第四节
密钥管理与分配

密钥是保密系统的核心，用来与待传输的明文进行某种变换，以产生密文。密钥的管理涉及从密钥产生到销毁整个过程中的各种问题：密钥的生成，密钥的分配和协商，密钥的保护和存储，密钥的更换和装入，密钥的吊销和销毁。在密钥的生命期中，每个阶段都不可忽视。密钥管理不仅影响系统的安全性，而且涉及系统的可靠性、有效性和经济性；因此，密钥管理在信息安全中占有越来越重要的分量。当前，密钥管理体制主要有三种：一是适用于封闭网的技术、以传统密钥管理中心为代表的KMI机制；二是适用于开放网的公钥基础设施PKI机制；三是适用于规模化专用网的SPK。

本节主要介绍KMI、PKI、SPK和PMI技术。

学习目标

了解KMI的基本概念和发展历程；

掌握PKI的基本组成和体系标准；

了解SPK和SDK；

掌握PMI的各种模型和实现机制。

关键知识点

PKI的基本组成和体系标准；

PMI的4种模型和PMI的实现机制。

KMI

密钥管理基础设施（Key Management Infrastructure,KMI）是一种密钥集中式管理机制，适用于各种专用网。由密钥管理中心（Key Mangement Center,KMC）提供统一的密钥管理服务，涉及密钥生成服务器、密钥数据库服务器和密钥服务管理器等组成部分。KMI 已成为目前应用较为广泛、研究较为热门的密钥管理技术。

KMI 经历了从静态分发到动态分发的发展历程，目前仍然是密钥管理的主要手段。无论是静态分发还是动态分发，都是基于秘密通道（物理通道）进行的。

静态分发

静态分发是在KMC和各所属用户之间建立信任关系的基础上，密钥由KMC统一生成、分发和更换的一种预配置技术。静态分发主要有以下几种配置结构：

（1）点对点密钥配置结构：其特点是可用单钥或双钥实现。单钥为鉴别提供可靠参数，但不提供不可否认服务。数字签名要求双钥实现。

（2）一对多密钥配置结构：也称星状密钥配置结构，其特点是可用单钥或双钥实现。一对多配置是点对点分发的扩展，只在中心保留所有各端的密钥，各端保留各自的密钥。一对多的密钥分配在银行清算、军事指挥、数据库系统中仍为主流技术，也是建立秘密通道的主要方法。

（3）格状网密钥配置结构：也称端到端密钥配置结构，其特点是可使用单钥或双钥实现，密钥配置量为全网n个终端中选2的组合数。

动态分发

动态分发是一种“请求-分发”机制，即与物理分发相对应的电子分发，一般用于建立实时通信中的会话密钥。动态分发在一定意义上缓解了密钥管理规模化的矛盾，大致有以下两种分发方式：

（1）基于单钥的单钥分发：其特点是首先用静态分发方式配置的星状密钥配置，主要解决会话密钥的分发。这种密钥分发方式简单易行。

（2）基于单钥的双钥分发：其特点是公私钥对都被当作秘密变量，也可以将公钥和私钥分开，把私钥当作秘密变量，把公钥当作公开变量。

PKI

公开密钥基础设施（Public Key Infrastructure,PKI）是一种遵循既定标准的密钥管理平台，适用于开放性网络。PKI能够为所有网络应用提供加密和数字签名等密码服务以及所必需的密钥和证书管理，从而达到保证网上所传递信息安全、真实、完整和不可抵赖的目的。利用 PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，并安全地从事各种活动。PKI技术是信息安全技术的核心，也是电子商务的关键技术。

PKI基本组成

从狭义上讲，PKI一般指数字证书管理系统。从广义上讲，所有基于PKI技术、提供公钥加密和数字签名服务的网络安全信任体系，都可叫作PKI系统。PKI的核心技术围绕着数字证书的申请、颁发、使用与撤销等整个生命周期展开。PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境中方便地使用加密和数字签名技术，从而保证网上数据的安全性。

