信息安全技术—第4讲.ppt

信息安全技术 —— 密码技术 提纲 密码技术概述 对称密码技术 非对称密码技术 密钥分配与管理技术 数字签名技术 信息隐藏技术 知识点 密钥分配方案 密钥管理技术 密钥托管技术 公钥基础设施PKI技术 授权管理基础设施PMI技术 密钥分配 密钥分配 解决的是网络环境中需要进行安全通信的实体间的建立共享的密钥问题 需要解决的两方面问题 为减轻负担，提高效率，引入自动密钥分配机制 为提高安全性，尽可能减少系统中驻留的密钥数 两种类型的密钥分配方案 集中式 分布式 密钥分配方案 集中式密钥分配方案 由密钥分配中心KDC，或者由一组节点组成层次结构，负责密钥的产生并分配给通信双方。 分布式密钥分配方案 网络通信中各个通信方具有相同的地位，它们之间的密钥分配取决于它们之间的协商，不受任何其他方的限制 * 混合密钥分配方案 上层采用分布式密钥分配方案，而上层对于终端或它所属的通信子网采用集中式密钥分配方案 密钥分配的基本方法（1-2/5） 方法一 密钥由A选定，然后通过物理方法安全地传送给B 方法二 密钥由可信赖的第三方C选取，并通过物理方法安全地传送给A、B ——这两种方法不适合现代通信（因为密钥需要人工传送） 密钥分配的基本方法（3/5） 方法三 如果A和B事先已有一密钥，那么其中一方选取新密钥后，用已有的密钥加密新密钥后发送给对方 ——由于要对所有的用户分配初始密钥，代价大，也不适合现代通信 密钥分配的基本方法（4/5） 方法四 如果A和B都有一个到可信赖的第三方C的必威体育官网网址信道，那么C就可以为A和B选取密钥后安全地发送给A和B ——可信赖的第三方C就是密钥分配中心KDC，常用于对称密码技术的密钥分配 密钥分配的基本方法（5/5） 方法五 如果A和B都在可信赖的第三方C发布自己的公开密钥，那么他们用彼此的公开密钥进行必威体育官网网址通信 ——采用密钥认证中心技术，可信赖的第三方C就是证书授权中心CA，常用于非对称密码技术的公钥分配 密钥分配方案 对称密钥分配 集中式密钥分配方案 分布式密钥分配方案 非对称密钥分配 集中式密钥分配方案 集中式密钥分配方案 由密钥分配中心KDC，或者由一组节点组成层次结构负责密钥的产生并分配给通信双方。 用户不需要保存大量的会话密钥，只需要保存同KDC通信的加密密钥 通信量大，要求具有较好的鉴别功能以鉴别KDC和通信方 具有密钥分配中心的密钥分配方案 具有密钥分配中心的密钥分配方案 具有密钥分配中心的密钥分配方案 具有密钥分配中心的密钥分配方案 具有密钥分配中心的密钥分配方案 具有密钥分配中心的密钥分配方案 具有密钥分配中心的密钥分配方案 在网络中用户太多，且地域分布很广的情况下，一个KDC无法负担所有用户的密钥分配任务，解决方案： 采用分层KDC结构。根据用户数目及分布，建立两层或多层KDC。 分布式密钥分配方案 分布式密钥分配方案 网络通信中，各个通信方具有相同的地位，它们之间的密钥分配取决于它们之间的协商，不受任何其他方的限制。 n个通信方，需要保存n(n-1)/2个主密钥 不适合规模较大的网络应用 分布式密钥分配方案 分布式密钥分配方案 分布式密钥分配方案 分布式密钥分配方案 密钥分配方案 对称密钥分配 非对称密钥分配 公钥的分配 利用非对称密码技术进行对称密码技术密钥的分配 公钥的分配 公钥的获取途径 公开发布 公用目录 公钥机构 公钥证书 公钥的获取途径_公开发布 公开发布 用户将自己的公钥发送给另一个参与者，或者把公钥广播给相关人员。 存在的问题： 伪造公钥，冒充他人 公钥的获取途径_公用目录 公用目录 由一个可信任的系统或组织建立和管理维护公用目录，该目录维持一个公开动态目录。公用目录为每个参与者维护一个目录项{标识符，公钥}，每个目录项的信息必须进行安全认证。任何人都可以从这里获取需要必威体育官网网址通信的公钥。 较之“公开发布”，安全性有所提高 存在的问题： 公用目录管理机构自身的安全性（一旦得到其私钥，就可以伪造公钥进行欺骗） 公钥的获取途径_公钥机构 公钥机构 由公钥管理结构来为各个用户建立、维护和控制动态的公用目录 每个用户都能可靠的知道管理机构的公钥，且只有管理机构自己知道自己的私钥 任何通信双方都可以向该管理机构获得其他通信方的公钥可信度 安全性有所提高 存在的问题： 系统扩展性受管理机构处理能力的限制 公用目录成为攻击对象 公钥的获取途径_公钥证书 公钥证书 利用公钥证书，使得通信双方在不与管理机构通信的情况下，也能证明其他通信方公钥的可信度 解决了管理机构的瓶颈问题 解决了公开发布和公用目录的安全性问题 公钥证书 公钥证书 由授权中心CA(Certificate Authority)颁发的，其中的数据项包括与该用户的私钥相匹配的公钥及用户的身份和时间戳等，所有数据项经过CA用自己的私钥签