Lecture09_密鑰管理_第1頁(yè)
Lecture09_密鑰管理_第2頁(yè)
Lecture09_密鑰管理_第3頁(yè)
Lecture09_密鑰管理_第4頁(yè)
Lecture09_密鑰管理_第5頁(yè)
已閱讀5頁(yè),還剩20頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1l學(xué)習(xí)要點(diǎn):學(xué)習(xí)要點(diǎn):了解密鑰的重要性了解密鑰的重要性理解密鑰的分類(lèi)及其層次式管理結(jié)構(gòu)理解密鑰的分類(lèi)及其層次式管理結(jié)構(gòu)了解密鑰管理的生命周期了解密鑰管理的生命周期掌握密鑰的生成與安全存儲(chǔ)掌握密鑰的生成與安全存儲(chǔ)掌握密鑰的分發(fā)方法掌握密鑰的分發(fā)方法2l密鑰的作用:作為密碼變換的參數(shù),實(shí)現(xiàn)消息密鑰的作用:作為密碼變換的參數(shù),實(shí)現(xiàn)消息的機(jī)密性保護(hù)的機(jī)密性保護(hù)l引入密鑰的好處:引入密鑰的好處:不用擔(dān)心算法的安全性,保護(hù)好密鑰比保護(hù)好算法不用擔(dān)心算法的安全性,保護(hù)好密鑰比保護(hù)好算法要容易得多要容易得多可以使用不同的密鑰保護(hù)不同的秘密,靈活性、安可以使用不同的密鑰保護(hù)不同的秘密,靈活性、安全性更強(qiáng)全性更

2、強(qiáng)3l密鑰管理:在授權(quán)各方間密鑰管理:在授權(quán)各方間實(shí)現(xiàn)密鑰關(guān)系的建立和維護(hù)實(shí)現(xiàn)密鑰關(guān)系的建立和維護(hù)的一整套技術(shù)和程序的一整套技術(shù)和程序l密鑰管理負(fù)責(zé)密鑰的生成、存儲(chǔ)、分配、使用、備份密鑰管理負(fù)責(zé)密鑰的生成、存儲(chǔ)、分配、使用、備份/恢復(fù)、更新、撤銷(xiāo)和銷(xiāo)毀等恢復(fù)、更新、撤銷(xiāo)和銷(xiāo)毀等l現(xiàn)代密碼系統(tǒng)的安全性并不取決于對(duì)密碼算法的保密現(xiàn)代密碼系統(tǒng)的安全性并不取決于對(duì)密碼算法的保密或者是對(duì)加密設(shè)備等的保護(hù),或者是對(duì)加密設(shè)備等的保護(hù),一切秘密寓于密鑰之一切秘密寓于密鑰之中中l(wèi)注意:注意:密鑰管理要求管理與技術(shù)并重密鑰管理要求管理與技術(shù)并重4l會(huì)話密鑰會(huì)話密鑰在一次通信或數(shù)據(jù)交換中,直接用于向用戶數(shù)據(jù)提供密碼

3、操作的密鑰在一次通信或數(shù)據(jù)交換中,直接用于向用戶數(shù)據(jù)提供密碼操作的密鑰一般由系統(tǒng)自動(dòng)生成,對(duì)用戶是不可見(jiàn)一般由系統(tǒng)自動(dòng)生成,對(duì)用戶是不可見(jiàn)短期會(huì)話密鑰(對(duì)稱(chēng)加密秘鑰)短期會(huì)話密鑰(對(duì)稱(chēng)加密秘鑰)長(zhǎng)期會(huì)話密鑰(用于數(shù)字簽名的私鑰)長(zhǎng)期會(huì)話密鑰(用于數(shù)字簽名的私鑰)l一般密鑰加密密鑰一般密鑰加密密鑰用于會(huì)話密鑰或其下層密鑰的加密,從而可實(shí)現(xiàn)這些密鑰的在線分發(fā)用于會(huì)話密鑰或其下層密鑰的加密,從而可實(shí)現(xiàn)這些密鑰的在線分發(fā)l主密鑰主密鑰位于整個(gè)密鑰層次體系的最高層位于整個(gè)密鑰層次體系的最高層可在較長(zhǎng)時(shí)間內(nèi)由用戶所專(zhuān)用的秘密密鑰可在較長(zhǎng)時(shí)間內(nèi)由用戶所專(zhuān)用的秘密密鑰主要用于對(duì)密鑰加密密鑰或會(huì)話密鑰的保護(hù)主要

