密钥的管理和分配
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(1)A向KDC发出会话密钥请求。该请求由两个数据项组成,一 个是A与B的身份,另一个是一次性随机数N1。
(2)KDC为A的请求发出应答。应答是用A与KDc的共享主密钥加 密的,因而只有A能解密这一消息,并确信消息来自KDC。消息中包 含A希望得到的一次性会话密钥K以及A的请求,还包括一次性随机数 N1。因此A能验证自己的请求有没有被篡改,并能通过一次性随机 数N1得知收到的应答是不是过去应答的重放。消息中还包含A要转 发给B的部分,这部分包括一次性会话密钥Ks和A的身份,它们是用 B与KDC的共享主密钥加密的。
5.3.3 公钥密码体制的密钥分配
(2)公钥动态目录表 建立一个公用的公钥动态日录表,表的建立和维护以及公钥的
分布由某个公钥管理机构承担,每个用户都知道管理机构的公钥。
5-8
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
(2)公钥动态目录表
公钥的分配步骤如下: (1)用户A向公钥管理机构发送一带时戳的请求,请求得到用户B 当前的公钥。 (2)管理机构为A的请求发出应答,应答中包含B的公钥以及A向 公钥管理机构发送的带时戳的请求。 (3)A用B的公钥加密一个消息并发送给B,这个消息由A的身份和 一个一次性随机数N1组成。 (4)B用与A同样的方法从公钥管理机构得到A的公钥。 (5)B用A的公钥加密一个消息并发送给A,这个消息由N1和N2 组成。这里的N2是B产生的一个一次性随机数。 (6)A用B的公钥加密N2,并将加密结果发送给B。
常用的公钥分配方法: (1)公开发布 (2)公钥动态目录表 (3)公钥证书。
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
(1)公开发布
用户将自己的公钥发给所有其他用户或向某一团体广播。这种 方法简单,但有一个非常大的缺陷,就是别人能容易地伪造这种公开 的发布。
5.3 密钥的管理和分配
密钥的产生必须考虑具体密码体制的公认的限制。在网络系统 中加密需要大量的密钥,以分配给各主机、节点和用户。可以用手工 的方法,也可以用密钥产生器产生密钥。
基本密钥是控制和产生其他加密密钥的密钥,而且长度使用, 其安全性非常关键,须要保证其完全随机性、不可重复性和不可预测 性。
基本密钥量小,可以用掷硬币等方法产生。密钥加密密钥可以 用伪随机数产生器、安全算法等产生。
会话密钥即两个通信终端用户在一次通话或交换数据时所用的密 钥。密钥加密密钥是对传送的会话或文件密钥进行加密时采用的密钥 ,也称为次主密钥、辅助密钥或密钥传送密钥。
主机密钥是对密钥加密密钥进行加密的密钥,存于主机处理器中 。
目前,长度在128位以上的密钥才是安全的。
5.3 密钥的管理和分配
5.3.1 密钥的产生
两个用户A和B要建立会话密钥,需经过以下3个步骤:
(1)A向B发出建立会话密钥的请求和一个一次性随机数N1。 (2)B用与A共享的主密钥对应答的消息加密,并发送给A,应答 的消息中包括B选取的会话密钥、B的身份、f(N1)和另一个一次性随 机数N2。 (3)A用新建立的会话密钥加密f(N2)并发送给B。
5.3 密钥的管理和分配
5.3.1 密钥的产生 5.3.2 对称密码体制的密钥分配 5.3.3 公钥密码体制的密钥分配
5.3 密百度文库的管理和分配
在采用密码技术保护的现代通信系统中,密码算法通常是公开的 ,因此其安全性就取决对密钥的保护。密钥生成算法的强度、密钥的 长度、密钥的保密和安全管理是保证系统安全重要因素。
密钥管理的任务就是管理密钥的产生到销毁全过程,包括系统初 始化,密钥的产生、存储、备份、恢复、装入、分配、保护、更新、 控制、丢失、吊销和销毁等。
5.3 密钥的管理和分配
从网络应用来看,密钥一般分为基本密钥、会话密钥、密钥加密 密钥和主机密钥等几类。
基本密钥又称初始密钥,是由用户选定或由系统分配,可在较长 时间内由一对用户专门使用的秘密密钥,也称用户密钥。基本密钥既 要安全.又要便于更换。
