《密钥管理技术》PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(3) A计算求得BEK,那么此时这个数值就是产生得密钥K。然后 进行鉴别和验证。
(4) A选取随机数字符串RA,使用K加密后,发送Ek(RA)给B。 (5) B计算求得RA后,选取随机数字符串RB,使用K加密后,发送
Ek(RA,RB)给A。 (6) A计算求得数字串(RA, RB)后,判断此时得字符串是否还有先
密钥管理系统
非对称密钥的管理
保存私钥,公开密钥。
非对称密钥的管理相对于对称密钥就要简单的多,因 为对于用户Alice而言,只需要记住通信的他方—Bob 的公钥,即可以进行正常的加密通信和对Bob发送信息 的签名验证。非对称密钥的管理主要在于密钥的集中 式管理。如何安全地将密钥传送给需要接收消息的人 是对称密码系统的一个难点,却是公开密钥密码系统 的一个优势。公开密钥密码系统的一个基本特征就是 采用不同的密钥进行加密和解密。公开密钥可以自由 分发而无须威胁私有密钥的安全,但是私有密钥一定 要保管好。
Bob。Bob首先选取一个大的随机整数y,并且发送Y= gy mod n给 Coral。Coral首先选取一个大的随机整数z,并且发送Z=gz mod n 给Alice。 (2) Alice计算X1 = Zx mod n给Bob。Bob计算Y1 = Xy mod n给Coral。Coral计算Z1 = Yz mod n给Alice。 (3) Alice计算k = Z1x mod n 作为秘密密钥。Bob 计算k = X1y mod n作为秘密密钥。Coral计算机 k= Y1z mod n作为秘密 密钥。
Kerberos系统中为了避免攻击者通过穷举攻击等方式获 得密钥,必须经常更新或是改变密钥,对于更新的密钥也 要试图找到合适的传输途径。
Baidu Nhomakorabea
密钥管理技术
人为的情况往往比加密系统的设计者所能够想象 的还要复杂的多,所以需要有一个专门的机构和 系统防止上述情形的发生。
技术因素
用户产生的密钥是脆弱的。 密钥是安全的,但是密钥保护可那失败。
加密密钥交换协议
加密密钥交换(Encryption Key Exchange,EKE)协议假设A和B 共享一个密钥或者口令P,那么产生密钥K的过程为:
(1) A选取随机的公(私)密钥AEK,使用P作为加密密钥,并且发 送Ep(AEK)给B。
(2) B计算求得AEK,然后选取随机得对称密钥BEK,使用AEK和P 加密,发送Ep(EAEK(BEK))给A。
前发送得字符串RA,如果是则取出字符串RB,使用K加密后,发送 Ek(RB)给B;否则取消发送。 (7) B计算求得字符串RB后,判断此时的字符串是否等于先前发送 得数字串RB,如果是则选用密钥K作为通信密钥,否则取消通信。 此外还有因特网密钥交换(Internet Key Exchange,IKE)协议。
对称密钥的管理
对称加密是基于共同保守秘密来实现的。采用对称加密技 术的双方必须要保证采用的是相同的密钥,要保证彼此密 钥的交换安全可靠,同时还要设定防止密钥泄密和更改密 钥的程序。
通过公开密钥加密技术实现对称密钥的管理使相应的管理 变得简单、安全,解决了对称密钥体制模式中存在的管理、 传输的可靠性问题和鉴别问题。对称密钥交换协议如图33所示。
Diffie-Hellma如n果密p是一钥个素交数,且换g小机于p,制对于从0到p-1的
每一个b,都存在某个a,使得ga≡b(mod p),
D方 中i首gff是i先e-n要H的e协本llm商原a确元n定协。一议由个是此大三产那的的方生么本素秘g原密是数元密钥模n(传过pp和r的输程im整生,为i数t成i首:vg元e先()(。g,这eAn两eli个rcaet数、or可B)。o以b也公和称开C为o)gr是a,lp三其 (1) Alice首先选取一个大的随机整数x,并且发送X=gx mod n给
5. 双方通过这个会话密钥会话。会话结束,会话密钥也就废弃。
公开密钥管理利用数字证书等方式实现通信双方间的公钥 交换。数字证书通常包含有证书所有者(即贸易方)的唯 一标识、证书发布者的唯一标识、证书所有者的公开密钥、 证书发布者的数字签名、证书的有效期及证书的序列号等。 证书发布者一般称为证书管理机构(CA),它是贸易各 方都信赖的机构。数字证书能够起到标识贸易双方的作用, 目前网络上的浏览器,都提供了数字证书的识别功能来作 为身份鉴别的手段。
信息安全概论
第四章 密钥管理
密钥管理技术
什么样的密钥是安全的? 密钥应该发给谁? 密钥怎样安全地发给需要的用户? 怎样保存密钥才算安全?
