信息安全技术基础第6章ppt课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6
6.1 密钥安全概述
• 密钥产生算法及实现是保证密钥质量的根本,密钥产生应 具有较好的随机性。
• 密钥长度决定了密钥空间大小,也决定了密码强度。
• 密钥的存储,口令加密文件;智能卡、USB Key等存储设
备。
密钥管理是贯穿密钥生命周期的
• 密钥应有一有个效过期程,,密钥需更要新机。制、人、技术、 法律等各方面的保障。
3. A B : {Kab,A}Kbt
4. B A : {Nb}Kab
5. A B : {dec(Nb)}Kab
① ②
③ ④
⑤ 10
几Байду номын сангаас思考问题
• (1)请分析这个协议的正确性,即正确并完整地执行该 协议后,A和B能够共享一个会话密钥。
• (2)为什么T不分别使用与A和B共享的密钥加密Kab直接 传递给A和B?
3
如何保证密钥安全 ?
4
6.1 密钥安全概述
需要回答的问题:
• 对称密码要求密钥被共享双方(或多方)持有,密钥在持 有者间高度的保密。考虑密钥在哪里产生?如何分发?如 何定期更新?若处理密钥泄露?
• 公钥密码中:密钥对如何产生?谁来产生?私钥要求绝对 地保密,如何存储?你所使用的公钥是有效并正确的吗? 私钥泄露或丢失如何更新密钥对?
信息安全技术基础 张浩军
5
6.1 密钥安全概述
• 解决途径:
–引入可信第三方TTP(Trusted Third Party), –密钥分发中心KDC(Key Distribution Centre),作
为密钥管理的中心, –公钥基础设施管理体系中被称为授权中心CA(
Certification Authority)
15
6.3.1 公钥基础设施PKI概述
• PKI是指使用公钥密码技术实施和提供安全服务的具有普 适性的安全基础设施。
• PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书形式发布有效实体的公钥。
• 数字证书(Certificate,简称证书)是一种特殊的电子 文档(也称电子凭证),包括公钥持有者(称为主题)的 信息(名称、地址)及其公钥,有效期、使用方法等信息 。数字证书将证书持有者的身份及其公钥绑定在一起。
16
6.3.1 公钥基础设施PKI概述
• 有了PKI,安全应用程序的开发者不必关心那些复杂的数 学运算和模型,而直接按照标准使用一种插座(接口)。
• PKI是电子商务、电子政务的关键和基础技术。
• 标准,包括:ITU-T X.509 ( CCITT X.509 )、ISO/IEC ITU 9594-8 [X.509]、RSA PKCS (Public Key Cryptography Standards) 系列文档、IETF PKIX rfc系 列参考文档(如3280、4210、4211等)。
• (3)协议消息⑤的有何作用? • (4)协议消息①没有任何保护,是否对协议自身的安全
性造成影响? • (5)协议执行完成,A和B都能够确认对方已经拥有正确
的Kab了吗?
