信息安全技术基础第6章.pptVIP

目 录 6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用 * 6.4 数字证书 数字证书（以下简称证书）是PKI应用中的核心，是实体公钥的载体，以及公钥和身份的绑定。 X.509数字证书 * 6.4.1 数字证书结构 * 6.4.2 数字证书编码 1. ASN.1 抽象文法定义ASN.1（Abstract Syntax Notation One）是ISO/IEC和ITU-T的标准，在X.680文档中定义。在通信和计算机网络中，ASN.1用于声明、编码、传输和解码数据，它提供了一个不依赖具体机器编码技术描述对象结构的形式化规则集，实现对数据类型、数据以及数据类型约束的定义。 * 第6章 密钥管理 学习目标 对称密码中密钥的管理与分发 公钥密码中密钥管理与应用——公钥基础设施PKI 公钥基础设施中公钥载体——数字证书 密钥管理是密码技术应用的核心，本章讲解对称密钥和公钥密码应用中的密钥管理和应用技术。 * 目 录 6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用 * 如何保证密钥安全？ * 6.1 密钥安全概述 需要回答的问题： 对称密码要求密钥被共享双方（或多方）持有，密钥在持有者间高度的保密。考虑密钥在哪里产生？如何分发？如何定期更新？若处理密钥泄露？ 公钥密码中：密钥对如何产生？谁来产生？私钥要求绝对地保密，如何存储？你所使用的公钥是有效并正确的吗？私钥泄露或丢失如何更新密钥对？ * 信息安全技术基础 张浩军 6.1 密钥安全概述 解决途径： 引入可信第三方TTP（Trusted Third Party）， 密钥分发中心KDC（Key Distribution Centre），作为密钥管理的中心， 公钥基础设施管理体系中被称为授权中心CA（Certification Authority） * 6.1 密钥安全概述 密钥产生算法及实现是保证密钥质量的根本，密钥产生应具有较好的随机性。 密钥长度决定了密钥空间大小，也决定了密码强度。 密钥的存储，口令加密文件；智能卡、USB Key等存储设备。 密钥应有有效期，密钥更新。 * 密钥管理是贯穿密钥生命周期的一个过程，需要机制、人、技术、法律等各方面的保障。 目 录 6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用 * 6.2.1 对称密钥管理与分发 简单例子：一个共享密钥密码系统中，由一个参与主体产生密钥，并通过安全方式分发给其他参与实体。 * 基于公钥密码交换共享密钥 6.2.1 对称密钥管理与分发 NS密钥分发协议 * 几个思考问题 （1）请分析这个协议的正确性，即正确并完整地执行该协议后，A和B能够共享一个会话密钥。 （2）为什么T不分别使用与A和B共享的密钥加密Kab直接传递给A和B？ （3）协议消息⑤的有何作用？ （4）协议消息①没有任何保护，是否对协议自身的安全性造成影响？ （5）协议执行完成，A和B都能够确认对方已经拥有正确的Kab了吗？ * 6.2.2 密钥层次化使用 主密钥MK（Master Key）。一般用人工方式建立，或借助密钥协商机制（如DH密钥协商协议）或公钥密码体制完成主密钥协商或传递。 密钥确认密钥KCK（Key Confirmation Key）：用于在通信会话中产生消息认证码。 密钥加密密钥KEK（Key-encrypting Keys）。在密钥传输协议中加密其他密钥。 临时密钥TK（Temporal Key），也称会话密钥（Session Key）。用于加密用户的通信数据。 * 如何构建方便易用、安全可靠的公钥密码应用体系？ * 目 录 6.1 概述 6.2 对称密钥管理 6.3 公钥基础设施PKI 6.4 数字证书 6.5 基于PKI典型应用 * 6.3.1 公钥基础设施PKI概述 公钥基础设施PKI（Public Key Infrastructure） 理解Infrastructure * 如何能够方便地获得所需的有效的、正确的公钥？ 6.3.1 公钥基础设施PKI概述 PKI是指使用公钥密码技术实施和提供安全服务的具有普适性的安全基础设施。 PKI通过权威第三方机构——授权中心CA（Certification Authority）以签发数字证书形式发布有效实体的公钥。 数字证书（Certificate，简称证书）是一种特殊的电子文档（也称电子凭证），包括公钥持有者（称为主题）的信息（名称、地址）及其公钥，有效期、使用方法等信息。数字证书将证书持有者的身份及其公钥绑定在一起。 * 6.3.1 公钥基础设施PKI概述 有了PKI，安全应用