密钥管理中心建设时怎么跟ca中心联调，简述密钥的协商过程

来源：整理时间：2023-04-29 07:31:46 编辑：汇众招标手机版

本文目录一览

1，简述密钥的协商过程
2，windows10安全密钥怎么设置
3，建立认证中心CA 应考虑哪些方面的问题
4，密钥管理的方法有哪些

1，简述密钥的协商过程

密钥协商：两个或多个实体协商，共同建立会话密钥，任何一个参与者均对结果产生影响，不需要任何可信的第三方（TTP）。　　密钥协商协议：会话密钥由每个协议参与者分别产生的参数通过一定的计算得出。常见的密钥协商协议，如IKE。　　密钥协商协议的生成方式：可分为证书型和无证书型。证书型是指在会话密钥的产生过程中，由一个可信的证书中心（CA）给参与密钥协商的各方各分发一个证书，此证书中含有此方的公钥，ID及其他信息。证书型密钥协商协议的优点是提供认证，目前PKI（公钥密码体制）广泛部署，比较成熟，应用面广，且由PKG管理公私钥对有利于统一管理，缺点是计算代价大，需要一个可信的CA，同时证书还需要维护。无证书型是指各方在进行会话密钥的协商过程中不需要证书的参与，这是目前密钥协商协议的主流种类，优点是不需要CA的参与，减少了计算量，尤其是在低耗环境下应用的更多，同时安全性也不比证书型弱。几乎没有明显的缺点，只是设计一个安全的更加低效的无证书密钥协商方案不是很容易。

密钥分配方案需要一个可信权威机构ta来选取密钥并将它们分配给网络用户；密钥协商方案则不需要一个ta的参与，而是通过一个交互协议来共同确定一个新的会话密钥。

简述密钥的协商过程

2，windows10安全密钥怎么设置

一、设置安全密钥的方法1、点击“开始——控制面板——设置网络”。2、在搜索框中，键入网络，然后依次点击“网络和共享中心——设置新的连接或网络——设置新网络”。二、无线网络的加密方法目前有三种类型的无线网络加密：WiFi 保护访问(WPA 和 WPA2)，有线对等保密 (WEP) 和 802.1x。1、WPA和WPA2WPA 和 WPA2 要求用户提供安全密钥以进行连接。密钥验证完毕后，计算机或设备与访问点之间发送的数据都将被加密。相比于WPA，WPA2的身份验证更为安全。几乎所有新的无线适配器都支持 WPA 和 WPA2，但不支持较旧的无线适配器。对于家庭网络用户，建议采用此模式。2、WEP当用户启用WEP 时，需设置网络安全密钥。WEP密钥可能会对一台计算机通过网络发送到另一台计算机的信息进行加密。但是WEP 安全机制比较容易破解。可使用 WEP 共享密钥身份验证，按照以下步骤进行操作：点击“开始——控制面板——网络和共享中心”。在搜索框中键入网络，单击“网络和共享中心” —— 单击“设置新的连接或网络”——单击“手动连接到无线网络”，单击“下一步” ——在“输入您要添加的无线网络的信息”页的“安全类型”下，选择 WEP——单击“下一步” —— 单击“更改连接设置”——单击“安全”选项卡，然后在“安全类型”下单击“共享” —— 单击“确定”、“关闭”。3、 802.1x802.1x 通常用于企业网络，不在此处进行讨论。建议不要将有线对等保密 (WEP) 用作无线网络安全方法。WPA 或 WPA2对于WiFi 保护访问安全性较高。

在正式开始激活win10正式企业版系统之前，我们需要先查看一下当前win10正式企业版系统的激活状态：右击桌面左下角的“windows”按钮，从弹出的右键菜单中选择“控制面板”。从打开的“控制面板”界面中，依次进入“系统和安全”-“系统”。在打开的新窗口中就可以查看当前win10正式企业版系统的激活状态啦。如图所示，小编的win10正式企业版系统当前处于未激活状态。 win10正式企业版系统的激活方法：右击桌面的左下角的“windows”图标，从其右键菜单中选择“命令提示符（管理员）”项，以便打开 msdos界面。待打开msdos界面后，依次输入以下命令： slmgr.vbs /upk 由于win10正式版允许在命令提示符界面使用“ctrl+v”进行粘贴操作，因此我们可以复制以上命令，然后在msdow窗口中按“ctrl+v”或“右击”以粘贴此命令，按回车进行确定。此时弹出窗口显未“已成功卸载了产品密钥”。接着输入以下命令： slmgr /ipk nppr9-fwdcx-d2c8j-h872k-2yt43 弹出窗口提示：“成功的安装了产品密钥”。继续输入以下命令： slmgr /skms zh.us.to 弹出窗口提示：“密钥管理服务计算机名成功的设置为zh.us.to”。输入以下命令： slmgr /ato 按回车键后将弹出窗口提示：“成功的激活了产品”。至此，win10正式企业版系统激活成功。最后再来确认一下win10正式企业版系统的激活状态：打开“控制面板”，依次进入“系统和安全”-“系统”界面，在此界面就可以查看当前win10正式企业版的激活状态。如图所示，表明已成功激活win10正式企业版系统。

