信息安全技术基础第6章ppt课件.ppt

第6章密钥管理 2 学习目标 对称密码中密钥的管理与分发公钥密码中密钥管理与应用 公钥基础设施PKI公钥基础设施中公钥载体 数字证书 密钥管理是密码技术应用的核心 本章讲解对称密钥和公钥密码应用中的密钥管理和应用技术 3 目录 6 1概述6 2对称密钥管理6 3公钥基础设施PKI6 4数字证书6 5基于PKI典型应用 4 如何保证密钥安全 信息安全技术基础张浩军 5 6 1密钥安全概述 需要回答的问题 对称密码要求密钥被共享双方 或多方 持有 密钥在持有者间高度的保密 考虑密钥在哪里产生 如何分发 如何定期更新 若处理密钥泄露 公钥密码中 密钥对如何产生 谁来产生 私钥要求绝对地保密 如何存储 你所使用的公钥是有效并正确的吗 私钥泄露或丢失如何更新密钥对 6 6 1密钥安全概述 解决途径 引入可信第三方TTP TrustedThirdParty 密钥分发中心KDC KeyDistributionCentre 作为密钥管理的中心 公钥基础设施管理体系中被称为授权中心CA CertificationAuthority 7 6 1密钥安全概述 密钥产生算法及实现是保证密钥质量的根本 密钥产生应具有较好的随机性 密钥长度决定了密钥空间大小 也决定了密码强度 密钥的存储 口令加密文件 智能卡 USBKey等存储设备 密钥应有有效期 密钥更新 密钥管理是贯穿密钥生命周期的一个过程 需要机制 人 技术 法律等各方面的保障 8 目录 6 1概述6 2对称密钥管理6 3公钥基础设施PKI6 4数字证书6 5基于PKI典型应用 9 6 2 1对称密钥管理与分发 简单例子 一个共享密钥密码系统中 由一个参与主体产生密钥 并通过安全方式分发给其他参与实体 基于公钥密码交换共享密钥 10 6 2 1对称密钥管理与分发 NS密钥分发协议 11 几个思考问题 1 请分析这个协议的正确性 即正确并完整地执行该协议后 A和B能够共享一个会话密钥 2 为什么T不分别使用与A和B共享的密钥加密Kab直接传递给A和B 3 协议消息 的有何作用 4 协议消息 没有任何保护 是否对协议自身的安全性造成影响 5 协议执行完成 A和B都能够确认对方已经拥有正确的Kab了吗 12 6 2 2密钥层次化使用 主密钥MK MasterKey 一般用人工方式建立 或借助密钥协商机制 如DH密钥协商协议 或公钥密码体制完成主密钥协商或传递 密钥确认密钥KCK KeyConfirmationKey 用于在通信会话中产生消息认证码 密钥加密密钥KEK Key encryptingKeys 在密钥传输协议中加密其他密钥 临时密钥TK TemporalKey 也称会话密钥 SessionKey 用于加密用户的通信数据 13 如何构建方便易用 安全可靠的公钥密码应用体系 14 目录 6 1概述6 2对称密钥管理6 3公钥基础设施PKI6 4数字证书6 5基于PKI典型应用 15 6 3 1公钥基础设施PKI概述 公钥基础设施PKI PublicKeyInfrastructure 理解Infrastructure 如何能够方便地获得所需的有效的 正确的公钥 16 6 3 1公钥基础设施PKI概述 PKI是指使用公钥密码技术实施和提供安全服务的具有普适性的安全基础设施 PKI通过权威第三方机构 授权中心CA CertificationAuthority 以签发数字证书形式发布有效实体的公钥 数字证书 Certificate 简称证书 是一种特殊的电子文档 也称电子凭证 包括公钥持有者 称为主题 的信息 名称 地址 及其公钥 有效期 使用方法等信息 数字证书将证书持有者的身份及其公钥绑定在一起 17 6 3 1公钥基础设施PKI概述 有了PKI 安全应用程序的开发者不必关心那些复杂的数学运算和模型 而直接按照标准使用一种插座 接口 PKI是电子商务 电子政务的关键和基础技术 标准 包括 ITU TX 509 CCITTX 509 ISO IECITU9594 8 X 509 RSAPKCS PublicKeyCryptographyStandards 系列文档 IETFPKIXrfc系列参考文档 如3280 4210 4211等 18 6 3 1公钥基础设施PKI概述 美国在1996年就成立了联邦PKI指导委员会 1999年又成立了PKI论坛 加拿大在1993就开始政府PKI体系研究工作 到2000年建成的政府PKI体系 为联邦政府与公众机构 商业机构等进行电子数据交换时提供信息安全的保障 欧洲颁布了93 1999EC规它 并建立CA网络及其顶级CA 并于2000年10月成立了欧洲桥CA指导委员会 2001年3月成立了欧洲桥CA 在亚洲 韩国是最早开发PKI体系的国家 日本的PKI应用体系按公众和私人两大类领域来划分 日本的PKI支撑电子商务应用取得非常大成功 19 6 3 1公钥基础设施PKI概述 大行业或政府部门建立的CA 如1998年中国电信成立了第一家CA认证中心CTCA 又如中国金融认证中心 ChinaFinanceCertificationAuthority