11
6.2.2 密钥层次化使用
• 主密钥MK(Master Key)。一般用人工方式建立,或借助密钥协商机 制(如DH密钥协商协议)或公钥密码体制完成主密钥协商或传递。
• 密钥确认密钥KCK(Key Confirmation Key):用于在通信会话中产 生消息认证码。
• 密钥加密密钥KEK(Key-encrypting Keys)。在密钥传输协议中加密 其他密钥。
• 临时密钥TK(Temporal Key),也称会话密钥(Session Key)。用 于加密用户的通信数据。 MK
• 在亚洲,韩国是最早开发PKI体系的国家。日本的PKI应用 体系按公众和私人两大类领域来划分,日本的PKI支撑电 子商务应用取得非常大成功。
18
6.3.1 公钥基础设施PKI概述
• 大行业或政府部门建立的CA,如1998年中国电信成立了第 一家CA认证中心CTCA,又如中国金融认证中心( China Finance Certification Authority,CFCA ),是由中国 人民银行牵头,联合中国工商银行、中国银行、中国农业 银行等十二家商业银行参加建设,由银行卡信息交换总中 心承建的金融CA中心。
17
6.3.1 公钥基础设施PKI概述
• 美国在1996年就成立了联邦PKI指导委员会,1999年又成 立了PKI论坛。
• 加拿大在1993就开始政府PKI体系研究工作,到2000年建 成的政府PKI体系,为联邦政府与公众机构、商业机构等 进行电子数据交换时提供信息安全的保障。
• 欧洲颁布了93/1999EC规它,并建立CA网络及其顶级CA, 并于2000年10月成立了欧洲桥CA指导委员会,2001年3月 成立了欧洲桥CA。
第6章 密钥管理
学习目标
密钥管理是密码技术应用的核心,本章 讲解对称密钥和公钥密码应用中的密钥管理 和应用技术。
对称密码中密钥的管理与分发 公钥密码中密钥管理与应用——公钥基础设施PKI 公钥基础设施中公钥载体——数字证书
2
目录
6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用
基于公钥密码交换共享密钥
B_pubk:B的公钥 IDA:A标识 T:时间戳 key:交换的临时会话密钥 SigA:A对消息的签名
9
6.2.1 对称密钥管理与分发
NS密钥分发协议
协议消息
1. A S : A, B, Na
2. S A : {Na, B, Kab, {Kab, A}Kbt}Kat
7
目录
6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用
8
6.2.1 对称密钥管理与分发
• 简单例子:一个共享密钥密码系统中,由一个参与主体产 生密钥,并通过安全方式分发给其他参与实体。
EB _ pubk (IDA ,T , key) || Sig A
KCK
KEK
TK
12
如何构建方便易用、安全 可靠的公钥密码应用体系
?
13
目录
6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用
14
6.3.1 公钥基础设施PKI概述
如何能够方便地获得所需的有效的、正确的公钥? • 公钥基础设施PKI(Public Key Infrastructure) • 理解Infrastructure
6.1 密钥安全概述
• 密钥产生算法及实现是保证密钥质量的根本,密钥产生应 具有较好的随机性。
• 密钥长度决定了密钥空间大小,也决定了密码强度。
• 密钥的存储,口令加密文件;智能卡、USB Key等存储设
备。
密钥管理是贯穿密钥生命周期的
• 密钥应有一有个效过期程,,密钥需更要新机。制、人、技术、 法律等各方面的保障。
3. A B : {Kab,A}Kbt
4. B A : {Nb}Kab
5. A B : {dec(Nb)}Kab
① ②
③ ④
⑤ 10
几Байду номын сангаас思考问题
• (1)请分析这个协议的正确性,即正确并完整地执行该 协议后,A和B能够共享一个会话密钥。
• (2)为什么T不分别使用与A和B共享的密钥加密Kab直接 传递给A和B?
3
如何保证密钥安全 ?
4
6.1 密钥安全概述
需要回答的问题:
• 对称密码要求密钥被共享双方(或多方)持有,密钥在持 有者间高度的保密。考虑密钥在哪里产生?如何分发?如 何定期更新?若处理密钥泄露?
• 公钥密码中:密钥对如何产生?谁来产生?私钥要求绝对 地保密,如何存储?你所使用的公钥是有效并正确的吗? 私钥泄露或丢失如何更新密钥对?
