CA与KDC技术的应用.pdfVIP

CA和KDC技术的应用 中国计算机学会信息保密专业委员会主任 南相浩 择要：在开放的互联同信息系统中，密钥管理是重要的逻辑 隔离技术之一，密钥变量又是认证技术中不可缺少的重要参数， 所以密钥管理在信息安全领域中占有根重要的比重。本文对密钥 管理的两个主流应用技术，即cA和KDc体制作了简要比较，并 分折了各自的适应环境． 互联网在网间实现了互联互通互换互操作，打通了网间关系， 将网络的规模大大扩展了，为在网上开展各种业务开辟了广阔前 景，同时也给网络安全带来新的需求，其中最突出的是网络隔离技 术和规模化密钥管理技术。 密钥管理技术的主要任务是按着业务需求组成各种封闭环境， 因而密钥管理技术也成为逻辑隔离的重要技术之一。在认证系统 中，密钥变量的有无及其合法性，又是认证的重要依据，成为不可 缺少的组成部分。 最近一个时期，国外企业的大量安全产品连同安全技术一起涌 八中国市场，掀起了声势浩大的商业性宣传攻势。这种企业和市场 行为促使了安全观念的普及和发展，但也引起了一些概念上的混 乱。 密钥管理涉及密钥生产、密钥分发、密钥存储、密钥更换等技 术领域。而在每一种技术领域中还包括多种实现技术．各种技术体 制与方法各有各的特点．各有各的用处。只有把握了各种不同技术 体制的特点，才能在实际中得到正确的应用。 1．体制比较 密钥生产 密钥生产形式现有两种，～种是由中心(或分中心)集中生产， 也称有边界生产；另一种是由个人分散生产，也称无边界生产。 Distribution 集中式的代表是传统的密钥分发中心KDC(Key rl讯cateDislribution center)和证书分发中心cDc(ce center)等方 案。其特点是密铒的生产、密钥证书的生成均在中心统一进行，密 钥生产有边界，边界以所能配置的密钥总量定义，其用户数量受限。 l 密钥的认证协议简洁，安全性好，交易中的安全责任由中心承担。 这种方案适用于网络边界确定的有中心系统。 分散式的代表是CA(CenjficateAuthentication)解决方案·CA 技术已经历了20多年的演变和发展。而有的课题还在研究之中· 在CA体制中，密钥由个人生产(分散式)；密钥生产无边界·其 用户数量不受限制．密钥生产和密钥变更非常方便，但密钥变量需 经第三方认证．这种方案适应于无边界的和无中心系统，交易中安 芏贯仕田个人率担· 密胡分技 密钥分发形式有两种，静态分发和动态分发。密钥分发方式与 密钥生产方式相关，也与密钥存储技术相关． ． 静态分发是一种由中心以脱线方式预分配的技术．这种”面对 面一的分发方式，其分发协议简洁安全，当次性(有效性)和管辖 性等自然成立，不需要作更多认证，只要满足可解性．就可证明密 钥的合法性。静态分发方式只有在集中式机制下才能存在．其前提 条件是必须解决密钥的存储技术。 。 动态分发是。请求一分发’的在线分发技术．密钥分发都采用密 ／ ’ 钥证书的形式，密钥传递和密钥认证同时进行，其协议安全性需要 证明．有中心的KDc或无中心的cA机制都可采用．在I【Dc中通常 采用即用即发方式，无需解决密钥存放技术，但要解决密钥传递技 术．在cA中密钥存