收藏
下载资源

密钥管理与分配技术

上传人:平*** 文档编号:46310659 上传时间:2018-06-25 格式:PPT 页数:71 大小:1.12MB
返回 下载 相关 举报
密钥管理与分配技术_第1页
第1页 / 共71页
密钥管理与分配技术_第2页
第2页 / 共71页
密钥管理与分配技术_第3页
第3页 / 共71页
密钥管理与分配技术_第4页
第4页 / 共71页
密钥管理与分配技术_第5页
第5页 / 共71页
点击查看更多>>
资源描述

《密钥管理与分配技术》由会员分享,可在线阅读,更多相关《密钥管理与分配技术(71页珍藏版)》请在金锄头文库上搜索。

1、第四章 密钥管理与分配技术信息安全信息安全第四章第四章 密钥管理与分配技术密钥管理与分配技术Date*第四章 密钥管理与分配技术本章主要内容本章主要内容4.1 4.1 密钥管理的内容密钥管理的内容 4.2 4.2 密钥分配技术密钥分配技术 4.3 4.3 公钥管理与公钥基础设施公钥管理与公钥基础设施 4.4 4.4 Windows 2000 Windows 2000 的的PKI PKI Date*第四章 密钥管理与分配技术本章学习目标本章学习目标本章介绍密钥的分类,密钥管理内容,密钥的生成、存储,密钥分配技术的原理,公开密钥体系结构(PKI)以 及密钥分配技术的应用。 通过本章的学习,学生掌握

2、以下内容:(1)了解密钥的分类、密钥管理内容;(2)掌握密钥分配方法,如对称密码体制和非对称密码体制的密钥分配方案;(3)理解X.509协议内容;(4)理解和使用公开密钥体系结构(PKI)必备技术。 (5)掌握在Windows2000上安装和配置证书服务。Date*第四章 密钥管理与分配技术4.1.1 密钥的种类 密钥的种类多而繁杂,从一般通信网络的应用来看可 分为以下几种:qq 基本密钥基本密钥qq 会话密钥会话密钥 qq 密钥加密密钥密钥加密密钥 qq 主机主密钥主机主密钥 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.1 密钥的种类 4.1 4.

3、1 密钥管理的内容密钥管理的内容基本密钥 KP 数据加密密钥KD混合器密钥产生器会话密钥KS几种密钥之间的关系 Date*第四章 密钥管理与分配技术4.1.2密钥的生成 1.密钥的长度与安全性 4.1 4.1 密钥管理的内容密钥管理的内容数据类型保密期长最小密钥长军事战术 产品公告 贸易秘密 氢弹秘密 间谍身份 个人事务 外交使团事务 人口数据分/小时 天/周 数十年 40 年 50 年 50 年 65 年 100年56 bit 56-64 bit 64 bit 128 bit 128 bit 128 bit 128 bit 128 bitDate*第四章 密钥管理与分配技术4.1.2密钥的生

4、成 2.好密钥特征q 真正随机、等概;q 避免使用特定算法的弱密钥;q 双钥系统的密钥更难产生,因为必须满足一定的数学关 系;q 为了便于记忆,密钥不能选得过长,而且不可能选完全 随机的数字串,要选用易记而难猜中的密钥;q 采用散列函数。密钥的生成与算法有关,如果生成的密钥强度不一致,则称该算法构成的是非线性密钥空间;否则称为线性密钥空间。4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.2密钥的生成 3.生成密钥的方式4.1 4.1 密钥管理的内容密钥管理的内容方式代 表生产者用户数量特 点安全性适用范围集中式传统的密钥 分发中心 KDC 和证书 分发中

5、心 CDC 等方案在中心统 一进行生产有边界 ,边界以所 能配置的密 钥总量定义 ,其用户数 量受限密钥的认证 协议简洁交易中的安 全责任由中 心承担网络边界确 定的有中心 系统分散式由个人产生密钥生产无 边界,其用 户数量不受 限制密钥变量中 的公钥必须 公开,需经 第三方认证 。交易中安全 责任由个人 承担无边界的和 无中心系统Date*第四章 密钥管理与分配技术4.1.3 密钥的注入 qq 主机主密钥:主机主密钥:直接或间接注入,注入时须有电磁屏蔽,直接或间接注入,注入时须有电磁屏蔽, 注入后不能再读出(但可间接验证)。注入后不能再读出(但可间接验证)。qq 密钥加密密钥:密钥加密密钥:

6、直接或间接注入,注入时须有电磁屏蔽直接或间接注入,注入时须有电磁屏蔽 ,装入后不能再读出,可联机或者间接验证。,装入后不能再读出,可联机或者间接验证。qq 初始密钥:初始密钥:直接或间接注入,注入后不能再读出,可联直接或间接注入,注入后不能再读出,可联 机验证。机验证。4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.4 密钥的分配 qq 密钥的分配是指产生并使使用者获得密钥的过程密钥的分配是指产生并使使用者获得密钥的过程。由于 任何密钥都有使用期限,因此密钥的定期(或不定期) 更换是密钥管理的一个基本任务。为了尽可能地减少人 的参与,密钥的分配需要尽可能

7、地自动进行。qq 密钥的传递分为集中传送和分散传送两类密钥的传递分为集中传送和分散传送两类。集中传送是 指将密钥整体传送,这时需要使用主密钥来保护会话密 钥的传递,并通过安全渠道传递主密钥。分散传送是指 将密钥分解成多个部分,用秘密分享(secret sharing )的方法传递,而且只要有一部分到达即可复原。分散 传送方式适用于在不安全信道中传递密钥的情形。 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 密钥在多数时间处于静态,因此对密钥的保存是密密钥在多数时间处于静态,因此对密钥的保存是密钥管理重要内容。密钥可以作为一个整体进行保存

