資源描述:
《04-密鑰分配與管理》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�、第4講密鑰分配與管理王志偉博士計算機(jī)學(xué)院信息安全系zhwwang@njupt.edu.cn2021/9/20南京郵電大學(xué)2本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2021/9/20南京郵電大學(xué)3密碼學(xué)方法應(yīng)用舉例-PGPPGP(PrettyGoodPrivacy),是一個基于公鑰加密體系的郵件加密軟件加密-防止非授權(quán)者閱讀簽名-確信郵件不是偽造的把公鑰體制的方便與私鑰體制的高速相結(jié)合2021/9/20南京郵電大學(xué)4PGP的原理首先產(chǎn)生一對鑰匙一個私鑰,一個公鑰傳送一封保密郵件時�,首先取得對方的公鑰,
2��、再利用對方的公鑰加密對方收到加密后的郵件后���,利用相應(yīng)的私鑰來解密還可以只簽名而不加密2021/9/20南京郵電大學(xué)5密鑰管理問題的提出公鑰比私鑰的發(fā)布要方便很多�����,但仍然存在安全性問題例如張三的公鑰被篡改防范方法直接從張三那得到公鑰通過共同的朋友王五由一個大家普遍信任的“認(rèn)證權(quán)威”由多人簽名的公鑰收集起來�����,放到公共場合���,希望大部分人至少認(rèn)識其中的一個……公鑰的安全性問題是PGP安全問題的核心2021/9/20南京郵電大學(xué)6本講內(nèi)容1密鑰分配方案2密鑰的管理3小結(jié)4密碼學(xué)方法應(yīng)用2021/9/20南京郵電大學(xué)7目前����,大
3����、部分加密算法都已經(jīng)公開了,像DES和RSA等加密算法甚至作為國際標(biāo)準(zhǔn)來推行�。因此明文的保密在相當(dāng)大的程度上依賴于密鑰的保密。在現(xiàn)實世界里�����,密鑰的分配與管理一直是密碼學(xué)領(lǐng)域較為困難的部分�。設(shè)計安全的密鑰算法和協(xié)議是不容易的,但可以依靠大量的學(xué)術(shù)研究��。相對來說�����,對密鑰進(jìn)行保密更加困難����。因而,如何安全可靠����、迅速高效地分配密鑰,如何管理密鑰一直是密碼學(xué)領(lǐng)域的重要問題���。密鑰分配與管理要使常規(guī)加密有效地進(jìn)行�����,信息交互的雙方必須共享一個密鑰����,并且這個密鑰還要防止被其他人獲得�����。要使公開加密有效地進(jìn)行���,信息接收的一方必須發(fā)布其公開密
4�、鑰�����,同時要防止其私有密鑰被其他人獲得。2021/9/20南京郵電大學(xué)8密鑰分配的四種方法(1)密鑰可以由A選定���,然后通過物理的方法安全地傳遞給B����。(2)密鑰可以由可信任的第三方C選定���,然后通過物理的方法安全地傳遞給A和B�����。上述方法由于需要對密鑰進(jìn)行人工傳遞��,對于大量連接的現(xiàn)代通信而言����,顯然不適用�。(3)如果A和B都有一個到可信任的第三方C的加密連接,那么C就可以通過加密連接將密鑰安全地傳遞給A和B�。采用的是密鑰分配中心技術(shù),可信任的第三方C就是密鑰分配中心KDC(keydistributecenter)�����,常常用于常
5、規(guī)加密密鑰的分配�。2021/9/20南京郵電大學(xué)9(4)如果A和B都在可信任的第三方發(fā)布自己的公開密鑰,那么它們都可以用彼此的公開密鑰加密進(jìn)行通信���。采用的是密鑰認(rèn)證中心技術(shù),可信任的第三方C就是證書授權(quán)中心CA(certificateauthority)�����,更多用于公開加密密鑰的分配���。主要講(3)KDC(4)CA方式2021/9/20南京郵電大學(xué)10常規(guī)加密密鑰的分配1.集中式密鑰分配方案由一個中心節(jié)點(diǎn)或者由一組節(jié)點(diǎn)組成層次結(jié)構(gòu)負(fù)責(zé)密鑰的產(chǎn)生并分配給通信的雙方���,在這種方式下,用戶不需要保存大量的會話密鑰�,只需要保存同
6、中心節(jié)點(diǎn)的加密密鑰���,用于安全傳送由中心節(jié)點(diǎn)產(chǎn)生的即將用于與第三方通信的會話密鑰���。這種方式缺點(diǎn)是通信量大�����,同時需要較好的鑒別功能以鑒別中心節(jié)點(diǎn)和通信方�����。目前這方面的主流技術(shù)是密鑰分配中心KDC技術(shù)����。我們假定每個通信方與密鑰分配中心KDC之間都共享一個惟一的主密鑰����,并且這個惟一的主密鑰是通過其他安全的途徑傳遞的。2021/9/20南京郵電大學(xué)11A?KDC:IDa
7�、
8、IDb
9�、
10、N1KDC?A:EKa[Ks
11�����、
12��、IDa
13�、
14����、IDb
15��、
16���、N1
17���、
18���、EKb[Ks
19�、
20��、IDa]]A?B:EKb[Ks
21�、
22、IDa]B?A:EKs[N2]A?
23�、B:EKs[f(N2)]密鑰分配中心KDC的密鑰分配方案2021/9/20南京郵電大學(xué)12N1N2Nonce現(xiàn)時實際上,到第(3)步已經(jīng)完成密鑰的分配過程�,通信的雙方已經(jīng)共享了當(dāng)前的會話密鑰Ks,第(4)步和第(5)步完成的是鑒別功能��。2021/9/20南京郵電大學(xué)13問題單個密鑰分配中心KDC無法支持大型的通信網(wǎng)絡(luò)�。每兩個可能要進(jìn)行安全通信的終端都必須同某個密鑰分配中心共享主密鑰�。當(dāng)通信的終端數(shù)量很大時��,將出現(xiàn)這樣的情況:每個終端都要同許多密鑰分配中心共享主密鑰�,增加了終端的成本和人工分發(fā)密鑰分配中心和終端共享的
24、主密鑰的成本��。需要幾個特別大的密鑰分配中心���,每個密鑰分配中心都同幾乎所有終端共享主密鑰�����。然而各個單位往往希望自己來選擇或建立自己的密鑰分配中心����。2021/9/20南京郵電大學(xué)14解決辦法為解決這種情況��,同時支持沒有共同密鑰分配中心的終端之間的密鑰信息的傳輸����,我們可以建立一系列的密鑰分配中心,各個密鑰分配中心之間存在層次關(guān)系���。各個密鑰分配中心按一定的方式進(jìn)行協(xié)
