《《密钥分配与管理》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《密钥分配与管理》PPT课件.ppt(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 第第3章章 密钥分配与管理密钥分配与管理本章学习目标本章学习目标本章主要讲解密钥分配及管理的基本知识。通过本章学习,读者应该掌握以下内容:l密钥管理的相关概念和必要性l对称密码体制和非对称密码体制的密钥管理方法lKerberos模型的原理l数字证书lPKI/CA基本概念和功能3.1 密钥分配及管理密钥分配及管理密钥产生及管理概述密钥产生及管理概述一个密钥管理系统应具备以下几个特点:密钥难以被非法窃取;在一定条件下窃取密钥也没有用;密钥的分配和更换过程透明等1、密钥的生存期、密钥的生存期:l密钥的产生l密钥的分配l启用密钥/停有密钥l替换密钥或更新密钥l撤销密钥l销毁密钥2、密钥的存储和备份、
2、密钥的存储和备份存储存储:把自己的口令和密码记在脑子里把密钥存储在硬件的介质上,如ROM密钥和智能卡用密钥加密密钥的方法来对难于记忆的密钥进行加密保存备份:备份:密钥托管方案和秘密共享协议来解决密钥的备份问题。3、密钥的撤销和销毁、密钥的撤销和销毁撤销:撤销:密密钥钥都都有有一一定定的的有有效效期期,如如果果密密钥钥使使用用的的时时间间越越长长,它它泄泄露露的的机机会会就就越越多多;如如果果一一个个密密钥钥已已泄泄露露,那那么么这这个个密密钥钥使使用用的的时时间间越越长长,损损失失就就越越大大;密密钥钥使使用用越越久久,其其受受攻攻击击的的可可能能性性和和可可行行性性也也越越大大;对对同同一一
3、密密钥钥加加密密的的多多个个密密文文进进行行密密码码分分析析比比较较容容易易。因因此此,密密钥钥在在使使用用一一段段时时间间后后,如如果果发发现现与与密密钥钥相相关关的的系系统统出出现现安安全全问问题题,怀怀疑疑某某一一密密钥钥已已受受到到威威胁胁或或发发现现密密钥钥的的安安全全级级别别不不够够高高等等情情况况,该该密钥应该被撤销并停止使用密钥应该被撤销并停止使用 销毁:销毁:密钥的销毁则要清除一个密钥所有的踪迹。当和一个密钥有关的所有保密性活动都中止以后,应该安全地销毁密钥及所有的密钥拷贝。对于自己进行内存管理的计算机机,密钥可以很容易地进行复制和存储在多个地方,在计算机操作系统控制销毁过程
4、的情况下,很难保证安全的销毁密钥。谨慎的做法是写一个特殊的删除程序,让它查看的所有磁盘,寻找在未用存贮区上的密钥副本,并将它们删除。还要记住删除所有临时文件或交换文件的内容。3.1.2 对称密码体制的密钥管理对称密码体制的密钥管理1、密钥分配中心、密钥分配中心KDCKDC与与每每一一个个用用户户之之间间共共享享一一个个不不同同的的密密钥钥加加密密密密钥钥,当当两两个个用用户户A和和B要要进进行行通通信信时时,KDC产产生生一一个个双双方方会会话话使使用用的的密密钥钥K,并并分分别别用用自自己己与与这这两两个个用用户户共共享享的的密密钥钥加加密密钥钥KA、KB来来加加密密会会话话密密钥钥发发给给
5、它它们们,即即将将KA(K)发发给给A,KB(K)发发给给B;A、B接接收收到到加加密密的的会会话话密密钥钥后后,将将之之解解密密得得到到K,然然后后用用K来加密通信数据。来加密通信数据。2、基于公钥体制的密钥分配、基于公钥体制的密钥分配 公钥体制适用于进行密钥管理,特别公钥体制适用于进行密钥管理,特别是对于大型网络中的密钥管理。是对于大型网络中的密钥管理。假假设设通通信信双双方方为为A A和和B B。使使用用么么钥钥体体制制交交换换对对称称密密钥钥的的过过程程是是这这样样的的:首首先先A A通通过过一一定定的的途途径径获获得得B B的的公公钥钥;然然后后A A随随机机产产生生一一个个对对称称