8、,也钥管理重要内容。密钥可以作为一个整体进行保存,也可化为部分进行保存。可化为部分进行保存。qq 密钥的硬件存储密钥的硬件存储 qq 使用门限方案的密钥保存使用门限方案的密钥保存 qq 公钥在公用媒体中存储公钥在公用媒体中存储 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 1.1.密钥的硬件存储密钥的硬件存储 4.1 4.1 密钥管理的内容密钥管理的内容好处:是攻击者无法接触它们。因为令牌通常保存在个人手中,并不连接到网络上。只有当用户要使用他的令牌时,才将其连接到他的计算机上,这最终也会连接到网络。因此在这短暂的一刻,他的秘密是脆弱的

9、。但是几秒钟的脆弱性显然没有一天24小时之内都脆弱的网络那样危险。这种方案可以使远程攻击受挫。Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密钥管理的内容密钥门限方案(也称秘密共享或秘密分享)。通常将秘密(比如密钥 )被分割成几份,某些份额必须结合在一起才能恢复秘密。例如,一个秘密可以分成5份,任何3份都可以结合以重新产生该 值。Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密钥管理的内容Sh

10、amir建议了一种可达到理论上无条件保密的密钥分散保存方案,把主密钥按下列方法分为W个子密钥K1、K2、 、KW,并把子密钥分发给W个有合法权力的人,并做到: 用W个子密钥中的任意t个的知识计算主密钥K容易; 用W个子密钥中的任意少于t个的知识确定主密钥理论上不可解的问题,因为缺少信息。Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密

11、钥管理的内容Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密钥管理的内容门限方案Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 2. 2. 使用门限方案的密钥保存使用门限方案的密钥保存 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.5 密钥的存储 3.3.公钥在公用媒体中存储公钥在

12、公用媒体中存储将公钥存储在公用媒体中,以保证能方便获得公钥将公钥存储在公用媒体中,以保证能方便获得公钥,公用媒体首先是可信的第三方。但在公用媒体中存储,公用媒体首先是可信的第三方。但在公用媒体中存储的方法需要解决密钥传递技术,以获取对方的公钥。还的方法需要解决密钥传递技术,以获取对方的公钥。还要解决公用媒体的安全技术,即数据库的安全问题。要解决公用媒体的安全技术,即数据库的安全问题。4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.6 4.1.6 密钥的寿命密钥的寿命qq 密钥不能无限期使用。密钥不能无限期使用。密钥使用时间越久,泄露的机会密钥使用时间越久

13、,泄露的机会已越大,由泄露造成的损失就越大。用同一个密钥对多个已越大,由泄露造成的损失就越大。用同一个密钥对多个明文加密,被破译的机会就大。明文加密,被破译的机会就大。qq 密钥必须定期更换。密钥必须定期更换。更换时间取决于给定时间内待加密更换时间取决于给定时间内待加密数据的数量、加密的次数和密钥的种类。数据的数量、加密的次数和密钥的种类。qq 例如,会话密钥应当频繁更换以便达到一次一密。密钥例如,会话密钥应当频繁更换以便达到一次一密。密钥的加密密钥无需频繁更换。主密钥可有更长的更换时间。的加密密钥无需频繁更换。主密钥可有更长的更换时间。用于存储加密密钥的密钥则有更长的更换时间。公开密钥用于存

14、储加密密钥的密钥则有更长的更换时间。公开密钥密码体制的私钥的寿命,根据应用的不同有很大变化,如密码体制的私钥的寿命,根据应用的不同有很大变化,如用做数字签名和身份认证的私钥可持续数年或一生。用做数字签名和身份认证的私钥可持续数年或一生。 4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.1.8 密钥的销毁 q 加密设备应能对设备内的所有明文、密钥及其他没受 保护的重要保密参数“清零”。即清除一个密钥的所有 踪迹。一个密钥的值在被停止使用后可能还要持续一 段时间。q 必须禁止攻击者通过观察的数据文件中存储的内容或 从抛弃的设备来确定旧密钥值。若设备内密钥已加密

15、或在逻辑上以及物理上已采取了保护措施,“清零”可 不做要求。4.1 4.1 密钥管理的内容密钥管理的内容Date*第四章 密钥管理与分配技术4.2.1 基本方法 能使通信双方共享密钥的基本方法有三种。利用人能使通信双方共享密钥的基本方法有三种。利用人 工信道实现、网内利用码密技术实现密钥分配、量子密工信道实现、网内利用码密技术实现密钥分配、量子密 码学分配。码学分配。 qq 1.1.利用人工信道实现利用人工信道实现qq 2.2.网内分配密钥方式网内分配密钥方式qq 3.3.利用物理现象实现利用物理现象实现4.2 4.2 密钥分配技术密钥分配技术 Date*第四章 密钥管理与分配技术4.2.1

16、基本方法 1.1.利用人工信道实现利用人工信道实现4.2 4.2 密钥分配技术密钥分配技术 K1 K2 K3 K4 K5密钥分路递送K1 K 2 K3 K4 K5密钥接收重组送K2 K1 K3K4 K5 信 使挂号函件特快专递电 话信 鸽Date*第四章 密钥管理与分配技术4.2.1 基本方法 2.2.网内分配密钥方式网内分配密钥方式网内分配方式是利用密码技术自动分配密钥方式。它网内分配方式是利用密码技术自动分配密钥方式。它又可分为两种:又可分为两种:qq 一种是在用户之间直接分配密钥,即一个通信主体可向一种是在用户之间直接分配密钥,即一个通信主体可向另一个通信主体传送在一次对话中要使用的会话密钥。另一

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号