《无线网络安全技术》研讨课-第五讲

第四讲密钥管理/认证协议无线网络安全技术songyubo@seu.edu.cn密钥管理（1）密钥的生存周期（2）密钥的产生（3）密钥的分配（4）密钥管理的其他阶段2密钥管理3在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用。处理密钥自产生到最终销毁的整个过程中的有关问题包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、泄露、撤销和销毁等内容。所有的密码技术都依赖于密钥的保密。密钥的管理本身是一个很复杂的课题而且是保证安全性的关键点。密钥管理方法因所使用的密码体制对称密码体制和公钥密码体制而异。所有的密钥都有生存期密钥的生命周期：授权使用该密钥的周期。一个密钥主要经历以下主要阶段：产生、登记、存储、分发、注入、应用、更换和销毁原因：1拥有大量的密文有助于密码分析一个密钥使用得太多了会给攻击者增大收集密文的机会.2假定一个密钥受到危及或用一个特定密钥的加密/解密过程被分析则限定密钥的使用期限就相当于限制危险的发生.密钥的生存期。4密钥的产生密钥长度的选择密钥长度的选择与具体的应用有关，如加密数据的重要性、保密期限长短、可能破译者的计算能力等。密钥的类型不同种类的密钥类型产生的方法不同。密钥产生的方式集中式分散式5密钥的分配无中心的密钥分配模式中心化密钥分配模式公钥密码体制的密钥分配6无中心的密钥分配模式(1)A向B发出建立会话密钥的请求和一个一次性随机数N1。(2)B用与A共享的主密钥对应答的消息加密，并发给A，应答的消息中包括B选取的会话密钥、B的身份，f(N1)和另一个一次性随机数N2。(3)A用新建立的会话密钥加密f(N2)并发送给B。AB(1)(2)(3)7中心化密钥分配模式AB(3)(4)(5)KDC（2）（1）(1)A向KDC发出会话密钥请求。请求内容包括A与B的身份以及一次性随机数N1。(2)KDC为A的请求发出应答。应答内容包括：一次性会话密钥Ks、A的请求、用B与KDC的共享密钥加密一次性会话密钥Ks和A的身份，其中应答信息是用A与KDC的共享密钥加密。8中心化密钥分配模式(续)AB(3)(4)(5)KDC（2）（1）(3)A存储会话密钥，并向B转发用B与KDC的共享密钥加密一次性会话密钥Ks和A的身份。(4)B使用会话密钥Ks加密另一个一次性随机数N2，并将加密结果发送给A。(5)B使用会话密钥Ks加密f(N2)，并将加密结果发送给B。9公钥密码体制的密钥分配A用B的公钥加密A的身份和一个一次性随机数N1后发给B。B解密的N1，并用A的公钥加密N1和另一个一次性随机数N2后发给A。A用B的公钥加密N2后发给B。B选取一个会话密钥Ks，用B的私钥加密后再用A的公钥加密，发送给B。A用A的私钥和B的公钥解密得Ks。10密钥管理的其他阶段密钥使用注意内存的密钥泄露。私钥不出USBKey。密钥存储现更多存储在UsbKey中。密钥更新更容易的解决办法是从旧密钥中产生新的密钥。公私钥对重新生成。密钥备份可信第三方托管或使用主密钥（公钥）加密保存。主要针对加密密钥。密钥销毁(撤销不同)物理上彻底粉碎。11公钥算法密钥管理公钥的分配问题公开发布公开可访问的目录公钥机构(Public-KeyAuthority)公钥证书使用公钥加密分配对称密码体制的密钥公钥的公开发布使用者将自己的公钥发送给接收者或广播给所有人。例如：PGP用户将PGP公钥附在发送消息后或直接通过新闻组及邮件列表散布。缺点：易于伪造任何人都可以创建一个密钥，并宣称是A的并进行散布。在伪装被发现之前，假冒者一直可以伪装成用户A。公开可访问的目录密钥管理在一个公开目录上注册密钥可以获得更大程度的安全性目录必须是可信任的：包含{姓名，对应的公钥}用户可以在目录上安全的进行注册用户可以随时替换公钥目录定期发布目录可以通过网络方式访问仍然容易被伪装和窃听公钥机构通过严格控制目录的公钥发布来提高安全性要求用户可靠知道维护公钥目录机构的公钥用户通过与目录的交互以安全的得到需要的公钥要求：用户需要得到公钥时可以实时访问目录。用户A和用户B通信的时候要求相互认证以保证公钥的时效性（不是过期的）。缺陷：瓶颈问题：每次通信都需要访问公钥机构目录仍然容易被篡改密钥管理公钥证书提供一种跟公钥机构一样安全可靠的机制，但不需要直接访问公钥机构。公钥证书将用户的身份和用户的公钥绑定在一起通常还需要其他信息，例如有效期限，使用的权限等所有的内容由可信的第三方或者证书机构签发密钥管理公钥证书公钥证书的交换密钥管理公钥证书要求任何通信方可以读取证书并确认证书拥有者的姓名和公钥任何通信方可以验证该证书是否出自公钥证书机构只有公钥证书机构才可以发行并更新证书任何通信方可以验证证书的时效性用户信息公钥证书发布时间证书权威的信息证书权威的签名CA=E(PRauth,[T||IDA||PUa])密钥管理公钥证书X.509证书格式使用最广泛的公钥证书格式应用于IP安全、安全套阶层(SSL)、安全电子交易(SET),以及安全电子邮件(S/MIME)证书验证协议证书撤销列表(CRL:CertificateRevocationList)在线证书状态协议(OCSP:OnlineCertificateStatusProtocol)密钥管理使用公钥密码分配密钥由于公钥密码需要大量的计算开销，这限制了公钥密码系统的使用。数字签名密钥分配密钥管理简单的密钥分配(Merkle’s)Alice生成一临时公/私钥对，并将她的公钥和标示IDA发给BobBob生成会话密钥Ks,并用Alice的公钥加密发给AA解密后得到会话密钥Ks，双方用Ks进行安全通信SimpleUseofPublic-KeyEncryptiontoEstablishaSessionKey密钥管理Diffie-Hellman密钥交换基于计算离散对数的难度的基础上的。