数字证书与密钥管理

数字证书与密钥管理

回顾

• 加密（机密性）
  • 公钥
  • 对称加密
• hash（完整性）
• 安全签名

数字证书与PKI

• 用户或系统只有拥有自己的公钥和私钥后，才能实现数字签名和加密解密功能，由于公钥是随机产生的，因此从公钥无法直接判断属于那个用户

• 为解决公钥与用户映射关系问题，引入了数字证书

数字证书是公开的

• 所有与数字证书相关的各种概念和技术，统称PKI（公钥基础设施）

PKI体系框架

CA 证书颁发机构

• 为了解决数字证书的签发问题，PKI引入了CA，对数字证书进行集中签发
• CA是证书的签发机构，是PKI的核心。
  • 负责签发证书
  • 认证证书
  • 管理已颁发机构证书

KMC

key随机性要求高

• 为解决私钥的备份与恢复问题，PKI引入了KMC，密钥管理中心
• 用户公私钥对由KMC产生，KMC对私钥做备份；公私钥也可由用户自己产生，并将私钥安全提交给KMC做备份

例如:
签名证书的公私钥由用户自己产生，KMC不备份私钥
加密证书密钥对由KMC产生，且KMC对加密私钥进行备份

PKI信任模型

根CA信任模型

• 最上级CA中心只有一个，成为根CA，其他CA成为子CA
• 根CA的数字证书由自己签发，属于自签名证书，子CA的数字证书由上级CA签发。信任锚可以是根CA，也可以是子CA

数字证书

• 信息安全特性:
  • 身份认证
  • 保密性
  • 完整性
  • 抵抗赖性
• 证书实际是由CA签发的对用户的公钥

X.509证书

密钥管理

密钥分为

• 会话密钥

指两个通信终端用户一次通话或交换数据时使用的密钥。
位于密码系统中整个密钥层次的最底层，仅对临时的通话或交换数据使用。
会话密钥若用来对传输的数据进行保护，则成为数据加密密钥；
若用作保护文件，则成为文件密钥，若供通信双方专用，则称为专用密钥



会话密钥由密钥分配中心分配

• 密钥加密密钥

用于对会话密钥或下层密钥进行保护，也成为次主密钥或二级密钥

• 主密钥

位于密码系统中整个密钥层次的最高层，主要用于对密钥加密密钥，会话密钥或其他下层密钥的保护。

密钥分配

密钥分配方法:

• 网外分配方式:人工途径方式，不通过计算机网络，是一种人工分配密钥的方法

  • 在用户之间直接实现分配
  • 借助KDC进行分配

• 网内分配方式:通过计算机网络进行密钥的分配