信息安全之密钥管理

青衣

信息安全之密钥管理

• 密钥分级
  
• 
  
  
  
  • 初级密钥
    
  • 二级密钥
    
  • 主密钥
    
  
  
• 具有保密性和认证的分配方法
  
• 公钥密码体制的密钥管理
  
• 公钥管理机构分配公钥
  
• 公钥证书
  
• 如何使用证书
  

密钥分级密钥分为初级密钥、二级密钥和主密钥。

初级密钥

• 用于加解密数据的密钥
  
• 初级通信密钥：一个密钥只使用一次，生存周期很短
  
• 初级文件密钥：与其所保护的文件有一样长的生存周期
  
• 初级密钥不能以明文形式保存
  

二级密钥

• 用于保护初级密钥
  
• 不能以明文形式保存
  

主密钥
密钥管理方案中的最高级密钥，用于对二级密钥进行保护。主密钥的生存周期很长
具有保密性和认证的分配方法

① A用B的公钥加密A的身份和一个一次性随机数N1后发送给B；
② B解密得到N1，并用A的公钥加密N1和另外一个随机数N2发送给A；
③ A用B的公钥加密N2后发送给B；
④ A选择一个会话密钥Ks，用A的私钥加密后再用B的公钥加密，发送给B，B用A的公钥和B的私钥解密得Ks。

公钥密码体制的密钥管理

• 公钥密码体制的密钥管理和对称密码体制的密钥管理有着本质的区别。
  
• 对称密码体制的密钥本质上是一种随机数或者随机序列，而公钥密码体制本质上是一种单向陷门函数，建立在某一数学难题之上。
  

公钥管理机构分配公钥

有可能成为系统的瓶颈，目录容易受到敌手的串扰。
对比证书和驾驶证

公钥证书

• 用户通过公钥证书交换各自公钥，无须与公钥管理机构联系
  
• 公钥证书由证书管理机构CA（Certificate Authority）为用户建立。
  
• 证书的形式为
  T-时间，PKA-A的公钥，IDA－A的身份，SKCA－CA的私钥
  
• 时戳T保证证书的新鲜性，防止重放旧证书。
  

如何使用证书

• “客户”->“服务器”：你好
  
• “服务器”->“客户”：你好，我是服务器，这里是我的数字证书
  
• “客户”->“服务器”：向我证明你就是服务器，这是一个随机字符串
  
• “服务器”->“客户”：这是对随机字符串的签名
  

验证“服务器”的身份后，“客户”生成一个对称加密算法和密钥，用于后面的通信的加密和解密。这个对称加密算法和密钥，“客户”会用公钥加密后发送给“服务器”，别人截获了也没用，因为只有“服务器”手中有可以解密的私钥。这样，后面“服务器”和“客户”就都可以用对称加密算法来加密和解密通信内容了。