会话密钥、数据加密密钥可在密钥加密密钥控制下通过安全算 法产生。
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
对称密码的密钥分配的方法归纳起来有两种:利用公钥密码体 制实现和利用安全信道实现。
在局部网络中,每对用户可以共享一个密钥,即无中心密钥分配 方式。
5-7
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
(5)A用会话密钥Ks加密f(N2),并将加密结果发送给B。
应当注意前三步已完成密钥的分配,后两步结合第二和第三步 完成认证功能。
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
公钥密码体制的一个重要用途就是分配对称密码体制使用的密 钥,由于公钥加密速度太慢,常常只用于加密分配对称密码体制的密 钥,而不用于保密通信。
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
(3)公钥证书
公钥证书内证书管理机构CA为用户建立,其中的数据项有该用 户的公钥、用户的身份和时戳等。所有的数据经CA签字后就形成证 书,证书中可能还包括一些辅助信息,如公钥使用期限、公钥序列号 或识别号、采用的公钥算法、使用者的住址或网址等。
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
在大型网络中,不可能每对用户共享一个密钥。因此采用中心 化密钥分配方式,由一个可信懒的联机服务器作为密钥分配中心 (KDC)来实现 。
5-8
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
用户A和B要建立共享密钥,可以采用如下5个步骤:
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
用户A和B要建立共享密钥,可以采用如下5个步骤:
(3)A存储会话密钥,并向B转发从KDC的应答中得到的应该转发 给B的部分。B收到后,可得到会话密钥Ks,从A的身份得知会话的 另一方为A。
(4)B用会话密钥Ks加密另一个一次性随机数越N2,并将加密结 果发送给A。
(2)KDC为A的请求发出应答。应答是用A与KDc的共享主密钥加 密的,因而只有A能解密这一消息,并确信消息来自KDC。消息中包 含A希望得到的一次性会话密钥K以及A的请求,还包括一次性随机数 N1。因此A能验证自己的请求有没有被篡改,并能通过一次性随机 数N1得知收到的应答是不是过去应答的重放。消息中还包含A要转 发给B的部分,这部分包括一次性会话密钥Ks和A的身份,它们是用 B与KDC的共享主密钥加密的。
5.3.3 公钥密码体制的密钥分配
(2)公钥动态目录表 建立一个公用的公钥动态日录表,表的建立和维护以及公钥的
分布由某个公钥管理机构承担,每个用户都知道管理机构的公钥。
5-8
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
(2)公钥动态目录表
公钥的分配步骤如下: (1)用户A向公钥管理机构发送一带时戳的请求,请求得到用户B 当前的公钥。 (2)管理机构为A的请求发出应答,应答中包含B的公钥以及A向 公钥管理机构发送的带时戳的请求。 (3)A用B的公钥加密一个消息并发送给B,这个消息由A的身份和 一个一次性随机数N1组成。 (4)B用与A同样的方法从公钥管理机构得到A的公钥。 (5)B用A的公钥加密一个消息并发送给A,这个消息由N1和N2 组成。这里的N2是B产生的一个一次性随机数。 (6)A用B的公钥加密N2,并将加密结果发送给B。
常用的公钥分配方法: (1)公开发布 (2)公钥动态目录表 (3)公钥证书。
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
(1)公开发布
用户将自己的公钥发给所有其他用户或向某一团体广播。这种 方法简单,但有一个非常大的缺陷,就是别人能容易地伪造这种公开 的发布。
5.3 密钥的管理和分配