一个典型、完整、有效的 PKI 应用系统，至少应具有认证机构、数字证书库、密钥备份与恢复、证书撤销、PKI应用接口等基本部分。PKI的构建也将围绕这几大基础构件来完成。PKI体系结构模型如图2.14所示。

认证中心（CA）即数字证书的申请和签发机关，是 PKI 的核心。CA 必须具备权威性的特征。通常，CA主要由三部分组成：

注册中心，负责为提出证书申请的用户提供不间断服务；

证书申请受理和审核机构，负责证书的申请和审核；

认证中心服务器，负责证书的生成、发放、管理及各种事务处理。

数字证书库用于存储已签发的数字证书及公钥，是网上的一种公共信息库；用户可由此获得所需的其他用户的证书及公钥。

当用户由于某种原因丢失了解密密钥，使得密文数据无法解密时，将造成合法数据丢失。为避免这种情况，PKI提供了密钥备份与恢复机制，当需要恢复时，用户向CA提出申请，CA就会为用户自动恢复。这里特别说明：密钥备份与恢复只能针对解密密钥；对于签名私钥，为确保其唯一性，不能对其进行备份。

证书撤销是 PKI 的一个必备组件。与各种身份证件类似，数字证书在其有效期以内也可能要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一系列机制。

PKI 的价值在于使用户能够方便地使用加密、数字签名等安全服务。因此，一个完整的PKI 必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保网络环境的完整性、易用性。

PKI的体系标准

随着PKI的广泛应用，为了保持各种产品之间的兼容性，标准化成了PKI不可回避的发展要求。从整个PKI体系建立与发展的历程来看，与PKI相关的体系标准主要有4种：

（1）ASN.1。ASN.1（Abstract Syntax Notation One）是一种 ISO/ITU-T标准，它描述了对数据进行表示、编码、传输和解码的数据格式。ASN.1提供了一整套正规的格式用于描述对象的结构，而不管语言上如何执行以及这些数据具体指代什么，也不用去管到底是什么样的应用程序。它原来是作为X.409的一部分而开发的，后来才自己独立成为一个标准。

（2）X.500目录服务。X.500是一套已经被ISO接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。在PKI体系中，X.500被用来唯一地标识一个实体，该实体可以是机构、个人和一台服务器。尽管X.500的实现需要较大的投资，并且比其他方式速度慢，但其优势是具有信息模型、多功能和开放性，所以X.500被认为是实现目录服务的最佳途径。

（3）PKIX。PKIX（Public Key Infrastructure on X.509）系列标准定义了X.509证书在Internet上的使用，包括证书的形成、发布和获取，各种产生和发布密钥的机制，以及怎样实现这些标准的轮廓结构等。PKIX系列协议标准可以分为以下部分：

PKIX系列标准中的基础协议：阐述了基于X.509的PKI框架结构，详细定义了X.509 V3公钥证书、X.509 V2 CRL的格式、数据结构和操作步骤等。

PKIX系列标准中的操作协议：主要阐述了PKI系统中实体如何通过证书库来存放、读取证书和撤销证书。

PKIX中的管理协议：主要阐述了PKI系统实体间如何进行信息的传递和管理。

PKIX中的扩展协议：主要是进一步完善PKI安全框架的各种功能，如安全服务中防抵赖和权限管理等。

（4）PKCS。PKCS（Public Key Cryptography Standards）是由美国RSA实验室制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废列表发布、扩展证书内容及数字签名、数字信封的格式等方面的一系列相关协议。到1999年底，PKCS已经公布了若干个标准，这里不再详述。

除了以上协议外，还有一些构建在PKI体系上的应用协议，包括安全电子交易协议（SET）、安全套接层（SSL）等。

PKI的优势

PKI作为一种安全技术，它具有良好的扩展性，适用于开放业务，被广泛应用于众多领域，表现出强大的技术优势。以公钥密码技术为基础的PKI，使得网络上的数字签名有了理论上的安全保障，其优势主要体现在以下方面：

