《信息安全技术》课件第5章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 信息 安全技术 课件
- 资源描述:
-
1、5.1 密钥的分类5.2 密钥的生成与存储5.3 密钥的分配5.4 密钥的更新与撤销5.5 密钥共享5.6 会议密钥分配5.7 密钥托管小结习题在一个大型通信网络中,数据将在多个终端和主机之间传递,要进行保密通信,就需要大量的密钥,密钥的存储和管理变得十分复杂和困难。在电子商务系统中,多个用户向同一系统注册,要求彼此之间相互隔离。系统需要对用户的密钥进行管理,并对其身份进行认证。不论是对于系统、普通用户还是网络互连的中间节点,需要保密的内容的秘密层次和等级是不相同的,要求也是不一样的,因此,密钥种类各不相同。在一个密码系统中,按照加密的内容不同,密钥可以分为会话密钥、密钥加密密钥和主密钥。5.
2、1 密密 钥钥 的的 分分 类类 1.会话密钥会话密钥会话密钥(Session Key),指两个通信终端用户一次通话或交换数据时使用的密钥。它位于密码系统中整个密钥层次的最低层,仅对临时的通话或交换数据使用。会话密钥若用来对传输的数据进行保护,则称为数据加密密钥;若用作保护文件,则称为文件密钥;若供通信双方专用,则称为专用密钥。会话密钥若用来对传输的数据进行保护,则称为数据加密密钥;若用作保护文件,则称为文件密钥;若供通信双方专用,则称为专用密钥。会话密钥可由通信双方协商得到,也可由密钥分配中心(Key Distribution Center,KDC)分配。由于它大多是临时的、动态的,即使密钥
3、丢失,也会因加密的数据有限而使损失有限。会话密钥只有在需要时才通过协议取得,用完后就丢掉了,从而可降低密钥的分配存储量。基于运算速度的考虑,会话密钥普遍是用对称密码算法来进行的,即它就是所使用的某一种对称加密算法的加密密钥。2.密钥加密密钥密钥加密密钥密钥加密密钥(Key Encryption Key)用于对会话密钥或下层密钥进行保护,也称为次主密钥(Submaster Key)或二级密钥(Secondary Key)。在通信网络中,每一个节点都分配有一个这类密钥,每个节点到其他各节点的密钥加密密钥是不同的。但是,任意两个节点间的密钥加密密钥却是相同的、共享的,这是整个系统预先分配和内置的。在
4、这种系统中,密钥加密密钥就是系统预先给任意两个节点间设置的共享密钥,该应用建立在对称密码体制的基础之上。在建有公钥密码体制的系统中,所有用户都拥有公、私钥对。如果用户间要进行数据传输,协商一个会话密钥是必要的,会话密钥的传递可以用接收方的公钥加密来进行,接收方用自己的私钥解密,从而安全获得会话密钥,再利用它进行数据加密并发送给接收方。在这种系统中,密钥加密密钥就是建有公钥密码基础的用户的公钥。密钥加密密钥是为了保证两节点间安全传递会话密钥或下层密钥而设置的,处在密钥管理的中间层。系统因使用的密码体制不同,它可以是公钥,也可以是共享密钥。3.主密钥主密钥主密钥位于密码系统中整个密钥层次的最高层,
5、主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护。主密钥是由用户选定或系统分配给用户的,分发基于物理渠道或其他可靠的方法,处于加密控制的上层,一般存在于网络中心、主节点、主处理器中,通过物理或电子隔离的方式受到严格的保护。在某种程度上,主密钥可以起到标识用户的作用。上述密钥的分类是基于密钥的重要性来考虑的,也就是说密钥所处的层次不同,它的使用范围和生命周期是不同的。概括地讲,密钥管理的层次结构如图5-1-1所示。主密钥处在最高层,用某种加密算法保护密钥加密密钥,也可直接加密会话密钥。会话密钥处在最低层,基于某种加密算法保护数据或其他重要信息。密钥的层次结构使得除了主密钥外,其他密钥以密文方
6、式存储,有效地保护了密钥的安全。一般来说,处在上层的密钥更新周期相对较长,处在下层的密钥更新较频繁。对于攻击者来说意味着,即使攻破一份密文,最多导致使用该密钥的报文被解密,损失也是有限的。攻击者不可能动摇整个密码系统,从而有效地保证了密码系统的安全性。图 5-1-1 密钥管理的层次结构密钥的产生可以用手工方式,也可以用随机数生成器。对于一些常用的密码体制而言,密钥的选取和长度都有严格的要求和限制,尤其是对于公钥密码体制,公、私钥对还必须满足一定的运算关系。总之,不同的密码体制,其密钥的具体生成方法一般是不相同的。密钥的存储不同于一般的数据存储,需要保密存储。保密存储有两种方法:一种方法是基于密
7、钥的软保护;另一种方法是基于硬件的物理保护。前者使用加密算法对用户密钥(包括口令)加密,然后密钥以密文形式存储。后者将密钥存储于与计算机相分离的某种物理设备(如智能卡、USB盘或其他存储设备)中,以实现密钥的物理隔离保护。5.2 密钥的生成与存储密钥的生成与存储 密钥分配研究密码系统中密钥的分发和传送中的规则及约定等问题。从分配途径的不同来区分,密钥的分配方法可分为网外分配方式和网内分配方式。网外分配方式即人工途径方式,它不通过计算机网络,是一种人工分配密钥的方法。这种方式适合小型网络及用户相对较少的系统,或者安全强度要求较高的系统。网外分配方式的最大优点是安全、可靠;缺点是分配成本过高。5.
8、3 密密 钥钥 的的 分分 配配 网内分配方式指通过计算机网络进行密钥的分配,有两种方式:一种是在用户之间直接实现分配,即通信一方向另一方直接传送会话密钥,以备在将要进行的通话或数据传送中使用;另一种是建立密钥分配中心KDC,通过KDC来分配密钥。按照分配的密钥的性质不同,密钥的分配分为秘密密钥的分配和公开密钥的分配。5.3.1 秘密密钥的分配秘密密钥的分配秘密密钥分配主要有以下两种方法:(1)用一个密钥加密密钥加密多个会话密钥。这种方法的前提是通信双方预先通过可靠的秘密渠道建立一个用于会话密钥加密的密钥,把会话密钥加密后传送给对方。该方法的优点是每次通信可临时选择不同的会话密钥,提高了使用密
展开阅读全文