密钥管理技术
假设Alice和Bob在使用对称密钥进行保密通信时,必然拥 有相同的密钥。
假设Alice在向Bob发送信息时,始终不更新密钥,那么在 攻击者Mallory对信息M的收集量满足一定要求时,其成 功破译系统的可能性会增大。两个通信用户Alice和Bob在 进行通信时,必须要解决两个问题:必须经常更新或改变 密钥和如何能安全地更新或是改变密钥。
证和签名,并且无法伪造或篡改)。这个证书中包括了Bob的身份信 息和Bob的公开密钥。 3. Alice验证CA证书,使用一个高质量、快速的常用对称密钥加密法 来加密一个普通文本信息和产生一个临时的通话密钥;然后使用Bob 的公钥去加密该临时会话密钥。然后把此会话密钥和该已加密文本发 送给Bob。 4. Bob接收到信息,并使用私有密钥恢复出会话密钥。Bob使用临时 会话密钥对加密文本解密。
混合密钥
由于公钥加密计算复杂,耗用时间长, 比常规的对称密钥加密慢很多。所以 通常使用公开密钥密码系统来传送密 码,使用对称密钥密码系统来实现对 话。
例如:假设Alice和Bob相互要进行通 话,他们按照如下步骤进行:
1. Alice想和Bob通话,并向Bob提出对话请求。 2. Bob响应请求,并给Alice发送CA证书(CA证书是经过第三方认
(4) A选取随机数字符串RA,使用K加密后,发送Ek(RA)给B。 (5) B计算求得RA后,选取随机数字符串RB,使用K加密后,发送
Ek(RA,RB)给A。 (6) A计算求得数字串(RA, RB)后,判断此时得字符串是否还有先
密钥管理系统
非对称密钥的管理
保存私钥,公开密钥。
非对称密钥的管理相对于对称密钥就要简单的多,因 为对于用户Alice而言,只需要记住通信的他方—Bob 的公钥,即可以进行正常的加密通信和对Bob发送信息 的签名验证。非对称密钥的管理主要在于密钥的集中 式管理。如何安全地将密钥传送给需要接收消息的人 是对称密码系统的一个难点,却是公开密钥密码系统 的一个优势。公开密钥密码系统的一个基本特征就是 采用不同的密钥进行加密和解密。公开密钥可以自由 分发而无须威胁私有密钥的安全,但是私有密钥一定 要保管好。
Bob。Bob首先选取一个大的随机整数y,并且发送Y= gy mod n给 Coral。Coral首先选取一个大的随机整数z,并且发送Z=gz mod n 给Alice。 (2) Alice计算X1 = Zx mod n给Bob。Bob计算Y1 = Xy mod n给Coral。Coral计算Z1 = Yz mod n给Alice。 (3) Alice计算k = Z1x mod n 作为秘密密钥。Bob 计算k = X1y mod n作为秘密密钥。Coral计算机 k= Y1z mod n作为秘密 密钥。
Kerberos系统中为了避免攻击者通过穷举攻击等方式获 得密钥,必须经常更新或是改变密钥,对于更新的密钥也 要试图找到合适的传输途径。
Baidu Nhomakorabea
密钥管理技术
人为的情况往往比加密系统的设计者所能够想象 的还要复杂的多,所以需要有一个专门的机构和 系统防止上述情形的发生。
技术因素
用户产生的密钥是脆弱的。 密钥是安全的,但是密钥保护可那失败。
加密密钥交换协议
加密密钥交换(Encryption Key Exchange,EKE)协议假设A和B 共享一个密钥或者口令P,那么产生密钥K的过程为:
(1) A选取随机的公(私)密钥AEK,使用P作为加密密钥,并且发 送Ep(AEK)给B。
