索罗笔记-信息安全工程师-2.8 密钥管理
密钥管理的概念:
密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。
密钥管理的一些基本原则:
区分密钥管理的策略和机制;全程安全原则;最小权利原则;责任分离原则;密钥分级原则;密钥更换原则;密钥应当选择长度足够,随机等。
密钥的分级安全性:
1、初级密钥:直接用于加解密数据、文件的密钥。初级密钥的使用方式一般是“一次一密”。初级密钥是以密文的形态存储。
2、二级密钥:用于保护初级密钥。二级密钥生存周期较长。二级密钥可以以密文或者明文形式存储,通常是以密文形式存储。
3、主密钥(高级密钥):用于保护二级密钥和初级密钥。主密钥的生存周期很长。主密钥是以明文形式存储。
密钥的存储形态有以下三种:1、明文形态 2、密文形态 3、分量形态 (分量不是密钥本身,而是用于产生密钥的部分参数)
密钥安全存储的原则:不允许密钥以明文形式出现在密钥管理设备之外。
目前密钥分配的常用方法:
对称密码的密钥管理:
Kerberos协议主要用于计算机网络的身份鉴别(Authentication),鉴别验证对方是合法的,而不是冒充的。同时Kerberos协议也是密钥分配中心(KDC)的核心。Kerberos进行密钥分配时使用AES加密。
Kerberos框架:
Kerberos组成:
Kerberos使用两个服务器:鉴别服务器(Authentication Server)AS 和票据授予服务器(Ticket-Granting server)TGS
鉴别服务器/验证服务器AS,是一个密钥分配中心(KDC),同时负责用户的AS注册、分配帐号和密码,负责确认用户并发布用户和TGS之间的会话密钥。
票据授予服务器。TGS是分发服务器方的票据,提供用户和服务器之间的会话密钥。Kerberos把用户验证和票据分发分开了。虽然AS只用对用户本身的ID验证一次,但为了获得不同的真实服务器票据,用户需要多次联系TGS。
非对称密码的密钥管理:
公钥密码中的密钥的秘密性可以不用保护,但是真实性和完整性需要保护。所以公钥密码也需要考虑严格密钥分配机制。
公钥基础设施(Public Key Infrastructure)PKI 是一种遵循既定标准的密钥管理平台,他能为所有网络应用提供加密和数字签名等密码服务及必需的密钥和证书管理体系。
证书:经过可信实体签名的一组信息的集合被称为证书,而可信实体被称为签证机构CA(Certification Authority)
PKI是一组规则、过程、人员、设施、软件和硬件的组合,可以用来进行公钥证书的发放、分发和管理。
典型的PKI系统由5个基本部分组成:
证书申请者、RA注册中心、CA认证中心、证书库、证书信任方。
数字证书采用公钥体制进行加密和解密。每个用户有一个私钥来解密和签名;同时每个用户还有一个公钥来加密和验证。
数字证书:
(1)X.509格式:目前数字证书的格式大都是X.509格式,X.509是由国际电信联盟制定的数字证书标准。
(2)数字证书的发放:证书申请得到RA的许可后,有CA中心发放,并存档入库。
(3)证书吊销:当用户个人身份信息发生变化或私钥丢失、泄露、疑似泄露是,证书用户应及时地向CA提出证书的撤销请求,CA也应及时地把此证书放入公开发布的证书撤销列表(Certification Revocation List)CRL
X.509证书的几个重要知识点:
X.509的版本号:目前的版本是3
证书持有人的公钥:包括证书持有人的公钥、算法的标识符和其他相关的密钥参数。
证书的序列号
证书的有效期
证书发布者的数字签名:这是使用发布者私钥生成的签名,以确保这个证书在发放之后没有被篡改过。