计算机网络与通信第9章网络安全.pptVIP

加 密 算 法 解 密 算 法 传输的密文 明文输入 鲍伯的公 共密钥环 爱丽斯的 私有密钥 爱丽斯的 公共密钥 发送方：鲍伯 接收方：爱丽斯 图9-5 公钥加密算法的演示 公钥加密方案由6个部分组成，如图9-5所示。 麦克的 公共密钥 泰德的 公共密钥 公钥加密技术的基本步骤如下： ①每个用户都生成一对加密和解密时使用的密钥。 ②每个用户都在公共寄存器或其他访问的文件中放置一个密钥，这个就是公钥。另一个密钥为私钥。每个用户都要保持从他人那里得到的公钥集合。 ③如果鲍伯想要向爱丽斯发送私有消息，鲍伯可以用爱丽斯的公钥加密消息。 ④当爱丽斯收到消息时，她可以用自己的私钥进行解密。其他接收方不能解密消息，因为只有爱丽斯知道她自己的私钥。 常规加密使用的密钥通常叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。而私钥总是保密的。之所以叫做私钥，而不是保密密钥，就是为了避免与常规加密混淆。 2．一些常用的公钥体制 RSA公钥体制是1978年由Rivest、Shamir和Adleman提出的一个公开密钥密码体制，RSA就是以其发明者的首字母命名的。RSA体制被认为是迄今为止理论上最为成熟完善的一种公钥密码体制。 与对称密码体制如DES相比，RSA的缺点是加密、解密的速度太慢。因此，RSA体制很少用于数据加密，而多用在数字签名、密钥管理和认证等方面。 目前许多商业产品采用的公钥算法还有：Dime-Hellman密钥交换、数据签名标准DSS和椭圆曲线密码术等。 9.2.4 密钥管理 1．密钥的生存周期 所有的密钥都有生存期。这主要由于以下两个原因： (1)拥有大量的密文有助于密码分析；一个密钥使用得太多了，会给攻击者增大收集密文的机会。 (2)假定一个密钥受到危及或用一个特定密钥的加密／解密过程被分析，则限定密钥的使用期限就相当于限制危险的发生。 所谓一个密钥的生存周期是指授权使用该密钥的周期。密钥从产生到终结的整个生存期中，都需要加强保护。 通常情况下，一个密钥的生存周期主要经历以下几个阶段： (1)密钥的产生，也可能需要登记。 (2)密钥分发 (3)启用密钥／停用密钥 (4)替换密钥或更新密钥 (5)撤销密钥 (6)销毁密钥 2．保密密钥的分发 密钥分发技术是指将密钥发送到数据交换的两方，而其他人无法看到的方法。密钥分发技术的实现方法有很多种，对交换双方A和B来讲： (1)可以由A选择密钥并实际传送到B； (2)由第三方选择密钥，并实际传送到A和B； (3)如果A和B已经在使用密钥了，则一方可以用旧密钥加密新密钥，然后再传送给另一方； (4)如果A和B都与第三方C有加密连接，则C就可以通过对A和B的加密连接将密钥传送给A和B。 系统的配置由以下部分构成： (1)密钥分发中心（KDC）：密钥分发中心确定哪些系统能够互相通信。当允许两个系统建立连接时，密钥分发中心就成为连接提供临时的会话密钥。 (2)前端处理机：前端处理机执行端一端加密，并代表主机或终端得到会话密钥。 前端处理机 网络 前端处理机 主机 密钥分发中心 主机 ② ③ ④ ① 前端处理机 图9-5 面向连接协议的自动密钥分发 3．公钥的分发 (1)数字证书 数字证书是一条数字签名的消息，它通常用于证明某个实体的公钥的有效性。数字证书的类型有很多种，它们包括： ·X.509公钥证书； ·简单PKI(Simple Public Key Infrastructure)证书； ·PGP(Pretty Good Privacy)证书； ·属性(attributel证书。 版本号 序列号 签名 算法 颁发者 有效期 主体 主体公钥信息 颁发者惟一标识符 扩展 签名 （a） 证书格式 Version number:3 Serial number:0000123 Issuing algorithm:SHA,DH,3837829… Issued by:Me Valid from/to:1/1/93 to12/31/98 Subject name:Alice Smith Subject Publish key information:DH,3813710 Signature:2393702347… （b）证书样式 图9-6 x.509版本3的证书结构 下面介绍证书格式中的各个字段： 版本号：表示证书的版本(如版本1，版本2，或版本3)。 序列号：由证书颁发者分配的本证书的惟一标识符。 签名算法：签名算法是由对象标识符加上相关参数组成的标识符，用于说明本证书所用的数字签名算法。 颁发者：证书颁发者的可识别名。这是必须说明的。 有效期：证书有效的时问