密钥管理课件.pptxVIP

密钥管理 概述现代密码技术的一个特点是密码算法公开，所以在密码系统中密钥才是系统真正的秘密。在任何安全系统中，密钥的安全管理都是一个关键因素。因为如果密钥本身得不到安全保护，那么设计上再好的密码系统都是徒劳的。在现实世界里，密钥管理是密码应用领域中最困难的部分。 密钥分类 密钥生命周期 密钥的产生随机产生注意弱密钥问题 密钥建立技术需要满足的性质（1）数据保密（Data Confidentiality）。（2）篡改检测（Modification Detection）。（3）身份认证（Entity Authentication）。（4）密钥的新鲜度（Key Freshness）。（5）密钥控制（Key Control）。（6）密钥的隐式鉴别（Implicit Key Authentication）。（7）密钥的确信（Key Confirmation）。（8）向前的秘密（Perfect Forward Secrecy）。（9）效率（Efficiency） 密钥的层次结构（1）主密钥（Master Key）。主密钥处于密钥层次结构的最高层，没有其他的密钥来保护主密钥，所以主密钥只能用人工方式建立。（2）加密密钥的密钥（Key-encrypting Keys）。在密钥传输协议中加密其他密钥（如会话密钥）。这种密钥保护其下层的密钥能够安全地传输。（3）数据密钥（Data Keys）。处于密钥层次结构的底层，用于加密用户的数据，以使数据能够安全地传输。 密钥的生命周期模型 点对点密钥建立模型 在同一信任域中的密钥建立模型 在多个信任域中的密钥建立模型 鉴别树 基于身份认证的系统 使用对称密码技术的密钥传输机制 Shamir设计的3次传递协议 使用对称密码技术和可信第三方的密钥传输机制 使用公钥密码技术的点到点的密钥传输机制 同时使用公钥密码技术和对称密码技术的密钥传输机制  基本密钥导出 可鉴别的密钥导出 树状的密钥导出 优化的树状的密钥导出 PKI的主要功能产生、验证和分发密钥。签名和验证。 获取证书。 申请证书作废。 获取CRL。 密钥更新。 审计。 PKI的结构 CA系统框架 PKI系统标准PKCS系列标准:PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书废除表发布、扩展证书内容、数字签名、数字信封格式等一系列相关协议。 数字证书与X.509标准：国际电信联盟ITU X.509协议，是PKI技术体系中应用最广泛、也是最基础的一个国际标准。它的主要目的在于定义一个规范的数字证书格式，以便为基于X.500协议的目录服务提供一种强认证手段。 PKI系统的典型应用虚拟专用网络 :虚拟专用网络（VPN）是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（如IPSec）和建立在PKI上的加密与签名技术来获得安全性保护。安全电子邮件 ：安全电子邮件协议S/MIME （The Secure Multipurpose Internet Mail Extension） 。Web安全 ：SSL（Secure Sockets Layer）协议是互联网中访问Web服务器最重要的安全协议。 电子交易 ：SET安全电子交易协议采用公钥密码体制和X.509数字证书标准，主要应用于B2C模式中，以保障支付信息的安全性。 PKI接口