《应用密码学》课件第9章 密钥管理技术(1).ppt

1、12024-3-192024-3-1911 现代密码学除了包括密码编码学和密码分析学两个学科之外，还包括近几年现代密码学除了包括密码编码学和密码分析学两个学科之外，还包括近几年才形成的新分支才形成的新分支，它是以密钥（现代密码学的核心）及密钥管理，它是以密钥（现代密码学的核心）及密钥管理作为研究对象的学科。作为研究对象的学科。密钥管理作为现代密码学的一个重要分支，就是在授权各方之间实现密钥关密钥管理作为现代密码学的一个重要分支，就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序，也是现代密码学中最重要、最困难的部分。系的建立和维护的一整套技术和程序，也是现代密码学中最重要、最困难的部

2、分。密钥设计一系列的规程，包括密钥的产生、分配、存储、使用、备份密钥设计一系列的规程，包括密钥的产生、分配、存储、使用、备份/恢复、恢复、更新、撤消和销毁等环节更新、撤消和销毁等环节。在现代密码学中，密钥管理作为作为提供数据保密性、数据完整性、可用性、在现代密码学中，密钥管理作为作为提供数据保密性、数据完整性、可用性、可靠性、可审查性和不可抵赖性等安全技术的基础，在保密系统中是至关重要的。可靠性、可审查性和不可抵赖性等安全技术的基础，在保密系统中是至关重要的。22024-3-192024-3-1922 现代密码体制要求加密和解密算法是可以公开评估的，现代密码体制要求加密和解密算法是可以公开评估

3、的，整个密码系统的安全性整个密码系统的安全性并不取决于对密码算法的保密或是对加密设备等的保护并不取决于对密码算法的保密或是对加密设备等的保护（尽管这样有利于提高整个（尽管这样有利于提高整个密码系统的安全程度，但这种提高是相对而言的），密码系统的安全程度，但这种提高是相对而言的），一，一旦密钥泄露，也就不再具有保密功能。旦密钥泄露，也就不再具有保密功能。密码算法可以公开，密码设备可以丢失，但它们都不危及密码体制的安全性；密码算法可以公开，密码设备可以丢失，但它们都不危及密码体制的安全性；此外，此外，密钥作为密码系统中的密钥作为密码系统中的可变部分可变部分，在考虑密码系统的设计时（，在考虑密码系统

4、的设计时（特别是在商用系统的设计特别是在商用系统的设计时），需要解决的时），需要解决的核心问题是密钥管理问题，而不是密码算法问题（例如商用系统可以使用公开了的、核心问题是密钥管理问题，而不是密码算法问题（例如商用系统可以使用公开了的、经过大量评估分析认为抗攻击能力比较强的算法）。经过大量评估分析认为抗攻击能力比较强的算法）。32024-3-192024-3-193332024-3-192024-3-19339.1 密钥管理概述密钥管理概述 密钥管理是一门综合性的技术，它除了技术性的因素之外，它还与人的因素密钥管理是一门综合性的技术，它除了技术性的因素之外，它还与人的因素有关，例如密钥的行政管理

5、制度以及人员的素质密切相关有关，例如密钥的行政管理制度以及人员的素质密切相关。密码系统的安全强度总是由系统中最薄弱的环节决定的密码系统的安全强度总是由系统中最薄弱的环节决定的。但作为一个好的密。但作为一个好的密钥管理系统应当尽量不依赖于人的因素，这不仅是为了提高密钥管理的自动化水钥管理系统应当尽量不依赖于人的因素，这不仅是为了提高密钥管理的自动化水平，最终目的还是为了提高系统的安全程度。平，最终目的还是为了提高系统的安全程度。对密钥管理系统一般应满足：对密钥管理系统一般应满足：密钥难以被非法窃取；密钥难以被非法窃取；在一定条件下窃取了密钥也没有用；在一定条件下窃取了密钥也没有用；密钥的分配和更

6、换过程在用户看来是透明的，用户不一定密钥的分配和更换过程在用户看来是透明的，用户不一定要亲自掌握密钥。要亲自掌握密钥。42024-3-192024-3-194442024-3-192024-3-19449.2 密钥的结构和分类密钥的结构和分类 为了适应密钥管理系统的要求，目前在现有的计算机网络系统和数据库系统为了适应密钥管理系统的要求，目前在现有的计算机网络系统和数据库系统的密钥管理系统的设计中，大都采用了的密钥管理系统的设计中，大都采用了。这种层次化的密钥结构与整个系统的密钥控制关系是对应的。这种层次化的密钥结构与整个系统的密钥控制关系是对应的。按照密钥的作用与类型及它们之间的相互控制关系，