windows10安全密钥怎么设置

3，建立认证中心CA 应考虑哪些方面的问题

1、认证机关 CA是证书的签发机构，它在PKI中扮演可信任的代理商角色，是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理，公钥体制涉及到一对密钥，即私钥和公钥，私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管理问题，目前较好的解决方案是引进证书（certificate）机制。2、证书库证书库是证书的集中存放地，它与网上"白页"类似，是网上的一种公共信息库，用户可以从此处获得其他用户的证书。构造证书库的最佳方法是采用支持LDAP协议的目录系统，用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性和真实性，防止伪造、篡改证书。3、证书的撤消除了验证一个证书上CA的签名，应用程序也必须在任何使用证书的时候确认它是可信赖的。不再被信赖的证书必须由CA撤消。为什么一个证书要在有效期结束之前被撤消呢？原因很多：例如，与证书上的公钥对应的私钥被泄露了。或者，一个组织的安全策略表明离开该组织的雇员的证书必须被撤消。在这些情况下，系统中的用户必须被告知，继续使用该证书是不安全的。在每次使用证书前，必须检查证书的撤消状态。这使得一个PKI必须包含一个可扩展的证书撤消系统。CA必须能够安全地公布系统中每个证书的状态信息。应用程序必须为用户在证书的每次使用前验证其撤消信息。分发证书的最流行的方法是为CA创建证书撤消列表（CRL）和对目录系统公布这些CRL。CRL指定了所有被撤消的证书的唯一序列号。在使用证书前，客户端应用程序必须检查相应的CRL以确定证书是否被信赖。客户端应用程序必须不断地、对用户来说透明地检查撤消的证书。4、密钥备份及恢复系统如果用户丢失了用于脱密数据的密钥或解密密钥的存储设备损坏，则密文数据将无法被脱密，造成数据丢失。为避免这种情况的出现，PKI应该提供备份与恢复脱密密钥的机制。密钥的备份与恢复应该由可信的机构来完成，例如CA可以充当这一角色。值得强调的是，密钥备份与恢复只能针对脱密密钥，签名私钥不能够作备份。5、对数字签名的抗抵赖性的支持抗抵赖性意味着一个个体不能随便否认其对一个事务的参与。在现实生活中，个人的签名将他们自身和事务从法律上联系在一起。（例如，信用卡收费、商业合同等）签名将阻止对那些事务的否认。在电子世界，手写签名用数字签名来代替。6、自动密钥更新和密钥历史的管理密钥对不应该永久使用。随着时间的推移它们必须被更新。因此，每个组织需要考虑两个重要的问题：更新用户的密钥对和维护旧密钥对的历史信息。更新密钥对的过程对用户应该是透明的。这种透明意味着用户不必理解密钥更新，他们将永远不会感到那种由于他们的密钥不再有效而造成的象是被拒绝服务的感觉。为了保证透明性和预防拒绝服务，用户的密钥对在销毁前必须被自动更新。7、交叉认证（可扩展性）交叉认证扩展了CA域之间的第三方信任关系。例如，两个贸易伙伴，每一个都有自己的CA，他们想要验证由对方CA发的证书。或者，一个大的、分布式的组织可能在不同的地理区域需要不同的CA。交叉认证允许不同的CA域之间建立并维持可信赖的电子关系。8、客户端软件最终一个PKI的价值是同用户使用加密和数字签名的能力联系在一起的。因此，PKI必须包含客户端软件，这些软件不断地、透明地操作以支持桌面上的各种应用（例如，电子邮件、Web浏览、电子表格、文件/文件夹加密等）。在客户端软件中一致的、易操作的PKI实现降低PKI操作的成本。本答案由09电商B2班XXX同学提供！！！

