1、第四章 密鑰管理 第四章密密鑰管理理與PKI技術(shù)1密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰傳輸輸機制密鑰導出出機制PKI技術(shù)概述現(xiàn)代密碼碼技術(shù)的的一個特特點是密密碼算法法公開，所以在在密碼系系統(tǒng)中密密鑰才是是系統(tǒng)真真正的秘秘密。在在任何安安全系統(tǒng)統(tǒng)中，密密鑰的安安全管理理都是一一個關(guān)鍵鍵因素。因為如如果密鑰鑰本身得得不到安安全保護護，那么么設(shè)計上上再好的的密碼系系統(tǒng)都是是徒勞的的。在現(xiàn)現(xiàn)實世界界里，密密鑰管理理是密碼碼應(yīng)用領(lǐng)領(lǐng)域中最最困難的的部分。第四章密密鑰管理理與PKI技術(shù)2密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰傳輸輸機制密鑰導出出機制PKI技術(shù)密鑰分類類

2、密鑰生命命周期密鑰的產(chǎn)產(chǎn)生隨機產(chǎn)生生注意弱密密鑰問題題密鑰建立立技術(shù)需需要滿足足的性質(zhì)質(zhì)（1）數(shù)據(jù)保保密（Data Confidentiality）。（2）篡改檢檢測（ModificationDetection）。（3）身份認認證（EntityAuthentication）。（4）密鑰的的新鮮度度（KeyFreshness）。（5）密鑰控控制（KeyControl）。（6）密鑰的的隱式鑒鑒別（ImplicitKeyAuthentication）。（7）密鑰的的確信（KeyConfirmation）。（8）向前的的秘密（Perfect ForwardSecrecy）。（9）效率（Efficien

3、cy）密鑰的層層次結(jié)構(gòu)構(gòu)（1）主密鑰鑰（MasterKey）。主密密鑰處于于密鑰層層次結(jié)構(gòu)構(gòu)的最高高層，沒沒有其他他的密鑰鑰來保護護主密鑰鑰，所以以主密鑰鑰只能用用人工方方式建立立。（2）加密密密鑰的密密鑰（Key-encryptingKeys）。在密密鑰傳輸輸協(xié)議中中加密其其他密鑰鑰（如會會話密鑰鑰）。這這種密鑰鑰保護其其下層的的密鑰能能夠安全全地傳輸輸。（3）數(shù)據(jù)密密鑰（Data Keys）。處于于密鑰層層次結(jié)構(gòu)構(gòu)的底層層，用于于加密用用戶的數(shù)數(shù)據(jù)，以以使數(shù)據(jù)據(jù)能夠安安全地傳傳輸。密鑰的生生命周期期模型第四章密密鑰管理理與PKI技術(shù)3密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰

4、傳輸輸機制密鑰導出出機制PKI技術(shù)點對點密密鑰建立立模型在同一信信任域中中的密鑰鑰建立模模型在多個信信任域中中的密鑰鑰建立模模型第四章密密鑰管理理與PKI技術(shù)4密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰傳輸輸機制密鑰導出出機制PKI技術(shù)鑒別樹基于身份份認證的的系統(tǒng)第四章密密鑰管理理與PKI技術(shù)5密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰傳輸輸機制密鑰導出出機制PKI技術(shù)使用對稱稱密碼技技術(shù)的密密鑰傳輸輸機制Shamir設(shè)計的3次傳遞協(xié)協(xié)議使用對稱稱密碼技技術(shù)和可可信第三三方的密密鑰傳輸輸機制使用公鑰鑰密碼技技術(shù)的點點到點的的密鑰傳傳輸機制制同時使用用公鑰密密碼技術(shù)術(shù)

5、和對稱稱密碼技技術(shù)的密密鑰傳輸輸機制第四章密密鑰管理理與PKI技術(shù)6密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰傳輸輸機制密鑰導出出機制PKI技術(shù)基本密鑰鑰導出可鑒別的的密鑰導導出樹狀的密密鑰導出出優(yōu)化的樹樹狀的密密鑰導出出第四章密密鑰管理理與PKI技術(shù)7密鑰管理理概述基本概念念密鑰建立立模型公鑰傳輸輸機制密鑰傳輸輸機制密鑰導出出機制PKI技術(shù)PKI的主要功功能產(chǎn)生、驗驗證和分分發(fā)密鑰鑰。簽名和驗驗證。獲取證書書。申請證書書作廢。獲取CRL。密鑰更新新。審計。PKI的結(jié)構(gòu)CA系統(tǒng)框架架PKI系統(tǒng)標準準PKCS系列標準準:PKCS是由美國國RSA數(shù)據(jù)安全全公司及及其合作作伙伴制制定的

6、一一組公鑰鑰密碼學學標準，其中包包括證書書申請、證書更更新、證證書廢除除表發(fā)布布、擴展展證書內(nèi)內(nèi)容、數(shù)數(shù)字簽名名、數(shù)字字信封格格式等一一系列相相關(guān)協(xié)議議。數(shù)字證書書與X.509標準：國國際電信信聯(lián)盟ITUX.509協(xié)議，是是PKI技術(shù)體系系中應(yīng)用用最廣泛泛、也是是最基礎(chǔ)礎(chǔ)的一個個國際標標準。它它的主要要目的在在于定義義一個規(guī)規(guī)范的數(shù)數(shù)字證書書格式，以便為為基于X.500協(xié)議的目目錄服務(wù)務(wù)提供一一種強認認證手段段。PKI系統(tǒng)的典典型應(yīng)用用虛擬專用用網(wǎng)絡(luò):虛擬專用用網(wǎng)絡(luò)（VPN）是一種種架構(gòu)在在公用通通信基礎(chǔ)礎(chǔ)設(shè)施上上的專用用數(shù)據(jù)通通信網(wǎng)絡(luò)絡(luò)，利用用網(wǎng)絡(luò)層層安全協(xié)協(xié)議（如如IPSec）和建立立在PKI上的加密密與簽名名技術(shù)來來獲得安安全性保保護。安全電子子郵件：安全電子子郵件協(xié)協(xié)議S/MIME（TheSecure MultipurposeInternetMail Extension） 。Web安全：SSL（SecureSocketsLayer）協(xié)議是是互聯(lián)網(wǎng)