7、可以将不同类型的密钥按照密钥的作用与类型及它们之间的相互控制关系，可以将不同类型的密钥划分为划分为，从而组成一个，从而组成一个n层密钥系统，如下图所示。层密钥系统，如下图所示。密钥的结构密钥的结构52024-3-192024-3-1955f1 f2 fn1 fn Kn1 Kn 明文M 密文C 密钥协议1 密钥协议2 密钥协议n1 密钥协议n f1 f2 fn1 fn K1 Kn1 Kn 明文M K2 K1 K2 在左图中，系统使用在左图中，系统使用一级密钥一级密钥使用物理方法或其他的方法进行保使用物理方法或其他的方法进行保护），使用护），使用二级密钥通过算法保护二级密钥通过算法保护三级密钥三级

8、密钥，以此类推，直到最后使，以此类推，直到最后使用级密钥通过算法保护明文数据。用级密钥通过算法保护明文数据。随着加密过程的进行，各层密随着加密过程的进行，各层密钥的内容动态变化，而这种变化的钥的内容动态变化，而这种变化的规则由规则由相应层次的密钥协议控制相应层次的密钥协议控制。62024-3-192024-3-1966 在左图中，在左图中，。所有上层密钥可称为密钥加密密所有上层密钥可称为密钥加密密钥，钥，。最上面一层的密钥也叫主密钥，最上面一层的密钥也叫主密钥，通常主密钥是整个密钥管理系统的核通常主密钥是整个密钥管理系统的核心，应该采用最安全的方式来进行保心，应该采用最安全的方式来进行保护。护

9、。f1 f2 fn1 fn Kn1 Kn 明文M 密文C 密钥协议1 密钥协议2 密钥协议n1 密钥协议n f1 f2 fn1 fn K1 Kn1 Kn 明文M K2 K1 K2 72024-3-192024-3-1977 数据加密密钥（即数据加密密钥（即工作密钥工作密钥）在平时并不存在，在进行数据的加解密时，）在平时并不存在，在进行数据的加解密时，工作工作密钥将在上层密钥的保护下动态地产生密钥将在上层密钥的保护下动态地产生（如，在上层密钥的保护下，通过密钥协商（如，在上层密钥的保护下，通过密钥协商产生本次数据通信所使用的数据加密密钥；或在文件加密时，产生一个新的数据加产生本次数据通信所使用的

10、数据加密密钥；或在文件加密时，产生一个新的数据加密密钥，在使用完毕后，立即使用上层密钥进行加密后存储。密密钥，在使用完毕后，立即使用上层密钥进行加密后存储。这样，除了加密部件外，密钥仅以密文的形式出现在密码系统其余部分中）；这样，除了加密部件外，密钥仅以密文的形式出现在密码系统其余部分中）；数据加密密钥在使用完毕后，将立即清除，不再以明的形式出现在密码系统中数据加密密钥在使用完毕后，将立即清除，不再以明的形式出现在密码系统中。82024-3-192024-3-1988 。这样，大量的数据可以通过少。这样，大量的数据可以通过少量动态产生的数据加密密钥（工作密钥）进行保护，而数据加密密钥又可以由更

11、量动态产生的数据加密密钥（工作密钥）进行保护，而数据加密密钥又可以由更少量的、相对不变（使用期较长）的密钥加密密钥来保护。少量的、相对不变（使用期较长）的密钥加密密钥来保护。同理，同理，在最后第二层的密钥加密密钥可以由主密钥进行保护，从而保证了除在最后第二层的密钥加密密钥可以由主密钥进行保护，从而保证了除了主密钥可以以明文的形式存储在有严密物理保护的主机密码器件中，其他密钥了主密钥可以以明文的形式存储在有严密物理保护的主机密码器件中，其他密钥则以加密后的密文形式存储，这样，就改善了密钥的安全性。则以加密后的密文形式存储，这样，就改善了密钥的安全性。具体来说，层次化的密钥结构具有以下优点：具体来

12、说，层次化的密钥结构具有以下优点：（1 1）安全性强：）安全性强：位于层次化密钥结构中的底层密钥更换得越快，最底层密钥最底层密钥可以做到每加密一份报文就更换一次可以做到每加密一份报文就更换一次；在少量最初处于最高层的主密钥注入系统后，下层各密钥的那样可以按照某种协议不断地变化（如可以使用安全算法以及高层密钥产生低层密钥；另外，下层密钥的泄露不会影响上层密钥的安全。（2 2）进一步提高了密钥管理的自动化）进一步提高了密钥管理的自动化.92024-3-192024-3-1999 从具体的功能来看，在一般的密码系统中，密钥可以分为基本密钥、会话密钥从具体的功能来看，在一般的密码系统中，密钥可以分为基

