searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享

密钥管理概述

2022-06-30 08:51:54
32
0

密钥管理概述

密钥管理包含:密钥生成、装入、存储、备份、分配、更新、吊销、销毁等内容,分配与存储是最棘手的问题。

密钥生成:

  • 集中式密钥生成:由可信的密钥管理中心
  • 分布式密钥生成:网络中的多个节点协商

密钥分配:

  • 集中式:由可信的密钥管理中心给用户分发(存在单点失效问题)
  • 分布式:多个服务器通过协商来分发

密钥种类:

  • 主密钥:对密钥加密密钥进行加密的密钥,通常通过自然界中的真随机现象提取或由伪随机数生成器来生成
  • 密钥加密密钥:在传输会话密钥时,用来加密会话密钥的密钥,也称次主密钥或二级密钥。由随机数生成器产生,也可由密钥管理员选定
  • 会话密钥:用于通信双方交换数据时使用的密钥。在密钥加密密钥控制下通过加密算法动态产生

 

伪随机数生成器(PRBG)的概念

PRBG的基本安全要求:

  • 其输出序列与真随机序列应该在统计上是不可区分的
  • 对于拥有有限计算资源的敌手而言,输出比特是不可预测的

BBS伪随机比特生成器

安全性基于大整数分解的困难性

在这里插入图片描述

基于RSA的伪随机比特生成器

在这里插入图片描述

Micali-Schnorr伪随机比特生成器

在这里插入图片描述

密钥分配

根据密钥传送的途径不同:

  • 公钥的分配
  • 对称密钥的分配

公钥分发

  • 广播式公钥分发。

-该方法必须能对广播的公钥进行鉴别

  • 目录式公钥分发:

-由可信机构维护一个公开、动态、可访问的公开密钥目录,参与者通过正常或可信渠道到机构登记公开密钥,并允许其对自己的密钥进行管理,其他用户可以基于公开渠道进行访问

  • 公钥管理机构分发:

一种在线服务器公钥分发方式

每个用户知道公钥管理机构的公钥,机构的私钥只由机构自己知道。当用户A想要获取用户B的公钥时,向机构发起请求,机构将B的公钥签名后发给A

  • 公钥证书进行公钥分发:

该方法不需要可信服务器在线

公钥证书由可信证书管理机构CA生成,内容包括用户的身份、证书有效期、公钥等信息。所有信息经CA用自己的私钥签名后形成了公钥证书。

设计密码方案必须考虑的因素

  • 通信量和存储量要尽可能的小
  • 每一对用户都能独立地计算他们之间的会话密钥

按照是否需要可信第三方

  • 无中心的密钥分发
  • 有中心的密钥分发

有共享密钥或已知公钥的无中心密钥分发

分发的是随机生成的会话密钥k

A - -> B Ekab(K)/Ekb(K)

无共享密钥的密钥分发

该方法可能遭受中间人攻击

在这里插入图片描述

有中心对称密钥的分发

根据是否使用公钥以及密钥是否由中心生成,分为:

  • 基于对称密钥,会话密钥由通信方生成

在这里插入图片描述

基于对称密钥,会话密钥由可信中心生成

在这里插入图片描述

Needham-Schroeder密钥分发协议

它有基于对称密码体制和非对称密码体制两个版本

基于对称密钥体制协议流程

在这里插入图片描述

  • 基于公钥,会话密钥由单方生成或者双方共同生成

参与通信的单方或双方选择一个对称密钥,然后使用另一方的公钥将其加密,传送给另一方。

例Needham-Schroeder密钥分发协议

在这里插入图片描述

在这里插入图片描述

Blom密钥分配协议

该协议是一种无条件安全的密钥分配方案

PKI(公钥基础设施)技术

PKI的核心理论:公钥密码学,主要技术包括加密、认证、数字签名、信任模型等

PKI系统组成:认证中心(CA)、证书库、Web安全通信平台、注册审核机构(RA)等

X.509是基于公钥密码系统的用户之间认证的对称密钥传输功能。

其认证方案有单向认证、双向认证、三向认证。

在这里插入图片描述

方案中使用时间戳和基于随机数的“挑战-应答”方式。

————————————————

版权声明:本文为CSDN博主「从春到秋冬」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/Tai_Yang_Yue/article/details/119272939

0条评论
0 / 1000
周****平
48文章数
3粉丝数
周****平
48 文章 | 3 粉丝
周****平
48文章数
3粉丝数
周****平
48 文章 | 3 粉丝