不可抵赖性：PKI采用公开密钥密码技术，能够支持可公开验证且无法仿冒的数字签名，从而在支持可追究服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保，可以公开地进行验证，并能实现操作的可追究性。

数据保密性：PKI不仅能够为相互认识的实体之间提供机密性服务，同时也可以为陌生用户之间的通信提供保密支持。

用户可独立验证，服务的方便性：由于数字证书可以由用户独立验证，不需要在线查询。PKI采用数字证书证明末端实体的密钥，而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。

证书撤销机制：PKI撤销机制提供了在意外情况下的补救措施，在各种安全环境下都可以让用户更加放心。另外，因为有撤销技术，不论是永远不变的身份，还是经常变换的角色，都可以得到PKI的服务，为用户提供了方便。

极强的互联能力：PKI 按照人类世界的信任方式进行多种形式的互联互通，从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

SPK/SDK

在KMI格状网密钥配置中，密钥只保存在终端而不是保存在中心，任意两个终端都可以提供密钥进行通信。如果用户量为N个，则每个终端用户都要保存N个密钥。当用户数量比较大时，这种密钥管理方式就显得非常困难。为此，提出了种子化公钥（Seeded Public Key,SPK）和种子化双钥Seeded Double Key,SDK）技术。目前，提出来的种子化公钥（SPK）或种子化双钥（SDK）体制有三种。公钥和双钥的算法体制相同，在公钥体制中，密钥的一方要保密，而另一方则公布；在双钥体制中则将两个密钥都作为秘密变量。在 PKI 体制中，只能用前者，不能用后者；而在SPK体制中，两者都可以实现。

多重公钥（双钥）

多重公钥（双钥）（Lapped Public Key,LPK）或多重双钥（Lapped Double Key,LDK）用RSA公钥算法实现，于1990年提出并实现。例如，以2K个公钥种子，能实现100万个用户的公钥分发。多重公钥（双钥）有两个缺点：一是将种子私钥以原码形式分发给署名用户；二是层次越多，运算时间越长。

组合公钥（双钥）

组合公钥（双钥）（Combined Public Key,CPK）或组合双钥（Combined Double Key,CDK）用离散对数（DLP）或椭圆曲线密码（ECC）实现。因为这两个算法非常类似，算法和协议可以互相模拟。CPK组合密钥算法是以ECC为理论基础的。ECC是目前最安全的公钥密码算法。CPK 利用了椭圆曲线组合性特点，用小规模的密钥矩阵以一定的组合算法就可以产生大量的密钥。

组合公钥（双钥）算法2000年被提出，2001年得以实现；它以1K个公钥种子，实现1078个用户的公钥。1K 个公钥种子可以在网上公布，让各用户下载使用；也可以记录在简单媒体中，与私钥和ID卡或CA证书一同发给用户，将私钥和“公钥”一同加密，分发给用户使用。因此，公钥的分发变得非常简单而方便。

组合公钥克服了多重公钥的两个缺点，其私钥是经组合以后的变量，不暴露种子，而公钥的运算几乎不占时间。由此可见，种子公钥体制［尤其是椭圆曲线组合公钥（双钥）］是电子商务和电子政务中一种比较理想的密钥管理解决方案。

PMI

授权管理基础设施（Privilege Management Infrastructure,PMI）是中国国家信息安全基础设施的一个重要组成部分。PMI是一个由属性证书（Attribute Certificate,AC）、属性权威机构（Attribute Authority,AA）、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。其中，属性证书（AC）是一个数据结构，主要包含证书所有者ID、证书颁发者ID、签名算法、有效期、属性等信息。属性证书由属性权威机构（AA）进行数字签名，使证书持有者的认证信息被捆绑到一些属性值上。属性权威机构（AA）是通过发布属性证书来分配权限的认证机构。AA和CA在逻辑上是完全独立的；在许多情况下，它们在物理上也是独立的。