13、本密钥、会话密钥（数据加密密钥）、密钥加密密钥和主密钥（数据加密密钥）、密钥加密密钥和主密钥。（1 1）基本密钥（）基本密钥（Base KeyBase Key）：）：又称为初始密钥（又称为初始密钥（primary keyprimary key）或用户密钥）或用户密钥（user keyuser key）。）。它是由它是由。在某种程度上，基本密钥还起到了标识用户的作用。在某种程度上，基本密钥还起到了标识用户的作用。（2 2）会话密钥（）会话密钥（Session KeySession Key）：也称为：也称为数据加密密钥数据加密密钥，是在一次通信或数据交，是在一次通信或数据交换中，用户之间所使用的密

14、钥，它可由通信用户之间进行协商得到。换中，用户之间所使用的密钥，它可由通信用户之间进行协商得到。它一般是它一般是。密钥的分类密钥的分类102024-3-192024-3-191010 会话密钥可以使大家不必很频繁地去更换基本密钥，而是通过密钥分配或者密会话密钥可以使大家不必很频繁地去更换基本密钥，而是通过密钥分配或者密钥协商的方法得到某次数据通信所使用的数据加密密钥这样就可以做到一次一密，钥协商的方法得到某次数据通信所使用的数据加密密钥这样就可以做到一次一密，从而大大提高通信的安全性，并方便密钥的管理。从而大大提高通信的安全性，并方便密钥的管理。（3 3）密钥加密密钥（）密钥加密密钥（Key

15、Encrypting KeyKey Encrypting Key）：用来对传送的会话密钥或文件：用来对传送的会话密钥或文件加密密钥进行加密时所采用的密钥，另外也可以称为加密密钥进行加密时所采用的密钥，另外也可以称为。密钥加密密钥所保护的对象是用来保护通信或文件数据的会话密钥或者文件加密钥加密密钥所保护的对象是用来保护通信或文件数据的会话密钥或者文件加密密钥。密密钥。同时，为了安全，各节点的密钥加密密钥应互不相同。节点之间进行密钥协商同时，为了安全，各节点的密钥加密密钥应互不相同。节点之间进行密钥协商时，应用各节点的密钥加密密钥加以完成。时，应用各节点的密钥加密密钥加以完成。112024-3-1

16、92024-3-191111（4 4）主密钥（）主密钥（Master KeyMaster Key）：对应于层次化密钥结构中的最上面一层，：对应于层次化密钥结构中的最上面一层，。在实际应用中，除了上述几种密钥外，还有其他类型的密钥，例如：在实际应用中，除了上述几种密钥外，还有其他类型的密钥，例如：算法更算法更换密钥（换密钥（Algorithm Changing KeyAlgorithm Changing Key）等。等。如果从广义的角度来看，它的某些作用是完全可以归结为上述几类密钥的作如果从广义的角度来看，它的某些作用是完全可以归结为上述几类密钥的作用。用。122024-3-192024-3-1

17、91212122024-3-192024-3-1912129.3 密钥管理密钥管理 密钥管理涉包括管理方式、密钥的生成、使用、存储、备份与恢复、更新、密钥管理涉包括管理方式、密钥的生成、使用、存储、备份与恢复、更新、销毁以及密钥的撤消等销毁以及密钥的撤消等，涵盖了密钥的整个生存周期。1管理方式管理方式层次化的密钥管理方式层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生；工作密钥由上层的加密密钥来保护，最上层的密钥成为主密钥，是整个密钥管理系统的核心。132024-3-192024-3-1913132密钥的生成 假如使用一个弱的密钥产生方法，那么整个系统动将是弱的。数据加密标准DES有5

18、6位密钥，正常情况下任何56位的数据串都可以成为密钥，所以共有256种可能的密钥。在具体实现中，一般仅允许使用ASCII码的密钥，并强制每一字节的最高位为零。在一些实现中甚至只将大写字母转换成小写字母，这些密钥程序使得DES的攻击难度比正常情况下低上万倍。因此，在现代加密技术中，密钥的生成方法必须高度重视。142024-3-192024-3-191414 在在ANSI X9.17标准中规定了一种密钥生成法，这种方法适合于在系统中产生标准中规定了一种密钥生成法，这种方法适合于在系统中产生会话密钥或伪随机数，是密码强度较高的伪随机数生成器之一，目前已经在会话密钥或伪随机数，是密码强度较高的伪随机数

