，它通过两个或多个成员在一个公开的信道上通信联合地建立

12、一个秘密密钥。 Diffie-Hellman密钥交换协议 端-端协议(Station-To-Station protocol) Diffie-Hellman密钥交换协议 数字签名可抵抗中间人攻击的方法 STS协议（站对站协议）在原有方案的基础上，加入数字签名操作，假定每个A都有一个签名方案，签名算法为Sig，签名验证算法为VerA，若可信中心TA也有一个签名方案签名算法为SigTA，公开的签名验证算法为VerTA，每个用户A持有一个证书：C（A）=（IDA ，VerA ，SigTA（IDA ，VerA ）其中IDA 为用户身份的信息，证书C（A）由TA事先签发。 密钥使用控制 除了秘密保存密钥

13、之外，有时密钥分配过程也是很重要的，因为该过程确保打算用于一种目的的密钥不能和用于另一种目的的密钥交替使用。这就要求将密钥值和密钥的合法使用范围封装在一起。 控制向量的加解密 使用控制向量的优点：1、对控制向量的长度没有限制，对密钥的使用可施加复杂的控制； 2、在所有的操作阶段控制向量都是以明文的方式存在的，所以对密钥的使用控制可以在多个位置进行。 密钥备份/恢复 1.使用秘密共享协议：为防止主密钥目标过大和主密钥发生意外破坏，可使用信得过的若干用户分别保管密钥的部分信息的策略来实现安全保管。-秘密共享例如：银行金库的钥匙的保管-金库门锁开启至少由两位在场才能打开，以防止自盗行为。秘密分享方案

14、:是指将一个共密钥K分成n个子密钥k1，k2kn并秘密分配给n个参与者。 2.使用智能卡暂存 密钥更新 加密时需要每天更新密钥。 从旧的密钥生成新的密钥。 密钥撤销 在特定的环境中是必须的。原因：3. 与密钥有关的系统的迁移；4. 怀疑一个特定的密钥已受到威胁；5. 密钥的使用目的已经改变（如，提高安全级别）。 密钥销毁 清除一个密钥的所有踪迹。一个密钥的值在被停止使用后可能还要持续一段时间，例如，一条记载的加密数据流包含的信息可能仍然需要保密一段时间。为此，使用的任何密钥的秘密性都需要保持到所保护的信息不再需要保密为止。这表明在密钥的使用活动终结后，安全地销毁所有敏感密钥的拷贝是十分重要的。

15、例如，必须使得一个攻击者通过观察旧的数据文件，存储的内容或抛弃的设备确定旧密钥值是绝不可能的。 公开密钥的管理 公开密码体制的密钥分配要求与对称密码体制的密钥分配要求有着本质的差别：当分配一个公钥时，不需要机密性。然而，公钥的完整性是必需的。 公开密钥的分配公开宣布Public announcement公开可以得到的目录Publicly available directory公开密钥管理机构Public-key authority公钥证书Public key certificates1） Public announcement直接把公钥散发出去使用PGP（电子邮件的加密技术）发送公开论坛的报文

16、中把公钥附上能被假冒2） Publicly available directory需要可信任的中央授权机构：授权机构维护着动态name,public key列表用户在授权机构注册其public key(安全通道)用户可以替换其public key授权机构定期发布或更新整个目录用户可在网络上直接访问公共目录(安全通道)3） Public-key publication(公开密钥的出版)4） Public-key authority需要可信任的中央授权机构每个用户知道授权机构的公钥 5） Public-key certificates 任何人可以阅读证书以确定证书拥有者的姓名和公钥； 任何人可以验

17、证证书是由授权机构发出而非伪造的； 只有授权机构才可以发行和更新证书； 任何人可以验证证书的时效。 6） Exchange of public-key certificates泄漏私钥等价于丢失证书证书的时间作为有效期7） 公开密钥基础设施PKI（Public Key Infrastructure） PKI是一个用公钥概念与技术来实施和提供安全服务的普适性基础设施。 PKI是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。(一) PKI提供的基本服务1、 鉴别 采用数字签名技术，签名作用于相应的数据之上： 被鉴别的数据 数据源鉴别服务

18、用户发送的远程请求 身份鉴别服务 远程设备生成的challenge信息 身份鉴别2、完整性 PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性； MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5；3、 保密性 用公钥分发随机密钥，然后用随机密钥对数据加密。4、不可否认 发送方的不可否认数字签名 接受方的不可否认收条+ 数字签名 (二) PKI基本组件 注册机构RA 认证机构CA 证书库 密钥备份及恢复系统 证书作废处理系统 PKI应用接口系统(三) 注册机构RA 接收和验证新注册人的注册信息； 代表最终用户生成密钥对； 接收和授权密钥备份和恢复请求； 接收和

19、授权证书吊销请求； 按需分发或恢复硬件设备，如令牌。(四) CA职能 验证并标识证书申请者的身份。 确保CA用于签名证书的非对称密钥的质量。 确保整个签证过程和签名私钥的安全性。 证书材料信息（如公钥证书序列号、CA等）的管理。 确定并检查证书的有效期限。 确保证书主体标识的唯一性，防止重名。 发布并维护作废证书表。 对整个证书签发过程做日志记录。 向申请人发通知。(五) 证书库 证书库是一种网上公共信息库，用于证书的集中存放，用户可以从此处获得其他用户的证书和公钥。(六) PKI中的证书 证书(certificate)，有时候简称为cert PKI适用于异构环境中，所以证书的格式在所使用的范