目前，PMI 已成为电子商务等网络应用中不可缺少的安全支撑系统，它以身份证书为载体，同时记录用户的身份信息和权限信息，提供了身份认证的有效手段，为访问控制在网络系统中的实施奠定了基础。

PMI 是在 PKI 提出并解决了信任和统一的安全认证问题后提出的，其目的是解决统一的授权管理和访问控制问题。它分离了 X.509标准中 PKI 的权限管理功能，提供了更为严格、方便和高效的访问控制机制，是一种基于PKI系统之上的、实现权限管理的体系。

PMI的特点

PMI授权服务体系主要为网络空间提供用户操作授权的管理，即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。

PMI技术通过数字证书机制来管理用户的授权信息。

授权操作与业务操作相分离，并将授权管理功能从应用系统中分离出来，以独立服务的方式面向应用系统提供授权管理服务。因此，授权管理模块自身的维护和更新操作与具体的应用系统无关，可以在不改变应用系统的前提下完成对授权模型的转换。

PMI模型

PMI模型包括通用模型、控制模型、委托模型和角色模型。这几个模型反映了PMI中的主要相关实体、主要操作进程以及交互的内容。

1.通用模型

PMI通用模型给出了PMI的一般描述，是理解PMI的基础。通用模型由对象、权限声称者和权限验证者三个实体组成。对象可以是被保护的资源，例如在一个访问控制应用中，受保护资源就是对象；权限声称者也就是访问者，是指拥有一定特权并针对某一特定服务声称具有其使用权的实体；权限验证者是对访问动作进行验证和决策，根据权限声称者所声称的权限和系统当前的权限策略对该用户是否享有某一服务做出判断的实体。

权限验证者根据以下条件决定访问通过或失败、权限声称者的权限、权限策略、环境变量（可选）和对象方法敏感度（可选）。权限声称者的权限通常被封装于其持有的属性证书中，这些权限信息反映了证书授权机构对受权实体的信任程度。权限策略规定访问某一特定对象所需权限的最小集合或门限，它精确地定义了权限验证者为了允许权限验证者访问某一请求对象、资源或应用服务所应包含的权限集。为了保证系统的安全性，权限策略需要进行完整性和可靠性保护，防止他人通过修改权限策略而攻击系统。

对象方法敏感度反映了请求对象的价值和重要性，例如文件内容的机密等级等。对象方法敏感度既可以经加密后显式地保存于通用安全标签中或由对象方法支持的属性证书内，也可以隐性地封装于请求对象的数据结构中。当然在某些应用环境下，对象方法敏感度是不需要的。环境变量是指权限验证者在进行访问控制判断时依据权限策略规定而需要使用的一些参数，如访问时间、权限持有者的源地址等。

一般，通用的权限管理模型可以应用到具体的权限管理和访问控制中去。

2.控制模型

PMI 控制模型阐述了如何控制对敏感对象方法的访问。该模型中有5个实体：权限声称者、权限验证者、对象方法（敏感度）、权限策略和环境变量。权限声称者具有权限，对象方法具有敏感性，权限验证者在权限策略下控制权限声称者对对象方法的访问，特权和敏感性都是多值参数，具体如图2.15所示。

3.委托模型

PMI委托模型通常由4个实体组成，包括授权机构源（Source of Authority,SOA）（也称信任源）、授权服务机构、权限持有者和权限验证者，具体如图2.16所示。

PMI 委托模型提出了授权机构的层次级联。权限经由若干中间环节从上到下依次传递和赋予，最终到达系统终端实体。这样，高层就只负责制定访问策略，维护有限的证书分配和管理功能，从而实现系统规模的扩张和整体性能的优化。

授权机构源将权限委托给授权服务机构，通过发布属性证书来确定所拥有的权限或权限子集，同时赋予它进行权限委托的权力。可以通过限制委托路径深度、限制名字空间等方法来控制后继委托。所委托的权限不能超过他本身所拥有的权限。

权限验证者信任对资源的访问控制权限。当一个权限持有者提出请求时，若其持有证书并未颁发，则权限验证者将定位或通往委托路径进行验证，并对该路径上每一节点进行判断是否具有该权限。

