第5章_密钥分配与密钥管理总汇.ppt

第5章 密钥分配与密钥管理;*;§5.1 单钥加密体制的密钥分配;两个用户A和B获得共享密钥的方法有以下几种： ① 密钥由A选取并通过物理手段发送给B。 ② 密钥由第三方选取并通过物理手段发送给A和B。 ③ 如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方。 ④ 如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。 ;前两种方法称为人工发送。在通信网中，若只有个别用户想进行保密通信，密钥的人工发送还是可行的。然而如果所有用户都要求支持加密服务，则任意一对希望通信的用户都必须有一共享密钥。 n个用户，则密钥数目为n(n-1)/2。 当n很大时，密钥分配的代价非常大，密钥的人工发送是不可行的。;第3种方法，攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户分配初始密钥时，代价仍然很大。 第4种方法比较常用，其中的第三方通常是一个负责为用户分配密钥的密钥分配中心。这时每一用户必须和密钥分配中心有一个共享密钥，称为主密钥。通过主密钥分配给一对用户的密钥称为会话密钥，用于这一对用户之间的保密通信。通信完成后，会话密钥即被销毁。 用户数为n，则会话密钥数为n(n-1)/2。主密钥数却只需n个，主密钥可通过物理手段发送。 ;§5.1.2 一个实例;*;① A向KDC发出会话密钥请求。表示请求的消息由两个数据项组成，第1项是A和B的身份，第2项是这次业务的惟一识别符N1，称N1为一次性随机数，可以是时戳、计数器或随机数。每次请求所用的N1都应不同，且为防止假冒，应使敌手对N1难以猜测。因此用随机数作为这个识别符最为合适。;② KDC为A的请求发出应答。应答是由KA加密的消息，因此只有A才能成功地对这一消息解密，并且A可相信这一消息的确是由KDC 发出的。消息中包括A希望得到的两项内容： 一次性会话密钥KS； A在①中发出的请求，包括一次性随机数N1，目的是使A将收到的应答与发出的请求相比较，看是否匹配。 因此A能验证自己发出的请求在被KDC收到之前，是否被他人篡改。而且A还能根据一次性随机数相信自己收到的应答不是重放的过去的应答。; 此外，消息中还有B希望得到的两项内容： 一次性会话密钥KS； A的身份（例如A的网络地址）IDA。 这两项由KB加密，将由A转发给B，以建立A、B之间的连接并用于向B证明A的身份。 ③ A存储会话密钥，并向B转发EKB[KS‖IDA]。因为转发的是由KB加密后的密文，所以转发过程不会被窃听。B收到后，可得会话密钥KS，并从IDA可知另一方是A，而且还从EKB知道KS的确来自KDC。; 这一步完成后，会话密钥就安全地分配给了A、B。然而还需要继续以下两步工作： ④ B用会话密钥KS加密另一个一次性随机数N2，并将加密结果发送给A。 ⑤ A以f(N2)作为对B的应答，其中f是对N2进行某种变换（例如加1）的函数，并将应答用会话密钥加密后发送给B。 这两步可使B相信第③步收到的消息不是一个重放。 注意： 第③步就已完成密钥分配，第④、⑤两步结合第③步执行的是认证功能。;§5.1.3 密钥的分层控制;§5.1.4 会话密钥的有效期;对面向连接的协议，在连接未建立前或断开时，会话密钥的有效期可以很长。而每次建立连接时，都应使用新的会话密钥。如果逻辑连接的时间很长，则应定期更换会话密钥。 无连接协议（如面向业务的协议），无法明确地决定更换密钥的频率。为安全起见，用户每进行一次交换，都用新的会话密钥。然而这又失去了无连接协议主要的优势，即对每个业务都有最少的费用和最短的延迟。比较好的方案是在某一固定周期内或对一定数目的业务使用同一会话密钥。;§5.1.5 无中心的密钥控制;无中心的密钥分配时，两个用户A和B建立会话密钥需经过以下3步： ① A向B发出建立会话密钥的请求和一个一次性随机数N1。 ② B用与A共享的主密钥MKm对应答的消息加密，并发送给A。应答的消息中有B选取的会话密钥、B的身份、f(N1)和另一个一次性随机数N2。 ③ A使用新建立的会话密钥KS对f(N2)加密后返回给B。;*;§5.1.6 密钥的控制使用;单钥体制中的密钥控制技术有以下两种。 (1) 密钥标签 用于DES的密钥控制，将DES的64比特密钥中的8个校验位作为控制使用这一密钥的标签。标签中各比特的含义为： 一个比特表示这个密钥是会话密钥还是主密钥； 一个比特表示这个密钥是否能用于加密； 一个比特表示这个密钥是否能用于解密； 其他比特无特定含义，留待以后使用。;由于标签是在密钥之中，在分配密钥时，标签与密钥一起被加密，因此可对标签起到保护作用