密钥管理
包括:密钥产生、分配、维护。
目的:
- 保证密码系统对密钥的使用需要。维护和保障密钥。
- 对密钥实施有效的管理,保证密钥的安全。
密钥性质:随机性、难穷尽性、易更换性。
密钥分类:会话密钥(一次通信使用)、密钥加密密钥(用于加密会话密钥)、主机主密钥(用于加密密钥加密密钥)
密钥维护:密钥存储、备份、更换、恢复、销毁、归档、安全审计。
密钥分配
主要分为点对点、中心式。
很好理解,密传分配信道安全,什么算法都可以;明传密用需要保密 ,不可用公钥密码算法;密钥合成取双方要素,也可以用任何算法。
缺点:KS 分配频繁导致 KDC 工作量太大;解决:KDC 只分配密钥加密密钥,会话密钥不需要 KDC 参与。
密钥的分层分散管理
上层保护下层密钥,越低级更换越频繁。
分散:
- 物理分散保护
- (k,n) 门限方案(将密钥分为 n 个影子密钥,知道的影子密钥小于 k 时无法恢复)
X509 认证服务
用公钥生成证书。
把上面的一坨 Hash 后,用 CA 的私钥签名,接在后面变成 CA 证书。