密鑰管理是一門綜合性的技術(shù),它包括理論因素、人為因素、技術(shù)因素等方面。但是一個好的密鑰管理系統(tǒng)應(yīng)當盡量不依賴于人的因素。密鑰管理的目標是使得密鑰具有機密性、真實性和使用的合法性。最終目的是為了提高系統(tǒng)的安全性。

一、關(guān)于數(shù)據(jù)加密算法的描述

1、RSA算法簡述(非對稱密碼體制)

1.1、 密鑰生成算法

①選取兩個大素數(shù)p和q,計算n=pq和歐拉函數(shù)∮(n)=(p-1)(q-1);

②隨即選取整數(shù)e,1<E

③公鑰為 (n,e),可以公開。私鑰為(p,q,,d),需要保密。

約定RSA算法的明文空間和秘聞空間均為Zn={0,1,…,n-1}。

1.2、 加密算法

為了給用戶A發(fā)送明文m,B進行如下操作:

①首先獲得A的公鑰(n;e);

②計算明文

C=me mod n

③將密文c發(fā)送給A。

1.3、解密算法

為了恢復(fù)明文m,接受者A利用其私鑰d計算

M=cd mod n

1.4、?AES算法描述(對稱密碼體制)

AES算法基于排列和置換運算。排列是對數(shù)據(jù)重新進行安排,置換是將一個數(shù)據(jù)單元替換為另一個。

狀態(tài)、密碼密鑰和輪數(shù)

AES處理的基本單位是字節(jié),把要處理的數(shù)據(jù)分成若干個字節(jié),AES加密過程就是對這些字節(jié)進行變換。把明文及變換過程中產(chǎn)生的結(jié)果(若干字節(jié))成為狀態(tài)。通常用一個矩陣來表示狀態(tài),矩陣的每一個元素是一個字節(jié),行數(shù)是4,列數(shù)等于明文分組長度除以32的商,記為Nb。這樣的矩陣稱為狀態(tài)矩陣。把明文分組寫成狀態(tài)矩陣時,按先列后行的規(guī)則寫入全部字節(jié),行標和列標都從0開始編號。

二、密鑰的生成與管理

1、 密鑰的分類

密鑰可分為初始密鑰、會話密鑰、密鑰加密密鑰、主機主密鑰等類型。

2、 密鑰的生成

通信網(wǎng)絡(luò)中需要產(chǎn)生大量的密鑰分配給各主機、節(jié)點和用戶。密鑰生成協(xié)議是為兩方或多方提供共享的密鑰,在氣候作為對稱密鑰使用,以達到加密、消息認證和實體認證的目的。不同種類的密鑰可用不同的方法生成。

3、密鑰的分配方式

從密鑰分配所使用的密碼技術(shù)來看,一般有三種密鑰分配方式。(一)對稱密鑰的分配(二)對稱密鑰的協(xié)商(三)公開密鑰的分配

4、密鑰注入

密鑰的注入通常采用人工方式。密鑰常用的注入方法有:鍵盤輸入、軟盤輸入、專用密鑰注入設(shè)備(密鑰槍)輸入。

5、密鑰存儲

密鑰平時都以加密的形式存放,而且操作口令應(yīng)該實現(xiàn)嚴格的保護。加密設(shè)備應(yīng)有一定的物理保護措施。

6、密鑰的生存周期

密鑰的使用是有壽命的,一旦密鑰有效期到,必須消除原密鑰存儲區(qū),或者使用隨機產(chǎn)生的噪聲重寫。

三、秘密共享與密鑰托管

1、秘密共享

存儲在系統(tǒng)中所有密鑰的安全性(整個系統(tǒng)的安全性)可能最終取決一個主密鑰,因此主密鑰往往會成為攻擊者的主要攻擊目標。為了防止主密鑰目標過大或主密鑰發(fā)生意外破壞,通常對住密鑰分布式地進行保存。

2、密鑰托管

密鑰托管,又稱托管加密,即提供強密碼算法實現(xiàn)用戶的保密通信,并使獲得合法授權(quán)的法律執(zhí)行機構(gòu)利用密鑰托管機構(gòu)提供的信息,恢復(fù)出會話密鑰,從而對通信實施監(jiān)聽。