哎呀，这么巧，你也不知道，我也不知道啊，咱俩是不是很有缘？哈哈哈！请参考冯小玲老师的课件！

建立认证中心CA 应考虑哪些方面的问题

4，密钥管理的方法有哪些

密钥，即密匙，一般范指生产、生活所应用到的各种加密技术，能够对各人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。　　主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。对于军用计算机网络系统，由于用户机动性强，隶属关系和协同作战指挥等方式复杂，因此，对密钥管理提出了更高的要求。　　密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产密钥管理生、分配、更换和注入等。对于军用计算机网络系统，由于用户机动性强，隶属关系和协同作战指挥等方式复杂，因此，对密钥管理提出了更高的要求。　　流程　　（1）密钥生成　　密钥长度应该足够长。一般来说，密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大。　　选择好密钥，避免弱密钥。由自动处理设备生成的随机的比特串是好密钥，选择密钥时，应该避免选择一个弱密钥。　　对公钥密码体制来说，密钥生成更加困难，因为密钥必须满足某些数学特征。　　密钥生成可以通过在线或离线的交互协商方式实现，如密码协议等。　　（2）密钥分发　　采用对称加密算法进行保密通信，需要共享同一密钥。通常是系统中的一个成员先选择一个秘密密钥，然后将它传送另一个成员或别的成员。X9.17标准描述了两种密钥：密钥加密密钥和数据密钥。密钥加密密钥加密其它需要分发的密钥；而数据密钥只对信息流进行加密。密钥加密密钥一般通过手工分发。为增强保密性，也可以将密钥分成许多不同的部分然后用不同的信道发送出去。　　（3）验证密钥　　密钥附着一些检错和纠错位来传输，当密钥在传输中发生错误时，能很容易地被检查出来，并且如果需要，密钥可被重传。　　接收端也可以验证接收的密钥是否正确。发送方用密钥加密一个常量，然后把密文的前2-4字节与密钥一起发送。在接收端，做同样的工作，如果接收端解密后的常数能与发端常数匹配，则传输无错。　　（4）更新密钥　　当密钥需要频繁的改变时，频繁进行新的密钥分发的确是困难的事，一种更容易的解决办法是从旧的密钥中产生新的密钥，有时称为密钥更新。可以使用单向函数进行更新密钥。如果双方共享同一密钥，并用同一个单向函数进行操作，就会得到相同的结果。　　（5）密钥存储　　密钥可以存储在脑子、磁条卡、智能卡中。也可以把密钥平分成两部分，一半存入终端一半存入ROM密钥。还可采用类似于密钥加密密钥的方法对难以记忆的密钥进行加密保存。　　（6）备份密钥　　密钥的备份可以采用密钥托管、秘密分割、秘密共享等方式。　　最简单的方法，是使用密钥托管中心。密钥托管要求所有用户将自己的密钥交给密钥托管中心，由密钥托管中心备份保管密钥（如锁在某个地方的保险柜里或用主密钥对它们进行加密保存），一旦用户的密钥丢失（如用户遗忘了密钥或用户意外死亡），按照一定的规章制度，可从密钥托管中心索取该用户的密钥。另一个备份方案是用智能卡作为临时密钥托管。如Alice把密钥存入智能卡，当Alice不在时就把它交给Bob，Bob可以利用该卡进行Alice的工作，当Alice回来后，Bob交还该卡，由于密钥存放在卡中，所以Bob不知道密钥是什么。　　秘密分割把秘密分割成许多碎片，每一片本身并不代表什么，但把这些碎片放到一块，秘密就会重现出来。　　一个更好的方法是采用一种秘密共享协议。将密钥K分成n块，每部分叫做它的“影子”，知道任意m个或更多的块就能够计算出密钥K，知道任意m-1个或更少的块都不能够计算出密钥K，这叫做（m,n）门限（阈值）方案。目前，人们基于拉格朗日内插多项式法、射影几何、线性代数、孙子定理等提出了许多秘密共享方案。　　拉格朗日插值多项式方案是一种易于理解的秘密共享(m,n)门限方案。　　秘密共享解决了两个问题：一是若密钥偶然或有意地被暴露，整个系统就易受攻击；二是若密钥丢失或损坏，系统中的所有信息就不能用了。　　（7）密钥有效期　　加密密钥不能无限期使用，有以下有几个原因：密钥使用时间越长，它泄露的机会就越大；如果密钥已泄露，那么密钥使用越久，损失就越大；密钥使用越久，人们花费精力破译它的诱惑力就越大枣甚至采用穷举攻击法；对用同一密钥加密的多个密文进行密码分析一般比较容易。　　不同密钥应有不同有效期。　　数据密钥的有效期主要依赖数据的价值和给定时间里加密数据的数量。价值与数据传送率越大所用的密钥更换越频繁。　　密钥加密密钥无需频繁更换，因为它们只是偶尔地用作密钥交换。在某些应用中，密钥加密密钥仅一月或一年更换一次。　　用来加密保存数据文件的加密密钥不能经常地变换。通常是每个文件用唯一的密钥加密，然后再用密钥加密密钥把所有密钥加密，密钥加密密钥要么被记忆下来，要么保存在一个安全地点。当然，丢失该密钥意味着丢失所有的文件加密密钥。　　公开密钥密码应用中的私钥的有效期是根据应用的不同而变化的。用作数字签名和身份识别的私钥必须持续数年（甚至终身），用作抛掷硬币协议的私钥在协议完成之后就应该立即销毁。即使期望密钥的安全性持续终身，两年更换一次密钥也是要考虑的。旧密钥仍需保密，以防用户需要验证从前的签名。但是新密钥将用作新文件签名，以减少密码分析者所能攻击的签名文件数目。　　（8）销毁密钥　　如果密钥必须替换，旧钥就必须销毁，密钥必须物理地销毁。　　（9）公开密钥的密钥管理　　公开密钥密码使得密钥较易管理。无论网络上有多少人，每个人只有一个公开密钥。　　使用一个公钥/私钥密钥对是不够的。任何好的公钥密码的实现需要把加密密钥和数字签名密钥分开。但单独一对加密和签名密钥还是不够的。象身份证一样，私钥证明了一种关系，而人不止有一种关系。如Alice分别可以以私人名义、公司的副总裁等名义给某个文件签名。