• <meter id="tmgru"></meter>

    <dl id="tmgru"></dl>
      1. <dl id="tmgru"><legend id="tmgru"></legend></dl>
        1. <code id="tmgru"></code>

          <var id="tmgru"><u id="tmgru"></u></var>

          <dl id="tmgru"><legend id="tmgru"></legend></dl>
          計算機學習網-【computerpx】

          招生咨詢電話與微信:15225191462(周老師)
          計算機學習網,學牛IT技術

          首頁 > 電腦教程/ 正文

          密鑰怎么管理才安全

          2014-05-17 16:19:56 計算機信息網

              密鑰是加密算法中的可變部分,在采用加密技術保護的信息系統中,其安全性取決于密鑰的保護,而不是對算法或硬件的保護。密碼體制可以公開,密碼設備可能丟失,但同一型號的密碼機仍可繼續使用。然而,密鑰一旦丟失或出錯,不但合法用戶不能提取信息,而且可能使非法用戶竊取信息。因此,密鑰的管理是關鍵問題。

              密鑰管理是指處理密鑰自產生到最終銷毀的整個過程中的有關問題,包括系統的初始化,密鑰的產生、存儲、備份膚復、裝入、分配、保護、更新、控制、丟失、吊銷和銷毀。

              6.7.1密鑰管理概述

              1.對密鑰的威脅有:

              (1)私鑰的泄露。

              (2)私鑰或公鑰的真實性(Authenticity)喪失。

              (3)私鑰或公鑰未經授權使用,例如使用失效的密鑰或違例使用密鑰。

            2.密鑰的種類

              (1)基本密鑰kS:由用戶選定或由系統分配給用戶的、可在較長時間(相對于會話密鑰)

          內由一對用戶所專用的密鑰,故也稱用戶密鑰。基本密鑰要求既安全又便于更換,與會話密鑰一起去啟動和控制某種算法所構造的密鑰產生器,生成用于加密數據的密鑰流。

              (2)會話密鑰kf:兩個終端用戶在交換數據時使用的密鑰。當用會話密鑰對傳輸的數據進

          行保護時稱為數據加密密鑰,用會話密鑰來保護文件時稱為文件密鑰。會話密鑰的作用是使用戶不必頻繁地更換基本密鑰,有利于密鑰的安全和管理.會話密鑰可由用戶雙方預先約定,也可由系統通過密鑰建立協議動態地生成并分發給通信雙方.ks使用時間短,限制了密碼分析者所能得到的同一密鑰加密的密文數量.會話密鑰只在需要時通過協議建立,也降低了密鑰的存儲容量。

              (3)密鑰加密密鑰ke:用于對傳送的會話密鑰或文件密鑰進行加密的密鑰,也稱輔助二級密鑰或密鑰傳送密鑰。通信網中每個節點都分配有一個ke,為了安全,各節點的ke應互不相同。

          (4)主機密鑰km:對密鑰加密密鑰進行加密的密鑰,存于主機處理器中。

              (5)在雙鑰體制下,有公開鑰(公鑰)和秘密鑰(私鑰)、簽字密鑰和認證密鑰之分。

              6.7.2密鑰管理體制

              密鑰管理是信息安全的核心技術之一。在美國信息保障技術框架(Information Assurance Technical Framework, IATF )中定義的密鑰管理體制主要有三種:一是適用于封閉網的技術,以傳統的密鑰分發中心為代表的KMI機制;二是適用于開放網的PKI機制;三是適用于規模化專用網的SPK技術。

          1. KMI技術

              密鑰管理基礎結構(Key Management Infrastructure, KMI )假定有一個密鑰分發中(KDC)來負責發放密鑰。這種結構經歷了從靜態分發到動態分發的發展歷程,目前仍然是密鑰管理的主要手段。無論是靜態分發還是動態分發,都是基于秘密的物理通道進行的。

          (1)靜態分發。靜態分發是預配置技術,大致有以下幾種。

              ①點對點配置。可用單鑰實現,也可用雙鑰實現。單鑰分發是最簡單而有效的密鑰管理技術,通過秘密的物理通道實現。單鑰為認證提供可靠的參數,但不能提供不可否認性服務。有數字簽名要求時,則用雙鑰實現。

          ②一對多配置。可用單鑰或雙鑰實現,是點對點分發的擴展,只是在中心保留所有各端的密鑰,而各端只保留自己的密鑰。一對多的密鑰分配在銀行清算、軍事指揮、數據庫系統中仍為主流技術,也是建立秘密通道的主要方法。

              ③格狀網配置。可以用單鑰實現,也可以用雙鑰實現。格狀網的密鑰配置量為全網n個終端用戶中選2的組和數。Kerberos曾安排過25萬個用戶的密鑰。格狀網一般都要求提供數字簽名服務,因此多數用雙鑰實現,即各端保留自己的私鑰和所有終端的公鑰。如果用戶量為25萬個,則每一個終端用戶要保留25萬個公鑰。

              (2)動態分發。動態分發是“請求,分發”機制,是與物理分發相對應的電子分發,在秘密通道的基礎上進行,一般用于建立實時通信中的會話密鑰,在一定意義上緩解了密鑰管理規模化的矛盾。動態分發有以下幾種形式。

              ①基于單鑰的單鑰分發。在用單密鑰實現時,首先在靜態分發方式下建立星狀密鑰配置,在此基礎上解決會話密鑰的分發。這種密鑰分發方式簡單易行,如圖6-5和圖6-6所示。

          ②基于單鑰的雙鑰分發。在雙鑰體制下,可以將公私鑰都當作秘密變量,也可以將公、私鑰分開,只把私鑰當作秘密變量,公鑰當作公開變量。盡管將公鑰當作公開變量,但仍然存在被假冒或篡改的可能,因此需要有一種公鑰傳遞協議,證明其真實性。基于單鑰的公鑰分發的前提是密鑰分發中心(C)和各終端用戶(A. B)之間已存在單鑰的星狀配置,分發過程如下。

              A--+C:申請B的公鑰,包括A的時間戳。

              C--+A:B的公鑰用單密鑰加密發送,包括A的時間戳。

              A--+B:B的公鑰加密A的身份標識和會話序號N10

              B--+C:申請A的公鑰,包括B的時間戳。

              C--"B:A的公鑰用單密鑰加密發送,包括B的時間戳。

              B-IA:A的公鑰加密A的會話序號N,和B的會話序號N20

              A-B:B的公鑰加密N2,以確認會話建立.

