? 关于作业
? 第二次课没有作业
? 课程 E-mail,dzswaq-y@dlc.zju.edu.cn
? 请注明 学号, 姓名, 教学站 等
? 关于课件 PPT
? 远程网站可供下载
http://www.zjuyc.com
? Zip压缩格式,可用 WinZip,WinRAR解压
第五章 密钥管理与数字证书
5.1 密钥的结构与分配
5.2 第三方密钥托管协议
5.3 公钥基础设施与认证链
5.4 安全认证机构与系统介绍
5.1 密钥的结构与分配
?密钥管理概述
?密钥的组织结构
?多层密钥的体制
?密钥的连通和分割
?密钥的自动分配
?密钥管理概述
? 密钥管理的重要性,
? 所有的密码技术都 依赖 于密钥。
? 密钥的管理本身是一个很复杂的课题,而且是
保证安全性的 关键点 。
? 密钥管理( Key Management),
密钥管理是一门综合性的技术,涉及密钥的产生、
检验、分发、传递、保管、使用、销毁的全部过程,
还与密钥的行政管理制度以及人员的素质密切相关。
密钥管理的目的,
维持系统中各实体之间的密钥关系,以抗击
各种可能的威胁,
?密钥的泄露
?秘密密钥或公开密钥的身份的真实性丧失
?未经授权使用
?密钥管理概述
密钥管理的方法
?由一种安全策略来指导密钥的产生, 存储, 分配,
删除, 归档及应用 。
?具体的密钥管理方法因所使用的密码体制(对称密
码体制和公钥密码体制)而异。
?密钥管理概述
密钥管理系统的要求
应当尽量不依赖于人的因素,
?密钥难以被非法窃取;
?在一定条件下窃取了密钥也没有用;
?密钥的分配和更换过程对用户是透明的 。
?密钥管理概述
一个密钥系统可能有若干种不同的组成部分,可以将各
个部分划分为一级密钥、二级密钥,……, n级密钥,
组成一个 n层密钥系统。
?密钥的组织结构
多层密钥系统的基本思想 —— 用密钥保护密钥
?密钥的组织结构
密钥分类,
?工作密钥,最底层的密钥,直接
对数据进行加密和解密;
?密钥加密密钥,最底层上所有的
密钥,对下一层密钥进行加密;
?主密钥,最高层的密钥,是密钥
系统的核心。
?密钥的组织结构
?将用于数据加密的密钥称 三级密钥,也称 工作密钥 ;
?保护三级密钥的密钥称 二级密钥,也称 密钥加密密钥 ;
?保护二级密钥的密钥称 一级密钥,也称 主密钥 。
例如三层密钥系统
因此,二级密钥相对于三级密钥来说,是加密密
钥;相对于一级密钥来说,又是工作密钥。
?多层密钥的体制
?单层密钥体制,如果一个密钥系统的功能很简单,可
以简化为单层密钥体制,如 早期的保密通信体制 。
?多层密钥体制,如果密钥系统要求密钥能定期更换,
密钥能自动生成和分配等其他的功能,则需要设计成多
层密钥体制,如 网络系统和数据库系统中的密钥体制 。
密钥体制的层次选择 —— 由功能决定
?多层密钥的体制
?安全性大大提高 —— 下层的密钥被破译不会影响到上
层密钥的安全;
?为密钥管理自动化带来了方便 —— 除一级密钥由人工
装入以外,其他各层密钥均可由密钥管理系统实行动态
的自动维护。
多层密钥体制的优点,
?密钥的连通和分割
?密钥的连通 —— 连通是指可以在网络的一定范围里实
现保密通信和资源共享;
?密钥的分割 —— 分割是指实现保密通信和资源共享的
网络范围的限制。
概念相反,本质相同
?密钥的连通和分割
?连通 —— 相互之间实现保密通信和资源共享,最高的
连通能力是任意两个用户间均可建立独立的密码互通;
?分割 —— 限制可进行密码互通的范围,使每个用户只
能与 1023个用户中的某个子集进行密码互通。
例如:一个 1023个用户的局域网
?密钥的连通和分割
?从密钥使用的形式看
?按空间分割,不同密级的数据、不同的部门等;
?按时间分割,不同的时间。
密钥分割的方法
?从实现方法看
?静态分割,注入密码时就给定连通范围;
?动态分割,定期向规定范围内的用户传递密钥。
?密钥的自动分配
规定使用期限的原因,
?拥有大量的密文有助于密码分析;一个密钥使用得太
多了,会给攻击者增大收集密文的机会;
