欢迎来到天天文库
浏览记录
ID:57014974
大小:1.17 MB
页数:79页
时间:2020-07-26
《密钥管理课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第4章密钥管理4.1密钥管理的概念4.2机密密钥分发技术4.3公钥分发技术4.4控制密钥使用的技术4.5多个域的密钥管理4.6密钥生命周期问题4.1、密钥管理的概念密钥管理何谓密钥管理?在特定的安全策略控制下,进行密钥的生成、存储、分发、删除、归档、恢复、审计以及使用等所有与密钥相关活动的总和。密钥管理的本质:一组技术和过程,它能够在授权方间提供密钥关系的建立和维护管理内容:域中系统用户的初始化密钥的生成、分发和安装控制密钥的使用密钥的更新、撤销和销毁密钥的存储、备份/恢复和存档密钥分类对称密钥对称密码系统中使用的相同的秘密密钥公钥和私钥非对称密码系统中使用的
2、成对密钥密钥管理要达到目标在遇到如下威胁时,仍能保持密钥关系和密钥:危及秘密密钥的机密性(攻击机密性)危及秘密密钥或公钥的真实性(欺骗)危及密钥或公钥的未授权使用简单密钥建立模式点对点密钥分发问题(困境)N2问题中心化的密钥管理点对点机制利用KDC利用KTC密钥管理:对称密钥vs.公钥加密4.2机密密钥分发技术密钥分层主密钥:不受“密码学”的保护。它们被手工分发或在一开始时建立,受程序上的控制以及物理或电子隔离的保护(最高层)加密密钥的密钥:用于传输或存储其他密钥的对称密钥或加密公钥,如保护会话密钥的密钥。数据密钥:用于对用户数据提供密钥操作(如加密、认证)。
3、会话密钥(短期)文件密钥(周期取决于文件)用于签名的私钥(长期的)高一层的密钥用来保护低一层的密钥层次越高,安全性要求也越高按使用时间分类:长期密钥:包括主密钥、加密密钥的密钥、及有助于密钥协商的密钥多用于数据存储,或用于保护短期密钥短期密钥:包括:密钥建立协议中生成的共享密钥,及会话密钥多用于通信应用密钥分配的基本方法两个用户A,B在使用单钥体制(对称密钥)进行通信时,必须预先共享秘密密钥,并且应当时常更新,用户A和B共享密钥的方法主要有:A选取密钥并通过物理手段发送给B(派亲信“骑马送达”)第三方选取密钥并通过物理手段发送给A和BA,B事先已有一密钥,其中
4、一方选取新密钥,用已有密钥加密新密钥发送给另一方A和B分别与第三方C有一保密信道,C为A,B选取密钥,分别在两个保密信道上发送给A和B密钥分配的基本方法如果有n个用户,需要两两拥有共享密钥,一共需要n(n-1)/2的密钥(每个用户要管“99把各不相同”的钥匙!灾难!)采用第4中方法,只需要n个密钥(虽然也不少,但不用你管呀!)密钥的分层控制用户数目很多并且分布地域很广,一个KDC无法承担,需要采用多个KDC的分层结构。本地KDC为本地用户分配密钥。不同区域内的KDC通过全局KDC沟通。会话密钥的有效期密钥更换越频繁,安全性越高。缺点是延迟用户的交互,造成网络负
5、担。决定会话的有效期,应权衡利弊。面向连接的协议,每次建立连接时应使用新的会话密钥。无连接的协议,无法明确确定更换密钥的频率,安全起见,每次交换都用新的密钥。经济的做法在一固定周期内对一定数目的业务使用同一会话密钥。无中心的密钥控制有KDC时,要求所有用户信任KDC,并且要求KDC加以保护(KDC有责任)。无KDC时没有这种限制,但是只适用于用户小的场合无中心的密钥控制AB1.Request
6、
7、N12.3.用户A和B建立会话密钥的过程密钥的控制使用根据用途不同分为会话密钥(数据加密密钥)主密钥(密钥加密密钥),安全性高于会话密钥根据用途不同对密钥使用加以控制单
8、钥体制的密钥控制技术-密钥标签用于DES的密钥控制,8个校验位作为密钥标签1比特表示这个密钥是会话密钥还是主密钥1比特表示这个密钥能否用于加密1比特表示这个密钥能否用于解密其余比特保留长度有限,限制了灵活性和功能标签以密文传送,只有解密后才能使用,限制了密钥使用的控制方式。公钥的分配-公开发布用户将自己的公钥发给每一个其他用户方法简单,但没有认证性,因为任何人都可以伪造这种公开发布公钥的管理容易,但分发困难(张三发了!李四呢?),新密钥对再分发怎么办?公钥的分发-公用目录表公用的公钥动态目录表,目录表的建立、维护以及公钥的分布由可信的实体和组织承担。管理员为每
9、个用户都在目录表里建立一个目录,目录中包括两个数据项:一是用户名,二是用户的公开密钥。每一用户都亲自或以某种安全的认证通信在管理者处为自己的公开密钥注册。用户可以随时替换自己的密钥。管理员定期公布或定期更新目录。用户可以通过电子手段访问目录。公钥的分发-公钥管理机构公钥管理机构为用户建立维护动态的公钥目录。每个用户知道管理机构的公开钥。只有管理机构知道自己的秘密钥。公钥管理机构分配公钥公钥管理机构AB1.Request
10、
11、Time12.3.6.4.Request
12、
13、Time25.7.有可能称为系统的瓶颈,目录容易受到敌手的串扰公钥证书用户通过公钥证书交换各自公
14、钥,无须与公钥管理机构联系公钥证书由证
此文档下载收益归作者所有