《电子商务安全实用教程》第二章 密码学基础3.ppt

第二章 密码学基础 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 2.10 信息隐藏技术 密钥管理－管好你的钥匙 所有的密码系统都存在:如何安全\可靠地分配密钥 许多情况下, 出现的安全问题不是因为密码算法被破,而是密钥分配系统被破 密钥管理概述 密钥的产生 两种密钥生成方式的对比 密钥的存储与更新 密钥的安全存储是密钥管理中一个重要的环节，也是比较困难的一个环节。所谓密钥的安全存储是要确必威体育官网网址钥在存储状态下的必威体育官网网址性、真实性和完整性。安全可靠的存储介质是密钥安全存储的物质条件，安全严密的访问控制机制是密钥安全存储的管理条件。 密钥安全存储的原则是不允许密钥以明文形式出现在密钥管理设备之外。例如：可以通过将密钥以明文形式存储在安全的IC卡或智能卡中，由专人保管，使用时插入设备中。如果无法做到时，必须用另一个密钥加密来保护该密钥，或由一个可信方来分发 密钥的备份/恢复、撤销和销毁 密钥备份有以下几个原则： ① 备份的密钥应当受到与存储密钥一样的保护。 ② 为了减少明文形态的密钥数量，一般都采用高级密钥保护低级密钥的密文形态进行备份。 ③ 对于高级密钥，不能采用密文形态备份，一般采用多个密钥分量的形式进行备份，即把密钥通过门限方案分割成几部分，每个密钥分量备份到不同的设备或地点，并且指定专人负责。 ④ 密钥的备份应当考虑方便恢复，密钥的恢复应当经过授权而且要遵循安全的规章制度 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 2.10 信息隐藏技术 密钥的分配 对称密码体制的密钥分配方案 两个用户A和B获得共享的对称密钥有如下几种方法： 1）密钥由A选取并通过物理手段发送给B。 2）密钥由第三方选取并通过物理手段发送给A和B。 3）如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方。 4）如果A和B与第三方C分别有一必威体育官网网址信道（即C与每个用户事先共享一个对称密钥）， 公钥密码体制的密钥分配方案 ① 公开发布 ② 公钥目录表 ③ 公钥管理机构（在线服务器方式） ④ 公钥证书（离线服务器方式） 用公钥密码体制分配对称密码体制的密钥 ① 简单分配 ② 具有必威体育官网网址和认证功能的分配 目录 2.1 密码学的基本知识 2.2 对称密码体制 2.3密钥管理与密钥分配 2.4 公钥密码体制 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 对称密钥的分配 公钥的分配 2.10 信息隐藏技术 密钥分配的基本方法 两个用户在使用单钥体制进行通信时，必须预先共享秘密密钥，并且应当时常更新，用户A和B共享密钥的方法主要有 A选取密钥并通过物理手段发送给B 第三方选取密钥并通过物理手段发送给A和B A,B事先已有一密钥，其中一方选取新密钥，用已有密钥加密新密钥发送给另一方 A和B分别与第三方C有一必威体育官网网址信道，C为A，B选取密钥，分别在两个必威体育官网网址信道上发送给A和B 密钥分配的基本方法 如果有n个用户，需要两两拥有共享密钥，一共需要n(n-1)/2的密钥 采用第4种方法，只需要n个密钥 第4种方法的一个例子 会话密钥的有效期 密钥更换越频繁，安全性越高。 缺点是延迟用户的交互，造成网络负担。 决定会话的有效期，应权衡利弊。 面向连接的协议，每次建立连接时应使用新的会话密钥。 无连接的协议，无法明确确定更换密钥的频率，安全起见，每次交换都用新的密钥。经济的做法在一固定周期内对一定数目的业务使用同一会话密钥。 无中心的密钥控制 有KDC时，要求所有用户信任KDC，并且要求KDC加以保护。 无KDC时没有这种限制，但是只适用于用户小的场合 无中心的密钥控制 密钥的控制使用 根据用途不同分为 会话密钥（数据加密密钥） 主密钥（密钥加密密钥），安全性高于会话密钥 根据用途不同对密钥使用加以控制 目录 2.9 密钥管理与密钥分配 2.9.1 密钥管理 2.9.2 密钥分配 对称密钥的分配 公钥的分配 2.10 信息隐藏技术 公钥的分配方法 公开发布 公用目录表 公钥管理机构 公钥证书 公钥的分配－公开发布 用户将自己的公钥发给每一个其他用户 方法简单，但没有认证性，因为任何人都可以伪造这种公开发布 公钥的分配－公用目录表 公用的公钥动态目录表，目录表的建立、维护以及公钥的分布由可信的实体和组织承担。 管理员为每个用户都在目录表里建立一个目录，目录中包括两个数据项：一是用户名，二是用户的公开密钥。 每一用户都亲自或以某种安全的认证通信在管理者处为自己的公开密钥注册。 用户可以随时替换自己的密钥。 管理员定期公布或定期更新目录。 用户可以通过电子手段访问目录。 公钥的分配－公钥管理机构 公钥管理机构为用户建立维护动态的公钥目录。 每个用户知道