收藏
下载资源

《网络安全》第9-10讲(3.4)

上传人:kms****20 文档编号:51430986 上传时间:2018-08-14 格式:PPT 页数:41 大小:831KB
返回 下载 相关 举报
《网络安全》第9-10讲(3.4)_第1页
第1页 / 共41页
《网络安全》第9-10讲(3.4)_第2页
第2页 / 共41页
《网络安全》第9-10讲(3.4)_第3页
第3页 / 共41页
《网络安全》第9-10讲(3.4)_第4页
第4页 / 共41页
《网络安全》第9-10讲(3.4)_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《《网络安全》第9-10讲(3.4)》由会员分享,可在线阅读,更多相关《《网络安全》第9-10讲(3.4)(41页珍藏版)》请在金锄头文库上搜索。

1、遵义师范学院遵义师范学院 第3章 密钥管理技术3.4 公开密钥基础设施(PKI)公开密钥基础设施(Public Key Infrastructure,PKI)是指 用公钥概念和技术来实施和提供安全服务的具有普适性的安全基 础设施。也就是说,PKI 是支持公开密钥的管理并提供真实性、 保密性、完整性以及不可否认性安全服务的具有普适性的安全基 础设施,能够为敏感通信和交易提供一套信息安全保障。PKI 技术是公开密钥系统信息安全技术的核心,也是电子商 务的关键和基础技术。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 1.公钥密码体制的基本概念1) 密钥对在基

2、于公钥体系的安全系统中, 密钥是成对生成的, 每对密钥由一个公钥和一个私钥组成。 在实际应用中, 私钥由拥有者自己保存, 而公钥则需要公布于众。 为了使基于公钥体系的业务(如电子商务等)能够广泛应用, 一个关键的基础性问题就是公钥的分发与管理。 公钥本身并没有什么标记, 仅从公钥本身不能判别公钥的主人是谁。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 1.公钥密码体制的基本概念2) 数字证书数字证书是将公钥和公钥的主人名字联系在一起, 再请一个大家都信得过的有信誉的公正、 权威机构确认, 并加上这个权威机构的签名, 这就形成了证书。 由于证书上有权威机

3、构的签字, 所以大家都认为证书上的内容是可信任的; 又由于证书上有主人的名字等身份信息, 别人就很容易地知道公钥的主人是谁。 互联网络的用户群绝不是几个人互相信任的小集体, 在这个用户群中, 从法律角度讲用户彼此之间都不能轻易信任, 所以公钥加密体系采取数字证书解决了公钥的发布和彼此信任的问题。遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 1.公钥密码体制的基本概念 3) 电子认证中心电子认证中心(即CA)是负责证书认证的权威机构。CA也拥有一个证书 (内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众 用户通过验证CA的签字从而信任CA

4、,任何人都应该可以得到CA的证书(含公 钥),用公钥来验证它所签发的证书。如果用户想得到一份属于自己的证书, 他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并 且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给 那个用户(申请者)。如果一个用户想鉴别另一个证书的真伪,他就用CA的公 钥对那个证书上的签字进行验证(如前所述,CA签字实际上是经过CA私钥加 密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一旦验证通过, 该证书就被认为是有效的。CA除了签发证书之外,它的另一个重要作用是证书 和密钥的管理。由此可见,证书就是用户在网上的电子个人身份证

5、,同日常生 活中使用的个人身份证作用一样。CA相当于网上公安局,专门发放、验证身份 证。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 2.PKI的组成和基本功能完整的PKI系统应该具有五大系统, 包括了认证中心CA、 数 字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端 应用接口系统等基本构成部分。 每个系统的具体内容如下:(1) 认证中心CA。 认证中心CA是证书的签发机构和权威认 证机构, 是PKI的核心。 认证中心是保证电子商务、 电子政务、 网上银行、 网上证券等环境秩序的第三方机构, 具有权威性、 可信任性和公正性的特征。(2)

6、数字证书库。 数字证书库是CA颁发证书和撤销证书的 集中存储区域, 用于存放已签发过的数字证书及公钥, 可供用户 进行开放式查询, 获得所需的其他用户的证书及公钥。遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 2.PKI的组成和基本功能完整的PKI系统应该具有五大系统, 包括了认证中心CA、 数 字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端 应用接口系统等基本构成部分。 每个系统的具体内容如下:(3) 密钥备份及恢复系统。 PKI提供了密钥备份和恢复解密 密钥机制,密钥的备份与恢复必须由可信的机构来完成。密钥备 份与恢复只能针对解密密钥,

7、签名私钥为确保其惟一性不能够作 备份。该机制是针对用户如果丢失了用于解密数据的密钥,加密 数据将无法被解密而造成合法数据的丢失。为避免这种情况,PKI 提供了备份与恢复密钥的机制。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 2.PKI的组成和基本功能完整的PKI系统应该具有五大系统, 包括了认证中心CA、 数 字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端 应用接口系统等基本构成部分。 每个系统的具体内容如下:(4) 证书作废处理系统。 任何证书都有一定的有效期, PKI 系统必须定期自动更换证书和密钥, 超过有效期限的证书就要进 行作

8、废处理, 因此证书作废处理系统是PKI的一个必备组件。 证 书作废的原因也可能是密钥介质丢失或用户身份变更等。遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 2.PKI的组成和基本功能完整的PKI系统应该具有五大系统, 包括了认证中心CA、 数 字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端 应用接口系统等基本构成部分。 每个系统的具体内容如下:(5) 客户端应用接口系统。 用户使用PKI系统需要在客户端 装有软件, 或者使用应用接口系统。 这些应用接口系统使用户能 够方便地使用加密、 数字签名等安全服务, 申请人可以通过浏览 器申请、 下载

