資源描述:
《密匙管理技術(shù)》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、密匙管理技術(shù)2010—2011學(xué)年第二學(xué)期課程名稱(chēng):信息安全技術(shù)任課教師:吳天寶題目:密匙管理技術(shù)學(xué)號(hào):CST09107姓名:唐文澤年級(jí):2009級(jí)專(zhuān)業(yè):計(jì)算機(jī)科學(xué)與技術(shù)提交口期:2011年6月24fl評(píng)語(yǔ);成績(jī):評(píng)卷人:密匙管理技術(shù)摘要:進(jìn)入二十一世紀(jì)以來(lái)���,網(wǎng)絡(luò)技術(shù)高速發(fā)展。與此同時(shí)����,網(wǎng)絡(luò)存在的安全問(wèn)題也口益突現(xiàn)。作為-?種町靠的安全模型���,端到端安全因能夠提供高于其他安全系統(tǒng)的安全性����,成為互聯(lián)網(wǎng)通信、無(wú)線網(wǎng)絡(luò)通信領(lǐng)域的熱門(mén)話題���。從實(shí)現(xiàn)安全的目的而言,端到端安全至少包含端到端勁份認(rèn)證��、端到端力口密兩個(gè)重要部分?��,F(xiàn)有的端到端身份認(rèn)證多采用了公開(kāi)密鑰系統(tǒng)。在公開(kāi)密鑰系統(tǒng)中����,通信雙方各口持有對(duì)
2、密鑰對(duì)��,其中公鑰公開(kāi)��,私鑰保密�����。傳統(tǒng)的公鑰系統(tǒng)都是基于證書(shū)體系的��,即公鑰的分配依靠證書(shū)來(lái)實(shí)現(xiàn)��。證書(shū)中包含了用戶的身份ID�����、公鑰�����、證書(shū)的有效期以及權(quán)威機(jī)構(gòu)(CA)對(duì)該證書(shū)的簽名�����,只有經(jīng)過(guò)CA簽名的證書(shū)才是冇效��、合法的證書(shū)����。因而��,CA在基于證書(shū)的公鑰系統(tǒng)中��,起著至關(guān)重耍的作用,證書(shū)的簽發(fā)�����、更新��、撤銷(xiāo)與驗(yàn)證都離不開(kāi)它�����。但是�,證書(shū)的管理是要耗費(fèi)一定資源的�����,因?yàn)镃A往往需要管理龐人的證書(shū)��,同時(shí)����,還增加了通信雙方進(jìn)行證書(shū)認(rèn)證的步驟�����。基于公鑰密碼系統(tǒng)的端到端加密也存在著依靠CA的問(wèn)題��。木文著重分析了密鑰管理的分類(lèi)和結(jié)構(gòu)��,圍繞端到端身份認(rèn)證����、端到端力口密的密鑰管理進(jìn)行研究�����。關(guān)鍵字:端到端安全���,密匙管理技
3��、術(shù)�����,CA—.引言隨著互聯(lián)網(wǎng)的不斷發(fā)展��,越來(lái)越多的人們開(kāi)始嘗試在線交易��。然而病毒��、黑客����、網(wǎng)絡(luò)釣魚(yú)以及網(wǎng)頁(yè)仿冒詐騙等惡意威脅�����,給在線交易的安全性帶來(lái)了極大的挑戰(zhàn)��。層出不窮的網(wǎng)絡(luò)犯罪���,引起了人們對(duì)網(wǎng)絡(luò)身份的信任危機(jī)�����,如何證明〃我是誰(shuí)?〃及如何防止身份冒用等問(wèn)題一次成為人們關(guān)注的焦點(diǎn)����。而在許多應(yīng)用環(huán)境中�,數(shù)據(jù)直接在節(jié)點(diǎn)之間進(jìn)行交換��,而并不通過(guò)一個(gè)中心服務(wù)器�。在這樣的壞境下,用戶與用戶之間的端到端身份認(rèn)證與客戶端/服務(wù)器模型下的認(rèn)證有許多不同�。端到端身份認(rèn)證可以定義為處于同等地位的兩個(gè)網(wǎng)絡(luò)實(shí)體可以通過(guò)某種機(jī)制認(rèn)證對(duì)方的合法性的一種安全機(jī)制。端到端的身份認(rèn)證特別在點(diǎn)對(duì)點(diǎn)應(yīng)用網(wǎng)絡(luò)屮具有極其廣闊的應(yīng)用��。