?密钥使用一段时间之后有可能被窃取或泄露,限定密
钥的使用期限就相当于限制危险的发生。
密钥的使用期限,授权使用该密钥的期限
?密钥的自动分配
制定使用期限的依据,
不是取决于在这段时间内密码能否被破译,而是从概率
的意义上看密钥机密是否有可能被泄露。
密钥分配的要求,
?尽可能的经常更换;
?尽量减少人的参与;
?实现密钥自动分配。
?密钥的自动分配
密钥分配技术 —— 密钥分配中心
密钥分配中心( KDC,Key Distribution Center) 统一
管理和分配密钥,实现密钥的动态分配。
密钥分配中心的基本思想,
?每个用户需保管与 KDC之间使用的密钥加密密钥 ;
?密钥分配中心为每个用户保存互不相同的密钥加密密
钥 。
?密钥的自动分配
利用 KDC进行通信,1.向密钥分配中心申请;
2.密钥分配中心就把用密钥加密密钥加过密的工作密钥
分别发送给主叫用户和被叫用户;
3.通信双方用工作密钥进行通信。
5.2 第三方密钥托管协议
?密钥托管的概念
?密钥托管的应用
?密钥托管的概念
什么是密钥托管,
密钥托管指把通信双方的会话密钥交由合法的第三方,
以便让合法的第三方利用得到的会话密钥解密双方通
信的内容,从而监视双方的通信。
密钥托管的机构,
政府部门和法律执行部门
?密钥托管的概念
密钥托管的争论,
? 为防止未授权信息泄露提供工具;
? 依法监视犯罪分子的通信活动;
但将泄露私人秘密。
因此,要进行密钥托管,需要政府制定相应的法规,
并要严格控制。
?密钥托管的应用
密钥托管的几个应用,
? 当用户不小心丢失或破坏了密钥, 通过向密钥托管机
构申请, 可以使用户恢复出加密的文件或资料 。
? 当执行加密的用户不在时, 可把加密后的文件传送给
密钥托管者, 密钥托管者解密后就可把它传送给合法
用户 。
5.3 公钥基础设施与认证链
?公钥基础设施的概念
?数字证书的概念
?CA认证中心
?公钥基础设施的概念
什么是公钥基础设施,
公钥基础设施( PKI,Public Key Infrastructure) 是指
用公钥原理和技术实施和提供安全服务的具有普适性的
安全基础设施。
PKI是一种标准的密钥管理平台,它能够为所有网络应
用透明地提供采用加密和数据签名等密码服务所必需的
密钥和证书管理。
密钥生命周期
密钥产生
证书签发
密钥使用
证书检验
密钥过期
密钥更新
?公钥基础设施的概念
一个完整的 PKI至少应该包括,
?认证机构 (CA)
?证书库
?证书注销
?密钥备份和恢复
?自动密钥更新
?支持不可否认
?公钥基础设施的概念
PKI的基本组件包括,
? RA(Registration Authority)
?注册机构 建立信任关系
? CA(Certificate Authority)
?认证中心 发证
? 证书库 /目录
?保存证书,供公开访问
?数字证书的概念
什么是数字证书,
由 CA认证中心发放的一个数字文件,数字证书也称公开
密钥证书,在网络通信中标志通信各方身份信息的一系
列数据。
?证书 (certificate),有时候简称为 cert;
?证书包含了 用户身份信息, 用户公钥信息 以及 身份验
证机构数字签名 等数据。
?数字证书的概念
证书的结构
?数字证书的概念
? 证书是一个机构颁发给一个安全个体的证明,所以证
书的权威性取决于该机构的权威性
? 一个证书中,最重要的信息是个体名字、个体的公钥
、机构的签名、算法和用途
?数字证书的概念
? 电子交易中主要的两种证书,
? 持卡人证书,支付卡的电子化表示
? 商家证书,接受银行卡结算的方式
? 最常用的证书格式,
X.509 V3
X.509证书格式
? 版本 1,2,3
? 序列号
? 在 CA内部唯一
? 签名算法标识符
? 指该证书中的签名算法
? 签发人名字
? CA的名字
? 有效时间
? 起始和终止时间
? 个体名字
? 个体的公钥信息
数字证书示意图
?CA认证中心
CA认证中心( Certification Authority) ——