CFCA 是由中国人民银行牵头 联合中国工商银行 中国银行 中国农业银行等十二家商业银行参加建设 由银行卡信息交换总中心承建的金融CA中心 一类是地方政府与公司共建的CA 如上海市数字证书认证中心 北京市数字证书认证中心 以及各个省基本上都建立各自认证中心 还有一类是商业性CA 如天威诚信公司 此外还有些系统 部门或企业院校等建立了自己内容CA 用于内部安全系统应用 我国2004颁布了电子签名法 20 6 3 2PKI功能 端实体 包括PKI证书用户 证书持有者 CA 认证中心 RA 注册中心 代理CA特定管理功能 CRL发布者 生成并签发证书撤销列表CRL 证书 撤销列表存储发布系统 以数据库 目录服务等技术实现存储 分发证书和CRL的系统 21 6 3 2PKI功能 1 证书管理 22 6 3 2PKI功能 2 PKI服务保密服务完整性服务认证服务不可否认服务时间戳 23 6 3 3PKI体系结构 24 6 3 3PKI体系结构 美国联邦桥接模式CA互联 25 6 3 4认证机构CA部署 发布本地CA策略 对下级机构进行认证和鉴别 构建层次化CA体系 产生和管理下属机构的证书 接收和认证RA证书请求 证书更新请求 证书撤销请求 签发和管理证书 证书撤销列表CRL CertificateRevocationList 发布证书和CRL 并提供证书和证书状态的查询 密钥安全生成 归档 更新及管理 证书归档 历史数据归档 交叉认证 26 6 3 4认证机构CA部署 CA系统部署 27 如何构造实体身份与公钥的有效绑定 28 目录 6 1概述6 2对称密钥管理6 3公钥基础设施PKI6 4数字证书6 5基于PKI典型应用 29 6 4数字证书 数字证书 以下简称证书 是PKI应用中的核心 是实体公钥的载体 以及公钥和身份的绑定 X 509数字证书 30 6 4 1数字证书结构 31 6 4 2数字证书编码 1 ASN 1抽象文法定义ASN 1 AbstractSyntaxNotationOne 是ISO IEC和ITU T的标准 在X 680文档中定义 在通信和计算机网络中 ASN 1用于声明 编码 传输和解码数据 它提供了一个不依赖具体机器编码技术描述对象结构的形式化规则集 实现对数据类型 数据以及数据类型约束的定义 32 6 4 2数字证书编码 2 DER编码可区分编码规则DER DistinguishedEncodingRules 将一个ASN 1描述的对象进行DER编码保护四个域 对象标识域 数据长度域 数据域以及可选的结束标志 对象标识域指明对象的类型数据长度域 短形式和长形式 数据域给出了具体的数据值 33 6 4 2数字证书编码 3 Base64编码Base64编码 RFC1421 定义了一种 可打印 机制 将二进制串转换为字符序列 每个字符表示原二进制串的6个比特 包括64个字符 大小写罗马字母 A Z a z 阿拉伯数字 0 9 以及 和 这些字符对应为整数0 63 A Z 0 25 a z 26 51 0 9 52 61 62 63 输入二进制串 每6比特转换为一个字符 34 6 4 2数字证书编码 4 对象标识符OID对象标识符OID ObjectIdentity 定义对象 例如 当证书签名算法标识符OID值为1 2 840 113549 1 1 5 表示使用带SHA 1的RSA加密算法 OID是一个数字串 正式定义来自于ITU TX 208 采用分等级模式 假设一个企业申请了授权 1 2 3 该企业可以自行安排后续编码 如 1 2 3 4 1 2 3 4 100 等 将OID编码为比特串在X 209中定义 35 6 4 3数字证书应用 36 6 4 4私钥的存储与使用 微软为Windows操作系统制定了CSP CryptographicServiceProvider 标准接口 用于管理硬件或软件形式的加密设备 实现数据加密和解密 数字签名和验证以及数据摘要生成等功能 在Windows系统中使用CryptoAPI开发接口可以访问CSP 实现安全应用 37 6 4 4私钥的存储与使用 USBKey是一个智能片上系统 产生密钥的程序由USBKey生产厂家烧制在芯片中的只读存储器ROM中 各种密码算法程序也是烧制在ROM中 公私密钥对在USBKey中生成后 公钥可以导出到卡外 而私钥则存储于芯片中E2PROM密钥区 私钥文件读写和修改只能由USBKey内部程序调用 不允许外部访问USBKey采用物理安全措施 确保智能卡内部的数据不能用物理方法从外部拷贝 38 目录 6 1概述6 2对称密钥管理6 3公钥基础设施PKI6 4数字证书6 5基于PKI典型应用 39 基于PKI的电子商务应用 40 小结 本章介绍了密码技术应用中的密钥管理技术与方法 在对称密码应用系统中 采用密钥管理中心可以减少系统总密钥数量 提供集中式管理 减低了密钥管理复杂度 但同时会有单一故障点风险 结合公钥密码可以实现会话密钥临时协商 解决了密钥分发问题 为了实现易用的公钥密码技术应用 目前成熟的方法是建立公