Diffie-Hellman密钥交换AliceBob公开素数q和本原根a随机生成秘密参数XA：XAq随机生成秘密参数XB：XBq计算YA：YA=aXAmodq计算YB：YB=aXBmodqYAYBK=(YB)XAmodqK=(YA)XBmodqDiffie-Hellman密钥交换例子:素数q=97,本原根=5A和B的秘密参数分别是：XA=36，XB=58计算：YA=536mod97=50YB=558mod97=44A计算KK=(YB)XAmod97=4436mod97=75B计算KK=(YA)XBmod97=5058mod97=75攻击者可以得到的信息：q=97,=5，YA=50，YB=44Diffie-Hellman密钥交换中间人攻击AliceBobDarthYAYD1K1=(YD1)XBmodqK2=(YD2)XAmodqK2=(YA)XD2modqYBK1=(YB)XD1modqYD2为了抵御这种攻击,我们需要端到端的认证机制(使用数字签名或是公钥证书)Diffie-Hellman密钥交换认证协议认证协议：相互认证单向认证相互认证相互认证使得通信者确信对方的身份并交换会话密钥安全目标：保证会话秘钥的安全性保证对方身份的真实性设计时需注意的问题：1.机密性:使用加密方式。(要求事先有共享的秘密信息或公钥)2.实时性:处理重放攻击。对抗重放攻击的两种方法时间戳:要求通信各方的时钟应保持同步。挑战/应答:A-B:nonce（挑战）B-A:E[K,M||nonce](应答）对称加密方法Needham-Schroeder的利用KDC的协议•用于密钥分配和相互认证对称加密方法MutualAuthentication第4步和第5步用于对抗重放攻击该协议仍然容易遭受重放攻击假设攻击者X已知一个旧的会话密钥X可以模仿A重放步骤3并诱使B使用旧的密钥除非B记得所有先前的会话密钥，否则B不知道该消息是否是重放的。如果X截获了步骤4的握手消息，则它可以模仿步骤5中A的响应。从此，X可以发送伪造的消息给B，而B认为这是A使用经过认证后的会话密钥发送给它的。对称加密方法Denning的协议，通过在第2步和第3步增加时间戳的方式克服Needham-Schroeder协议的缺点1.AKDC:IDA||IDB2.KDCA:EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3.AB:EKb[Ks||IDA||T]4.BA:EKs[N1]5.AB:EKs[f(N1)]及时性的验证：|时钟-T|Δt1+Δt2•由于时间戳使用安全的主密钥加密，攻击者即使知道旧的会话密钥，仍然无法成功重放。•但是新的问题产生了，这个机制要求时钟的可靠性，时钟需在整个网络保持同步。•分布的时钟可能会不同步会产生禁止-重放攻击MutualAuthentication对称加密方法Newman协议1.AB:IDA||Na2.BKDC:IDB||Nb||EKb[IDA||Na||Tb]3.KDCA:EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||Nb4.AB:EKb[IDA||Ks||Tb]||EKs[Nb]Tb是与B时钟相关的时间，这就不需要各个时钟的同步了，因为B只检查自己生成的时间戳。假定A和B利用上述协议建立了会话，则紧接着A想要和B建立新的会话，则使用下述协议即可：1.AB:EKb[IDA||Ks||Tb],Na’2.BA:Nb’,EKs[Na’]3.AB:EKs[Nb’]MutualAuthentication公钥加密方法Public-KeyDistributionofSecretKeys(Needham-Schroeder’sAlgorithm)使用公钥加密用于会话密钥分配的一个方法：假定通信双发知道对方的公钥•这个假定通常并不现实公钥加密方法使用时间戳的协议1.AAS:IDA||IDB2.ASA:EKRas[IDA||KUa||T]||EKRas[IDB||KUb||T]3.AB:EKRas[IDA||KUa||T]||EKRas[IDB||KUb||T]||EKUb[EKRa[Ks||T]]该协议非常的简洁但要求时钟同步由Woo和Lam提出的使用nonces的方法1.AKDC:IDA||IDB2.KDCA:EKRauth[IDB||KUb]3.AB:EKUb[Na||IDA]4.BKDC:IDB||IDA||EKUauth[NA]5.KDCB:EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDB]]6.BA:EKUa[EKRauth[Na||Ks||IDB]||Nb]7.AB:EKs[Nb]MutualAuthentication单向认证电子邮件的应用并不需要收发双方同时在线E-mail的头必须是明文形式通常要求消息被加密，使得邮件处理系统无法访问消息同样的需要认证，接收者需要确定邮件来自宣称的发送方对称加密方法1.AKDC:IDA||IDB||N12.KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]3.AB:EKb[Ks,IDA]||EKs[M]•确保指定的接收者可以读取消息•同样的需提供认证以证明发送方是A•不能抗重放攻击AuthenticationProtocols公钥加密方法One-WayAuthentication先前讨论的机制也适用于电子邮件应用公钥加密方法One-WayAuthentication如果机密性是主要关心的，则更有效的方法是：AB:EKUb[Ks]||EKs[M]•这个机制用B的公钥对该一次性密钥加密，比直接用B公钥加密整个消息更有效。如果认证是主要关心的，则使用数字签名即可：AB:M||EKRa[H(M)]攻击者可能会剥去消息的签名然后附上自己的，并宣称是