信息安全技术基础 张浩军
5
6.1 密钥安全概述
• 解决途径:
–引入可信第三方TTP(Trusted Third Party), –密钥分发中心KDC(Key Distribution Centre),作
为密钥管理的中心, –公钥基础设施管理体系中被称为授权中心CA(
Certification Authority)
15
6.3.1 公钥基础设施PKI概述
• PKI是指使用公钥密码技术实施和提供安全服务的具有普 适性的安全基础设施。
• PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书形式发布有效实体的公钥。
• 数字证书(Certificate,简称证书)是一种特殊的电子 文档(也称电子凭证),包括公钥持有者(称为主题)的 信息(名称、地址)及其公钥,有效期、使用方法等信息 。数字证书将证书持有者的身份及其公钥绑定在一起。
16
6.3.1 公钥基础设施PKI概述
• 有了PKI,安全应用程序的开发者不必关心那些复杂的数 学运算和模型,而直接按照标准使用一种插座(接口)。
• PKI是电子商务、电子政务的关键和基础技术。
• 标准,包括:ITU-T X.509 ( CCITT X.509 )、ISO/IEC ITU 9594-8 [X.509]、RSA PKCS (Public Key Cryptography Standards) 系列文档、IETF PKIX rfc系 列参考文档(如3280、4210、4211等)。
• (3)协议消息⑤的有何作用? • (4)协议消息①没有任何保护,是否对协议自身的安全
性造成影响? • (5)协议执行完成,A和B都能够确认对方已经拥有正确
的Kab了吗?
11
6.2.2 密钥层次化使用
• 主密钥MK(Master Key)。一般用人工方式建立,或借助密钥协商机 制(如DH密钥协商协议)或公钥密码体制完成主密钥协商或传递。
• 密钥确认密钥KCK(Key Confirmation Key):用于在通信会话中产 生消息认证码。
• 密钥加密密钥KEK(Key-encrypting Keys)。在密钥传输协议中加密 其他密钥。
• 临时密钥TK(Temporal Key),也称会话密钥(Session Key)。用 于加密用户的通信数据。 MK
• 在亚洲,韩国是最早开发PKI体系的国家。日本的PKI应用 体系按公众和私人两大类领域来划分,日本的PKI支撑电 子商务应用取得非常大成功。
18
6.3.1 公钥基础设施PKI概述
• 大行业或政府部门建立的CA,如1998年中国电信成立了第 一家CA认证中心CTCA,又如中国金融认证中心( China Finance Certification Authority,CFCA ),是由中国 人民银行牵头,联合中国工商银行、中国银行、中国农业 银行等十二家商业银行参加建设,由银行卡信息交换总中 心承建的金融CA中心。
17
6.3.1 公钥基础设施PKI概述
• 美国在1996年就成立了联邦PKI指导委员会,1999年又成 立了PKI论坛。
• 加拿大在1993就开始政府PKI体系研究工作,到2000年建 成的政府PKI体系,为联邦政府与公众机构、商业机构等 进行电子数据交换时提供信息安全的保障。
• 欧洲颁布了93/1999EC规它,并建立CA网络及其顶级CA, 并于2000年10月成立了欧洲桥CA指导委员会,2001年3月 成立了欧洲桥CA。
第6章 密钥管理
学习目标
密钥管理是密码技术应用的核心,本章 讲解对称密钥和公钥密码应用中的密钥管理 和应用技术。
对称密码中密钥的管理与分发 公钥密码中密钥管理与应用——公钥基础设施PKI 公钥基础设施中公钥载体——数字证书
2
目录
6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用
基于公钥密码交换共享密钥
B_pubk:B的公钥 IDA:A标识 T:时间戳 key:交换的临时会话密钥 SigA:A对消息的签名
9
6.2.1 对称密钥管理与分发
NS密钥分发协议
协议消息
1. A S : A, B, Na
2. S A : {Na, B, Kab, {Kab, A}Kbt}Kat
7
目录
6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用
8
6.2.1 对称密钥管理与分发
• 简单例子:一个共享密钥密码系统中,由一个参与主体产 生密钥,并通过安全方式分发给其他参与实体。
EB _ pubk (IDA ,T , key) || Sig A
KCK
KEK
TK
12
如何构建方便易用、安全 可靠的公钥密码应用体系
?
13
目录
6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用
14
6.3.1 公钥基础设施PKI概述
如何能够方便地获得所需的有效的、正确的公钥? • 公钥基础设施PKI(Public Key Infrastructure) • 理解Infrastructure