密码学及安全应用4_3要点.ppt

第二章 密码学基础 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 2.10 信息隐藏技术 密钥管理－管好你的钥匙 所有的密码系统都存在:如何安全\可靠地分配密钥 许多情况下, 出现的安全问题不是因为密码算法被解,而是密钥分配系统被攻破 密钥管理概述 密钥管理的内容 密钥的产生 密钥的分配（下节再讲） 密钥的存储与更新 密钥的备份/恢复、撤销和销毁 密钥的产生 两种密钥产生方式的对比 密钥的存储与更新 密钥的安全存储:确必威体育官网网址钥在存储状态下的必威体育官网网址性、真实性和完整性。 物质条件:安全可靠的存储介质， 管理条件:安全严密的访问控制机制。 例如：可以通过将密钥以明文形式存储在安全的IC卡或智能卡中，由专人保管，使用时插入设备中。如果无法做到时，必须用另一个密钥加密来保护该密钥，或由一个可信方来分发 密钥的备份/恢复、撤销和销毁 密钥备份有以下几个原则： ① 备份的密钥应当受到与存储密钥一样的保护。 ② 为了减少明文形态的密钥数量，一般都采用高级密钥保护低级密钥的密文形态进行备份。 ③ 对于高级密钥，不能采用密文形态备份，一般采用多个密钥分量的形式进行备份，即把密钥通过门限方案分割成几部分，每个密钥分量备份到不同的设备或地点，并且指定专人负责。 ④ 密钥的备份应当考虑方便恢复，密钥的恢复应当经过授权而且要遵循安全的规章制度 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 2.10 信息隐藏技术 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 对称密钥的分配 公钥的分配 2.10 信息隐藏技术 对称密钥分配的基本方法 两个用户在使用对称密钥密码体制进行通信时，必须预先共享秘密密钥，并且应经常更新，用户A和B共享密钥的方法主要有 A选取密钥并通过物理手段发送给B 第三方选取密钥并通过物理手段发送给A和B A,B事先已有一密钥，其中一方选取新密钥，用已有密钥加密新密钥发送给另一方 A和B分别与第三方C有一必威体育官网网址信道，C为A，B选取密钥，分别在两个必威体育官网网址信道上发送给A和B 密钥分配的基本方法 如果有n个用户，需要两两拥有共享密钥，一共需要n(n-1)/2的密钥 采用第4种方法，只需要n个密钥 第4种方法的一个例子 通过KDC方式分发对称密钥 第4种方法的一个例子 会话密钥的有效期 密钥更换越频繁，安全性越高。 缺点是延迟用户的交互，造成网络负担。 决定会话的有效期，应权衡利弊。 面向连接的协议，每次建立连接时应使用新的会话密钥。 无连接的协议，无法明确确定更换密钥的频率，安全起见，每次交换都用新的密钥。经济的做法在一固定周期内对一定数目的业务使用同一会话密钥。 无中心的密钥控制 有KDC时，要求所有用户信任KDC，并且要求KDC加以保护。 无KDC时没有这种限制，但是只适用于用户小的场合 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 对称密钥的分配 公钥的分配 2.10 信息隐藏技术 公钥密码体制的密钥分配方案 ① 公开发布 ② 公钥目录表 ③ 公钥管理机构（在线服务器方式） ④ 公钥证书（离线服务器方式） 公钥的分配－公开发布 用户将自己的公钥发给每一个其他用户 方法简单，但没有认证性， 因为任何人都可以伪造这种公开发布 公钥的分配－公用目录表 公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由可信的实体和组织承担。 管理员为每个用户都在目录表里建立一个目录，目录中包括两个数据项：一是用户名，二是用户的公开密钥。 每一用户都亲自或以某种安全的认证通信在管理者处为自己的公开密钥注册。 用户可以随时替换自己的密钥。 管理员定期公布或定期更新目录。 用户可以通过电子手段访问目录。 公钥的分配－公钥管理机构 公钥管理机构为用户建立维护动态的公钥目录。 每个用户知道管理机构的公开钥。 只有管理机构知道自己的秘密钥。 公钥管理机构分配公钥 公钥的分配－公钥证书 用户通过公钥证书交换各自公钥，无须与公钥管理机构联系 公钥证书由证书管理机构CA（Certificate Authority）为用户建立。 证书的形式为 T-时间，PKA-A的公钥，IDA－A的身份，SKCA－CA的私钥 时戳T保证证书的新鲜性，防止重放旧证书。 用公钥密码体制分配对称密钥 ① 简单分配 ② 具有必威体育官网网址和认证功能的分配 用公钥密码体制分配对称密钥 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 2.10 信息隐藏技术 信息隐藏技术 使信息必威体育官网网址的两种办法： 第一种是加密技术，加密技术的本质是将信息（明文）转换成另外一种形式（密文），使其 他人辨认不出，达到伪装的效果； 第二种是信息隐藏技术，它是将要必威体育官网网址的信息藏在