19、生成器之一，目前已经在PGP等许多应用中得到了广泛使用。等许多应用中得到了广泛使用。设设k主密钥，主密钥，Wi为一个保为一个保密的密的64比特的随机数种子，比特的随机数种子，Ti为时间戳，为时间戳，Ek为加密算法，见下图所示。为加密算法，见下图所示。152024-3-192024-3-1915153密钥的使用密钥的使用是指从存储介质上获得密钥进行加密和解密的技术活动。在密钥的使用过程中，要防止密钥被泄露，同时也要在密钥过了使用期更换新的密钥。例如。162024-3-192024-3-1916164密钥的存储 密钥的存储分为无介质、记录介质和物理介质等几种。无介质就是不存储密钥，或者说靠记忆来存

20、储密钥。这种方法也许是最安全的，也许是最不安全的。但是一旦遗忘了密钥，其结果就可想而知了。但对于只使用短时间通信的密钥而言，也许并不需要存储密钥。记录介质就是把密钥存储在计算机等的磁盘上。当然这要求存储密钥的计算机只有授权人才可以使用，否则不是安全的，但如果有非授权的人要使用该计算机，对存储密钥的文件进行加密或许也是一个不错的选择。物理介质是指把密钥存储在一个特殊介质上，如IC卡等，显然这种物理介质存储密钥便于携带、安全、方便。172024-3-192024-3-1917175密钥的备份与恢复 由于密钥在保密通信中具有重要的地位，应尽全力对密钥进行保护密钥备份是指在密钥使用期内，存储一个受保护

21、的拷贝，用于恢复遭到破坏的密钥。密钥的恢复是指当一个密钥由于某种原因被破坏了，在还没有被泄露出去以前，从它的一个备份重新得到密钥的过程。密钥的备份与恢复保证了即使密钥丢失，由该密钥加密保护的信息也能够恢复。密钥托管技术就能够满足这种需求的一种有效的技术。182024-3-192024-3-1918186密钥的更新 在密钥有效期快要结束时，如果需要继续对该密钥加的内容进行保护，该密钥需要由一个新的密钥来代替，这就是密钥的更新。密钥更新可以通过再生密钥来取代原有密钥的方式来实现。192024-3-192024-3-1919197密钥的销毁 密钥必须定期更换，更换密钥后原来的密钥必须销毁。密钥不再使

22、用时，该密钥的所有拷贝都必须删除，生成或构造该密钥的所有信息也应该被全部删除。8密钥的撤消 在密钥正常的生命周期结束之前，有时需要对密钥进行撤消，比如密钥的安全受到威胁时或实体发生组织关系变动等。密钥的撤消包括撤消相应的证书。202024-3-192024-3-192020202024-3-192024-3-1920209.4 密钥托管技术密钥托管技术(略略)密钥托管技术简介密钥托管技术简介 。其目的是政府机关希望在需要时可通过密钥托管提供（解密）一些特定信息，在其目的是政府机关希望在需要时可通过密钥托管提供（解密）一些特定信息，在用户的密钥丢失或损坏的情况下可通过密钥托管技术恢复出自己的密钥

23、。用户的密钥丢失或损坏的情况下可通过密钥托管技术恢复出自己的密钥。密钥托管技术的实现手段通常是把加密的数据和数据恢复密钥联系起来，数据恢密钥托管技术的实现手段通常是把加密的数据和数据恢复密钥联系起来，数据恢复密钥不一定是直接解密的密钥，但由它可以得到解密密钥。复密钥不一定是直接解密的密钥，但由它可以得到解密密钥。一个密钥也有可能被折分成多个分量，分别由多个委托人持有。一个密钥也有可能被折分成多个分量，分别由多个委托人持有。212024-3-192024-3-192121 自从这种技术出现以来，许多人对此自从这种技术出现以来，许多人对此颇有争议颇有争议，他们认为密钥托管技术侵犯，他们认为密钥托管

24、技术侵犯个人隐私。个人隐私。尽管如此，由于这种密钥备用与恢复手段不仅对政府机关有用，也对用户自尽管如此，由于这种密钥备用与恢复手段不仅对政府机关有用，也对用户自己有用，为此许多国家都制定了相关的法律法规。己有用，为此许多国家都制定了相关的法律法规。美国政府美国政府19931993年年4 4月颁布了月颁布了EESEES标准（标准（Escrow Encryption Standard,Escrow Encryption Standard,托管加托管加密标准），该标准体现了一种新思想，即对密钥实行法定托管代理的机制密标准），该标准体现了一种新思想，即对密钥实行法定托管代理的机制。该标准使用的托管加密

25、技术不仅提供了加密功能，同时也使政府可以在实施该标准使用的托管加密技术不仅提供了加密功能，同时也使政府可以在实施法律许可下的监听（法律许可下的监听（如果向法院提供的证据表明，密码使用者是利用密码在进行如果向法院提供的证据表明，密码使用者是利用密码在进行危及国家安全和违反法律规定的事，经过法院许可，政府可以从托管代理机构取危及国家安全和违反法律规定的事，经过法院许可，政府可以从托管代理机构取来密钥参数，经过合成运算，就可以直接侦听通信。来密钥参数，经过合成运算，就可以直接侦听通信。）。）。222024-3-192024-3-192222 该标准的加密算法使用的是该标准的加密算法使用的是Skipj

