欢迎来到天天文库
浏览记录
ID:36422769
大小:259.50 KB
页数:12页
时间:2019-05-10
《密钥管理技术研究综述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、姓名:杨捷班级:07网络(2)班学号:090207239课程学习报告课程名称:数字签名与认证技术设计题目:密钥管理技术研究综述院系:计算机科学与工程学院专业:网络工程班 级:07网络(2)班学号:090207206姓名:沈叶指导教师:靳勇开课时间:2009至2010学年第2学期常熟理工学院计算机科学与工程学院制12姓名:杨捷班级:07网络(2)班学号:090207239学生姓名 成绩评语:指导教师(签名)年月日12姓名:杨捷班级:07网络(2)班学号:090207239题目:密钥管理技术研究综述12姓名:杨捷班级:07网络(2)班学号:090207239(常熟理工学院计算机科
2、学与工程学院,江苏常熟215500)摘要:网络安全服务所依赖的基础之一就是对传送数据的加密,不论是链路加密方式还是端到端的加密方式都是密钥技术的应用。由于密钥技术的核心内容是通过加密方法把对大量数据的保护归结为对若干核心参量——密钥的保护,因此网络系统中加秘密钥管理问题就成为首要的核心问题。密钥的管理综合了密钥的生成、分配、存储、销毁等各个环节中的保密措施。宗旨:确保使用中密钥的安全。关键词:1引言传统的安全保护主要通过防火墙、病毒检测、VPN及加密锁等安全体系实现,都是以被动防御为主,导致各种防御措施层出不穷,而且防火墙也越砌越高、入侵检测越做越复杂、恶意代码库越做越大,但是
3、信息安全仍然得不到有效保障。这些安全保护基本上以软件为基础,附以密钥技术,侧重以防为主。事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。因此,在我国目前硬件、操作系统、安全等许多关键技术还严重依赖国外的情况下,对可信计算的要求迫切地摆在用户的面前。可信计算密码支撑平台不同于传统的安全概念,它将加密、解密、认证等基本的安全功能写入硬件芯片,并确保片中的信息不能在外部通过软件随意获取。以可信密码模块为基础,中间通过可信密码模块的服务模块,来构建可信计算的密码支撑平台,最终,在这个平台中形成可以有效防御恶意攻击,支撑计算机在整个运行过程中的3个安全体系:④防御病毒攻击的体系,
4、通过一种可信链来防御攻击;②建立一个可信的身份体系,识别假冒的平台;③高安全性的数据保护体系,使数据能够密封在非常安全的一个区域中,达到非法用户进不来,保密数据无泄露的目的。这些功能的实现大多与各种密钥密切相关。比如,EK实现平台惟一身份标识,是平台的可信报告根;SMK实现对数据和密钥的存储保护,是平台的可信存储根;PIK代替EK对运行环境测量信息进行签名从而提供计算平台环境的证言等等。因此,作为密码技术基本要素之一的密钥管理的好坏直接决定整个可信计算密码支撑平台本身的安全性,是实现终端可信的核心环节,在整个可信计算体系中占有举足轻重的地位。2密钥的分类和结构可信密码模块密码算
5、法提供对称算法SMS4、非对称算法SM2、杂凑算法SM3,对于算法提供的功能在密钥的基础上提供。根据密钥的使用范围,平台中的密钥可以分为三类:①平台身份类密钥12姓名:杨捷班级:07网络(2)班学号:090207239密码模块密钥(EK)对应公钥、私钥分别表示为PUBEK、PRIVEK。其中私钥只存在于可信密码模块中且一个可信密码模块对应惟一的EK。EK是可信密码模块的初始密钥,是平台可信度的基本元素。平台身份密钥(PIK)是可信密码模块的身份密钥。平台身份密钥用于对可信密码模块内部的信息进行数字签名,实现平台身份认证和平台完整性报告。平台加密密钥(PEK)与平台身份密钥配对构
6、成双密钥(及双证书)。平台加密密钥可用于平台间的密钥迁移以及平台问的其它数据交换。②平台存储类密钥(SMK)用于保护PIK和用户密钥UK的主密钥。③用户类密钥(UK)用于实现用户所需的密码功能,包括机密性、完整性保护和身份认证等。在信息处理系统中,密钥的某些信息必须放在机器中,总有一些特权用户有机会存取密钥,这对密码系统的安全是十分不利的。解决这一问题的方法之一是研制多级密钥管理体制。在可信计算密码支撑平台中,密钥分层体系如图1所示。2.1密钥的生成和加载EK由厂商定义的方式生成,采用256位ECC非对称密钥生成算法。密码模块密钥可以定义不可撤销和可撤销两种密码模块密钥。SMK
7、必须在获取平台所有权时生成,采用128位SMS4对称密钥,平台所有者生成密码模块密钥时,必须在可信密码模块内部生成。PIK采用256位ECC非对称密钥生成算法为256位的ECC密钥,必须在可信密码模块内部生成,并将PIK公钥,EK公钥和PIK签名发送给可信方,可信方接收到平台发送的信息后,签署PIK证书,可信密码模块使用密码模块密钥采用ECC解密算法解密来激活使用平台身份密钥。PEK由KMC(密钥管理中心)生成,可信密码模块向CA发送PEK证书和PEK密钥请求获取加密PEK证书的对称密钥,导
此文档下载收益归作者所有