密钥分配与管理.pptVIP

3.公开密钥管理机构通过更严格地控制公开密钥从目录中分配出去的过程就可以使得公开密钥的分配更安全。它比公开可用目录多了公开密钥管理机构和通信方的认证以及通信双方的认证。在公开密钥管理机构方式中，有一个中心权威机构维持着一个有所有参与者的公开密钥信息的公开目录，而且每个参与者都有一个安全渠道得到该中心权威机构的公开密钥，而其对应的私有密钥只有该中心权威机构才持有。 这样任何通信方都可以向该中心权威机构获得他想要得到的其他任何一个通信方的公开密钥，通过该中心权威机构的公开密钥便可判断它所获得的其他通信方的公开密钥的可信度。公开密钥证书公开密钥管理机构往往会成为通信网络中的瓶颈。如果不与公开密钥管理机构通信，又能证明其他通信方的公开密钥的可信度，那么既可以解决公开宣布和公开可用目录的安全问题，又可以解决公开密钥管理机构的瓶颈问题，这可以通过公开密钥证书来实现。目前，公开密钥证书即数字证书是由证书授权中心CA颁发的。CA作为网络通信中受信任的第三方，承担检验公开密钥的合法性的责任。CA中心为每个使用公开密钥的用户发放一个数字证书（经CA签名的包含公开密钥拥有者信息以及公开密钥的文件），数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。证书的格式遵循X.509标准。数字证书采用公开密钥体制，即利用一对匹配的密钥进行加密、解密。每个用户自己设定一把仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公开密钥并由本人公开，为一组用户所共享，用于加密和验证签名。公开密钥加密进行常规加密密钥分配由于公开密钥加密和解密的速度都相当慢，所以公开密钥加密更多的时候是用于常规加密密钥的分发。这种方式把公开加密和常规加密的优点很好地整合在一起。保证了常规加密密钥的安全性。用常规加密方法来保护传送的数据，由于其加密密钥是安全的，因而其传送的数据也是安全的，同时也利用了常规加密速度快的特点，因而这种方法有很强的适应性。公开密钥简单密钥分配发起方A响应方BKUa||IDaEKUa[Ks]问题？容易收到主动攻击02漏洞？01如何攻击？03网络信息安全

密钥分配与管理密钥分配与管理目前，大部分加密算法都已经公开了，像DES和RSA等加密算法甚至作为国际标准来推行。因此明文的保密在相当大的程度上依赖于密钥的保密。01在现实世界里，密钥的分配与管理一直是密码学领域较为困难的部分。设计安全的密钥算法和协议是不容易的，但可以依靠大量的学术研究。相对来说，对密钥进行保密更加困难。因而，如何安全可靠、迅速高效地分配密钥，如何管理密钥一直是密码学领域的重要问题。02密钥分配方案要使常规加密有效地进行，信息交互的双方必须共享一个密钥，并且这个密钥还要防止被其他人获得。1要使公开加密有效地进行，信息接收的一方必须发布其公开密钥，同时要防止其私有密钥被其他人获得。2密钥还需经常更换，以便在攻击者知道密钥的情况下使得泄漏的数据量最小化。对于通信的双方A和B，密钥的分配可以有以下的几种方法：3密钥可以由A选定，然后通过物理的方法安全地传递给B。密钥可以由可信任的第三方C选定，然后通过物理的方法安全地传递给A和B。上述方法由于需要对密钥进行人工传递，对于大量连接的现代通信而言，显然不适用。如果A和B都有一个到可信任的第三方C的加密连接，那么C就可以通过加密连接将密钥安全地传递给A和B。采用的是密钥分配中心技术，可信任的第三方C就是密钥分配中心KDC(keydistributecenter)，常常用于常规加密密钥的分配。如果A和B都在可信任的第三方发布自己的公开密钥，那么它们都可以用彼此的公开密钥加密进行通信。采用的是密钥认证中心技术，可信任的第三方C就是证书授权中心CA(certificateauthority)，更多用于公开加密密钥的分配。主要讲(3)KDC(4)CA方式1.集中式密钥分配方案由一个中心节点或者由一组节点组成层次结构负责密钥的产生并分配给通信的双方，在这种方式下，用户不需要保存大量的会话密钥，只需要保存同中心节点的加密密钥，用于安全传送由中心节点产生的即将用于与第三方通信的会话密钥。这种方式缺点是通信量大，同时需要较好的鉴别功能以鉴别中心节点和通信方。目前这方面的主流技术是密钥分配中心KDC技术。我们假定每个通信方与密钥分配中心KDC之间都共享一个惟一的主密钥，并且这个惟一的主密钥是通过其他安全的途径传递的。A?KDC：IDa||IDb||N1KDC?A：EKa[Ks||IDa||IDb||N1||EKb[Ks||I