密钥管理是一门综合性的技术,它包括理论因素、人为因素、技术因素等方面。但是一个好的密钥管理系统应当尽量不依赖于人的因素。密钥管理的目标是使得密钥具有机密性、真实性和使用的合法性。最终目的是为了提高系统的安全性。
一、关于数据加密算法的描述
1、RSA算法简述(非对称密码体制)
1.1、 密钥生成算法
①选取两个大素数p和q,计算n=pq和欧拉函数∮(n)=(p-1)(q-1);
②随即选取整数e,1<E
③公钥为 (n,e),可以公开。私钥为(p,q,,d),需要保密。
约定RSA算法的明文空间和秘闻空间均为Zn={0,1,…,n-1}。
1.2、 加密算法
为了给用户A发送明文m,B进行如下操作:
①首先获得A的公钥(n;e);
②计算明文
C=me mod n
③将密文c发送给A。
1.3、解密算法
为了恢复明文m,接受者A利用其私钥d计算
M=cd mod n
1.4、 AES算法描述(对称密码体制)
AES算法基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据单元替换为另一个。
状态、密码密钥和轮数
AES处理的基本单位是字节,把要处理的数据分成若干个字节,AES加密过程就是对这些字节进行变换。把明文及变换过程中产生的结果(若干字节)成为状态。通常用一个矩阵来表示状态,矩阵的每一个元素是一个字节,行数是4,列数等于明文分组长度除以32的商,记为Nb。这样的矩阵称为状态矩阵。把明文分组写成状态矩阵时,按先列后行的规则写入全部字节,行标和列标都从0开始编号。
二、密钥的生成与管理
1、 密钥的分类
密钥可分为初始密钥、会话密钥、密钥加密密钥、主机主密钥等类型。
2、 密钥的生成
通信网络中需要产生大量的密钥分配给各主机、节点和用户。密钥生成协议是为两方或多方提供共享的密钥,在气候作为对称密钥使用,以达到加密、消息认证和实体认证的目的。不同种类的密钥可用不同的方法生成。
3、密钥的分配方式
从密钥分配所使用的密码技术来看,一般有三种密钥分配方式。(一)对称密钥的分配(二)对称密钥的协商(三)公开密钥的分配
4、密钥注入
密钥的注入通常采用人工方式。密钥常用的注入方法有:键盘输入、软盘输入、专用密钥注入设备(密钥枪)输入。
5、密钥存储
密钥平时都以加密的形式存放,而且操作口令应该实现严格的保护。加密设备应有一定的物理保护措施。
6、密钥的生存周期
密钥的使用是有寿命的,一旦密钥有效期到,必须消除原密钥存储区,或者使用随机产生的噪声重写。
三、秘密共享与密钥托管
1、秘密共享
存储在系统中所有密钥的安全性(整个系统的安全性)可能最终取决一个主密钥,因此主密钥往往会成为攻击者的主要攻击目标。为了防止主密钥目标过大或主密钥发生意外破坏,通常对住密钥分布式地进行保存。
2、密钥托管
密钥托管,又称托管加密,即提供强密码算法实现用户的保密通信,并使获得合法授权的法律执行机构利用密钥托管机构提供的信息,恢复出会话密钥,从而对通信实施监听。
四、公钥基础设施PKI
1、PKI的概念
PKI是指结合公钥密码体制建立的提供信息安全服务的基础设施。这种管理服务要求具有普适性,即PKI的机构框架可以为任何需要安全的应用和对象使用,应用者无须了解PKI内部实现这些服务的方法。
2、 PKI的组成
一个PKI系统由认证中心(CA)、证书库、Web安全通信平台、驻车审核机构(RA)等组成。
(1)CA:CA是具有权威的实体,它作为PKI管理实体和服务的提供者负责管理PKI机构下的所有用户的证书。(2)证书库:为使用户容易找到所需的公钥证书,必须由一个健壮的、规模可扩充的在线分布式数据库存放CA创建的所有用户的公钥证书。(3)Web安全通信平台:PKI使应的一个安全平台,为各类应用系统如电子商务、银行提供数据的机密性、完整性、身份认证等服务。(4)RA:RA是数字证书的申请、审核和注册中心。(5)发布系统:发布系统主要提供LDAP服务、OCSP服务和注册服务。(6)应用接口系统:应用接口系统为外界提供使用PKI安全服务的入口。
3、PKI的应用与发展趋势
3.1、 PKI的应用
数字证书可以被用于一系列电子事务,包括电子邮件、电子商务、电子银行。
3.2、PKI的发展趋势
随着PKI技术应用的不断深入,PKI技术本身也在不断发展与变化,近年来比较重要的变化有以下方面:(1)属性证书(2)漫游证书(3)无线PKI(WPKI)
3.3、现状分析
PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和,是一个宏观体系,其本身就体现了强大的国家实力。PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。如何推广PKI应用,加强系统之间、部门之间、国家之间PKI体系的互通互联,已经成为目前PKI建设亟待解决的重要问题。为了使数据信息更加安全、更加机密,我建议对数据进行加密时不要只采取固定的一种加密算法进行加密,我们可以把目前所有的加密算法集成到一起,当对数据进行加密时,系统随即选取其中的一种算法进行加密,而别人不知道我们是用哪种算法加密,这样就提高了攻击者攻击的难度,使数据更加安全。
本文介绍了针对密码体制的一般密钥管理方法,着重分析了密钥管理的两种方法(秘密共享与密钥托管和PKI),探讨了PKI的应用及现有的发展情况和趋势,结合所分析的内容,提出一点建议:把所有的加密算法组织在一起,让系统随机抽取一种加密算法对数据进行加密,这样别人就不确定是用哪种算法进行加密,攻击者要破解算法的难度就会增加,从而有利于数据的安全保护,有利于计算机网络信息通信的安全,让网上虚拟交易、保护个人隐私等更加安全。
小知识之AES加密算法概念:
AES加密算法又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。