Ch_密钥管理技术.ppt

网络与信息安全 Ch05 密钥管理技术 综述 综述 综述 几个概念 密钥的生存期 初始密钥 会话密钥 密钥加密密钥 主密钥 密钥管理是指对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）实施的安全必威体育官网网址管理。 密钥的产生 密钥的传输 密钥的验证 密钥的分配 密钥的更新 密钥的有效期 密钥托管 密钥托管密码系统是具有备份解密能力的密码系统，它允许授权者在特定的条件下，借助于一个以上持有专用数据恢复密钥的、可信赖的委托方所提供的信息来解密密文。数据恢复密钥不同于通常的加解密密钥，但由它们可以恢复加解密密钥。 密钥托管技术提供了一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复出自己的密钥。 一个密钥托管系统由用户安全组件USC、密钥托管组件KEC和数据恢复组件DRC三个部分组成。USC使用密钥K加密明文数据，并把数据恢复域DRF联接 到密文上；DRC则利用KEC提供的信息和包含于数据恢复域DRF中的信息恢复出明文。 密钥托管 什么是PKI PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。 普适性：只要遵循必要的原则，就能使用提供的服务。比如：网络基础设施、电力基础设施等。 安全服务：公钥密码的功能、密码的功能等。 PKI的概念 数字证书 什么是数字证书 数字证书相当于我们平常使用的身份证，身份证用于标明使用者的身份，数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。 一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数据 一个经证书认证中心（CA）签名的包括公钥拥有者信息及公钥信息的文件 数字证书的作用 由于证书是由证书认证机构颁发的，有证书认证机构的数字签名，所以证书的拥有者是被证书认证机构所信任的。 网络通信的身份证明，解决相互间信任问题 用户公钥信息用户数据加密，保证数据必威体育官网网址性、用户身份的不可抵赖性 数字证书的存储格式 数字证书的存储格式标准有多种，X.509是最基本的证书存储标准格式。X.509格式的数字证书结构如图所示。 数字证书的结构 版本：用于识别证书版本号，版本号可以是V1、V2和V3，目前常用的版本是V3 序列号：是由CA分配给证书的唯一的数字型标识符。当证书被取消时，将此证书的序列号放入由CA签发的CRL中 签名算法标识：用来标识对证书进行签名的算法和算法所需的参数。协议规定，这个算法同证书格式中出现的签名算法必须是同一个算法 签发者：为CA的名称 有效期：是一对日期——起始日期和结束日期，证书在这段日期之内有效 主体：为证书持有者的名称 主体的公开密钥：包括算法名称，需要的参数和公开密钥 可选项：签发者唯一标识、主体唯一标识和扩展项都是可选项，可根据具体需求进行选择 证书认证中心（CA） 如果将数字证书比喻为出差时能证明我们身份的“介绍信”，那么CA就好比开出“介绍信”的工作单位，它能证明证书持有者的身份。 CA： 一个值得信赖的公正的第三方机构，PKI的核心 管理数字证书：证书签发（把用户的公钥和用户的其他信息捆绑在一起）等 在网上验证用户的身份 ：证书废除列表管理等 证书认证中心（CA） RA： CA的组成部分，实现CA功能的一部分 CA面向用户的窗口，接受用户申请、审核用户身份 代表CA发放证书 RS： 管理所辖受理点的用户资料、受理用户证书业务、审核用户身份、向受理中心或RA中心申请签发证书和将RA中心或受理中心制作的证书介质分发给用户 CA的作用 CA系统的主要功能是对证书进行管理，包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。权威、可信、第三方机构，为认证需求提供数字证书相关服务。 CA的层次结构 自上而下信任，下级信任上级、下级由上级签发 CA提供的服务 颁发证书：申请证书、审核身份、证书签发、证书介质制作和发放 废除证书：证书在时间有效期内的不能使用 证书废除原因：用户身份信息变更、CA签名私钥泄漏、证书对应私钥的泄漏、证书本身遭到损坏、其他可能原因 证书废除过程：用户向业务受理点申请、CA审核、CA定期签发CRL、在线发布 CRL：包括所有未过期、已废除数字证书 更新证书：证书快到期、更换密钥、……