密码编码学与网络安全(第五版)课件:11-密钥管理和分发.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《密码编码学与网络安全(第五版)课件:11-密钥管理和分发.ppt》由用户(罗嗣辉)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 密码 编码 网络安全 第五 课件 11 密钥 管理 分发
- 资源描述:
-
1、Chapter 14 密钥管理和分发密钥管理和分发 2022-1-20华中农业大学信息学院2主要内容主要内容n 对称加密的对称密钥分发对称加密的对称密钥分发n 非对称加密的对称密钥分发非对称加密的对称密钥分发n 公钥分发公钥分发n X.509认证服务认证服务n 公钥基础设施公钥基础设施2022-1-20华中农业大学信息学院3n任何密码系统的强度都与密钥分配任何密码系统的强度都与密钥分配方法有关。方法有关。n密钥分配方法密钥分配方法q指将密钥发放给希望交换数据的双方而指将密钥发放给希望交换数据的双方而不让别人知道的方法。不让别人知道的方法。2022-1-20华中农业大学信息学院4密钥分配密钥分配
2、n分配方法:分配方法:A、B双方通信双方通信1.密钥由密钥由A选择,亲自交与选择,亲自交与B;2.第三方选择密钥后亲自交与第三方选择密钥后亲自交与A和和B;3.一方用双方已有的密钥加密一个新密钥后发给一方用双方已有的密钥加密一个新密钥后发给另一方;另一方;4.A和和B与第三方与第三方C均有秘密通道,则均有秘密通道,则C可以将密可以将密钥分别发送给钥分别发送给A和和B。2022-1-20华中农业大学信息学院5密钥分配密钥分配n对分配方法的分析对分配方法的分析q方法方法1和和2需要人工传送密钥,对链路加密要求需要人工传送密钥,对链路加密要求不过分,对端到端加密则有些笨拙。不过分,对端到端加密则有些
3、笨拙。q方法方法3可用于链路加密和端到端加密。问题:可用于链路加密和端到端加密。问题:n攻击者若已成功获取一个密钥;攻击者若已成功获取一个密钥;n初始密钥的分配。初始密钥的分配。q对于端到端加密,方法对于端到端加密,方法4稍做变动即可应用。需稍做变动即可应用。需要一个密钥分配中心(要一个密钥分配中心(KDC)参与分配。)参与分配。2022-1-20华中农业大学信息学院6用于支持任意端点间通信所需的密钥数2022-1-20华中农业大学信息学院77.3 密钥分配密钥分配n密钥分类密钥分类q会话密钥(会话密钥(ks) 末端通信时使用的临时加密密钥末端通信时使用的临时加密密钥q主密钥(主密钥(km)
4、加密加密ks的密钥的密钥2022-1-20华中农业大学信息学院8层次式密钥2022-1-20华中农业大学信息学院9一种透明的密钥控制方案一种透明的密钥控制方案密钥分发方案密钥分发方案2022-1-20华中农业大学信息学院10密钥分配模式密钥分配模式2022-1-20华中农业大学信息学院11层次式密钥控制层次式密钥控制n 单个单个KDC在网络规模很大时不实际在网络规模很大时不实际n 层次式可提高效率并降低风险层次式可提高效率并降低风险2022-1-20华中农业大学信息学院12会话密钥的生命期会话密钥的生命期n在安全性与通信时间之间折衷考虑在安全性与通信时间之间折衷考虑n对面向连接的协议,改变连接
5、时,改用新的对面向连接的协议,改变连接时,改用新的ksn对非面向连接的协议,定期更改。对非面向连接的协议,定期更改。2022-1-20华中农业大学信息学院13面向连接的密钥自动分发协议面向连接的密钥自动分发协议2022-1-20华中农业大学信息学院14分散式分散式密钥控制密钥控制n会话密钥生成步骤:会话密钥生成步骤:2022-1-20华中农业大学信息学院15密钥的使用方法密钥的使用方法n会话密钥的类型会话密钥的类型q数据加密密钥,用于网络中的通用通信数据加密密钥,用于网络中的通用通信qPIN加密密钥,用于电子资金转账和销售点加密密钥,用于电子资金转账和销售点应用的个人识别码(应用的个人识别码(
6、PIN)q文件加密密钥,用于可公开访问的加密文件文件加密密钥,用于可公开访问的加密文件2022-1-20华中农业大学信息学院167.3.6 密钥的使用方法密钥的使用方法n会话密钥的类型会话密钥的类型n密钥标志密钥标志(以以DES为例为例)q一位表示主密钥或会话密钥一位表示主密钥或会话密钥q一位表示密钥可否用于加密一位表示密钥可否用于加密q一位表示密钥可否用于解密一位表示密钥可否用于解密q其余位未用其余位未用q特点特点标志含在密钥中,密钥分配时就被加密标志含在密钥中,密钥分配时就被加密q缺点:缺点:n位数少,限制了其灵活性和功能;位数少,限制了其灵活性和功能;n标志不能以明文传输,解密后才能使用
