信息安全技术导论cha四

第四章密钥管理

第四章密钥管理与PKI技术

1密钥管理概述基本概念密钥建立模型公钥传输机制密钥传输机制密钥导出机制PKI技术概述现代密码技术的一个特点是密码算法公开，所以在密码系统中密钥才是系统真正的秘密。在任何安全系统中，密钥的安全管理都是一个关键因素。因为如果密钥本身得不到安全保护，那么设计上再好的密码系统都是徒劳的。在现实世界里，密钥管理是密码应用领域中最困难的部分。第四章密钥管理与PKI技术

2密钥管理概述基本概念密钥建立模型公钥传输机制密钥传输机制密钥导出机制PKI技术密钥分类密钥生命周期密钥的产生随机产生注意弱密钥问题密钥建立技术需要满足的性质（1）数据保密（DataConfidentiality）。（2）篡改检测（ModificationDetection）。（3）身份认证（EntityAuthentication）。（4）密钥的新鲜度（KeyFreshness）。（5）密钥控制（KeyControl）。（6）密钥的隐式鉴别（ImplicitKeyAuthentication）。（7）密钥的确信（KeyConfirmation）。（8）向前的秘密（PerfectForwardSecrecy）。（9）效率（Efficiency）密钥的层次结构（1）主密钥（MasterKey）。主密钥处于密钥层次结构的最高层，没有其他的密钥来保护主密钥，所以主密钥只能用人工方式建立。（2）加密密钥的密钥（Key-encryptingKeys）。在密钥传输协议中加密其他密钥（如会话密钥）。这种密钥保护其下层的密钥能够安全地传输。（3）数据密钥（DataKeys）。处于密钥层次结构的底层，用于加密用户的数据，以使数据能够安全地传输。密钥的生命周期模型第四四章章密密钥钥管管理理与与PKI技术术3密钥钥管管理理概概述述基本本概概念念密钥钥建建立立模模型型公钥钥传传输输机机制制密钥钥传传输输机机制制密钥钥导导出出机机制制PKI技术点对点点密钥钥建立立模型型在同一一信任任域中中的密密钥建建立模模型在多个个信任任域中中的密密钥建建立模模型第四章章密钥钥管理理与PKI技术4密钥管管理概概述基本概概念密钥建建立模模型公钥传传输机机制密钥传传输机机制密钥导导出机机制PKI技术鉴别树树基于身身份认认证的的系统统第四章章密钥钥管理理与PKI技术5密钥管管理概概述基本概概念密钥建建立模模型公钥传传输机机制密钥传传输机机制密钥导导出机机制PKI技术使用对对称密密码技技术的的密钥钥传输输机制制Shamir设计的的3次传递递协议议使用对对称密密码技技术和和可信信第三三方的的密钥钥传输输机制制使用公公钥密密码技技术的的点到到点的的密钥钥传输输机制制同时使使用公公钥密密码技技术和和对称称密码码技术术的密密钥传传输机机制第四章章密钥钥管理理与PKI技术6密钥管管理概概述基本概概念密钥建建立模模型公钥传传输机机制密钥传传输机机制密钥导导出机机制PKI技术基本密密钥导导出可鉴别别的密密钥导导出树状的的密钥钥导出出优化的的树状状的密密钥导导出第四章章密钥钥管理理与PKI技术7密钥管管理概概述基本概概念密钥建建立模模型公钥传传输机机制密钥传传输机机制密钥导导出机机制PKI技术PKI的主要要功能能产生、验证证和分发密密钥。签名和验证。。获取证书。申请证书作废废。获取CRL。密钥更新。审计。PKI的结构CA系统框架PKI系统标准PKCS系列标准:PKCS是由美国RSA数据安全公司司及其合作伙伙伴制定的一一组公钥密码码学标准，其其中包括证书书申请、证书书更新、证书书废除表发布布、扩展证书书内容、数字字签名、数字字信封格式等等一系列相关关协议。数字证书与X.509标准：国际电电信联盟ITUX.509协议，是PKI技术体系中应应用最广泛、、也是最基础础的一个国际际标准。它的的主要目的在在于定义一个个规范的数字字证书格式，，以便为基于于X.500协议的目录服服务提供一种种强认证手段段。PKI系统的典型应应用虚拟专用网络络:虚拟专用网络络（VPN）是一种架构构在公用通信信基础设施上上的专用数据据通信网络，，利用网络层层安全协议（（如IPSec）和建立在PKI上的加密与签签名技术来获获得安全性保保护。安全电子邮件件：安全电子邮件件协议S/MIME（TheSecureMultipurposeInternetMailExtension）。Web安全：SSL（SecureSocketsLayer）协议是互联联网中访问Web服务器最重要要的安全协议