6、密密钥钥K K,并并用用B B的的公公钥钥加加密密对对称称密密钥钥K K发发送送给给B B;B B接接收收到到加加密密的的密密钥钥后后,用自己的私钥解密得到密钥用自己的私钥解密得到密钥K K。在在这这个个对对称称密密钥钥的的分分配配过过程程中中,不不再再需需要要在在线线的的密密钥钥分分配配中中心心,也也节节省省了了大大量量的通信开销。的通信开销。3.1.3 公开密钥体制的密钥管理公开密钥体制的密钥管理主要有两种公钥管理模式,一种采用证书的方式,另一种是PGP采用的分布式密钥管理模式。1、公钥证书、公钥证书公钥证书是由一个可信的人或机构签发的,它包括证书持有人的身份标识、公钥等信息,并由证书颁发
7、者对证书签字。在这种公钥管理机制中,首先必须有一个可信的第三方,来签发和管理证书,这个机构通常称为CA(CertificateAuthority)。2、分布式密钥管理、分布式密钥管理在某些情况下,集中的密钥管理方式是不可能的,比如:没有通信双方都信任的CA。用于PGP的分布式密钥管理,采用了通过介绍人(introduder)的密钥转介方式,更能反映出人们的社会自然交往,而且人们也能自由地选择信任的人来介绍,非常适用于分散的用户群。3.2 Kerberos的鉴别和密钥分配模型的鉴别和密钥分配模型3.2.1 Kerberos模型的工作原理和步骤模型的工作原理和步骤Kerberos是为TCP/IP网
8、络设计的基于对称密码体系的可信第三方鉴别协议,负责在网络上进行可信仲裁及会话密钥的分配。Kerberos有一个所有客户和它们的秘密密钥的数据库,对于个人用户来说,秘密密钥是一个加密口令,需要对访问客户身份进行鉴别的服务器以及要访问此类服务器的客户,需要用Kerberos注册其秘密密钥,由于Kerberos知道每个人的秘密密钥,故而它能产生消息向一个实体证实另一个实体的身份。Kerberos还能产生会话密钥,供两个实体加密通信消息,通信完毕后销毁会话密钥。Kerberos协议包括一个认证服务器(AS)和一个(或多个)票据分配服务器(TGS)。3.3 数字证书数字证书3.3.1 数字证书的基本概念
9、数字证书的基本概念1、证书的类型、证书的类型2、证书的格式、证书的格式3、认证机构和证书机构(、认证机构和证书机构(CA)VersionSerial numberAlgorithm ID&ParametersIssuer nameValidity periodSubject nameSubject public key&algorithm3.2.2 数字证书的管理数字证书的管理数字证书的管理包括与公钥/私钥及证书的创建、分配及撤销有关的各项功能。按密钥证书的生命周期可把证书的管理划分成三个阶段,即:初始化阶段初始化阶段应用阶段应用阶段撤销阶段。撤销阶段。3.2.3 证书的认证证书的认证1 1拆
10、封数字证书拆封数字证书 2 2证书链的认证证书链的认证3 3序列号验证序列号验证 4 4有效期验证有效期验证 5 5查询查询CRL CRL 6 6证书使用策略的认证证书使用策略的认证 3.3 公钥基础设施简介公钥基础设施简介PKI(PublicKeyInfrustructure)又称为公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。3.3.2 PKI的功能操作的
11、功能操作PKI具有具有12种功能操作:种功能操作:产生、验证和分发密钥。产生、验证和分发密钥。签名和验证:签名和验证:证书的获取证书的获取 证书的验证证书的验证 保存证书保存证书 本地保存的证书的获取本地保存的证书的获取 证书废止的申请证书废止的申请 密钥的恢复密钥的恢复 CRLCRL的获取的获取 密钥更新密钥更新 审计审计 存档存档3.3.3 CA系统的结构系统的结构3.3.4 CA的功能的功能CA的主要功能包括:的主要功能包括:1、证书颁发、证书颁发2、证书更新、证书更新3、证书撤销、证书撤销4、证书和证书撤销列表(、证书和证书撤销列表(CRL)的公布)的公布5、证书状态的在线查询、证书状态的在线查询6、证书认证、证书认证7、制定政策等。、制定政策等。