26、ackSkipjack。其后（其后（19941994年年2 2月），美国政府进一步改进提出了月），美国政府进一步改进提出了（Key Key Escrow StandardEscrow Standard）政策，希望用这种办法加强政府对密码使用的调控管理。）政策，希望用这种办法加强政府对密码使用的调控管理。目前，目前，在美国有许多组织都参加了在美国有许多组织都参加了KESKES和和EESEES的开发工作，系统的开发者是司的开发工作，系统的开发者是司法部门（法部门（DOJDOJ），国家标准技术研究所（），国家标准技术研究所（NISTNIST）和基金自动化系统分部对初始的）和基金自动化系统分部对初始的

27、托管（托管（EscrowEscrow）代理都进行了研究）代理都进行了研究，国家安全局（，国家安全局（NSANSA）负责）负责KESKES产品的生产，联产品的生产，联邦调查局（邦调查局（FBIFBI）被指定为最初的合法性强制用户。）被指定为最初的合法性强制用户。232024-3-192024-3-192323 该技术包括两个主要的核心内容：该技术包括两个主要的核心内容：（1 1）SkipjackSkipjack加密算法加密算法 是由是由NSANSA设计的，用于加解密用户之间通信的信息。它是一个对称密码分组设计的，用于加解密用户之间通信的信息。它是一个对称密码分组加密算法，密钥长为加密算法，密钥长

28、为80bits80bits，输入和输出分组长度均为，输入和输出分组长度均为64bits64bits。该算法的实现方式采用供该算法的实现方式采用供DESDES使用的联邦信息处理标准（使用的联邦信息处理标准（FIPS PUB81FIPS PUB81和和FIPS FIPS PUB81PUB81）中定义的）中定义的4 4种实现方式。种实现方式。这这4 4种实现方式为：电码本（种实现方式为：电码本（ECBECB）、密码分组链接（）、密码分组链接（CBCCBC）、）、6464比特输出反馈比特输出反馈（OFBOFB）和）和1 1、8 8、1616、3232或或6464比特密码反馈（比特密码反馈（CFBCFB

29、）模式。）模式。242024-3-192024-3-192424 。据密码专家们推算，如果采用价值一百万美元的机。据密码专家们推算，如果采用价值一百万美元的机器攻破器攻破5656比特的密钥需要比特的密钥需要3.53.5小时，而攻破小时，而攻破8080比特的密钥则需要比特的密钥则需要20002000年；如果采用年；如果采用价值十亿美元的机器攻破价值十亿美元的机器攻破5656比特的密钥需要比特的密钥需要1313秒，而攻破秒，而攻破8080比特的密钥则需要比特的密钥则需要6.76.7年。年。虽然一些密码学家认为虽然一些密码学家认为SkipjackSkipjack有陷门，但对目前任何已知的攻击方法还不

30、存有陷门，但对目前任何已知的攻击方法还不存在任何风险，该算法可以在不影响政府合法监视的环境下为保密通信提供加密工在任何风险，该算法可以在不影响政府合法监视的环境下为保密通信提供加密工具。具。（2 2）LEAFLEAF（Law Enforcement Access FieldLaw Enforcement Access Field，法律实施访问域），法律实施访问域）通过这个访问域，法律实施部门可以在法律授权的情况下，实现对用户之间通过这个访问域，法律实施部门可以在法律授权的情况下，实现对用户之间通信的监听（解密或无密钥）。这也看成是一个通信的监听（解密或无密钥）。这也看成是一个“后门后门”。25

31、2024-3-192024-3-192525-密钥托管技术的具体实施密钥托管技术的具体实施 该密钥托管技术具体实施时有该密钥托管技术具体实施时有3 3个主要环节：生产托管个主要环节：生产托管ClipperClipper芯片、用芯片芯片、用芯片加密通信和无密钥存取。加密通信和无密钥存取。（1 1）生产托管生产托管ClipperClipper芯片芯片 Clipper Clipper芯片主要包含：芯片主要包含：SkipjackSkipjack加密算法、加密算法、8080比特的族密钥比特的族密钥KFKF（Family Family KeyKey，同一芯片的族密钥相同）、芯片单元标识符，同一芯片的族密钥

