電子商務安全(第2版) 課件 第3章-密鑰管理-1

第3章密鑰管理密鑰管理的目標和內(nèi)容密鑰的組織密鑰的產(chǎn)生和建立密鑰分配密鑰的保護密鑰管理特殊的數(shù)據(jù)片段在需要管理的數(shù)據(jù)中占比很小信息安全問題物理安全訪問控制網(wǎng)絡安全安全策略風險管理災難恢復密鑰密鑰管理涉及過程技術控制過程控制環(huán)境控制人為因素密鑰生存期密鑰生成密鑰建立密鑰使用密鑰銷毀密鑰存檔密鑰變更密鑰備份密鑰存儲用戶登記系統(tǒng)和用戶初始化密鑰撤銷密鑰材料安裝密鑰使用密鑰恢復密鑰備份公鑰目錄密鑰登記密鑰更新密鑰生成密鑰取消登記和銷毀密鑰存檔密鑰建立協(xié)議新用戶初始密鑰現(xiàn)有用戶新密鑰新密鑰密鑰狀態(tài)使用前使用中使用后過期恢復的密鑰密鑰丟失但未受安全威脅密鑰受到威脅或提前終止密鑰生命期結束系統(tǒng)觸發(fā)密鑰變化舊密鑰（到期）密鑰的保密性密鑰目的的保證關聯(lián)的實體信息密碼算法使用限制基本密鑰管理要求密鑰是否越長越好？密鑰長度如何選擇？密鑰長度密鑰是否越長越好？長密鑰優(yōu)點安全性更強缺點花費時間長開銷大密鑰長度如何選擇？聽取專家的建議注意要點：對稱密碼的密鑰長度的建議往往與算法無關；對公鑰密碼的密鑰長度的建議往往是與算法有關的。密鑰長度的建議通常根據(jù)潛在的攻擊環(huán)境和保護時限給出。ECRYPTII保護概要及對稱密鑰長度(2012)[110]保護說明密鑰長度1容易遭受個人發(fā)起的“實時”攻擊有限情況下使用322對抗小型組織的非常短期的保護不可用于新的應用系統(tǒng)643對抗中型組織的短期保護；對抗小型組織的中期保護724對抗（情報）機構的非常短期的保護；對抗小型組織的長期保護保護到2012年805傳統(tǒng)標準級別保護到2020年966中期保護保護到2030年1127長期保護保護到2040年1288“可預見的未來”對抗量子計算機的良好保護256長度不一致隨時間變化直接生成密鑰密鑰派生從組元生成密鑰密鑰生成直接生成密鑰生成隨機數(shù)，常見的是偽隨機數(shù)隨機性的必要條件：在一個二進制序列中，（1）0與1的數(shù)量基本平衡；（2）0與1的游程數(shù)量基本平衡且隨著游程長度增加呈指數(shù)規(guī)律下降；（3）在周期內(nèi)（或在給定的范圍內(nèi)），序列的異相自相關函數(shù)為常數(shù)。生成隨機性：非確定性生成器基于硬件基于軟件確定性生成器非確定性生成器確定性生成器接近真隨機輸出偽隨機輸出物理源的隨機性來自（短）隨機種子的隨機性隨機源難以復制隨機源易于復制安全取決于對源的保護完全取決于對種子的保護相對昂貴相對便宜非確定性和確定性生成器的屬性生成器種子1100101101010010000111….秘密信息密碼算法密鑰派生優(yōu)點：效率生存期長形式多樣密鑰派生函數(shù)基于口令派生密鑰從組元生成密鑰不希望信任具有密鑰生成功能的實體敏感密鑰ABC128位組元128位組元128位組元安全組合器AB128位組元128位組元R（密文）會不會泄露關于K（明文）的信息？？？初級密鑰/會話密鑰/數(shù)據(jù)加密密鑰；直接用于向用戶數(shù)據(jù)提供密碼操作的密鑰，一般由系統(tǒng)生成，對用戶不可見。中級密鑰/密鑰加密密鑰；高級密鑰/主密鑰。由用戶選定或由系統(tǒng)分配給用戶的、可在較長時間內(nèi)由一對用戶所專用的密鑰。密鑰種類密鑰管理的層次式結構主密鑰主密鑰密鑰加密密鑰會話密鑰加密解密密鑰加密密鑰會話密鑰注入注入密文密鑰協(xié)議明文明文密鑰協(xié)議密鑰協(xié)議層次化密鑰結構的優(yōu)點：安全性強可實現(xiàn)密鑰管理的自動化討論問題：給密鑰設置有限生存期的