第3章 密钥分配与管理.

Slides:



Advertisements
Similar presentations
Network and Information Security
Advertisements

PKI基础.
联系电话: 联 系 人:李爱玲 中国人文社会科学文献(CASHL)传递 联系电话: 联 系 人:李爱玲
第三章 电子商务的支撑技术 第五节电子商务的安全 三、电子商务贸易安全技术.
公钥基础设施PKI介绍 Public Key Infrastructure.
计算机网络教程 任课教师:孙颖楷.
全国高等职业教育计算机类规划教材 实例与实训教程系列 网络安全应用技术 密码技术.
——Windows98与Office2000(第二版) 林卓然编著 中山大学出版社
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
中国金融认证中心(CFCA) 第三方安全权威认证机构 13小组:吉露露、吴莹莹、潘韦韦.
安全协议理论与方法 第一章 引论.
引入 在开放的、非安全的网络上如何安全的传送数据? 我怎么确认你发给我的文件没被别人篡改过?.
公务员管理子系统建设步骤 1、组建由局长直接领导的体制,制定公务员管理、工资管理、其他业务用户的管理权限,以及各业务间的协作流程。
实用操作系统概念 张惠娟 副教授 1.
公共密钥基础设施(PKI:Public-Key Infrastructure)
第八章补充:PKI认证技术.
《现代密码学》第10章 密钥管理与密钥分配.
第十六章 计算机密码学.
实验十二、PKI的部署和安全应用 实验开发教师:郑方伟 谌黔燕 佘 堃.
教科書:資訊與網路安全概論,黃明祥、林詠章著,Mc Graw Hill出版,普林斯頓總經銷
在PHP和MYSQL中实现完美的中文显示
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
第十讲公钥加密算法 (续) 公钥密码(续) RSA \ ElGamal algorithms.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Hadoop I/O By ShiChaojie.
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
数字签名与身份认证 本章内容: 数字签名 鉴别协议 数字签名标准 身份认证技术.
大学计算机基础 典型案例之一 构建FPT服务器.
网络常用常用命令 课件制作人:谢希仁.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
公钥基础设施PKI 唐文 北京大学信息学院 软件工程研究所 - 信息安全研究室
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第17章 网站发布.
Online job scheduling in Distributed Machine Learning Clusters
现代密码学理论与实践 第9章 公钥密码学与RSA
第2讲 密码学简介 苏兆品.
第 5 章 加密与认证技术 本章学习目标: 掌握加密通信的系统模型 了解密码学知识及常见的密码体制 了解三种网络加密方法的特点
数据加密与鉴别.
信息安全 第四章 密钥管理与分配技术 /4/9.
微机系统的组成.
第四章 电子商务的安全认证体系 本章主要内容 本章要点 4.1身份认证与认证体系 4.2身份认证协议 4.3数字证书与认证机构
電子郵件簡介.
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
WPT MRC. WPT MRC 由题目引出的几个问题 1.做MRC-WPT的多了,与其他文章的区别是什么? 2.Charging Control的手段是什么? 3.Power Reigon是什么东西?
IT 安全 第 11节 加密控制.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
2019/5/8 第2章 数据分析软件介绍.
本节内容 文件系统 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
2019/5/10 网络学习空间实务操作.
第3章 密码技术 教学提示:上一章我们已经学习了协议安全的有关知识,本章将介绍与密码算法相关的一些知识,包括其基本概念和简单的实现方法。
Touch Github = Touch the World
郑 昀 应用开发事业部 神州泰岳 SIP多方会话消息 之实例讲解 郑 昀 应用开发事业部 神州泰岳
教育部特殊教育通報網 學生異動、接收操作說明.
OpenStack vs CloudStack
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Google的云计算 分布式锁服务Chubby.
C++语言程序设计 C++语言程序设计 第一章 C++语言概述 第十一组 C++语言程序设计.
VoIP组工作汇报 黄权 李光华.
第9章 基于身份的公钥密码体制.
第十七讲 密码执行(1).
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
实验六、COM类型病毒分析实验 实验开发教师: 刘乃琦 谌黔燕.
App 加密算法建议 Possible lab 土豪军 小陈.
Presentation transcript:

第3章 密钥分配与管理

本章学习目标 本章主要讲解密钥分配及管理的基本知识。通过本章学习,读者应该掌握以下内容: l 密钥管理的相关概念和必要性 l         Kerberos模型的原理 l         数字证书 l         PKI/CA基本概念和功能

3.1 密钥分配及管理 一个密钥管理系统应具备以下几个特点:密钥难以被非法窃取;在一定条件下窃取密钥也没有用;密钥的分配和更换过程透明等 3.1.1密钥产生及管理概述 一个密钥管理系统应具备以下几个特点:密钥难以被非法窃取;在一定条件下窃取密钥也没有用;密钥的分配和更换过程透明等

1、密钥的生存期 : l         密钥的产生 l         密钥的分配 l         启用密钥/停有密钥 l         替换密钥或更新密钥 l         撤销密钥 l         销毁密钥

2、密钥的存储和备份 存储: 备份: 把自己的口令和密码记在脑子里 把密钥存储在硬件的介质上,如ROM密钥和智能卡 用密钥加密密钥的方法来对难于记忆的密钥进行加密保存 备份: 密钥托管方案和秘密共享协议来解决密钥的备份问题。