20、围内必须统一； 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性； 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途； 签名证书和加密证书分开； 最常用的证书格式为X.509 v3 。(七) X.509证书示意图(八) 密钥备份及恢复系统 为了防止用户丢失用于脱密数据的密钥以后，密文数据无法被脱密，从而造成数据丢失，PKI应该提供脱密密钥的备份和恢复的机制。脱密密钥的备份和恢复应该由可信机构来完成，如CA。(九) 证书的注销机制 由于各种原因，证书需要被注销 比如，私钥泄漏、密钥更换、用户变化 PKI中注销的方法 CA维护一个CRL(Certi

21、ficate Revocation List) 基于Web的CRL服务 检查CRL的URL应该内嵌在用户的证书中 可以提供安全途径(SSL)访问URL 返回注销状态信息 其他的用法由浏览器决定(一十) PKI应用接口系统 透明性：PKI必须尽可能地向上层应用屏蔽密码实现服务的实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，并且便于单位、企业完全控制其信息资源。 可扩展性：满足系统不断发展的需要，证书库和CRL有良好的可扩展性。 支持多种用户：提供文件传送、文件存储、电子邮件、电子表单、WEB应用等的安全服务。 互操作性：不同企业、不同单位的PKI实现可能是不同的，必须支持

22、多环境、多操作系统的PKI的互操作性 (一十一) PKI应用 基本的应用 文件保护 E-mail Web应用 其他 VPN SSL/TLS XML/e-business WAP二、密钥长度 原则：既保证系统的安全性，又不至于开销太高。 对称密码的密钥长度 公钥密码的密钥长度对称密码的密钥长度 假设算法的保密强度足够的，除了穷举攻击外，没有更好的攻击方法。穷举攻击是已知明文攻击。 穷举攻击的复杂度：密钥长为n位，则有2n种可能的密钥，因此需要2n次计算。 a) 密钥长度与穷举破译时间和成本估计 密钥的搜索速度由计算机资源确定。 串行搜索下，由计算机的计算时间，即时间复杂性决定。 并行搜索由空间复

23、杂性和各计算机的计算能力决定。以增大空间复杂性来减少时间复杂性。 统计的观点 某种计算资源破译需要一年时间,在一个月内破译的可能性8%, 若穷举需要一个月时间,则一小时内破译的可能性是0.14% 破译56位DES的成本单位:美元 b) 软件攻击 1. 使用网络计算机的空闲时间 使用40个工作站的空闲时间在一天内完成了对234个密钥的测试。 一个40台计算机的网络，每台每秒执行32000次加密，系统可用1天时间完成40位密钥的穷举攻击。 2.使用攻击病毒: 研究表明,计算机在7090%的时间内是空闲的.c) 各种类型数据所需密钥长度 1.所保存信息的价值 2. 信息保密的时间 3. 信息的攻击者

24、及其使用的设备和资源的情况 三、硬件加密和软件加密 硬件加解密是商业或军事上的主流 （1）速度问题：针对位的操作、不占用计算机主处理器 （2）安全性：可进行物理保护- （3）易于安装：不需使用计算机的电话、传真、数据线路；计算机环境下，使用硬件加密可对用户透明，软件实现，需要在操作系统深层安装，不容易实现。软件加密： 缺点：速度慢、造价高、安全性差 优点：使用灵活、修改方便、可移植性好 采用软件加密时，密钥管理的手段必须可靠，密钥和明文应在加密后删除。四、存储数据加密的特点（1）数据存放的时间长，密钥需要安全、长期存储（2）数据可能在另外的盘上、计算机上以明文形式出现，为攻击者提供了“已知明文

25、攻击”的机会（3）数据库的应用中，数据小于加密分组的长度，造成数据扩展（4）I/O设备的速度要求高速的加、解密运算。（5）密钥的管理更复杂，因为不同的人需要访问不同的文件或同一文件的不同部分五、 压缩、编码和加密 将压缩算法和加密算法结合使用效果更好。 （1）密码分析依赖于明文中的数据冗余，而压缩明文会减少这种冗余。 （2）减少加密时间 纠错码应在加密之后 六、 文件删除 大多数计算机删除文件时，只是删除文件的索引，此外，虚拟存储器意味着计算机可以在任何时候往硬盘上读、写数据。 要真正删除数据要使用物理写入的办法。 （1）美国NCSCNCSC-TG-0257建议以一定格式的随机数重写至少三次。

26、第一次用00110101，第二次用11001010，第三次用随机数10010111。 （2）一些商用软件使用三次重写，第一次全1，第二次全0，第三次用0和1相间的数字 （3）Schneier建议用七次，第一次用全1，第二次用全0，后五次用密码学上的安全伪随机数。 偶尔对未用空间重写，或将文件与后面未用块组部分进行交换。参考资料 书 William Stallings, Cryptography and network security:principles and practice, Second Edition 冯登国，信息安全核心理论与实践，国防工业出版社，2000 李克洪, 实用密码学与计算机数据安全,东北大学出版社,1997 Carl Ellison and Bruce Schneier,Ten risks of PKI: What You re not being Told about Public KeyInfrastructure,Compuer security journal, Vol XVI,No.1,2000,1-8 为人所不知的PKI十大风险,网络安全技术与应用,2003年第2期