9、证书, 并可以查询证书的各种信息, 对特定的文 档提供时间戳请求等。 PKI应用接口系统使得各种各样的应用能 够以安全、 一致、 可信的方式与PKI交互, 确保安全网络环境的 完整性和易用性。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 2.PKI的组成和基本功能构建PKI也围绕着这五大系统来进行, 实用的PKI体系必须具 有安全性、 易用性、 灵活性和经济性, 还必须充分考虑互操作 性和可扩展性。 PKI的基础技术包括加密、 数字签名、 数据完整 性机制、 数字信封、 双重数字签名等。 一个典型、 完整、 有效 的PKI应用系统的基本功能包括: 公钥

10、密码证书管理、 黑名单的 发布和管理、 密钥的备份和恢复、 自动更新密钥、 自动管理历 史密钥和支持交叉认证。为了保证系统的可用性, 对PKI的结构进行了层次划分, 便 于系统构建。 PKI主要由三个层次构成, 如图3.4所示。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.1 PKI概述 2.PKI的组成和基本功能为了保证系统的 可用性, 对PKI的结 构进行了层次划分,便于系统构建。PKI主要由三个层次 构成, 如图3.4所示。 图3.4 PKI系统应用框架层次图 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.2 公钥密码体制的原理与算法 详

11、见“2.4 公钥(非对称)密码体制”相关内容 1. 公钥密码体制的原理公钥密码体制基本通信模型2. 单向函数1) 可逆函数 2) 单向函数3 用于构造公钥密码常用的单向函数1) 多项式求根 2) 离散对数 3) 大整数分解 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.3 公钥证书 1.证书的结构和格式 目前使用较多的证书是按照国际电信联盟ITU X.509协议定义 的,尽管X.509已经定义了证书的标准字段和扩展字段的具体要求 , 但仍有很多的证书在颁发时需要一个专门的协议子集来进一步 定义说明。 Internet工程任务组(IETF)PKI X.509工作组就制定

12、了这样一个协议子集, 即RFC2459(PKIX的第一部分), RFC2459是专门为Internet的应用环境而制定的。一份X.509证书是 一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥 的信息的通用证书格式,所有的证书都符合X.509标准。 表3.1给 出了X.509 V3的证书结构。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.3 公钥证书 1.证书的结构和格式表3.1 X.509 V3证书结构 Authority密钥标识符(Authority Key Identifier):用来验证证书密钥的惟一标识 符,用来区分同一个证书颁发者的多对密钥。主体

13、密钥标识符(Subject Key Identifier):证书所含密钥的惟一标识符, 用来区分同一个证书拥有者的多对密钥。密钥使用(Key usage):一个比特串,指明(限定)利用证书中的公钥可完成的各 项功能或服务,如数字签名、不可否认性。扩展密钥使用:由一个或多个对象标识符(OIDs)组成,用以说明证书中密钥 的特别用途。CRL分布点:指明证书撤消列表(CRL,Certification Revoke List)分段的地 点。私钥使用期:指明与证书中公钥相联系的私钥的使用期限,用于数字签名证 书。证书策略:说明一系列的与证书颁发和使用有关的策略对象标识符和可选的 限定符。策略映射:表明

14、在两个CA域之间的一个或多个策略对象标识符的等价映射关 系。主体别名(Subject Alternative Name):指出证书拥有者的别名(例如,电子 邮件地址、IP地址、URI等等)。遵义师范学院遵义师范学院14证书实例:Windows 2000中 Administrator用户颁发的用于 文件故障恢复的自签名(Self- signed)证书中前7项内容。版本号序列号签名颁发者有效期主体主体公 钥信息遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.3 公钥证书 1.证书的结构和格式除了 X.509证书外,在各种不同的应用场合还有其他证书。 1) 简单公开密钥基础设施

15、(SPKI)简单公开密钥基础设施(SPKI)是一个独立的IETF工作组的 工作成果,该工作组致力于为Internet提供一个简单的公开密钥基 础设施。该IETF工作组的目标是发展支持IETF公钥证书格式、签 名和其他格式以及密钥获取协议的Internet标准。SPKI密钥证书格 式以及相关协议应该是简单易懂、易于实现和使用的。SPKI的工作重点在于授权而不是身份认证,因此SPKI证书也 叫授权证书。SPKI授权证书的主要目的就是传递许可权,当然也 有授予许可权的能力。遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.3 公钥证书 1.证书的结构和格式除了 X.509证书外,

16、在各种不同的应用场合还有其他证书。 2) PGP密钥格式证书PGP密钥格式证书应用于PGP(Pretty Good Privacy)体系中, PGP是一种对电子邮件和文件进行加密与数字签名的方法。 最新的 PGP版本OpenPGP, 以IETF的标准“OpenPGP报文格式”的形式颁布 。 该标准规范了在两个实体间传递信息和文件时的PGP报文格式, 以及在两个实体间传递PGP密钥(或称为PGP证书)的报文格式。PGP标准在Internet上得到了应用, PGP密钥格式的证书也发挥 了重要作用, 但它所有的信任决策主要是基于个人, 而不是针对组 织和机构。 PGP方案对企业内部网来说, 不是最好的解决方案。 遵义师范学院遵义师范学院 3.4 公开密钥基础设施(PKI) 3.4.3 公钥证书 1.证书的结构和格式除了 X.509证书外,在各种不同的应用场合还有其他证书。 3) 安全电子交易(SET)标准安全电子交易(SET)标准定义了在分布式网络(如因特网 )上进行信用卡支付交易所需的标准。 SET定义了一种标准的支

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号