l密钥管理与分配技术.pptVIP

本章主要内容 4.1 密钥管理的内容 4.2 密钥分配技术 4.3 公钥管理与公钥基础设施 4.4 Windows 2000 的PKI 本章学习目标 本章介绍密钥的分类，密钥管理内容，密钥的生成、 存储，密钥分配技术的原理，公开密钥体系结构（PKI）以及密钥分配技术的应用。 通过本章的学习，学生掌握以下内容： (1)了解密钥的分类、密钥管理内容； (2)掌握密钥分配方法，如对称密码体制和非对称密 码体制的密钥分配方案； (3)理解X.509协议内容； (4)理解和使用公开密钥体系结构（PKI）必备技术。 (5)掌握在Windows2000上安装和配置证书服务。 4.2.3 Diffie-Hellman密钥交换方案 2.交换示例 为了计算简单，使用很小数字。设P=47和47的一个原元，a=3。 A选择秘密密钥XA=8，B选择秘密密钥XB=10，各自计算其公开密钥。 （1）双方各自计算 用户A计算： YA=3 8mod 47=6561 mod 47=28 mod 47 用户B计算： YB=3 10mod 47= 59049 mod 47=17 mod 47 （2）交换YA和YB； （3）交换密钥后，A、B分别计算共享的秘密会话密钥KA、KB： 用户A计算： KA=YB XA mod 47=178 mod 47=4 mod 47 用户B计算： KB=YA XB mod 47=2810 mod 47=4 mod 47 A和B双方独立地决定采用4作为会话密钥。 4.2 密钥分配技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 4.2.5 组播密钥分配 组播报文涉及一个发送者和多个接收者，而且接收者和发送者都可能变化，组播成员之间不能使用固定的对称密钥，所以对组播报文的加密是一个较为困难的问题。 几种可能的方案（1）可以使每个会话的成员使用一个共享会话密钥，要解决将会话密钥传递到本次会话的各个成员手中；（2）在非对称密钥体制中各个成员使用自己固定的密钥，发送者用会话密钥加密报文后，再根据各个接收者的公开密钥进行加密，附在密文中传送给各个接收者。 4.2 密钥分配技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 为管理公开密钥（生成、认证、存储、安装），须建立 一套公钥基础设施（PKI- Public Key Infrastructure）。PKI的 基本组成元素是证书颁发机构（CA-Certificate Authority）， PKI主要完成功能： ①为用户生成一对密钥（公开密钥，私有密钥），并通过一定的途径分发给用户； ②CA为用户签发数字证书，形成用户的公开密钥信息，并通过一定的途径分发给用户； ③对用户证书的有效性进行验证； ④对用户的数字证书进行管理。这些管理包括有效证书的公布、撤销证书的公布（有时也称证书黑名单表的维护）、证书归档等。 4.3 公钥管理与公钥基础设施 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 数字证书是网络用户的身份证明，相当于现实生活中的个人身份证。 数字证书提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。是一个防篡改的数据集合，它可以证实一个公开密钥与某一最终用户之间的捆绑。为了提供这种捆绑关系，需要一组可信第三方实体来担保用户的身份。第三方实体称为证书颁发机构CA，它向用户颁发数字证书，证书中含有用户名、公开密钥以及其他身份信息。由于这些信息都由证书颁发机构对之进行了数字签名，就形成一个证明这个公开密钥可靠性的证书，因而现在就可以传输和存储这些证书了。 4.3 公钥管理与公钥基础设施 4.3.1数字证书 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 在大型网络中，这样的证书颁发机构(CA)有多个。如