4、用于對(duì)密鑰加密密鑰或會(huì)話密鑰的保護(hù)主密鑰的分發(fā)基于物理渠道或其他可靠的方法主密鑰的分發(fā)基于物理渠道或其他可靠的方法56l安全性強(qiáng)安全性強(qiáng)層次式管理形成一個(gè)動(dòng)態(tài)的密鑰系統(tǒng)層次式管理形成一個(gè)動(dòng)態(tài)的密鑰系統(tǒng) l秘鑰處在不斷的變化中;秘鑰處在不斷的變化中;l高層秘鑰可以有效地保護(hù)底層秘鑰的更換;高層秘鑰可以有效地保護(hù)底層秘鑰的更換;l對(duì)主秘鑰的攻擊很困難,使用次數(shù)有限,可能采用嚴(yán)密的物理保護(hù)對(duì)主秘鑰的攻擊很困難,使用次數(shù)有限,可能采用嚴(yán)密的物理保護(hù)l可實(shí)現(xiàn)密鑰管理的自動(dòng)化可實(shí)現(xiàn)密鑰管理的自動(dòng)化除主密鑰外,其他各層的密鑰均可由系統(tǒng)按照某種協(xié)議進(jìn)行自動(dòng)化管理除主密鑰外,其他各層的密鑰均可由系統(tǒng)按照某種協(xié)議

5、進(jìn)行自動(dòng)化管理大大提高了工作效率和數(shù)據(jù)安全性大大提高了工作效率和數(shù)據(jù)安全性l主秘鑰掌握在少數(shù)安全管理人員手中,他們不直接接觸用戶使用的秘鑰和明文數(shù)據(jù)主秘鑰掌握在少數(shù)安全管理人員手中,他們不直接接觸用戶使用的秘鑰和明文數(shù)據(jù)l用戶不可能接觸到安全管理人員所掌握的核心秘鑰用戶不可能接觸到安全管理人員所掌握的核心秘鑰78l密鑰的生成密鑰的生成密鑰的大小與產(chǎn)生機(jī)制直接影響密碼系統(tǒng)的安全密鑰的大小與產(chǎn)生機(jī)制直接影響密碼系統(tǒng)的安全好的密鑰應(yīng)具有良好的隨機(jī)性、避免弱密鑰出現(xiàn)好的密鑰應(yīng)具有良好的隨機(jī)性、避免弱密鑰出現(xiàn)生成過(guò)程:某種噪聲源有較好統(tǒng)計(jì)分布特性的生成過(guò)程:某種噪聲源有較好統(tǒng)計(jì)分布特性的序列各種隨機(jī)性檢

6、驗(yàn):確保有較好的密碼特性序列各種隨機(jī)性檢驗(yàn):確保有較好的密碼特性一般,不同的密碼體制有不同的具體密鑰生成方法一般,不同的密碼體制有不同的具體密鑰生成方法如何產(chǎn)生好的密鑰是很關(guān)鍵的!9l基于口令的軟保護(hù)基于口令的軟保護(hù)使用對(duì)稱(chēng)秘鑰算法來(lái)加密秘鑰使用對(duì)稱(chēng)秘鑰算法來(lái)加密秘鑰l基于硬件的物理保護(hù)基于硬件的物理保護(hù)將秘鑰存儲(chǔ)在與計(jì)算機(jī)相分離的將秘鑰存儲(chǔ)在與計(jì)算機(jī)相分離的某種物理設(shè)備中某種物理設(shè)備中10l密鑰的協(xié)商密鑰的協(xié)商是保密通信雙方是保密通信雙方(或多方或多方)通過(guò)公開(kāi)信道的通信來(lái)共通過(guò)公開(kāi)信道的通信來(lái)共同形成秘密密鑰的過(guò)程同形成秘密密鑰的過(guò)程 (e.g. DH秘鑰交換算法)秘鑰交換算法)l密鑰的分