受信任的第三方机构,负责数字证书的发放、验证等。
?CA认证中心
CA认证中心的功能,
? 证书的颁发
? 证书的更新
? 证书的查询
? 证书的作废
? 证书的归档
? 提供密钥托管和密钥恢复服务
?CA认证中心
CA的层次结构,
? 对于一个运行 CA的大型权威机构而言,签发证书
的工作不能仅仅由一个 CA来完成
? 它可以建立一个 CA层次结构
根 CA
中间 CA
?CA认证中心
证书的树型验证结构,双方通信时,通过出示由某个 CA签发的证书来证明自己的
身份。如果对签发证书的 CA本身再不信任,则可验证 CA的
身份,一直到权威的根 CA处,就可确信证书的有效性。
5.4 安全认证机构与系统介绍
?VeriSign数字凭证的申请操作
1.进入 VeriSign的 Digital ID申请主页
http://digitalid.verisign.com
2.填写申请单
3.确认申请内容,获得数字凭证
1.进入 VeriSign的 Digital ID申请主页
http://digitalid.verisign.com
申请免费的 Digital ID
2.填写申请单
选择申请类型 —— 免费 Digital ID
3.确认申请内容,获得数字凭证
?利用申请的数字凭证在 Outlook Express中
发送数字签名信件
1.在 Outlook Express设置对应的数字证书
2.使用数字签名发送数字签名邮件
1.在 Outlook Express设置对应的数字证书
2.使用数字签名发送数字签名邮件
小结
五、密钥管理与数字证书
? 密钥的结构与分配
? 第三方密钥托管协议
? 公钥基础设施与认证链
? 安全认证机构与系统介绍
? VeriSign数字凭证的申请操作
? 在 Outlook Express中发送数字签名信件
作业
1.列举密钥管理的基本要求
2.说明多 层密钥体制的原理及优点
3.到 VeriSign网站申请免费的个人数字凭证,
并发送进行数字签名的作业
谢 谢!
? 第二次课没有作业
? 课程 E-mail,dzswaq-y@dlc.zju.edu.cn
? 请注明 学号, 姓名, 教学站 等
? 关于课件 PPT
? 远程网站可供下载
http://www.zjuyc.com
? Zip压缩格式,可用 WinZip,WinRAR解压
第五章 密钥管理与数字证书
5.1 密钥的结构与分配
5.2 第三方密钥托管协议
5.3 公钥基础设施与认证链
5.4 安全认证机构与系统介绍
5.1 密钥的结构与分配
?密钥管理概述
?密钥的组织结构
?多层密钥的体制
?密钥的连通和分割
?密钥的自动分配
?密钥管理概述
? 密钥管理的重要性,
? 所有的密码技术都 依赖 于密钥。
? 密钥的管理本身是一个很复杂的课题,而且是
保证安全性的 关键点 。
? 密钥管理( Key Management),
密钥管理是一门综合性的技术,涉及密钥的产生、
检验、分发、传递、保管、使用、销毁的全部过程,
还与密钥的行政管理制度以及人员的素质密切相关。
密钥管理的目的,
维持系统中各实体之间的密钥关系,以抗击
各种可能的威胁,
?密钥的泄露
?秘密密钥或公开密钥的身份的真实性丧失
?未经授权使用
?密钥管理概述
密钥管理的方法
?由一种安全策略来指导密钥的产生, 存储, 分配,
删除, 归档及应用 。
?具体的密钥管理方法因所使用的密码体制(对称密
码体制和公钥密码体制)而异。
?密钥管理概述
密钥管理系统的要求
应当尽量不依赖于人的因素,
?密钥难以被非法窃取;
?在一定条件下窃取了密钥也没有用;
?密钥的分配和更换过程对用户是透明的 。
?密钥管理概述
一个密钥系统可能有若干种不同的组成部分,可以将各
个部分划分为一级密钥、二级密钥,……, n级密钥,
组成一个 n层密钥系统。
?密钥的组织结构
多层密钥系统的基本思想 —— 用密钥保护密钥
?密钥的组织结构
密钥分类,
?工作密钥,最底层的密钥,直接
对数据进行加密和解密;
?密钥加密密钥,最底层上所有的
