第四章密鑰管理第四章密鑰管理與PKI技術1密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術概述現代密碼技術的一個特點是密碼算法公開，所以在密碼系統中密鑰才是系統真正的。在任何平安系統中，密鑰的平安管理都是一個關鍵要素。由于假設密鑰本身得不到平安維護，那么設計上再好的密碼系統都是徒勞的。在現實世界里，密鑰管理是密碼運用領域中最困難的部分。第四章密鑰管理與PKI技術2密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術密鑰分類密鑰生命周期密鑰的產生隨機產生留意弱密鑰問題密鑰建立技術需求滿足的性質〔1〕數據嚴密〔DataConfidentiality〕。〔2〕篡改檢測〔ModificationDetection〕。〔3〕身份認證〔EntityAuthentication〕。〔4〕密鑰的新穎度〔KeyFreshness〕。〔5〕密鑰控制〔KeyControl〕。〔6〕密鑰的隱式鑒別〔ImplicitKeyAuthentication〕。〔7〕密鑰確實信〔KeyConfirmation〕。〔8〕向前的〔PerfectForwardSecrecy〕。〔9〕效率〔Efficiency〕密鑰的層次構造〔1〕主密鑰〔MasterKey〕。主密鑰處于密鑰層次構造的最高層，沒有其他的密鑰來維護主密鑰，所以主密鑰只能用人工方式建立。〔2〕加密密鑰的密鑰〔Key-encryptingKeys〕。在密鑰傳輸協議中加密其他密鑰〔如會話密鑰〕。這種密鑰維護其下層的密鑰可以平安地傳輸。〔3〕數據密鑰〔DataKeys〕。處于密鑰層次構造的底層，用于加密用戶的數據，以使數據可以平安地傳輸。密鑰的生命周期模型第四章密鑰管理與PKI技術3密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術點對點密鑰建立模型在同一信任域中的密鑰建立模型在多個信任域中的密鑰建立模型第四章密鑰管理與PKI技術4密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術鑒別樹基于身份認證的系統第四章密鑰管理與PKI技術5密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術運用對稱密碼技術的密鑰傳輸機制Shamir設計的3次傳送協議運用對稱密碼技術和可信第三方的密鑰傳輸機制

運用公鑰密碼技術的點到點的密鑰傳輸機制同時運用公鑰密碼技術和對稱密碼技術的密鑰傳輸機制

第四章密鑰管理與PKI技術6密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術根本密鑰導出可鑒別的密鑰導出樹狀的密鑰導出優化的樹狀的密鑰導出第四章密鑰管理與PKI技術7密鑰管理概述根本概念密鑰建立模型公鑰傳輸機制密鑰傳輸機制密鑰導出機制PKI技術PKI的主要功能產生、驗證和分發密鑰。簽名和驗證。獲取證書。懇求證書作廢。獲取CRL。密鑰更新。審計。PKI的構造CA系統框架PKI系統規范PKCS系列規范:PKCS是由美國RSA數據平安公司及其協作同伴制定的一組公鑰密碼學規范，其中包括證書懇求、證書更新、證書廢除表發布、擴展證書內容、數字簽名、數字信封格式等一系列相關協議。數字證書與X.509規范：國際電信聯盟ITUX.509協議，是PKI技術體系中運用最廣泛、也是最根底的一個國際規范。它的主要目的在于定義一個規范的數字證書格式，以便為基于X.500協議的目錄效力提供一種強認證手段。PKI系統的典型運用虛擬公用網絡:虛擬公用網絡〔VPN〕是一種架構在公用通訊根底設備上的公用數據通訊網絡，利用網絡層平安協議〔如IPSec〕和建立在PKI上的加密與簽名技術來獲得平安性維護。平安電子郵件：平安電子郵件協議S/MIME〔TheSecureMultipurposeInternetMailExtension〕。Web平安：SSL〔SecureSocketsLayer〕