网络安全原理与技术(第二版) 作者 冯登国 徐静 chapter2f.pptVIP

密钥分配与密钥协商 密钥分配协议：系统内的一个成员选择密钥，然后将它们安全地传给其他成员。 密钥协商协议：系统两个或多个成员在公开信道上联合建立秘密密钥。两个成员的秘密协商也称为密钥交换。 有些协议既是密钥分配协议，又是密钥协商协议。 两类基本结构 点对点结构 密钥中心 点到点结构 点到点结构 如果有几个成员组成的团体希望互相通信，那么需要手工分配的主密钥数为n(n-1)/2。在一个大型的网络中，主密钥的分配问题将变得极难处理。 优势 对端系统的影响最小。从主机的角度看，FEP就好像是一个分组交换结点，对网络的主机接口不用改变。从网络的角度看，FEP就好像是一个主机，对主机的分组交换接口不用改变。 无中心的密钥分配 无中心的密钥分配 前两种方法要求所有用户都信任KDC（KDC能解密所有通信内容），同时还要求对KDC加以保护。 适用于小型网络环境。 混合方案 在IBM大型主机上使用 ? 仍然使用KDC ? KDC与每个用户都拥有{公钥,私钥}对 ? KDC与每个用户共享主密钥(对称密钥密码) ? 会话密钥的分发由主密钥完成 主密钥更新由公钥完成 Performance：面向交易的应用中，会话密钥变化频繁，用公钥加密会使性能下降。 Backward compatibility：容易结合到现有的KDC方案中，改变很小。 主要内容 公钥分配 公钥证书 密钥和证书管理 证书撤销 公钥分配---两种体制的差别 在一个对称密码体制中，要求将一个密钥从通信的一方通过某种方式发送到另一方。只有通信双方知道密钥，而其余任何一方都不知道该密钥。  在一个公钥密码体制中，要求秘密密钥只有通信一方知道，而其余任何一方都不知道。与秘密密钥匹配使用的公钥是公开的，任何人都可以使用该公钥，与私钥的拥有者进行秘密通信。 公钥分配---公钥完整性 当分配一个公钥时，不需要机密性。然而，公钥的完整性是必需的。 绝对不允许攻击者用别的值替代成员A的公钥使得成员B相信该值是成员A的公钥。否则下列的攻击就会奏效： 公钥分配 公钥的分配不像在电话簿上公布电话号码那样简单，它需要以某种特定的方式来分配。目前人们采用证书的格式来分配。 公钥分配 一般地讲，证书是一个数据结构，它由证书用户可信的某一成员进行数字签名。  一个公钥证书也是一个数据结构，它将某一成员的识别符和一个公钥值捆绑在一起。由某一被称作认证机构的成员进行数字签名。 公钥分配 公钥证书能以不保护的方式进行存储和分配。假定一个用户提前知道认证机构的真实公钥，那么用户能检查对证书的签名的合法性。如果检查正确，那么用户就相信那个证书携带了要识别的成员的一个合法的公钥。 公钥分配涉及到公钥证书，而且公钥证书是目前比较热门的一个话题。 公钥证书----证书类型 公钥证书就是用来绑定实体姓名（以及有关该实体的其它属性）和相应公钥的。 证书类型： 1）X.509公钥证书 2）简单PKI 证书 3）PGP（Pretty Good Privacy）证书  4）属性（Attribute）证书 公钥证书----证书类型 证书具有各自不同的格式。一种类型的证书可以被定义为好几种不同的版本，每一种版本也可能以好几种不同的方式来具体实现。 例如，X.509公钥证书就有三种版本。版本1是版本2的子集，版本2又是版本3的子集。因为版本3的公钥证书又包括好几种可选的不同扩展，所以它可以以不同的应用方式来具体实现。例如，安全电子交易（SET）证书就是X.509版本3的公钥证书结合专门为SET交易制定的特别扩展而成的。 公钥证书 证书结构和语义 版本号——标示证书的版本（版本1，版本2，或是版本3）。 序列号——由证书颁发者分配的本证书的唯一标识符。 签 名——签名算法标识符（由对象标识符加上相关参数组成），用于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。 颁发者——证书颁发者的可识别名（DN），这是必须说明的。 有效期——证书有效的时间段。本字段由“Not Valid Before”和“Not Valid After”两项组成，他们分别由UTC时间或一般的时间表示。 证书验证 1）一个可信CA已经在证书上签名。注意这可能包括证书路径处理；2）证书有良好的完整性，即证书上的数字签名与签名者的公钥和单独计算出来的证书杂凑值相一致；3）证书处在有效期内； 4）证书没有被撤销；5）证书的使用方式与任何声明的策略和使用限制相一致。 公钥分配---公钥完整性 一个攻击者伪造一