32、相同）、芯片单元标识符UIDUID（Unique IdentifierUnique Identifier）、）、8080比特的芯片单元密钥比特的芯片单元密钥KU(Unique KeyKU(Unique Key，由两个，由两个8080比特的芯片单元密钥分量比特的芯片单元密钥分量(KU1(KU1，KU2)KU2)异或而成）和控制软件。异或而成）和控制软件。以上以上这些内容都是固化在这些内容都是固化在ClipperClipper芯片上。芯片上。262024-3-192024-3-192626 （2 2）用芯片加密通信用芯片加密通信 通信双方为了通信，都必须有一个装有通信双方为了通信，都必须有一个装有

33、ClipperClipper芯片的安全防窜扰设备，该设芯片的安全防窜扰设备，该设备主要实现建立安全信道所需的协议，包括备主要实现建立安全信道所需的协议，包括协商或分配协商或分配用于加密通信的用于加密通信的8080比特秘比特秘密会话密钥密会话密钥KSKS。（3 3）无密钥存取）无密钥存取 在需要对加密的通信进行解密监控时（即在无密钥且合法的情况下），可通在需要对加密的通信进行解密监控时（即在无密钥且合法的情况下），可通过一个安装好的同样的过一个安装好的同样的密码算法、族密钥密码算法、族密钥KFKF和密钥加密密钥和密钥加密密钥K K的解密设备的解密设备来实现。来实现。由于被监控的通信双方使用相同的

34、会话密钥，解密设备不需要都取出通信双由于被监控的通信双方使用相同的会话密钥，解密设备不需要都取出通信双方的方的LEAFLEAF及芯片的单元密钥，而只需取出被监听一方的及芯片的单元密钥，而只需取出被监听一方的LEAFLEAF及芯片的单元密钥。及芯片的单元密钥。272024-3-192024-3-192727 对于每个数据加密密钥，对于每个数据加密密钥，S S或或R R都有可能要求都有可能要求DRCDRC或或KECKEC有一次相互作用，其中有一次相互作用，其中对数据加密密钥要求对数据加密密钥要求DRCDRC与与KECKEC之间的联系是在线的，以支持当每次会话密钥改变之间的联系是在线的，以支持当每次

35、会话密钥改变时的实时解密。时的实时解密。如果托管代理机构把部分密钥返回给如果托管代理机构把部分密钥返回给DRCDRC时，时，DRCDRC必须使用穷举搜索以确定密必须使用穷举搜索以确定密钥的其余部分。钥的其余部分。此外，此外，比如可以对数据恢复进行严格的时间限制。比如可以对数据恢复进行严格的时间限制。这些保护措施提供了这些保护措施提供了KECKEC传送密钥时所要求的限制，而且认证机构也可以防传送密钥时所要求的限制，而且认证机构也可以防止止DRCDRC用密钥产生伪消息。用密钥产生伪消息。282024-3-192024-3-192828 密钥托管是具有备份解密密钥的加密技术，它允许获得授权者（包括用

36、户、密钥托管是具有备份解密密钥的加密技术，它允许获得授权者（包括用户、民间组织和政府机构）在特定的条件下，借助于一个以上持有数据恢复密钥可信民间组织和政府机构）在特定的条件下，借助于一个以上持有数据恢复密钥可信赖的委托人的支持来解密密文。赖的委托人的支持来解密密文。所谓数据恢复密钥，它不同于常用的加密、解密密钥，它只是为确定数据加所谓数据恢复密钥，它不同于常用的加密、解密密钥，它只是为确定数据加密密/解密提供了一种方法。而所谓密钥托管就是指存储这些数据恢复密钥的方案。解密提供了一种方法。而所谓密钥托管就是指存储这些数据恢复密钥的方案。密钥托管在逻辑上分为密钥托管在逻辑上分为3 3个主要的模块（

37、如上图所示）：个主要的模块（如上图所示）：USCUSC（User Security User Security ComponentComponent，）、）、KECKEC（Key Escrow ComponentKey Escrow Component，）和）和DRCDRC（Data Recovery ComponentData Recovery Component，）。这些逻辑模块是密切相关的，）。这些逻辑模块是密切相关的，对其中的一个设计将影响着其他模块。对其中的一个设计将影响着其他模块。密钥托管系统的组成 292024-3-192024-3-192929 下图所示的是这几个模块的相互关系

38、：下图所示的是这几个模块的相互关系：USCUSC用密钥用密钥K K加密明文，并且在传送的加密明文，并且在传送的同时传送一个数据恢复域同时传送一个数据恢复域DRFDRF（Data Recovery FieldData Recovery Field），），DRCDRC则从则从KECKEC提供的和提供的和DRFDRF中包含的信息中恢复出密钥中包含的信息中恢复出密钥K K来解密密文。来解密密文。302024-3-192024-3-1930301)USC1)USC（User Security ComponentUser Security Component，用户安全模块），用户安全模块）USC USC由