7、,限制了对密钥标志不能以明文传输,解密后才能使用,限制了对密钥的管理的管理n控制矢量方法控制矢量方法2022-1-20华中农业大学信息学院17n会话密钥的类型会话密钥的类型n密钥标志密钥标志n控制矢量方法控制矢量方法q思路思路会话密钥的加密会话密钥的加密加密:加密:H=h(CV),Kc=Ekm HKs解密:解密:H=h(CV), Ks=Dkm HKcq优点优点n控制矢量长度不限控制矢量长度不限n控制矢量以明文传输,可多次运用对密钥的控制要求控制矢量以明文传输,可多次运用对密钥的控制要求密钥的使用方法密钥的使用方法2022-1-20华中农业大学信息学院18控制矢量的加密和解密2022-1-20华
8、中农业大学信息学院19n公钥的分配公钥的分配n公钥密码用于传统密码体制的密钥分配公钥密码用于传统密码体制的密钥分配2022-1-20华中农业大学信息学院20n采用前面的方法获得公钥采用前面的方法获得公钥n可以提供保密和认证可以提供保密和认证n但公钥算法常常很慢但公钥算法常常很慢n用私钥加密可以保护信息内容用私钥加密可以保护信息内容n因此,需要会话密钥因此,需要会话密钥n许多可选的方案用于协商合适的会话密钥许多可选的方案用于协商合适的会话密钥2022-1-20华中农业大学信息学院21简单的秘密钥分配简单的秘密钥分配n1979由由Merkle提出提出q A 产生一个新的临时用的公钥对产生一个新的临
9、时用的公钥对q A 发送自己的标识和公钥给发送自己的标识和公钥给 Bq B 产生一个会话密钥,并用产生一个会话密钥,并用 A 的公钥加密后发的公钥加密后发送给送给 Aq A 解密会话密钥解密会话密钥n问题是容易受到主动攻击,而通信双方却问题是容易受到主动攻击,而通信双方却毫无察觉。毫无察觉。2022-1-20华中农业大学信息学院22利用公钥加密建立会话密钥利用公钥加密建立会话密钥2022-1-20华中农业大学信息学院23具有保密性和真实性的密钥分配具有保密性和真实性的密钥分配n假设双发已安全交换了各自的公钥假设双发已安全交换了各自的公钥:公钥加密的密钥分发公钥加密的密钥分发2022-1-20华
10、中农业大学信息学院24混合方式的密钥分配混合方式的密钥分配n保留私钥配发中心保留私钥配发中心( KDC )n每用户与每用户与KDC共享一个主密钥共享一个主密钥n用主密钥分配会话密钥用主密钥分配会话密钥n公钥用于分配主密钥公钥用于分配主密钥q在大范围分散用户的情况下尤其有用在大范围分散用户的情况下尤其有用n三层结构三层结构n基本依据基本依据q性能性能q向后兼容性向后兼容性2022-1-20华中农业大学信息学院25n公钥的分配公钥的分配n公钥密码用于传统密码体制的密钥分配公钥密码用于传统密码体制的密钥分配2022-1-20华中农业大学信息学院26公钥的分配公钥的分配n公钥分配方法公钥分配方法q公开
11、发布公开发布q公开可访问目录公开可访问目录q公钥授权公钥授权q公钥证书公钥证书2022-1-20华中农业大学信息学院27公钥的公开发布公钥的公开发布n用户分发自己的公钥给接收者或广播给通用户分发自己的公钥给接收者或广播给通信各方信各方q例如:把例如:把PGP的公钥放到消息的最后,发布的公钥放到消息的最后,发布到新闻组或邮件列表中到新闻组或邮件列表中n缺点:伪造缺点:伪造q任何人都可以产生一个冒充真实发信者的公任何人都可以产生一个冒充真实发信者的公钥来进行欺骗钥来进行欺骗q直到伪造被发现,欺骗已经形成直到伪造被发现,欺骗已经形成2022-1-20华中农业大学信息学院28无控制的公钥分发无控制的公
12、钥分发2022-1-20华中农业大学信息学院29公开可访问的目录公开可访问的目录n通过使用一个公共的公钥目录可以获得更通过使用一个公共的公钥目录可以获得更大程度的安全性大程度的安全性n目录应该是可信的,特点如下:目录应该是可信的,特点如下:q 包含包含 姓名,公钥姓名,公钥 目录项目录项q 通信方只能安全的注册到目录中通信方只能安全的注册到目录中q 通信方可在任何时刻进行密钥更替通信方可在任何时刻进行密钥更替q 目录定期发布或更新目录定期发布或更新q 目录可被电子化地访问目录可被电子化地访问n缺点:仍存在被篡改伪造的风险缺点:仍存在被篡改伪造的风险2022-1-20华中农业大学信息学院30公开
13、的公钥发布公开的公钥发布2022-1-20华中农业大学信息学院31公钥授权公钥授权n通过更加严格地控制目录中的公钥分配,使公通过更加严格地控制目录中的公钥分配,使公钥分配更加安全。钥分配更加安全。n具有目录特性具有目录特性n每一通信方必须知道目录管理员的公钥每一通信方必须知道目录管理员的公钥n用户和目录管理员进行交互以安全地获得所希用户和目录管理员进行交互以安全地获得所希望的公钥望的公钥q当需要密钥时,确实需要能够实时访问目录。当需要密钥时,确实需要能够实时访问目录。公钥目录管理员成为系统的瓶颈。公钥目录管理员成为系统的瓶颈。2022-1-20华中农业大学信息学院32公钥授权公钥授权公钥发布方
展开阅读全文