四、公鑰基礎(chǔ)設(shè)施PKI

1、PKI的概念

PKI是指結(jié)合公鑰密碼體制建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。這種管理服務(wù)要求具有普適性,即PKI的機構(gòu)框架可以為任何需要安全的應(yīng)用和對象使用,應(yīng)用者無須了解PKI內(nèi)部實現(xiàn)這些服務(wù)的方法。

2、 PKI的組成

一個PKI系統(tǒng)由認證中心(CA)、證書庫、Web安全通信平臺、駐車審核機構(gòu)(RA)等組成。

(1)CA:CA是具有權(quán)威的實體,它作為PKI管理實體和服務(wù)的提供者負責(zé)管理PKI機構(gòu)下的所有用戶的證書。(2)證書庫:為使用戶容易找到所需的公鑰證書,必須由一個健壯的、規(guī)?？蓴U充的在線分布式數(shù)據(jù)庫存放CA創(chuàng)建的所有用戶的公鑰證書。(3)Web安全通信平臺:PKI使應(yīng)的一個安全平臺,為各類應(yīng)用系統(tǒng)如電子商務(wù)、銀行提供數(shù)據(jù)的機密性、完整性、身份認證等服務(wù)。(4)RA:RA是數(shù)字證書的申請、審核和注冊中心。(5)發(fā)布系統(tǒng):發(fā)布系統(tǒng)主要提供LDAP服務(wù)、OCSP服務(wù)和注冊服務(wù)。(6)應(yīng)用接口系統(tǒng):應(yīng)用接口系統(tǒng)為外界提供使用PKI安全服務(wù)的入口。

3、PKI的應(yīng)用與發(fā)展趨勢

3.1、 PKI的應(yīng)用

數(shù)字證書可以被用于一系列電子事務(wù),包括電子郵件、電子商務(wù)、電子銀行。

3.2、PKI的發(fā)展趨勢

隨著PKI技術(shù)應(yīng)用的不斷深入,PKI技術(shù)本身也在不斷發(fā)展與變化,近年來比較重要的變化有以下方面:(1)屬性證書(2)漫游證書(3)無線PKI(WPKI)

3.3、現(xiàn)狀分析

PKI作為國家信息化的基礎(chǔ)設(shè)施,是相關(guān)技術(shù)、應(yīng)用、組織、規(guī)范和法律法規(guī)的總和,是一個宏觀體系,其本身就體現(xiàn)了強大的國家實力。PKI的核心是要解決信息網(wǎng)絡(luò)空間中的信任問題,確定信息網(wǎng)絡(luò)空間中各種經(jīng)濟、軍事和管理行為主體(包括組織和個人)身份的惟一性、真實性和合法性,保護信息網(wǎng)絡(luò)空間中各種主體的安全利益。如何推廣PKI應(yīng)用,加強系統(tǒng)之間、部門之間、國家之間PKI體系的互通互聯(lián),已經(jīng)成為目前PKI建設(shè)亟待解決的重要問題。為了使數(shù)據(jù)信息更加安全、更加機密,我建議對數(shù)據(jù)進行加密時不要只采取固定的一種加密算法進行加密,我們可以把目前所有的加密算法集成到一起,當對數(shù)據(jù)進行加密時,系統(tǒng)隨即選取其中的一種算法進行加密,而別人不知道我們是用哪種算法加密,這樣就提高了攻擊者攻擊的難度,使數(shù)據(jù)更加安全。

本文介紹了針對密碼體制的一般密鑰管理方法,著重分析了密鑰管理的兩種方法(秘密共享與密鑰托管和PKI),探討了PKI的應(yīng)用及現(xiàn)有的發(fā)展情況和趨勢,結(jié)合所分析的內(nèi)容,提出一點建議:把所有的加密算法組織在一起,讓系統(tǒng)隨機抽取一種加密算法對數(shù)據(jù)進行加密,這樣別人就不確定是用哪種算法進行加密,攻擊者要破解算法的難度就會增加,從而有利于數(shù)據(jù)的安全保護,有利于計算機網(wǎng)絡(luò)信息通信的安全,讓網(wǎng)上虛擬交易、保護個人隱私等更加安全。

admin

收藏 海報分享