电子商务安全教学课件作者张波02数据加密与密钥管理技术课件幻灯片.pptVIP

2.4.1 链路加密 链路加密是目前最常用的加密方法，通常用硬件在网络层以下(1，2层)的物理层实现，它用于保护通信节点间传输的数据。如图2-18所示。 链路加密按被传送的数字字符或位的同步方法不同，分为异步通信加密和同步通信加密两种，而同步通信按字节同步还是按位同步，又可分为两种。 图2-18 链路加密 2.4.2 节点加密 节点加密是链路加密的改进，其目的是克服链路加密在节点处易遭非法存取的缺点。在协议运输层上进行加密，是对源点和目标节点之间传输的数据进行加密保护。如图2-22所示。 图2-22 节点加密 2.4.3 端端加密 网络层以上的加密，通常称为端对端加密，端对端加密是面向网络高层主体进行加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。如图2-23所示。 图2-23 端对端加密 2.5 密钥管理技术 从本质讲，密钥和密码算法可以看作一回事：密钥可理解为可以经常更换的那部分算法，算法也可理解为不便于经常变化的那部分密钥。 一个好的密钥管理系统应当尽量不依赖于人的因素，这不仅是为了提高密钥管理的自动化水平，根本目的还是为了提高系统的安全程度。为此有以下具体要求： 1）密钥难以被非法窃取。 2）在一定条件下窃取了密钥也没有用。 3）密钥的分配和更换过程在用户看来是透明的，用户不一定要亲自掌握密钥。 2.5.1 密钥管理 密钥管理是处理密钥自产生到销毁整个过程中的有关问题：系统的初始化、密钥的产生、存储、备份／恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等。 1．密钥的管理内容 （1）密钥设置协议 （2）密钥生成 （3）密钥的分配 （4）密钥的保护 （5）密钥的存储 （6）密钥的备份/恢复 （7）密钥的泄露与撤销 （8）密钥的有效期 （9）控制密钥使用 （10）密钥的销毁 2．密钥的分配技术（1）密钥分配实现的基本方法 1）基于对称加密算法的，建立安全信道。 2）基于双钥体制的，利用数学上求逆的困难性，建立安全信道。 3）基于量子密码建立安全信道。（2）密钥分配实现的基本工具 认证技术和协议技术是分配密钥的基本工具，认证技术是安全分配密钥的保障，协议技术是实现认证必须遵守的流程。 （3）密钥分配系统实现的基本模式 密钥分配系统实现的基本模式有两种，一种是对小型网络，由于用户人数较少，每对用户之间可采用共享一个密钥的方法，如图2-24所示。 另一种是在一个大型网络中，如由n个用户组成的系统中，希望相互之间必威体育官网网址通信，则需要生成n(n-1)/2个密钥进行分配和存储，这样密钥的分配问题就变得复杂，因此为了解决这一问题，常采用密钥中心管理方式。在这种结构中，每个用户和密钥中心共享一个密钥，必威体育官网网址通信的双方之间无共享密钥。 密钥中心机构有两种形式：密钥分配中心（KDC）和密钥传送中心（KTC）。在KDC中，当A向KDC请求发放与B通信的密钥时，KDC生成一个密钥k传给A，并通过A传给B，如图2-25（a）所示。或者利用A和B与KDC共享密钥，由KDC直接传送给B，如图2-25（b）所示。 密钥传送中心（KTC）和密钥分配中心（KDC）十分相似，主要区别在于由通信方的一方产生需求的密钥，而不是由中心来产生。当A希望和B通信时，它产生密钥k并将密钥发送给KTC，KTC再通过A转送给B，如图2-26（a）所示，或直接送给B，如图2-26（b）所示，利用A与B和KTC的共享密钥来实现。 由于KDC和KTC参与，各用户只需保存一个和KDC或KTC共享的较长期的密钥即可，其安全性依赖于对中心的信任，中心节点一旦出问题将威胁整个系统的安全性。 （4）密钥的验证 在密钥分配过程中，需要对密钥进行验证，以确保准确无误地传送给指定的用户，防止伪装信使用假密钥套取信息，并防止密钥分配中的错误。 3．对称密钥管理 一种建立对称加密密钥的常用方法是RSA密钥传输法。对称密钥能够由一个系统生成，然后散发给一个或多个系统，其采用的是RSA的加密模式来进行加密。 另一种建立对称加密密钥的方法，是通信双方通过某个值来形成对称加密密钥的方法，它是由Diffie和Hellrnan提出的。这一创造性的技术被称为Diffie-Hellman密钥协议。 4．公开密钥管理 公开密钥加密系统对密钥管理的要求与对称加密系统本质上是完全不同的。 下面介绍四类典型的公开密钥分配方案：公开宣布；公开可以得到的目录；公开密钥管理机构；公开密钥证书。（1）公开密钥的公开宣布 公开密钥的公开宣布方法最为简单，只需将公开密钥附加在发送给公开论坛的报告中，这些论坛包括USENET新闻组和internet邮件组。这是一个不受控制的公开密钥