39、软件、硬件组成（一般情况下，硬件比软件安全、不易发生窜扰），由软件、硬件组成（一般情况下，硬件比软件安全、不易发生窜扰），提供数据加密提供数据加密/解密的能力，执行支持数据恢复的操作，同时也支持密钥托管。解密的能力，执行支持数据恢复的操作，同时也支持密钥托管。这种支持体现在将数据恢复域（这种支持体现在将数据恢复域（DRFDRF）附加到数据上。）附加到数据上。USC USC的功能表现在以下几个方面：的功能表现在以下几个方面：（1 1）提供具有数据加解密能力的算法及支持密钥托管功能的硬件或相关软提供具有数据加解密能力的算法及支持密钥托管功能的硬件或相关软件件。（2 2）提供通信提供通信（包括电话、

40、电子邮件及其他类型的通信，由相关部门在法（包括电话、电子邮件及其他类型的通信，由相关部门在法律许可的条件下对通信的监听后并执行对突发事件的解密）和律许可的条件下对通信的监听后并执行对突发事件的解密）和数据存储的密钥托数据存储的密钥托管管。312024-3-192024-3-193131 （3 3）（包括用户或（包括用户或USCUSC的识别符、密钥的识别符、的识别符、密钥的识别符、KECKEC或托管代理机构的识别符）或托管代理机构的识别符）和密钥和密钥（包括属于芯片单元密钥（包括属于芯片单元密钥KECKEC所使用的全局系统所使用的全局系统密钥，密钥还可以是公钥或私钥，私钥的备份以托管的方式由托管

41、机构托管）。密钥，密钥还可以是公钥或私钥，私钥的备份以托管的方式由托管机构托管）。当用密钥当用密钥K K加密时，加密时，USCUSC必须将密文和密钥与一个或多个数据恢复密钥建立起必须将密文和密钥与一个或多个数据恢复密钥建立起联系，联系，比如在加密数据上加一个比如在加密数据上加一个DRFDRF，以建立用户（收发双方）托管代理机构和密，以建立用户（收发双方）托管代理机构和密钥钥K K的密钥联系。的密钥联系。DRFDRF一般由一个或多个数据恢复密钥（如一般由一个或多个数据恢复密钥（如KECKEC的主密钥、产品密钥、收发双方的主密钥、产品密钥、收发双方的公钥等）加密的的公钥等）加密的K K组成。组成。

42、此外，此外，DRFDRF还包括一些识别符（用于标识数据恢复密钥、托管代理机构或还包括一些识别符（用于标识数据恢复密钥、托管代理机构或KECKEC、加密算法及运行方式、加密算法及运行方式、DRFDRF的产生方法等）和托管认证符（用于验证的产生方法等）和托管认证符（用于验证DRFDRF的完整的完整性）。性）。322024-3-192024-3-1932322)KEC2)KEC（Key Escrow ComponentKey Escrow Component，密钥托管模块），密钥托管模块）可以作为公钥证书密钥管理系统的组成部分，也可以作为通用密钥管理的可以作为公钥证书密钥管理系统的组成部分，也可以作

43、为通用密钥管理的基础部分。它由密钥管理机构控制，主要用于向基础部分。它由密钥管理机构控制，主要用于向DRCDRC提供所需的数据和服务，管提供所需的数据和服务，管理着数据恢复密钥的存储、传送和使用。理着数据恢复密钥的存储、传送和使用。数据恢复密钥主要用于生成数据加密密钥，因此在使用托管密码加密时，数据恢复密钥主要用于生成数据加密密钥，因此在使用托管密码加密时，所有的托管加密数据都应与被托管的数据恢复密钥联系起来。所有的托管加密数据都应与被托管的数据恢复密钥联系起来。数据恢复密钥主要由以下内容组成：数据恢复密钥主要由以下内容组成：（1 1）密钥选项：包括）密钥选项：包括（由会话密钥和文件加密密钥组

44、成，可（由会话密钥和文件加密密钥组成，可以由以由KDCKDC产生、分配和托管）、产生、分配和托管）、（每一个（每一个USCUSC只有惟一的产品密钥）、只有惟一的产品密钥）、（用于建立数据加密密钥的公钥和私钥，（用于建立数据加密密钥的公钥和私钥，KECKEC可以担任用户的公钥证书机可以担任用户的公钥证书机构，为用户发放公钥数字证书）、构，为用户发放公钥数字证书）、（与（与KECKEC相关，可由多个相关，可由多个USCUSC共享）。共享）。332024-3-192024-3-193333 （2 2）密钥分割密钥分割：。在密钥恢复时，就需要全部密钥托管机构参与或采用在密钥恢复时，就需要全部密钥托管机