密钥,对下一层密钥进行加密;
?主密钥,最高层的密钥,是密钥
系统的核心。
?密钥的组织结构
?将用于数据加密的密钥称 三级密钥,也称 工作密钥 ;
?保护三级密钥的密钥称 二级密钥,也称 密钥加密密钥 ;
?保护二级密钥的密钥称 一级密钥,也称 主密钥 。
例如三层密钥系统
因此,二级密钥相对于三级密钥来说,是加密密
钥;相对于一级密钥来说,又是工作密钥。
?多层密钥的体制
?单层密钥体制,如果一个密钥系统的功能很简单,可
以简化为单层密钥体制,如 早期的保密通信体制 。
?多层密钥体制,如果密钥系统要求密钥能定期更换,
密钥能自动生成和分配等其他的功能,则需要设计成多
层密钥体制,如 网络系统和数据库系统中的密钥体制 。
密钥体制的层次选择 —— 由功能决定
?多层密钥的体制
?安全性大大提高 —— 下层的密钥被破译不会影响到上
层密钥的安全;
?为密钥管理自动化带来了方便 —— 除一级密钥由人工
装入以外,其他各层密钥均可由密钥管理系统实行动态
的自动维护。
多层密钥体制的优点,
?密钥的连通和分割
?密钥的连通 —— 连通是指可以在网络的一定范围里实
现保密通信和资源共享;
?密钥的分割 —— 分割是指实现保密通信和资源共享的
网络范围的限制。
概念相反,本质相同
?密钥的连通和分割
?连通 —— 相互之间实现保密通信和资源共享,最高的
连通能力是任意两个用户间均可建立独立的密码互通;
?分割 —— 限制可进行密码互通的范围,使每个用户只
能与 1023个用户中的某个子集进行密码互通。
例如:一个 1023个用户的局域网
?密钥的连通和分割
?从密钥使用的形式看
?按空间分割,不同密级的数据、不同的部门等;
?按时间分割,不同的时间。
密钥分割的方法
?从实现方法看
?静态分割,注入密码时就给定连通范围;
?动态分割,定期向规定范围内的用户传递密钥。
?密钥的自动分配
规定使用期限的原因,
?拥有大量的密文有助于密码分析;一个密钥使用得太
多了,会给攻击者增大收集密文的机会;
?密钥使用一段时间之后有可能被窃取或泄露,限定密
钥的使用期限就相当于限制危险的发生。
密钥的使用期限,授权使用该密钥的期限
?密钥的自动分配
制定使用期限的依据,
不是取决于在这段时间内密码能否被破译,而是从概率
的意义上看密钥机密是否有可能被泄露。
密钥分配的要求,
?尽可能的经常更换;
?尽量减少人的参与;
?实现密钥自动分配。
?密钥的自动分配
密钥分配技术 —— 密钥分配中心
密钥分配中心( KDC,Key Distribution Center) 统一
管理和分配密钥,实现密钥的动态分配。
密钥分配中心的基本思想,
?每个用户需保管与 KDC之间使用的密钥加密密钥 ;
?密钥分配中心为每个用户保存互不相同的密钥加密密
钥 。
?密钥的自动分配
利用 KDC进行通信,1.向密钥分配中心申请;
2.密钥分配中心就把用密钥加密密钥加过密的工作密钥
分别发送给主叫用户和被叫用户;
3.通信双方用工作密钥进行通信。
5.2 第三方密钥托管协议
?密钥托管的概念
?密钥托管的应用
?密钥托管的概念
什么是密钥托管,
密钥托管指把通信双方的会话密钥交由合法的第三方,
以便让合法的第三方利用得到的会话密钥解密双方通
信的内容,从而监视双方的通信。
密钥托管的机构,
政府部门和法律执行部门
?密钥托管的概念
密钥托管的争论,
? 为防止未授权信息泄露提供工具;
? 依法监视犯罪分子的通信活动;
但将泄露私人秘密。
因此,要进行密钥托管,需要政府制定相应的法规,
并要严格控制。
?密钥托管的应用
密钥托管的几个应用,
? 当用户不小心丢失或破坏了密钥, 通过向密钥托管机
构申请, 可以使用户恢复出加密的文件或资料 。
? 当执行加密的用户不在时, 可把加密后的文件传送给
密钥托管者, 密钥托管者解密后就可把它传送给合法
用户 。
5.3 公钥基础设施与认证链
?公钥基础设施的概念
?数字证书的概念
?CA认证中心
?公钥基础设施的概念
什么是公钥基础设施,
