版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、第3章 密钥分配与管理,本章学习目标 本章主要讲解密钥分配及管理的基本知识。通过本章学习,读者应该掌握以下内容: l 密钥管理的相关概念和必要性 l 对称密码体制和非对称密码体制的密钥管理方法 l Kerberos模型的原理 l 数字证书 l PKI/CA基本概念和功能,3.1 密钥分配及管理 3.1.1密钥产生及管理概述,一个密钥管理系统应具备以下几个特点:密钥难以被非法窃取;在一定条件下窃取密钥也没有用;密钥的分配和更换过程透明等,1、密钥的生存期 : l 密钥的产生 l 密钥的分配 l 启用密钥/停有密钥 l 替换密钥或更新密钥 l 撤销密钥 l 销毁密钥,2、密钥的存储和备份,存储:
2、把自己的口令和密码记在脑子里 把密钥存储在硬件的介质上,如ROM密钥和智能卡 用密钥加密密钥的方法来对难于记忆的密钥进行加密保存 备份: 密钥托管方案和秘密共享协议来解决密钥的备份问题。,3、密钥的撤销和销毁 撤销: 密钥都有一定的有效期,如果密钥使用的时间越长,它泄露的机会就越多;如果一个密钥已泄露,那么这个密钥使用的时间越长,损失就越大;密钥使用越久,其受攻击的可能性和可行性也越大;对同一密钥加密的多个密文进行密码分析比较容易。因此,密钥在使用一段时间后,如果发现与密钥相关的系统出现安全问题,怀疑某一密钥已受到威胁或发现密钥的安全级别不够高等情况,该密钥应该被撤销并停止使用,销毁: 密钥的
3、销毁则要清除一个密钥所有的踪迹。当和一个密钥有关的所有保密性活动都中止以后,应该安全地销毁密钥及所有的密钥拷贝。对于自己进行内存管理的计算机机,密钥可以很容易地进行复制和存储在多个地方,在计算机操作系统控制销毁过程的情况下,很难保证安全的销毁密钥。谨慎的做法是写一个特殊的删除程序,让它查看的所有磁盘,寻找在未用存贮区上的密钥副本,并将它们删除。还要记住删除所有临时文件或交换文件的内容。,3.1.2 对称密码体制的密钥管理,1、密钥分配中心KDC KDC与每一个用户之间共享一个不同的密钥加密密钥,当两个用户A和B要进行通信时,KDC产生一个双方会话使用的密钥K,并分别用自己与这两个用户共享的密钥
4、加密钥KA、KB来加密会话密钥发给它们,即将KA(K)发给A,KB(K)发给B;A、B接收到加密的会话密钥后,将之解密得到K,然后用K来加密通信数据。,2、基于公钥体制的密钥分配 公钥体制适用于进行密钥管理,特别是对于大型网络中的密钥管理。 假设通信双方为A和B。使用么钥体制交换对称密钥的过程是这样的:首先A通过一定的途径获得B的公钥;然后A随机产生一个对称密钥K,并用B的公钥加密对称密钥K发送给B;B接收到加密的密钥后,用自己的私钥解密得到密钥K。 在这个对称密钥的分配过程中,不再需要在线的密钥分配中心,也节省了大量的通信开销。,3.1.3 公开密钥体制的密钥管理,主要有两种公钥管理模式,一
5、种采用证书的方式,另一种是PGP采用的分布式密钥管理模式。,1、公钥证书 公钥证书是由一个可信的人或机构签发的,它包括证书持有人的身份标识、公钥等信息,并由证书颁发者对证书签字。在这种公钥管理机制中,首先必须有一个可信的第三方,来签发和管理证书,这个机构通常称为CA(Certificate Authority)。,2、分布式密钥管理 在某些情况下,集中的密钥管理方式是不可能的,比如:没有通信双方都信任的CA。用于PGP的分布式密钥管理,采用了通过介绍人(introduder)的密钥转介方式,更能反映出人们的社会自然交往,而且人们也能自由地选择信任的人来介绍,非常适用于分散的用户群。,3.2 K
6、erberos的鉴别和密钥分配模型,3.2.1 Kerberos模型的工作原理和步骤 Kerberos是为TCP/IP网络设计的基于对称密码体系的可信第三方鉴别协议,负责在网络上进行可信仲裁及会话密钥的分配。 Kerberos有一个所有客户和它们的秘密密钥的数据库,对于个人用户来说,秘密密钥是一个加密口令,需要对访问客户身份进行鉴别的服务器以及要访问此类服务器的客户,需要用Kerberos注册其秘密密钥,由于Kerberos知道每个人的秘密密钥,故而它能产生消息向一个实体证实另一个实体的身份。Kerberos还能产生会话密钥,供两个实体加密通信消息,通信完毕后销毁会话密钥。,Kerberos协
7、议包括一个认证服务器(AS)和一个(或多个)票据分配服务器(TGS)。,3.3 数字证书,3.3.1 数字证书的基本概念,1、证书的类型,2、证书的格式,3、认证机构和证书机构(CA),3.2.2 数字证书的管理 数字证书的管理包括与公钥/私钥及证书的创建、分配及撤销有关的各项功能。按密钥证书的生命周期可把证书的管理划分成三个阶段,即: 初始化阶段 应用阶段 撤销阶段。,3.2.3 证书的认证,1拆封数字证书 2证书链的认证 3序列号验证 4有效期验证 5查询CRL 6证书使用策略的认证,3.3 公钥基础设施简介 PKI(Public Key Infrustructure)又称为公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。,3.3.2 PKI的功能操作 PKI具有12种功能操作: 产生、验证和分发密钥。 签名和验证: 证书的获取 证书的验证 保存证书 本地保存的证书的获取 证书废止的申请 密钥的恢复 CR
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 某塑料厂注塑成型工艺细则
- 老年专科考试题及答案
- 物料进出洁净区管理规程
- 机构研究报告-意大利线上购物用户分析报告:Euronics
- 2.3期望最大化算法推导
- AI技术助力传统风筝文化数字化保护
- 安徽省2026八年级数学下册第17章一元二次方程及其应用17.2一元二次方程的解法3公式法课件新版沪科版
- 2026年内蒙古自治区中考英语试题(学生卷)
- 广东省韶关市仁化县2023-2024学年九年级上学期语文期中考试试卷(含答案)
- 2026年企业反恐安全防范试题及答案
- ISO 9001(DIS)-2026《质量管理体系要求》中英文标准对照版(2025年9月)
- DB50∕T 10013-2025 川渝省际毗邻地区公交运营服务规范
- 环保应急知识培训课件
- 宫颈癌早期诊断筛查课件
- 电气工作票技术规范
- 再生水利用项目可行性研究报告立项
- 体育社会组织建设与管理
- T-CBIA 010-2024 营养素饮料标准
- 2024年广东省普通高中学业水平合格性地理试卷(1月份)
- 思念混声合唱简谱
- 投资回报模型构建及应用
评论
0/150
提交评论