《网络安全与管理》第3章 密钥分配与管理

第3章 密钥分配与管理

第3章 密钥分配与管理

本章学习目标 本章主要讲解密钥分配及管理的基本知 识。通过本章学习,读者应该掌握以下 内容 密钥管理的相关概念和必要性 对称密码体制和非对称密码体制的 密钥管理方法 ● Kerberos模型的原理 数字证书 ●PKI/CA基本概念和功能

本章学习目标 本章主要讲解密钥分配及管理的基本知 识。通过本章学习，读者应该掌握以下 内容： l 密钥管理的相关概念和必要性 l 对称密码体制和非对称密码体制的 密钥管理方法 l Kerberos模型的原理 l 数字证书 l PKI/CA基本概念和功能

31密钥分配及管理 31.1密钥产生及管理概述 个密钥管理系统应具备以下几个特 :密钥难以被非法窃取;在一定条 件下窃取密钥也没有用;密钥的分配 和更换过程透明等

3.1 密钥分配及管理 3.1.1密钥产生及管理概述 一个密钥管理系统应具备以下几个特 点：密钥难以被非法窃取；在一定条 件下窃取密钥也没有用；密钥的分配 和更换过程透明等

1、密钥的生存期 密钥的产生 密钥的分配 ●●● 启用密钥停有密钥 替换密钥或更新密钥 撤销密钥 销毁密钥

1、密钥的生存期 ： l 密钥的产生 l 密钥的分配 l 启用密钥/停有密钥 l 替换密钥或更新密钥 l 撤销密钥 l 销毁密钥

2、密钥的存储和备份 存储 把自己的口令和密码记在脑子里 把密钥存储在硬件的介质上,如ROM密钥 和智能卡 用密钥加密密钥的方法来对难于记忆的密钥 进行加密保存 份 密钥托管方案和秘密共享协议来解决密钥的 备份问题

2、密钥的存储和备份 存储： •把自己的口令和密码记在脑子里 •把密钥存储在硬件的介质上，如ROM密钥 和智能卡 •用密钥加密密钥的方法来对难于记忆的密钥 进行加密保存 备份： 密钥托管方案和秘密共享协议来解决密钥的 备份问题

Q3.密钥的撒销和销默 撤销 密钥都有一定的有效期,如果密钥使用的时 间越长,它泄露的机会就越多;如果一个密 钥已泄露,那么这个密钥使用的时间越长, 损失就越大;密钥使用越久,其受攻击的可 能性和可行性也越大;对同一密钥加密的多 个密文进行密码分析比较容易。因此,密钥 在使用一段时间后,如果发现与密钥相关的 系统出现安全问题,怀疑某一密钥已受到威 胁或发现密钥的安全级别不够高等情况,该 密钥应该被撤销并停止使用

3、密钥的撤销和销毁 撤销： 密钥都有一定的有效期，如果密钥使用的时 间越长，它泄露的机会就越多；如果一个密 钥已泄露，那么这个密钥使用的时间越长， 损失就越大；密钥使用越久，其受攻击的可 能性和可行性也越大；对同一密钥加密的多 个密文进行密码分析比较容易。因此，密钥 在使用一段时间后，如果发现与密钥相关的 系统出现安全问题，怀疑某一密钥已受到威 胁或发现密钥的安全级别不够高等情况，该 密钥应该被撤销并停止使用

Q销毁 密钥的销毁则要清除一个密钥所有的踪迹 当和一个密钥有关的所有保密性活动都中 止以后,应该安全地销毁密钥及所有的密 钥拷贝。对于自己进行内存管理的计算机 机,密钥可以很容易地进行复制和存储在 多个地方,在计算机操作系统控制销毁过 程的情况下,很难保证安全的销毁密钥。 谨慎的做法是写一个特殊的删除程序,让 它查看的所有磁盘,寻找在未用存贮区上 的密钥副本,并将它们删除。还要记住删 除所有临时文件或交换文件的内容

销毁： 密钥的销毁则要清除一个密钥所有的踪迹。 当和一个密钥有关的所有保密性活动都中 止以后，应该安全地销毁密钥及所有的密 钥拷贝。对于自己进行内存管理的计算机 机，密钥可以很容易地进行复制和存储在 多个地方，在计算机操作系统控制销毁过 程的情况下，很难保证安全的销毁密钥。 谨慎的做法是写一个特殊的删除程序，让 它查看的所有磁盘，寻找在未用存贮区上 的密钥副本，并将它们删除。还要记住删 除所有临时文件或交换文件的内容

Q312对称密码体制的密钥管理 1、密钥分配中心KDC KDC与每一个用户之间共享一个不同的密 钥加密密钥,当两个用户A和B要进行通信 时,KDC产生一个双方会话使用的密钥K ,并分别用自己与这两个用户共享的密钥 加密钥K、KB来加密会话密钥发给它们, 即将K(K发给A,KBK)发给B;A、B接 收到加密的会话密钥后,将之解密得到K, 然后用K来加密通信数据

3.1.2 对称密码体制的密钥管理 1、密钥分配中心KDC KDC与每一个用户之间共享一个不同的密 钥加密密钥，当两个用户A和B要进行通信 时，KDC产生一个双方会话使用的密钥K ，并分别用自己与这两个用户共享的密钥 加密钥KA、KB来加密会话密钥发给它们， 即将KA (K)发给A，KB (K)发给B；A、B接 收到加密的会话密钥后，将之解密得到K， 然后用K来加密通信数据

2.基于公钥体制的密钥分配 公钥体制适用于进行密钥管理,特别是 对于大型网络中的密钥管理。 假设通信双方为A和B。使用么钥体制 交换对称密钥的过程是这样的:首先A通 过一定的途径获得B的公钥;然后A随机 产生一个对称密钥K,并用B的公钥加密 对称密钥K发送给B;B接收到加密的密钥 后,用自己的私钥解密得到密钥K。 在这个对称密钥的分配过程中,不再需 要在线的密钥分配中心,也节省了大量的 通信开销

2、基于公钥体制的密钥分配 公钥体制适用于进行密钥管理，特别是 对于大型网络中的密钥管理。 假设通信双方为A和B。使用么钥体制 交换对称密钥的过程是这样的：首先A通 过一定的途径获得B的公钥；然后A随机 产生一个对称密钥K，并用B的公钥加密 对称密钥K发送给B；B接收到加密的密钥 后，用自己的私钥解密得到密钥K。 在这个对称密钥的分配过程中，不再需 要在线的密钥分配中心，也节省了大量的 通信开销

3.1.3公开密钥体制的密钥管理 主要有两种公钥管理模式,一种采用证书的方 式,另一种是PGP采用的分布式密钥管理模式 公钥证书 公钥证书是由一个可信的人或机构签发的 ,它包括证书持有人的身份标识、公钥等 信息,并由证书颁发者对证书签字。在这 种公钥管理机制中,首先必须有一个可信 的第三方,来签发和管理证书,这个机构 通常称为CA( Certificate Authority)

3.1.3 公开密钥体制的密钥管理 主要有两种公钥管理模式，一种采用证书的方 式，另一种是PGP采用的分布式密钥管理模式。 1、公钥证书 公钥证书是由一个可信的人或机构签发的 ，它包括证书持有人的身份标识、公钥等 信息，并由证书颁发者对证书签字。在这 种公钥管理机制中，首先必须有一个可信 的第三方，来签发和管理证书，这个机构 通常称为CA（Certificate Authority）