7、發(fā)密鑰的分發(fā)是保密通信中的一方生成并選擇秘密密鑰,然后把是保密通信中的一方生成并選擇秘密密鑰,然后把該密鑰發(fā)送給通信參與的其他一方或多方的機(jī)制該密鑰發(fā)送給通信參與的其他一方或多方的機(jī)制 需要密鑰分發(fā)協(xié)議支持需要密鑰分發(fā)協(xié)議支持分類(lèi):分類(lèi):l分發(fā)途徑分:網(wǎng)外分發(fā)、網(wǎng)內(nèi)分發(fā)分發(fā)途徑分:網(wǎng)外分發(fā)、網(wǎng)內(nèi)分發(fā)l分發(fā)內(nèi)容分:秘密密鑰的分發(fā)、公開(kāi)密鑰的分發(fā)分發(fā)內(nèi)容分:秘密密鑰的分發(fā)、公開(kāi)密鑰的分發(fā)11l用一個(gè)密鑰加密密鑰加密多個(gè)會(huì)話密鑰用一個(gè)密鑰加密密鑰加密多個(gè)會(huì)話密鑰 要求預(yù)先通過(guò)秘密渠道分配一個(gè)用于加密密鑰的密要求預(yù)先通過(guò)秘密渠道分配一個(gè)用于加密密鑰的密鑰,會(huì)話密鑰臨時(shí)產(chǎn)生鑰,會(huì)話密鑰臨時(shí)產(chǎn)生l使用密鑰

8、分發(fā)中心使用密鑰分發(fā)中心 (KDC, Key Distribution Center)12l使用密鑰分發(fā)中心使用密鑰分發(fā)中心 13l公鑰的公開(kāi)發(fā)布公鑰的公開(kāi)發(fā)布個(gè)人公開(kāi)發(fā)布個(gè)人公開(kāi)發(fā)布l建立公鑰目錄建立公鑰目錄目錄管理員的可信實(shí)體或組織發(fā)布目錄管理員的可信實(shí)體或組織發(fā)布l帶認(rèn)證的公鑰分發(fā)帶認(rèn)證的公鑰分發(fā)(在線服務(wù)器方式)(在線服務(wù)器方式)l使用數(shù)字證書(shū)的公鑰分發(fā)使用數(shù)字證書(shū)的公鑰分發(fā)(離線服務(wù)器方式)(離線服務(wù)器方式) 141516171819lCA does not need to be onlinelCA is relatively easy to implementlCA crash=n

9、o new users in the network but all old users operate normallylCertificates are not security sensitive,they can be stored in a public database,and transmitted over a public network202122l不同的系統(tǒng)或應(yīng)用分別有自己的不同的系統(tǒng)或應(yīng)用分別有自己的CA分支,這些分支不分支,這些分支不隸屬于同一個(gè)根認(rèn)證中心隸屬于同一個(gè)根認(rèn)證中心lCA甲甲給另外一個(gè)處于不同分支的給另外一個(gè)處于不同分支的CA乙乙簽發(fā)一份證書(shū),簽發(fā)一份證書(shū),這份證書(shū)允許這份證書(shū)允許CA乙乙簽發(fā)可以被簽發(fā)可以被CA甲甲驗(yàn)證的證書(shū)驗(yàn)證

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論