3、密钥的撤销和销毁 撤销: 密钥都有一定的有效期,如果密钥使用的时间越长,它泄露的机会就越多;如果一个密钥已泄露,那么这个密钥使用的时间越长,损失就越大;密钥使用越久,其受攻击的可能性和可行性也越大;对同一密钥加密的多个密文进行密码分析比较容易。因此,密钥在使用一段时间后,如果发现与密钥相关的系统出现安全问题,怀疑某一密钥已受到威胁或发现密钥的安全级别不够高等情况,该密钥应该被撤销并停止使用

销毁: 密钥的销毁则要清除一个密钥所有的踪迹。当和一个密钥有关的所有保密性活动都中止以后,应该安全地销毁密钥及所有的密钥拷贝。对于自己进行内存管理的计算机机,密钥可以很容易地进行复制和存储在多个地方,在计算机操作系统控制销毁过程的情况下,很难保证安全的销毁密钥。谨慎的做法是写一个特殊的删除程序,让它查看的所有磁盘,寻找在未用存贮区上的密钥副本,并将它们删除。还要记住删除所有临时文件或交换文件的内容。

3.1.2 对称密码体制的密钥管理 1、密钥分配中心KDC KDC与每一个用户之间共享一个不同的密钥加密密钥,当两个用户A和B要进行通信时,KDC产生一个双方会话使用的密钥K,并分别用自己与这两个用户共享的密钥加密钥KA、KB来加密会话密钥发给它们,即将KA(K)发给A,KB(K)发给B;A、B接收到加密的会话密钥后,将之解密得到K,然后用K来加密通信数据。

2、基于公钥体制的密钥分配 公钥体制适用于进行密钥管理,特别是对于大型网络中的密钥管理。 假设通信双方为A和B。使用么钥体制交换对称密钥的过程是这样的:首先A通过一定的途径获得B的公钥;然后A随机产生一个对称密钥K,并用B的公钥加密对称密钥K发送给B;B接收到加密的密钥后,用自己的私钥解密得到密钥K。 在这个对称密钥的分配过程中,不再需要在线的密钥分配中心,也节省了大量的通信开销。

3.1.3 公开密钥体制的密钥管理 主要有两种公钥管理模式,一种采用证书的方式,另一种是PGP采用的分布式密钥管理模式。 1、公钥证书 公钥证书是由一个可信的人或机构签发的,它包括证书持有人的身份标识、公钥等信息,并由证书颁发者对证书签字。在这种公钥管理机制中,首先必须有一个可信的第三方,来签发和管理证书,这个机构通常称为CA(Certificate Authority)。

2、分布式密钥管理 在某些情况下,集中的密钥管理方式是不可能的,比如:没有通信双方都信任的CA。用于PGP的分布式密钥管理,采用了通过介绍人(introduder)的密钥转介方式,更能反映出人们的社会自然交往,而且人们也能自由地选择信任的人来介绍,非常适用于分散的用户群。

3.2 Kerberos的鉴别和密钥分配模型 3.2.1 Kerberos模型的工作原理和步骤 Kerberos是为TCP/IP网络设计的基于对称密码体系的可信第三方鉴别协议,负责在网络上进行可信仲裁及会话密钥的分配。 Kerberos有一个所有客户和它们的秘密密钥的数据库,对于个人用户来说,秘密密钥是一个加密口令,需要对访问客户身份进行鉴别的服务器以及要访问此类服务器的客户,需要用Kerberos注册其秘密密钥,由于Kerberos知道每个人的秘密密钥,故而它能产生消息向一个实体证实另一个实体的身份。Kerberos还能产生会话密钥,供两个实体加密通信消息,通信完毕后销毁会话密钥。

Kerberos协议包括一个认证服务器(AS)和一个(或多个)票据分配服务器(TGS)。

3.3 数字证书 3.3.1 数字证书的基本概念 1、证书的类型 2、证书的格式 3、认证机构和证书机构(CA)

Version Serial number Algorithm ID & Parameters Issuer name Validity period Subject name Subject public key & algorithm

3.2.2 数字证书的管理 初始化阶段 应用阶段 撤销阶段。 数字证书的管理包括与公钥/私钥及证书的创建、分配及撤销有关的各项功能。按密钥证书的生命周期可把证书的管理划分成三个阶段,即: 初始化阶段 应用阶段 撤销阶段。

3.2.3 证书的认证 1.拆封数字证书 2.证书链的认证 3.序列号验证 4.有效期验证 5.查询CRL 6.证书使用策略的认证

3.3 公钥基础设施简介 PKI(Public Key Infrustructure)又称为公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。 完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

3.3.2 PKI的功能操作 PKI具有12种功能操作: Ø 产生、验证和分发密钥。 Ø 签名和验证: Ø 证书的获取 Ø 证书的验证 Ø         产生、验证和分发密钥。 Ø         签名和验证: Ø         证书的获取 Ø         证书的验证 Ø         保存证书 Ø         本地保存的证书的获取 Ø         证书废止的申请 Ø         密钥的恢复 Ø         CRL的获取 Ø         密钥更新 Ø         审计 Ø         存档

3.3.3 CA系统的结构

3.3.4 CA的功能 CA的主要功能包括: 1、证书颁发 2、证书更新 3、证书撤销 4、证书和证书撤销列表(CRL)的公布 5、证书状态的在线查询 6、证书认证 7、制定政策等。