密钥管理概述

2022-06-30 08:51:54
32
0

密钥管理概述

密钥管理包含:密钥生成、装入、存储、备份、分配、更新、吊销、销毁等内容,分配与存储是最棘手的问题。

密钥生成:

  • 集中式密钥生成:由可信的密钥管理中心
  • 分布式密钥生成:网络中的多个节点协商

密钥分配:

  • 集中式:由可信的密钥管理中心给用户分发(存在单点失效问题)
  • 分布式:多个服务器通过协商来分发

密钥种类:

  • 主密钥:对密钥加密密钥进行加密的密钥,通常通过自然界中的真随机现象提取或由伪随机数生成器来生成
  • 密钥加密密钥:在传输会话密钥时,用来加密会话密钥的密钥,也称次主密钥或二级密钥。由随机数生成器产生,也可由密钥管理员选定
  • 会话密钥:用于通信双方交换数据时使用的密钥。在密钥加密密钥控制下通过加密算法动态产生

 

伪随机数生成器(PRBG)的概念

PRBG的基本安全要求:

  • 其输出序列与真随机序列应该在统计上是不可区分的
  • 对于拥有有限计算资源的敌手而言,输出比特是不可预测的

BBS伪随机比特生成器

安全性基于大整数分解的困难性

在这里插入图片描述

基于RSA的伪随机比特生成器

在这里插入图片描述

Micali-Schnorr伪随机比特生成器

在这里插入图片描述

密钥分配

根据密钥传送的途径不同:

  • 公钥的分配
  • 对称密钥的分配

公钥分发

  • 广播式公钥分发。

-该方法必须能对广播的公钥进行鉴别

  • 目录式公钥分发:

-由可信机构维护一个公开、动态、可访问的公开密钥目录,参与者通过正常或可信渠道到机构登记公开密钥,并允许其对自己的密钥进行管理,其他用户可以基于公开渠道进行访问

  • 公钥管理机构分发:

一种在线服务器公钥分发方式

每个用户知道公钥管理机构的公钥,机构的私钥只由机构自己知道。当用户A想要获取用户B的公钥时,向机构发起请求,机构将B的公钥签名后发给A

  • 公钥证书进行公钥分发:

该方法不需要可信服务器在线

公钥证书由可信证书管理机构CA生成,内容包括用户的身份、证书有效期、公钥等信息。所有信息经CA用自己的私钥签名后形成了公钥证书。

设计密码方案必须考虑的因素

  • 通信量和存储量要尽可能的小
  • 每一对用户都能独立地计算他们之间的会话密钥

按照是否需要可信第三方

  • 无中心的密钥分发
  • 有中心的密钥分发

有共享密钥或已知公钥的无中心密钥分发

分发的是随机生成的会话密钥k

A - -> B Ekab(K)/Ekb(K)

无共享密钥的密钥分发

该方法可能遭受中间人攻击

在这里插入图片描述

有中心对称密钥的分发

根据是否使用公钥以及密钥是否由中心生成,分为:

  • 基于对称密钥,会话密钥由通信方生成

在这里插入图片描述

基于对称密钥,会话密钥由可信中心生成

在这里插入图片描述

Needham-Schroeder密钥分发协议

它有基于对称密码体制和非对称密码体制两个版本

基于对称密钥体制协议流程

在这里插入图片描述

  • 基于公钥,会话密钥由单方生成或者双方共同生成

参与通信的单方或双方选择一个对称密钥,然后使用另一方的公钥将其加密,传送给另一方。

例Needham-Schroeder密钥分发协议

在这里插入图片描述

在这里插入图片描述

Blom密钥分配协议

该协议是一种无条件安全的密钥分配方案

PKI(公钥基础设施)技术

PKI的核心理论:公钥密码学,主要技术包括加密、认证、数字签名、信任模型等

PKI系统组成:认证中心(CA)、证书库、Web安全通信平台、注册审核机构(RA)等

X.509是基于公钥密码系统的用户之间认证的对称密钥传输功能。

其认证方案有单向认证、双向认证、三向认证。

在这里插入图片描述

方案中使用时间戳和基于随机数的“挑战-应答”方式。

————————————————

版权声明:本文为CSDN博主「从春到秋冬」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/Tai_Yang_Yue/article/details/119272939

文章来自个人专栏
云知识的搬运工
224 文章 | 7 订阅
0条评论
0 / 1000
请输入你的评论
0
0