45、构参与或采用。密钥分。密钥分割应保证所有托管机构或其中一些联合起来能恢复数据的密钥恢复。割应保证所有托管机构或其中一些联合起来能恢复数据的密钥恢复。（3 3）密钥的产生和分配密钥的产生和分配：。USCUSC产生的密钥可产生的密钥可使用可验证的密钥分割方案分割并托管，使得托管代理机构在不知数据恢复密钥的情使用可验证的密钥分割方案分割并托管，使得托管代理机构在不知数据恢复密钥的情况下验证自己所托管的密钥分量是否有效。况下验证自己所托管的密钥分量是否有效。密钥的产生应使得用户不能够在被托管的密钥中隐藏另一密钥。密钥的产生应使得用户不能够在被托管的密钥中隐藏另一密钥。（4 4）密钥托管时间密钥托管时间

46、：。假如托管的是用户的私钥，则可在将相应的公钥加入到公钥基础设施并发放公钥假如托管的是用户的私钥，则可在将相应的公钥加入到公钥基础设施并发放公钥证书时进行托管。证书时进行托管。USCUSC只能把经托管机构签署了公钥证书的那些用户发送已加密的数只能把经托管机构签署了公钥证书的那些用户发送已加密的数据。据。342024-3-192024-3-193434 （5 5）：某些系统可能会允许数据恢复密钥，但只能按规则进行。：某些系统可能会允许数据恢复密钥，但只能按规则进行。（6 6）：某些系统托管的是密钥的一部分，在数据恢复密钥：某些系统托管的是密钥的一部分，在数据恢复密钥时，未托管的部分可使用穷举搜索

47、法来确定。时，未托管的部分可使用穷举搜索法来确定。（7 7）：在线或不在线都可以存储密钥。：在线或不在线都可以存储密钥。KECKEC在向在向DRCDRC提供诸如托管的密钥等服务时，服务包括如下部分：提供诸如托管的密钥等服务时，服务包括如下部分：（1 1）授权过程：）授权过程：对操作或使用对操作或使用DRCDRC的用户进行身份认证和对访问加密数据的的用户进行身份认证和对访问加密数据的授权证明授权证明。（2 2）传送数据恢复密钥（主密钥不提供）传送数据恢复密钥（主密钥不提供）：如果数据恢复密钥是会话密钥如果数据恢复密钥是会话密钥或产品密钥，或产品密钥，KECKEC向向DRCDRC直接传送数据恢复密

48、钥直接传送数据恢复密钥。密钥传送时和有效期一起传送，。密钥传送时和有效期一起传送，有效期过后，密钥将被自动销毁。有效期过后，密钥将被自动销毁。352024-3-192024-3-193535 （3 3）传送派生密钥：）传送派生密钥：。比如受时间限制的密钥，被加密的数据仅能在一个特定的有效时间段内被解密。比如受时间限制的密钥，被加密的数据仅能在一个特定的有效时间段内被解密。（4 4）解密密钥：）解密密钥：如果在如果在DRFDRF中使用主密钥加密数据加密密钥时，中使用主密钥加密数据加密密钥时，KECKEC只向只向DRCDRC发送发送解密密钥，而不发送主密钥解密密钥，而不发送主密钥。（5 5）执行门

49、限解密：）执行门限解密：。（6 6）数据传输：）数据传输：。此外，此外，KECKEC还应对托管的密钥提供保护以防其泄露或丢失，保护手段可以是技术还应对托管的密钥提供保护以防其泄露或丢失，保护手段可以是技术的、程序的或法律的。的、程序的或法律的。例如，例如，362024-3-192024-3-1936363)DRC3)DRC（Data Recovery ComponentData Recovery Component，数据恢复模块），数据恢复模块）由算法、协议和设备组成。由算法、协议和设备组成。DRCDRC利用利用KECKEC所提供的和在所提供的和在DRFDRF中包含的信息中恢中包含的信息中恢复

50、出数据加密密钥，进而解密密文，得到明文。仅仅在执行指定的已授权的数据复出数据加密密钥，进而解密密文，得到明文。仅仅在执行指定的已授权的数据恢复时使用恢复时使用。为了解密数据，为了解密数据，DRCDRC必须采用下列方法来获得数据加密密钥：从发送方必须采用下列方法来获得数据加密密钥：从发送方S S或接或接收方收方R R接入。接入。如果只能利用如果只能利用S S的托管的托管机构持有的子密钥才能获得机构持有的子密钥才能获得K K，当各个用户分别向专门的用户传送消息，尤其是在，当各个用户分别向专门的用户传送消息，尤其是在多个用户散布在不同的国家或使用不同的托管机构时，多个用户散布在不同的国家或使用不同的