信息安全技术导论chap0440198.pptx

-1-第四章第四章 密钥管理密钥管理 -2-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 1 11.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-3-概述概述现代密码技术的一个特点是密码算法公开，所以在密码系统中密钥才是系统真正的秘密。在任何安全系统中，密钥的安全管理都是一个关键因素。因为如果密钥本身得不到安全保护，那么设计上再好的密码系统都是徒劳的。在现实世界里，密钥管理是密码应用领域中最困难的部分。-4-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 2 21.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-5-密钥分类密钥分类-6-密钥生命周期密钥生命周期-7-密钥的产生密钥的产生1.随机产生2.注意弱密钥问题-8-密钥建立技术需要满足的性质密钥建立技术需要满足的性质（1）数据保密（Data Confidentiality）。（2）篡改检测（Modification Detection）。（3）身份认证（Entity Authentication）。（4）密钥的新鲜度（Key Freshness）。（5）密钥控制（Key Control）。（6）密钥的隐式鉴别（Implicit Key Authentication）。（7）密钥的确信（Key Confirmation）。（8）向前的秘密（Perfect Forward Secrecy）。（9）效率（Efficiency）-9-密钥的层次结构密钥的层次结构（1）主密钥（Master Key）。主密钥处于密钥层次结构的最高层，没有其他的密钥来保护主密钥，所以主密钥只能用人工方式建立。（2）加密密钥的密钥（Key-encrypting Keys）。在密钥传输协议中加密其他密钥（如会话密钥）。这种密钥保护其下层的密钥能够安全地传输。（3）数据密钥（Data Keys）。处于密钥层次结构的底层，用于加密用户的数据，以使数据能够安全地传输。-10-密密钥钥的的生生命命周周期期模模型型-11-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 3 31.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-12-点对点密钥建立模型点对点密钥建立模型-13-在同一信任域中的密钥建立模型在同一信任域中的密钥建立模型-14-在多个信任域中的密钥建立模型在多个信任域中的密钥建立模型-15-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 4 41.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-16-鉴别树鉴别树-17-基于身份认证的系统基于身份认证的系统-18-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 5 51.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-19-使用对称密码技术的密钥传输机制使用对称密码技术的密钥传输机制-20-ShamirShamir设计的设计的3 3次传递协议次传递协议-21-使用对称密码技术和可信第三方的密钥传输机制使用对称密码技术和可信第三方的密钥传输机制-22-使用公钥密码技术的点到点的密钥传输机制使用公钥密码技术的点到点的密钥传输机制-23-同时使用公钥密码技术和对称密码技术的密钥传输机制同时使用公钥密码技术和对称密码技术的密钥传输机制 -24-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 6 61.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-25-基本密钥导出基本密钥导出-26-可鉴别的密钥导出可鉴别的密钥导出-27-树状的密钥导出树状的密钥导出-28-优化的树状的密钥导出优化的树状的密钥导出-29-第四章密钥管理与第四章密钥管理与PKIPKI技术技术 7 71.密钥管理概述 2.基本概念 3.密钥建立模型 4.公钥传输机制 5.密钥传输机制 6.密钥导出机制 7.PKI技术-30-PKIPKI的主要功能的主要功能l产生、验证和分发密钥。l签名和验证。l获取证书。l申请证书作废。l获取CRL。l密钥更新。l审计。-31-PKIPKI的结构的结构-32-CACA系统框架系统框架-33-PKIPKI系统标准系统标准lPKCS系列标准:PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书废除表发布、扩展证书内容、数字签名、数字信封格式等一系列相关协议。l数字证书与X.509标准：国际电信联盟ITU X.509协议，是PKI技术体系中应用最广泛、也是最基础的一个国际标准。它的主要目的在于定义一个规范的数字证书格式，以便为基于X.500协议的目录服务提供一种强认证手段。-34-PKIPKI系统的典型应用系统的典型应用l虚拟专用网络:虚拟专用网络（VPN）是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（如IPSec）和建立在PKI上的加密与签名技术来获得安全性保护。l安全电子邮件：安全电子邮件协议S/MIME（The Secure Multipurpose Internet Mail Extension）。lWeb安全：SSL（Secure Sockets Layer）协议是互联网中访问Web服务器最重要的安全协议。l电子交易：SET安全电子交易协议采用公钥密码体制和X.509数字证书标准，主要应用于B2C模式中，以保障支付信息的安全性。-35-PKIPKI接口接口