4����、現(xiàn)有的用戶與用戶Z間的身份認(rèn)證的解決方案都是基于公鑰密碼體制,存在著需要對(duì)公鑰的進(jìn)行認(rèn)證����、效率低下以及運(yùn)行時(shí)需要可信第三方等問(wèn)題���。端到端加密的核心問(wèn)題在于密鑰管理����。密鑰管理包活密鑰的交換或者協(xié)商�����、密鑰的產(chǎn)生與存儲(chǔ)等等問(wèn)題����。如果密鑰的管理做不到安全有效�,端到端的加密也無(wú)法實(shí)現(xiàn)�。二.密匙管理(一)密匙管理概述密匙管理包括,從密鑰的產(chǎn)生到密鑰的銷(xiāo)毀的各個(gè)方而�����。主要表現(xiàn)于管理體制�、管理協(xié)議和密鑰的產(chǎn)生���、分配���、更換和注入等。對(duì)于軍用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)�����,由于用戶機(jī)動(dòng)性強(qiáng)�,隸屬關(guān)系和協(xié)同作戰(zhàn)指揮等方式復(fù)朵,因此����,對(duì)密鑰管理捉出了更高的耍求。(二)密匙流程1.密鑰生成密鑰長(zhǎng)度應(yīng)該足夠長(zhǎng)����。一般來(lái)說(shuō)���,密鑰長(zhǎng)度越
5��、人�,對(duì)應(yīng)的密鑰空間就越大����,攻擊者使用窮舉猜測(cè)密碼的難度就越人。選擇好密鑰���,避免弱密鑰�。曲口動(dòng)處理設(shè)備牛成的隨機(jī)的比特串是好密鑰��,選杼密鑰時(shí)����,應(yīng)該避免選擇一個(gè)弱密鑰。對(duì)公鑰密碼體制來(lái)說(shuō)�����,密鑰生成更加困難,因?yàn)槊荑€必須滿足某些數(shù)學(xué)特征�。2.密鑰分發(fā)采川對(duì)稱(chēng)加密算法進(jìn)行保密通信,需要共享同一密鑰�����。通常是系統(tǒng)中的一個(gè)成員先選擇—?個(gè)秘密密鑰����,然后將它傳送另一個(gè)成員或別的成員。X9.17標(biāo)準(zhǔn)描述了兩種密鑰:密鑰加密密鑰和數(shù)據(jù)密鑰���。密鑰加密密鑰加密其它需要分發(fā)的密鑰��;而數(shù)據(jù)密鑰只對(duì)信息流進(jìn)行加密����。密鑰加密密鑰一?般通過(guò)手工分發(fā)��。為增強(qiáng)保密性�����,也町以將密鑰分成許多不同的部分然后用不同的信道發(fā)送出去。3
6�����、.驗(yàn)證密鑰密鑰附著一些檢錯(cuò)和糾錯(cuò)位來(lái)傳輸�,當(dāng)密鑰在傳輸中發(fā)生錯(cuò)謀時(shí)����,能很容易地被檢查出來(lái),并11如果需要��,密鑰可被重傳����。接收端也可以驗(yàn)證接收的密鑰是否正確。發(fā)送方用密鑰加密一個(gè)常量�����,然后把密文的前2-4字節(jié)與密鑰一?起發(fā)送��。在接收端�,做同樣的工作,如果接收端解密后的常數(shù)能與發(fā)端常數(shù)匹配�,則傳輸無(wú)錯(cuò)。1.更新密鑰當(dāng)密鑰需要頻繁的改變時(shí),頻繁進(jìn)行新的密鑰分發(fā)的確是困難的事���,一種更容易的解決辦法是從I口的密鑰屮產(chǎn)生新的密鑰��,有吋稱(chēng)為密鑰更新�����?��?梢允褂脝蜗蚝瘮?shù)進(jìn)行更新密鑰。如果雙方共享同一密鑰����,并用同一個(gè)單向函數(shù)進(jìn)行操作,就會(huì)得到相同的結(jié)果���。2.密鑰存儲(chǔ)密鑰可以存儲(chǔ)在腦子����、磁條卡��、科能卡中���。也可
7�、以把密鑰平分成兩部分,一半存入終端—?半存入ROM密鑰���。述對(duì)采用類(lèi)似于密仞加密密鑰的方法對(duì)難以記憶的密仞進(jìn)行加密保存。3.備份密鑰密鑰的備份可以采川密鑰托管����、秘密分割�、秘密共享等方式。最簡(jiǎn)單的方法���,是使用密鑰托管中心�。密鑰托管要求所有用戶將自己的密鑰交給密鑰托管中心�,由密鑰托管中心備份保管密鑰(如鎖在某個(gè)地方的保險(xiǎn)柜里或用主密鑰対它們進(jìn)行加密保存),一旦用戶的密鑰丟失(如用戶遺忘了密鑰或用戶意外死亡)����,按照一定的規(guī)章制度,對(duì)從密鑰托