(2) B计算求得AEK,然后选取随机得对称密钥BEK,使用AEK和P 加密,发送Ep(EAEK(BEK))给A。
前发送得字符串RA,如果是则取出字符串RB,使用K加密后,发送 Ek(RB)给B;否则取消发送。 (7) B计算求得字符串RB后,判断此时的字符串是否等于先前发送 得数字串RB,如果是则选用密钥K作为通信密钥,否则取消通信。 此外还有因特网密钥交换(Internet Key Exchange,IKE)协议。
对称密钥的管理
对称加密是基于共同保守秘密来实现的。采用对称加密技 术的双方必须要保证采用的是相同的密钥,要保证彼此密 钥的交换安全可靠,同时还要设定防止密钥泄密和更改密 钥的程序。
通过公开密钥加密技术实现对称密钥的管理使相应的管理 变得简单、安全,解决了对称密钥体制模式中存在的管理、 传输的可靠性问题和鉴别问题。对称密钥交换协议如图33所示。
Diffie-Hellma如n果密p是一钥个素交数,且换g小机于p,制对于从0到p-1的
每一个b,都存在某个a,使得ga≡b(mod p),
D方 中i首gff是i先e-n要H的e协本llm商原a确元n定协。一议由个是此大三产那的的方生么本素秘g原密是数元密钥模n(传过pp和r的输程im整生,为i数t成i首:vg元e先()(。g,这eAn两eli个rcaet数、or可B)。o以b也公和称开C为o)gr是a,lp三其 (1) Alice首先选取一个大的随机整数x,并且发送X=gx mod n给
5. 双方通过这个会话密钥会话。会话结束,会话密钥也就废弃。
公开密钥管理利用数字证书等方式实现通信双方间的公钥 交换。数字证书通常包含有证书所有者(即贸易方)的唯 一标识、证书发布者的唯一标识、证书所有者的公开密钥、 证书发布者的数字签名、证书的有效期及证书的序列号等。 证书发布者一般称为证书管理机构(CA),它是贸易各 方都信赖的机构。数字证书能够起到标识贸易双方的作用, 目前网络上的浏览器,都提供了数字证书的识别功能来作 为身份鉴别的手段。
信息安全概论
第四章 密钥管理
密钥管理技术
什么样的密钥是安全的? 密钥应该发给谁? 密钥怎样安全地发给需要的用户? 怎样保存密钥才算安全?
密钥管理技术
假设Alice和Bob在使用对称密钥进行保密通信时,必然拥 有相同的密钥。
假设Alice在向Bob发送信息时,始终不更新密钥,那么在 攻击者Mallory对信息M的收集量满足一定要求时,其成 功破译系统的可能性会增大。两个通信用户Alice和Bob在 进行通信时,必须要解决两个问题:必须经常更新或改变 密钥和如何能安全地更新或是改变密钥。
证和签名,并且无法伪造或篡改)。这个证书中包括了Bob的身份信 息和Bob的公开密钥。 3. Alice验证CA证书,使用一个高质量、快速的常用对称密钥加密法 来加密一个普通文本信息和产生一个临时的通话密钥;然后使用Bob 的公钥去加密该临时会话密钥。然后把此会话密钥和该已加密文本发 送给Bob。 4. Bob接收到信息,并使用私有密钥恢复出会话密钥。Bob使用临时 会话密钥对加密文本解密。
混合密钥
由于公钥加密计算复杂,耗用时间长, 比常规的对称密钥加密慢很多。所以 通常使用公开密钥密码系统来传送密 码,使用对称密钥密码系统来实现对 话。
例如:假设Alice和Bob相互要进行通 话,他们按照如下步骤进行:
1. Alice想和Bob通话,并向Bob提出对话请求。 2. Bob响应请求,并给Alice发送CA证书(CA证书是经过第三方认