             2. PKI技術

          在密鑰管理中,不依賴秘密信道的密鑰分發技術一直是一個難題01976年,DeffieHellman提出了雙鑰密碼體制和D一密鑰交換協議,大大促進了這一領域的進程。但是,在雙鑰體制中只是有了公、私鑰的概念,私鑰的分發仍然依賴于秘密通道。1991年,PGP首先提出了Web ofTrust信任模型和密鑰由個人產生的思路,避開了私鑰的傳遞,從而避開了秘密通道,推動了PKI技術的發展。

              公鑰基礎結構(Public Key Infrastructure, PKI)是運用公鑰的概念和技術來提供安全服務

          的、普遍適用的網絡安全基礎設施,包括由PKI策略、軟硬件系統、認證中心、注冊機

          (Registration Authority, RA)、證書簽發系統和PKI應用等構成的安全體系,如圖6-13

          所示。

          密鑰怎么管理才安全

              PKI策略定義了信息安全的指導方針和密碼系統的使用規則,具體內容包括CA之間的信任關系、遵循的技術標準、安全策略、服務對象、管理框架、認證規則、運作制度、所涉及的法律關系等:軟硬件系統是PKI運行的平臺,包括認證服務器、目錄服務器等;CA負責密鑰的生成和分配;注冊機構是用戶(subscriber)CA之間的接口,負責對用戶的認證;證書簽發系統負責公鑰數字證書的分發,可以由用戶自己或通過目錄服務器進行發放;PKI應用非常廣泛,包括Web通信、電子郵件、電子數據交換、電子商務、網上信用卡交易、虛擬專用網等都是PKI潛在的應用領域。

          20世紀90年代以來,PKI技術逐漸得到了各國政府和許多企業的重視,由理論研究進入商業應用階段。IETFISO等國際組織陸續頒布T X.509, PKIX, PKCS, S/MIME, SSL, SET,IPSec, LDAP等一系列與PKI應用有關的標準;RSA, VeriSign, Entrust, Baltimore等網絡安全公司紛紛推出了PKI產品和服務;網絡設備制造商和軟件公司開始在網絡產品中增加PKI功能;美國、加拿大、韓國、日本和歐盟等國家相繼建立了PKI體系:銀行、證券、保險和電信等行業的用戶開始接受和使用PKI技術。

              PKI解決了不依賴秘密信道進行密鑰管理的重大課題,但這只是概念的轉變,并沒有多少新技術。PKI是在民間密碼研究擺脫政府控制的斗爭中發展起來的,而這種斗爭一度達到了白熱化程度,PGP的發明者Philip Zimmermann曾經因為違反美國的密碼產品貿易管制政策而被聯邦政府調查。PKI以商業運作的形式壯大起來,以國際標準的形式確定,PKI技術完全開放,甚至連一向持反對態度的美國國防部(DoD)、聯邦政府也不得不開發PKI策略。DoD定義的KMI/PKI標準規定了用于管理公鑰證書和對稱密鑰的技術、服務和過程,KMI是提供信息保障能力的基礎架構,而PKIKMI的主要組成部分,提供了生成、生產、分發、控制和跟蹤公鑰證書的服務框架。

              KMIPKI兩種密鑰管理體制各有其優缺點和適用范圍。KMI具有很好的封閉性,而PKI則具有很好的擴展性。KM的密鑰管理機制可形成各種封閉環境,可作為網絡隔離的基本邏輯手段,而PKI則適用于各種開放業務,但卻不適應封閉的專用業務和保密性業貳KMI是集中式的基于主管方的管理模式,為身份認證提供直接信任和一級推理信任,但密鑰更換不靈活;PKI是依靠第三方的管理模式,只能提供一級以下推理信任,但密鑰更換非常靈活。KMI適用于保密網和專用網,而PKI則適用于安全責任完全由個人或單方面承擔,安全風險不涉及它方利益的場合。

              從實際應用方面看,因特網中的專用網主要處理內部事務,同時要求與外界聯系。因此,KMI主內、PKI主外的密鑰管理結構是比較合理的。如果一個專用網是與外部沒有聯系的封閉網,那么僅有KMI就己足夠。如果一個專用網可以與外部聯系,那么要同時具備兩種密鑰管理體制,至少KMI要支持PKI。如果是開放網業務,則完全可以用PKI技術處理。


          Tags:新6系主板的秘密,主板內存插槽質量差出現報警聲,如何連接前置USB接口,怎樣通過BIOS查看主機內的溫度,河南計算機學校哪里好,鄭州計算機it有哪些專業

          搜索
          計算機培訓學校,就來計算機學習網咨詢
          計算機培訓學校,就來計算機學習網咨詢
          熱門標簽
          計算機培訓學校,就來計算機學習網咨詢
          計算機培訓學校,就來計算機學習網咨詢
          計算機培訓學校,就來計算機學習網咨詢
          • QQ交談
          开心五月色播