密钥管理概述-天翼云开发者社区

密钥管理概述

密钥管理包含：密钥生成、装入、存储、备份、分配、更新、吊销、销毁等内容，分配与存储是最棘手的问题。

密钥生成：

集中式密钥生成：由可信的密钥管理中心
分布式密钥生成：网络中的多个节点协商

密钥分配：

集中式：由可信的密钥管理中心给用户分发（存在单点失效问题）
分布式：多个服务器通过协商来分发

密钥种类：

主密钥：对密钥加密密钥进行加密的密钥，通常通过自然界中的真随机现象提取或由伪随机数生成器来生成
密钥加密密钥：在传输会话密钥时，用来加密会话密钥的密钥，也称次主密钥或二级密钥。由随机数生成器产生，也可由密钥管理员选定
会话密钥：用于通信双方交换数据时使用的密钥。在密钥加密密钥控制下通过加密算法动态产生

伪随机数生成器（PRBG）的概念

PRBG的基本安全要求：

其输出序列与真随机序列应该在统计上是不可区分的
对于拥有有限计算资源的敌手而言，输出比特是不可预测的

BBS伪随机比特生成器

安全性基于大整数分解的困难性

基于RSA的伪随机比特生成器

Micali-Schnorr伪随机比特生成器

密钥分配

根据密钥传送的途径不同：

公钥的分配
对称密钥的分配

公钥分发

广播式公钥分发。

-该方法必须能对广播的公钥进行鉴别

-由可信机构维护一个公开、动态、可访问的公开密钥目录，参与者通过正常或可信渠道到机构登记公开密钥，并允许其对自己的密钥进行管理，其他用户可以基于公开渠道进行访问

公钥管理机构分发：

一种在线服务器公钥分发方式

每个用户知道公钥管理机构的公钥，机构的私钥只由机构自己知道。当用户A想要获取用户B的公钥时，向机构发起请求，机构将B的公钥签名后发给A

公钥证书进行公钥分发：

该方法不需要可信服务器在线

公钥证书由可信证书管理机构CA生成，内容包括用户的身份、证书有效期、公钥等信息。所有信息经CA用自己的私钥签名后形成了公钥证书。

设计密码方案必须考虑的因素

通信量和存储量要尽可能的小
每一对用户都能独立地计算他们之间的会话密钥

按照是否需要可信第三方

无中心的密钥分发
有中心的密钥分发

有共享密钥或已知公钥的无中心密钥分发

分发的是随机生成的会话密钥k

A - -> B Ekab(K)/Ekb(K)

无共享密钥的密钥分发

该方法可能遭受中间人攻击

有中心对称密钥的分发

根据是否使用公钥以及密钥是否由中心生成，分为：

基于对称密钥，会话密钥由通信方生成

基于对称密钥，会话密钥由可信中心生成

例Needham-Schroeder密钥分发协议

它有基于对称密码体制和非对称密码体制两个版本

基于对称密钥体制协议流程

基于公钥，会话密钥由单方生成或者双方共同生成

参与通信的单方或双方选择一个对称密钥，然后使用另一方的公钥将其加密，传送给另一方。

例Needham-Schroeder密钥分发协议

Blom密钥分配协议

该协议是一种无条件安全的密钥分配方案

PKI（公钥基础设施）技术

PKI的核心理论：公钥密码学，主要技术包括加密、认证、数字签名、信任模型等

PKI系统组成：认证中心（CA）、证书库、Web安全通信平台、注册审核机构（RA）等

X.509是基于公钥密码系统的用户之间认证的对称密钥传输功能。

其认证方案有单向认证、双向认证、三向认证。

方案中使用时间戳和基于随机数的“挑战-应答”方式。

————————————————

原文链接：https://blog.csdn.net/Tai_Yang_Yue/article/details/119272939

密钥管理概述

密钥管理包含：密钥生成、装入、存储、备份、分配、更新、吊销、销毁等内容，分配与存储是最棘手的问题。

密钥生成：

集中式密钥生成：由可信的密钥管理中心
分布式密钥生成：网络中的多个节点协商

密钥分配：

集中式：由可信的密钥管理中心给用户分发（存在单点失效问题）
分布式：多个服务器通过协商来分发

密钥种类：

主密钥：对密钥加密密钥进行加密的密钥，通常通过自然界中的真随机现象提取或由伪随机数生成器来生成
密钥加密密钥：在传输会话密钥时，用来加密会话密钥的密钥，也称次主密钥或二级密钥。由随机数生成器产生，也可由密钥管理员选定
会话密钥：用于通信双方交换数据时使用的密钥。在密钥加密密钥控制下通过加密算法动态产生

伪随机数生成器（PRBG）的概念

PRBG的基本安全要求：

其输出序列与真随机序列应该在统计上是不可区分的
对于拥有有限计算资源的敌手而言，输出比特是不可预测的

BBS伪随机比特生成器

安全性基于大整数分解的困难性

基于RSA的伪随机比特生成器

Micali-Schnorr伪随机比特生成器

密钥分配

根据密钥传送的途径不同：

公钥的分配
对称密钥的分配

公钥分发

广播式公钥分发。

-该方法必须能对广播的公钥进行鉴别

公钥管理机构分发：

一种在线服务器公钥分发方式

每个用户知道公钥管理机构的公钥，机构的私钥只由机构自己知道。当用户A想要获取用户B的公钥时，向机构发起请求，机构将B的公钥签名后发给A

公钥证书进行公钥分发：

该方法不需要可信服务器在线

公钥证书由可信证书管理机构CA生成，内容包括用户的身份、证书有效期、公钥等信息。所有信息经CA用自己的私钥签名后形成了公钥证书。

设计密码方案必须考虑的因素

通信量和存储量要尽可能的小
每一对用户都能独立地计算他们之间的会话密钥

按照是否需要可信第三方

无中心的密钥分发
有中心的密钥分发

有共享密钥或已知公钥的无中心密钥分发

分发的是随机生成的会话密钥k

A - -> B Ekab(K)/Ekb(K)

无共享密钥的密钥分发

该方法可能遭受中间人攻击

有中心对称密钥的分发

根据是否使用公钥以及密钥是否由中心生成，分为：

基于对称密钥，会话密钥由通信方生成

基于对称密钥，会话密钥由可信中心生成

例Needham-Schroeder密钥分发协议

它有基于对称密码体制和非对称密码体制两个版本

基于对称密钥体制协议流程

基于公钥，会话密钥由单方生成或者双方共同生成

参与通信的单方或双方选择一个对称密钥，然后使用另一方的公钥将其加密，传送给另一方。

例Needham-Schroeder密钥分发协议

Blom密钥分配协议

该协议是一种无条件安全的密钥分配方案

PKI（公钥基础设施）技术

PKI的核心理论：公钥密码学，主要技术包括加密、认证、数字签名、信任模型等

PKI系统组成：认证中心（CA）、证书库、Web安全通信平台、注册审核机构（RA）等

X.509是基于公钥密码系统的用户之间认证的对称密钥传输功能。

其认证方案有单向认证、双向认证、三向认证。

方案中使用时间戳和基于随机数的“挑战-应答”方式。

————————————————

原文链接：https://blog.csdn.net/Tai_Yang_Yue/article/details/119272939

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

密钥管理概述

密钥管理概述

活动

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

密钥管理概述

密钥管理概述