密码编码学与网络安全(第五版) 向金海 11-密钥管理和分发.ppt
《密码编码学与网络安全(第五版) 向金海 11-密钥管理和分发.ppt》由会员分享,可在线阅读,更多相关《密码编码学与网络安全(第五版) 向金海 11-密钥管理和分发.ppt(60页珍藏版)》请在三一文库上搜索。
1、Chapter 14 密钥管理和分发,计算机与网络安全,2019/7/1,华中农业大学信息学院,2,主要内容,对称加密的对称密钥分发 非对称加密的对称密钥分发 公钥分发 X.509认证服务 公钥基础设施,2019/7/1,华中农业大学信息学院,3,14.1 对称加密的密钥分发,任何密码系统的强度都与密钥分配方法有关。 密钥分配方法 指将密钥发放给希望交换数据的双方而不让别人知道的方法。,2019/7/1,华中农业大学信息学院,4,密钥分配,分配方法:A、B双方通信 密钥由A选择,亲自交与B; 第三方选择密钥后亲自交与A和B; 一方用双方已有的密钥加密一个新密钥后发给另一方; A和B与第三方C均
2、有秘密通道,则C可以将密钥分别发送给A和B。,2019/7/1,华中农业大学信息学院,5,密钥分配,对分配方法的分析 方法1和2需要人工传送密钥,对链路加密要求不过分,对端到端加密则有些笨拙。 方法3可用于链路加密和端到端加密。问题: 攻击者若已成功获取一个密钥; 初始密钥的分配。 对于端到端加密,方法4稍做变动即可应用。需要一个密钥分配中心(KDC)参与分配。,2019/7/1,华中农业大学信息学院,6,用于支持任意端点间通信所需的密钥数,2019/7/1,华中农业大学信息学院,7,7.3 密钥分配,密钥分类 会话密钥(ks) 末端通信时使用的临时加密密钥 主密钥(km) 加密ks的密钥,2
3、019/7/1,华中农业大学信息学院,8,层次式密钥,2019/7/1,华中农业大学信息学院,9,一种透明的密钥控制方案,密钥分发方案,2019/7/1,华中农业大学信息学院,10,密钥分配模式,2019/7/1,华中农业大学信息学院,11,层次式密钥控制,单个KDC在网络规模很大时不实际 层次式可提高效率并降低风险,2019/7/1,华中农业大学信息学院,12,会话密钥的生命期,在安全性与通信时间之间折衷考虑 对面向连接的协议,改变连接时,改用新的ks 对非面向连接的协议,定期更改。,2019/7/1,华中农业大学信息学院,13,面向连接的密钥自动分发协议,2019/7/1,华中农业大学信息
4、学院,14,分散式密钥控制,会话密钥生成步骤:,2019/7/1,华中农业大学信息学院,15,密钥的使用方法,会话密钥的类型 数据加密密钥,用于网络中的通用通信 PIN加密密钥,用于电子资金转账和销售点应用的个人识别码(PIN) 文件加密密钥,用于可公开访问的加密文件,2019/7/1,华中农业大学信息学院,16,7.3.6 密钥的使用方法,会话密钥的类型 密钥标志(以DES为例) 一位表示主密钥或会话密钥 一位表示密钥可否用于加密 一位表示密钥可否用于解密 其余位未用 特点 标志含在密钥中,密钥分配时就被加密 缺点: 位数少,限制了其灵活性和功能; 标志不能以明文传输,解密后才能使用,限制了
5、对密钥的管理 控制矢量方法,2019/7/1,华中农业大学信息学院,17,会话密钥的类型 密钥标志 控制矢量方法 思路 会话密钥的加密 加密:H=h(CV),Kc=EkmHKs 解密:H=h(CV), Ks=DkmHKc 优点 控制矢量长度不限 控制矢量以明文传输,可多次运用对密钥的控制要求,密钥的使用方法,2019/7/1,华中农业大学信息学院,18,控制矢量的加密和解密,2019/7/1,华中农业大学信息学院,19,14.2 非对称加密的对称密钥分发,公钥的分配 公钥密码用于传统密码体制的密钥分配,2019/7/1,华中农业大学信息学院,20,采用前面的方法获得公钥 可以提供保密和认证 但
6、公钥算法常常很慢 用私钥加密可以保护信息内容 因此,需要会话密钥 许多可选的方案用于协商合适的会话密钥,2019/7/1,华中农业大学信息学院,21,简单的秘密钥分配,1979由Merkle提出 A 产生一个新的临时用的公钥对 A 发送自己的标识和公钥给 B B 产生一个会话密钥,并用 A 的公钥加密后发送给 A A 解密会话密钥 问题是容易受到主动攻击,而通信双方却毫无察觉。,2019/7/1,华中农业大学信息学院,22,利用公钥加密建立会话密钥,2019/7/1,华中农业大学信息学院,23,具有保密性和真实性的密钥分配,假设双发已安全交换了各自的公钥:,公钥加密的密钥分发,2019/7/1
7、,华中农业大学信息学院,24,混合方式的密钥分配,保留私钥配发中心( KDC ) 每用户与KDC共享一个主密钥 用主密钥分配会话密钥 公钥用于分配主密钥 在大范围分散用户的情况下尤其有用 三层结构 基本依据 性能 向后兼容性,2019/7/1,华中农业大学信息学院,25,14.3 公钥分发,公钥的分配 公钥密码用于传统密码体制的密钥分配,2019/7/1,华中农业大学信息学院,26,公钥的分配,公钥分配方法 公开发布 公开可访问目录 公钥授权 公钥证书,2019/7/1,华中农业大学信息学院,27,公钥的公开发布,用户分发自己的公钥给接收者或广播给通信各方 例如:把PGP的公钥放到消息的最后,
8、发布到新闻组或邮件列表中 缺点:伪造 任何人都可以产生一个冒充真实发信者的公钥来进行欺骗 直到伪造被发现,欺骗已经形成,2019/7/1,华中农业大学信息学院,28,无控制的公钥分发,2019/7/1,华中农业大学信息学院,29,公开可访问的目录,通过使用一个公共的公钥目录可以获得更大程度的安全性 目录应该是可信的,特点如下: 包含 姓名,公钥 目录项 通信方只能安全的注册到目录中 通信方可在任何时刻进行密钥更替 目录定期发布或更新 目录可被电子化地访问 缺点:仍存在被篡改伪造的风险,2019/7/1,华中农业大学信息学院,30,公开的公钥发布,2019/7/1,华中农业大学信息学院,31,公
9、钥授权,通过更加严格地控制目录中的公钥分配,使公钥分配更加安全。 具有目录特性 每一通信方必须知道目录管理员的公钥 用户和目录管理员进行交互以安全地获得所希望的公钥 当需要密钥时,确实需要能够实时访问目录。公钥目录管理员成为系统的瓶颈。,2019/7/1,华中农业大学信息学院,32,公钥授权,公钥发布方案,2019/7/1,华中农业大学信息学院,33,公钥证书,用证书进行密钥交换,可以避免对公钥目录的实时授权访问 证书包含标识和公钥等信息 通常还包含有效期,使用权限等其它信息 含有可信公钥或证书授权方(CA)的签名 知道公钥或证书授权方的公钥的所有人员都可以进行验证 例如:X.509标准,20
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 密码编码学与网络安全第五版 向金海 11-密钥管理和分发 密码 编码 网络安全 第五 11 密钥 管理 分发
链接地址:https://www.31doc.com/p-3054740.html