电子商务安全与保密-第十章 密钥管理与PKI.ppt

华南理工大学计算机学院本科课程--电子商务安全与保密
大纲第十章密钥管理与PKI
1
密钥的管理
系统的初始化
密钥的产生
密钥存储
密钥备份/恢复
密钥装入
密钥分配
密钥保护
密钥更新
密钥控制
密钥丢失
密钥吊销
密钥销毁
2
Diffie-Hellman密钥交换方法
密钥交换协议:Key Exchange Protocol
3
密钥托管
出发点是政府机构希望在需要时可通过密钥托管技术解密一些特定信息,此外用户的密钥若丢失或损坏时也可通过密钥托管技术恢复出自己的密钥。
实现手段通常是把加密的数据和数据恢复密钥联系起来,数据恢复密钥不必是直接解密的密钥,但由它可以得到解密密钥。
1993年4月,美国政府为了满足其电信安全、公众安全和国家安全的要求,提出了托管加密标准(escrowed encryption standard,EES)。
4
密钥托管密码体制的组成部分
5
为什么需要PKI
6
概念
PKI:Public Key Infrastructure,公开密钥基础设施
用于在分布式环境下提供身份及密钥的证明
以“证书”的形式进行证明
PMI:Privilege Managerment Infrastructure,授权管理基础设施
两者的区别主要在于
PKI证明用户是谁,并将用户的身份信息保存在用户的公钥证书(一般就直接简称为“数字证书”或“证书”)中
而PMI则证明这个用户有什么权限,什么属性,能干什么,并将用户的属性信息保存在属性证书(又称管理证书)中。
7
PKI的目标
在这个框架中,PKI中各种各样的构件、应用、策略组合起来为电子商务和其它网络业务的实现提供了四个主要的安全功能:
保密性——保证信息的私有性。
完整性——保证信息没有被篡改。
真实性——证明一个人或一个应用的身份。
不可否认性——保证信息不能被否认。
这也是为什么称之为:公开密钥“基础设施”
PKI(Public Key Infrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务,包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。
8
PKI必须处理的问题
好密钥的安全生成
初始身份的确认
证书的颁发、更新和终止
证书有效性检查
证书及相关信息的发布
密钥的安全归档和恢复
签名和时间戳的产生
信任关系的建立和管理
9
PKI基本组成
PKI由以下几个基本部分组成:
公钥证书(Cert)
证书注销列表(CRL)
认证机构(CA)
注册机构(RA)
证书仓库(Repository)
策略管理机构(PMA)
用户(User)
10