目录
-
产生
-
分配
-
维护
目的:一是保证密码系统对密钥的使用需要,及时维护和保障密钥;二是对密钥实施有效的管理,保证密钥的绝对安全。
10.1 密钥管理的内容
-
密钥是密码算法在对明文进行变换时所使用的秘密参数。
-
密钥的性质:随机性、难穷尽性、易更换性
10.2 密钥的分层和分散管理
10.2.1 密钥的分层管理
-
实现上层密钥对下层密钥的加密保护
10.2.2 密钥的分散管理
保护最高层密钥
1. 物理分散保护
2. (k, n)门陷方案
Lagrange插值法:
10.3 密钥分配技术
10.3.1 点对点方式
-
用户A和用户B的密码设备中都有一个相同的密码算法E和密钥加密密钥KE。
-
建立共同的会话密钥:
-
密传明用
-
明传密用
-
密钥合成
1. 密传明用
2. 明传密用
3. 密钥合成
10.3.2 密钥分配中心(KDC)方式
-
每个用户U与KDC共享密钥加密密钥KEU,这时有两种工作方式。
方式一:
方式二:
10.3.3 密钥分配协议
-
协议:就是指两个或两个以上的参与者为完成某项特定的任务而采取的一系列步骤。
1. NSSK协议
2. NSPK协议
3. Kerberos认证协议
-
一种实用的网络认证系统
本节中使用的符号意义:
-
C:客户机
-
AS:身份认证服务器
-
TGS:票据授予服务器
-
V:(应用)服务器
-
IDC:用户C的标识符
-
IDV:服务器V的标识符
-
PC:用户在C上的口令
-
ADC:C的网络地址
-
KV:AS与V共享的保密密钥
4. MTI密钥交换方案
用户U、V双方建立共享秘密,步骤如下:
10.4 公钥基础设施(PKI)
(1)PKI
-
PKI技术:采用证书管理公钥,通过第三方的可信任机构——认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。
-
目前,通用的办法是采用数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性、不可否认性和不可抵赖性,从而保证信息的安全传输。
(2)证书结构及实现原理
-
证书是实现用户公钥与其身份的一种绑定,目的是保证用户公钥的真实性和完整性,通过签名字段来实现。
版本 |
---|
证书序列号 |
签名算法标识符 |
颁发者名称 |
有效期 |
主体名称 |
主体公钥信息 |
颁发者唯一标识符 |
主体的唯一标识符 |
扩展项 |
签名 |