公钥基础设施( PKI,Public Key Infrastructure) 是指
用公钥原理和技术实施和提供安全服务的具有普适性的
安全基础设施。
PKI是一种标准的密钥管理平台,它能够为所有网络应
用透明地提供采用加密和数据签名等密码服务所必需的
密钥和证书管理。
密钥生命周期
密钥产生
证书签发
密钥使用
证书检验
密钥过期
密钥更新
?公钥基础设施的概念
一个完整的 PKI至少应该包括,
?认证机构 (CA)
?证书库
?证书注销
?密钥备份和恢复
?自动密钥更新
?支持不可否认
?公钥基础设施的概念
PKI的基本组件包括,
? RA(Registration Authority)
?注册机构 建立信任关系
? CA(Certificate Authority)
?认证中心 发证
? 证书库 /目录
?保存证书,供公开访问
?数字证书的概念
什么是数字证书,
由 CA认证中心发放的一个数字文件,数字证书也称公开
密钥证书,在网络通信中标志通信各方身份信息的一系
列数据。
?证书 (certificate),有时候简称为 cert;
?证书包含了 用户身份信息, 用户公钥信息 以及 身份验
证机构数字签名 等数据。
?数字证书的概念
证书的结构
?数字证书的概念
? 证书是一个机构颁发给一个安全个体的证明,所以证
书的权威性取决于该机构的权威性
? 一个证书中,最重要的信息是个体名字、个体的公钥
、机构的签名、算法和用途
?数字证书的概念
? 电子交易中主要的两种证书,
? 持卡人证书,支付卡的电子化表示
? 商家证书,接受银行卡结算的方式
? 最常用的证书格式,
X.509 V3
X.509证书格式
? 版本 1,2,3
? 序列号
? 在 CA内部唯一
? 签名算法标识符
? 指该证书中的签名算法
? 签发人名字
? CA的名字
? 有效时间
? 起始和终止时间
? 个体名字
? 个体的公钥信息
数字证书示意图
?CA认证中心
CA认证中心( Certification Authority) ——
受信任的第三方机构,负责数字证书的发放、验证等。
?CA认证中心
CA认证中心的功能,
? 证书的颁发
? 证书的更新
? 证书的查询
? 证书的作废
? 证书的归档
? 提供密钥托管和密钥恢复服务
?CA认证中心
CA的层次结构,
? 对于一个运行 CA的大型权威机构而言,签发证书
的工作不能仅仅由一个 CA来完成
? 它可以建立一个 CA层次结构
根 CA
中间 CA
?CA认证中心
证书的树型验证结构,双方通信时,通过出示由某个 CA签发的证书来证明自己的
身份。如果对签发证书的 CA本身再不信任,则可验证 CA的
身份,一直到权威的根 CA处,就可确信证书的有效性。
5.4 安全认证机构与系统介绍
?VeriSign数字凭证的申请操作
1.进入 VeriSign的 Digital ID申请主页
http://digitalid.verisign.com
2.填写申请单
3.确认申请内容,获得数字凭证
1.进入 VeriSign的 Digital ID申请主页
http://digitalid.verisign.com
申请免费的 Digital ID
2.填写申请单
选择申请类型 —— 免费 Digital ID
3.确认申请内容,获得数字凭证
?利用申请的数字凭证在 Outlook Express中
发送数字签名信件
1.在 Outlook Express设置对应的数字证书
2.使用数字签名发送数字签名邮件
1.在 Outlook Express设置对应的数字证书
2.使用数字签名发送数字签名邮件
小结
五、密钥管理与数字证书
? 密钥的结构与分配
? 第三方密钥托管协议
? 公钥基础设施与认证链
? 安全认证机构与系统介绍
? VeriSign数字凭证的申请操作
? 在 Outlook Express中发送数字签名信件
作业
1.列举密钥管理的基本要求
2.说明多 层密钥体制的原理及优点
3.到 VeriSign网站申请免费的个人数字凭证,
并发送进行数字签名的作业
谢 谢!
