資源描述:
《密鑰管理與密鑰協(xié)商》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、密鑰管理與密碼協(xié)商主要內(nèi)容(1)對稱密碼體制的密鑰管理密鑰分類密鑰分配(2)公鑰密碼體制的密鑰管理公鑰的分配數(shù)字證書X.509證書公鑰基礎(chǔ)設(shè)施PKI對稱密碼體制的優(yōu)缺點1.優(yōu)點:加密速度快,保密度高2.缺點:(1)密鑰是保密通信的關(guān)鍵,發(fā)信方必須安全、妥善的把密鑰送到收信方,不能泄露其內(nèi)容,密鑰的傳輸必須安全,如何才能把密鑰安全送到收信方是對稱加密體制的突出問題。(2)n個合作者,就需要n各不同的密鑰,如果n個人兩兩通信需要密鑰數(shù)量n(n-1),使得密鑰的分發(fā)復雜。(3)通信雙方必須統(tǒng)一密鑰,才能發(fā)送保密信息,如
2、果雙方不相識,這就無法向?qū)Ψ桨l(fā)送秘密信息了。(4)難以解決電子商務系統(tǒng)中的數(shù)字簽名認證問題。對開放的計算機網(wǎng)絡(luò),存在著安全隱患,不適合網(wǎng)絡(luò)郵件加密需要。非對稱密碼體制的優(yōu)缺點1.缺點:加密算法復雜,加密和解密的速度比較慢2.優(yōu)點:(1)公鑰加密技術(shù)與對稱加密技術(shù)相比,其優(yōu)勢在于不需要共享通用的密鑰。(2)公鑰在傳遞和發(fā)布過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲的公鑰對入侵者沒有太大意義。(3)密鑰少便于管理,N個用戶通信只需要N對密鑰,網(wǎng)絡(luò)中每個用戶只需要保存自己的解密密鑰。(4)密鑰分配簡單,加密密鑰
3、分發(fā)給用戶,而解密密鑰由用戶自己保留。密鑰管理簡介所有的密碼技術(shù)都依賴于密鑰。密鑰的管理本身是一個很復雜的課題,而且是保證安全性的關(guān)鍵點。密鑰管理簡介密鑰管理包括確保產(chǎn)生的密鑰具有必要的特性,通信雙方事先約定密鑰的方法以及密鑰的保護等。密鑰管理方法實質(zhì)上因所使用的密碼體制(對稱密碼體制和公鑰密碼體制)而異。1.所有的密鑰都有生存期。2.密鑰的生存周期:授權(quán)使用該密鑰的周期。3.原因:(1)擁有大量的密文有助于密碼分析;一個密鑰使用得太多了,會給攻擊者增大收集密文的機會;(2)假定一個密鑰受到危機或用一個特
4、定密鑰的加密/解密過程被分析,則限定密鑰的使用期限就相當于限制災難性后果影響的范圍。密鑰的生命周期一個密鑰主要經(jīng)歷以下幾個階段:1)產(chǎn)生(可能需要登記)2)分配3)啟用/停用4)更新/替換5)撤銷6)銷毀密鑰的管理1.密鑰的產(chǎn)生“好”密鑰的特性:避免使用特定密碼算法的弱密鑰隨機、等概率的比特序列足夠的復雜度(1)密鑰產(chǎn)生的技術(shù)硬件技術(shù):軟件技術(shù):X9.17三重DES密鑰產(chǎn)生算法。密鑰的管理(2)不同類型密鑰的產(chǎn)生方法主密鑰:真隨機數(shù)密鑰加密密鑰:高保真隨機數(shù)、主密鑰控制下的某種算法會話密鑰:隨機數(shù)發(fā)生器(3)密鑰
5、的登記將產(chǎn)生的密鑰與特定的使用捆綁在一起,例如,用于數(shù)字簽名的密鑰,必須與簽名者的身份捆綁在一起。這個捆綁必須通過某一授權(quán)機構(gòu)來完成。2.密鑰的注入鍵盤輸入軟盤輸入專用密鑰注入設(shè)備3.密鑰的存儲(1)存儲方式:用口令加密后存儲在本地軟盤或硬盤中存儲在網(wǎng)絡(luò)目錄服務器中存儲在智能卡中USBkey存儲(2)保護措施由一個可信方來分配;將一個密鑰分成兩部分,委托給兩個不同的人;通過機密性(例如,用另一個密鑰加密)和/或完整性服務來保護。在網(wǎng)絡(luò)安全中,用最后一種方法導致密鑰層次的概念。這個概念通常出現(xiàn)在密鑰管理之中。4.密
6、鑰的使用與控制在現(xiàn)代網(wǎng)絡(luò)安全實現(xiàn)中,有許多用于不同目的的不同密鑰。例如,初始密鑰用于加密和解密數(shù)據(jù),而密鑰加密密鑰用于保護所分配的別的密鑰。除了秘密保存密鑰之外,有時密鑰分配過程也是很重要的,因為該過程確保打算用于一種目的的密鑰不能和用于另一種目的的密鑰交替使用。這就要求將密鑰值和密鑰的合法使用范圍封裝在一起。5.密鑰的更新6.密鑰的吊銷與銷毀(1)密鑰撤銷:在特定的環(huán)境中是必須的。撤銷的原因:與密鑰有關(guān)的系統(tǒng)的遷移懷疑一個特定的密鑰已受到威脅;密鑰的使用目的已經(jīng)改變(提高安全級別)(2)密鑰銷毀:清除一個密鑰的
7、所有蹤跡。一個密鑰的值在被停止使用后可能還要持續(xù)一段時間,例如,一條記載的加密數(shù)據(jù)流包含的信息可能仍然需要保密一段時間。為此,使用的任何密鑰的秘密性都需要保持到所保護的信息不再需要保密為止。密鑰管理要達到目標在遇到如下威脅時,仍能保持密鑰關(guān)系和密鑰:危及秘密密鑰的機密性(攻擊機密性)危及秘密密鑰或公鑰的真實性(欺騙)危及密鑰或公鑰的未授權(quán)使用秘密密鑰的分配基于對稱密碼體制的密鑰分配基于公鑰密碼體制的密鑰分配基于對稱密碼體制的密鑰分配對稱密碼體制的主要商業(yè)應用起始于八十年代早期,特別是在銀行系統(tǒng)中,采納了DES標
8、準和銀行工業(yè)標準ANSI數(shù)據(jù)加密算法(DEA)。實際上,這兩個標準所采用的算法是一致的?;趯ΨQ密碼體制的密鑰分配隨著DES的廣泛應用帶來了一些研究話題,比如如何管理DES密鑰。從而導致了ANSIX9.17標準的發(fā)展,該標準于1985年完成,是有關(guān)金融機構(gòu)密鑰管理(批發(fā))的一個標準?;趯ΨQ密碼體制的密鑰分配金融機構(gòu)密鑰管理需要通過一個多級層次密鑰機構(gòu)來實現(xiàn)。用于加密大