密钥管理概述
密钥管理包括密钥的生成、加载、保存、备份、分配、更新、吊销和销毁,分配和保存是最棘手的问题。
生成密钥:
集中密钥生成:由受信任密钥管理中心的分布式密钥生成。 网络中的多个节点协商密钥分配。
集中式:由受信任的密钥管理中心分发给用户(存在单点故障)的分布式;多台服务器通过协商分发密钥类型)。
主密钥:加密密钥的密钥。 通常由自然界的真实随机现象提取或者由伪随机数生成器生成
密钥加密密钥:传输会话密钥时用于加密会话密钥的密钥,也称为次主密钥或次密钥。
由随机数发生器生成。 密钥管理员也可以选择
会话密钥:通信双方交换数据时使用的密钥
在密钥加密密钥控制下通过加密算法动态生成
伪随机数生成器(PRBG)的概念
PRBG的基本安全要求:
其输出序列和真正的随机序列在统计上应该是不可区分的,对于有有限计算资源的敌人来说,输出位是不可预测的BBS伪随机比特生成器
安全性高的整数分解带来的困难性
基于RSA的伪随机比特生成器
Micali-Schnorr伪随机比特生成器
密钥分配
取决于密钥的传输方法。
公钥分配对称密钥分配公钥分发
广播公钥分发。
-此方法必须允许基于目录的公钥分发,以验证广播的公钥。
-受信任机构维护公开、动态、可访问的公钥目录,参与者可以通过常规或信任渠道向机构注册公钥,并管理自己的密钥。 其他用户可以根据公共渠道访问和分发公钥管理机构。
在线服务器公钥分发方案
每个用户都知道公钥管理机构的公钥,机构的私钥只有机构自己知道。 如果用户a想要获得用户b的公钥,则向机构发送请求,机构签名b的公钥并将其发送到a公钥证书以分发公钥:
此方法不要求受信任的服务器在线
公钥证书由可信证书管理机构CA生成,内容包括用户身份、证书有效期、公钥等信息。 所有信息由CA用自己的私钥签名后,形成了公钥证书。设计密码方案必须考虑的因素
通信量和存储量应尽可能小,每对用户各自独立地使用会话密钥按照是否需要可信第三方
无中心密钥分发中心密钥分发有共享密钥或已知公钥的无中心密钥分发
将分发随机生成的会话密钥k
a--bekab(k )/Ekb(K ) ) )。
无共享密钥的密钥分发
该方法适用于中间人攻击有中心对称密钥的分发
根据是否使用公钥以及密钥是否由中心生成,可分为以下几类
基于对称密钥,会话密钥由通信对方生成
基于对称密钥,会话密钥由受信任中心生成
例Needham-Schroeder密钥分发协议
有对称密码体制和非对称密码体制两个版本基于对称密钥体制协议流程
基于公钥,会话密钥由一方生成,或者由双方共同生成
参与通信的一方或双方选择对称密钥,使用另一方公钥进行加密,并发送给另一方。
例http://www.Sina.com/http://www.Sina.com /
该协议无条件安全密钥分发方案Needham-Schroeder密钥分发协议
PKI的核心理论:公钥密码学,主要技术由加密、认证、数字签名、信任模型等PKI系统组成,包括认证中心(CA )、证书库、Web安全通信平台、注册审查机构(RA )等
X.509是基于公钥加密系统的用户间认证的对称密钥传送功能。
其认证方式包括单向认证、双向认证、三向认证。
方案使用基于时间戳和随机数的“挑战-响应”方法。