密钥的产生必须考虑具体密码体制的公认的限制。在网络系统 中加密需要大量的密钥,以分配给各主机、节点和用户。可以用手工 的方法,也可以用密钥产生器产生密钥。
基本密钥是控制和产生其他加密密钥的密钥,而且长度使用, 其安全性非常关键,须要保证其完全随机性、不可重复性和不可预测 性。
基本密钥量小,可以用掷硬币等方法产生。密钥加密密钥可以 用伪随机数产生器、安全算法等产生。
会话密钥即两个通信终端用户在一次通话或交换数据时所用的密 钥。密钥加密密钥是对传送的会话或文件密钥进行加密时采用的密钥 ,也称为次主密钥、辅助密钥或密钥传送密钥。
主机密钥是对密钥加密密钥进行加密的密钥,存于主机处理器中 。
目前,长度在128位以上的密钥才是安全的。
5.3 密钥的管理和分配
5.3.1 密钥的产生
两个用户A和B要建立会话密钥,需经过以下3个步骤:
(1)A向B发出建立会话密钥的请求和一个一次性随机数N1。 (2)B用与A共享的主密钥对应答的消息加密,并发送给A,应答 的消息中包括B选取的会话密钥、B的身份、f(N1)和另一个一次性随 机数N2。 (3)A用新建立的会话密钥加密f(N2)并发送给B。
5.3 密钥的管理和分配
5.3.1 密钥的产生 5.3.2 对称密码体制的密钥分配 5.3.3 公钥密码体制的密钥分配
5.3 密百度文库的管理和分配
在采用密码技术保护的现代通信系统中,密码算法通常是公开的 ,因此其安全性就取决对密钥的保护。密钥生成算法的强度、密钥的 长度、密钥的保密和安全管理是保证系统安全重要因素。
密钥管理的任务就是管理密钥的产生到销毁全过程,包括系统初 始化,密钥的产生、存储、备份、恢复、装入、分配、保护、更新、 控制、丢失、吊销和销毁等。
5.3 密钥的管理和分配
从网络应用来看,密钥一般分为基本密钥、会话密钥、密钥加密 密钥和主机密钥等几类。
基本密钥又称初始密钥,是由用户选定或由系统分配,可在较长 时间内由一对用户专门使用的秘密密钥,也称用户密钥。基本密钥既 要安全.又要便于更换。
会话密钥、数据加密密钥可在密钥加密密钥控制下通过安全算 法产生。
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
对称密码的密钥分配的方法归纳起来有两种:利用公钥密码体 制实现和利用安全信道实现。
在局部网络中,每对用户可以共享一个密钥,即无中心密钥分配 方式。
5-7
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
(5)A用会话密钥Ks加密f(N2),并将加密结果发送给B。
应当注意前三步已完成密钥的分配,后两步结合第二和第三步 完成认证功能。
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
公钥密码体制的一个重要用途就是分配对称密码体制使用的密 钥,由于公钥加密速度太慢,常常只用于加密分配对称密码体制的密 钥,而不用于保密通信。
5.3 密钥的管理和分配
5.3.3 公钥密码体制的密钥分配
(3)公钥证书
公钥证书内证书管理机构CA为用户建立,其中的数据项有该用 户的公钥、用户的身份和时戳等。所有的数据经CA签字后就形成证 书,证书中可能还包括一些辅助信息,如公钥使用期限、公钥序列号 或识别号、采用的公钥算法、使用者的住址或网址等。
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
在大型网络中,不可能每对用户共享一个密钥。因此采用中心 化密钥分配方式,由一个可信懒的联机服务器作为密钥分配中心 (KDC)来实现 。
5-8
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
用户A和B要建立共享密钥,可以采用如下5个步骤:
5.3 密钥的管理和分配
5.3.2 密码体制的密钥分配
用户A和B要建立共享密钥,可以采用如下5个步骤:
(3)A存储会话密钥,并向B转发从KDC的应答中得到的应该转发 给B的部分。B收到后,可得到会话密钥Ks,从A的身份得知会话的 另一方为A。
(4)B用会话密钥Ks加密另一个一次性随机数越N2,并将加密结 果发送给A。