4.角色模型

在PMI角色模型中，角色是给用户分配权限的一种间接手段。用户作为某种角色的成员，其访问权限在管理上仅与其角色相关。这种思想极大地简化了用户授权的管理，提高了系统管理员的工作效率，降低了系统安全策略管理的复杂性。PMI角色模型如图2.17所示。

PMI的实现机制

PMI 实现的机制有多种，大致可以分为 Kerberos 机制、集中的访问控制列表（ACL）机制和基于属性证书（AC）机制。

1.基于Kerberos的机制

Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器（C/S）应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无须基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。Kerberos便于软硬件的实现，比非对称密码算法速度快；但是，它存在密钥管理不便和单点失败的问题。这种机制适用于大量的实时事务处理环境中的授权管理。

2.集中的访问控制列表（ACL）机制

集中的ACL机制中有一个中心服务器，用来实行高度集中管理的控制方案；这种模式便于实行单点管理，但是很容易形成通信的“瓶颈”问题。所以，它适用于地理位置相对集中的实体环境。

3.基于属性证书的机制

基于属性证书的PMI建立在PKI提供的可信的身份认证服务基础上，以属性证书的形式实现授权的管理。属性证书是一种轻量级的数字证书，这种数字证书不包含公钥信息，而是利用属性来定义每个证书持有者的权限、角色等信息。这种机制是一种分布式解决方案，具有失败拒绝的优点，适用于支持不可否认服务的授权管理。

基于Kerberos机制和集中的访问控制列表（ACL）机制的PMI通常是集中式的，无法满足跨地域、分布式环境下的应用需求，缺乏良好的可伸缩性。基于属性证书的 PMI 通过属性证书的签发、发布、撤销等，在确保授权策略、授权信息、访问控制决策信息安全、可信的基础上，实现了PMI的跨地域、分布式应用。

练习

1.PKI的主要理论基础是（　）。

a.对称密码算法　　b.公钥密码算法　　c.量子密码　　d.摘要算法

2.PKI是（　）的简称。

a.Private Key Infrastructure　　　 b.Public Key Infrastructure

c.Public Key Institute　　　　　 d.Private Key Institute

3.PKI解决信息系统中的（　）。

a.身份信任　　　　b.权限管理　　　　c.安全审计　　d.加密

4.（　）是PKI体系中最基本的元素，PKI系统所有的安全操作都是通过它来实现的。

a.密钥　　　　　　b.用户身份　　 c.数字证书　 d.数字签名

5.许多与PKI相关的协议标准，如PKIX、IPSec等都是在（　）基础上发展起来的。

a.X.500　　　　　 b.X.509　　　　　 c.X.519　　　　d.X.505

6.授权管理基础设施是指（　）。

a.PKI　　　　　　 b.KMI　　　　　　c.PMI　　　　 d.DMI

7.PMI使用（　）来强化对特权的管理。

a.用户口令　　　　b.协议　　　　　　c.属性证书　　 d.其他

8.PMI主要为了解决什么问题才出现的？（　）

a.身份鉴别　　　　 b.鉴别后的授权　　 c.简化PKI　　 d.替代PKI

9.PKI和PMI相比，（　）更适合于那些基于角色进行访问控制的领域。

a.PKI　　　　　　 b.差别不大　　　　c.PMI　　　　 d.不确定

10.PMI使用的属性证书是一种轻量级的数字证书，（　）公钥信息。

a.不包含　　　　　b.包含　　　　　　c.有的包含　　 d.有的不包含

【参考答案】1.b　 2.b　 3.a　 4.c　 5.b　 6.c　7.c　 8.b　 9.c　 10.a

补充练习

通过调研和查阅资料，讨论PKI的组成部分、功能及所提供的服务。 ifRCKs21UHdl7AScfxeYA7L1HCxZSTOvfN5sE2Lc2zfJpEWrbSgTPaDzyW1/isZH