《安全生产_密钥管理与pki技术培训讲义》由会员分享,可在线阅读,更多相关《安全生产_密钥管理与pki技术培训讲义(66页珍藏版)》请在金锄头文库上搜索。
1、-1-,第四章 密钥管理与PKI技术,-2-,第四章密钥管理与PKI技术 7,1. 密钥管理概述,2. 基本概念,3. 密钥建立模型,4. 公钥传输机制,5. 密钥传输机制,6. 密钥导出机制,7. PKI技术,如何保证网络上的通讯安全?,使用LAN/Internet . . . 发送邮件 分发软件 发送敏感的或私有的数据 进行应用系统访问 但人们担心的是 . . . 如何确认某人的身份? 如何知道我连接的是一个可信的站点? 怎样才能保证我的通讯安全? 怎样确定电子信息是否被篡改? 如何证明某人确实给我发过电子邮件?,常用的安全防护手段,基于口令验证 防火墙 入侵检测 漏洞扫描 安全审计 防病
2、毒,安全体系解决方案,如何解决电子通讯中的安全要素,密码技术 (加密 & 解密) 对称加密 共享 密钥 非对称加密 公共/私有 密钥对 密码技术的特殊应用: 数字签名 数字证书,Digital Certificate,对称加密算法,在两个通讯者之间需要一把共享的密钥,非对称加密算法,没有共享的密钥。两把密钥同时产生;一把为公钥,另一把为私钥;因此也被称为一对密钥。,加密,To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account
3、7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非对称 加密算法,非对称加密算法,To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3
4、*UY #00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非对称 加密算法,解密,没有共享的密钥。两把密钥同时产生;一把为公钥,另一把为私钥;因此也被称为一对密钥。,-3-,PKI概述,PKI(Public Key Infrastructure),-利用公钥理论和技术建立的提供信息安全服务的基础设施 基本思路,-信任关系的管理 -信任关系的传递 主要目的,-保证机密性、完整性、真实性、不可否认性,网络通讯的四个
5、安全要素,?,Claims,未发出,未收到,机密性,完整性,身份认证,不可抵赖,拦截,篡改,伪造,通讯是否安全?,发出的信息被篡改过吗?,我在与谁通讯?,是否发出/收到信息?,-4-,PKI概述(Cont.),信任类型 身份认证 完整性 保密性 不可否认性,现实世界 身份证、护照、信用卡、驾照 签名、支票、第三方证明 保险箱、信封、警卫、密藏 签名、挂号信、公证、邮戳,网络世界 数字证书、数字签名 数字签名 加密 数字签名,-5-,PKI的主要功能,产生、验证和分发密钥,签名和验证,获取、验证、存储证书,申请证书作废,获取CRL(证书废除列表Certificate Revocation Lis
6、t),密钥更新与恢复,审计、存档,-6-,PKI的结构,PKI是一套软/硬件系统和安全策略的集合,提供一整套以证书为基础,通过信任关系传递来保证安全通信和电子商务交易的服务。,-7-,PKI安全策略,定义了指导方针和使用的方法和原则 两种策略,-CP(Certificate Policy),-CPS(Certificate Practice Statement) CP,-管理证书的使用,CPS,-详细文档,包含在实践中增强和支持安全策略的一些操作过 程。,-8-,PKI安全策略(Cont.),CPS所包含的主要内容,-确认手续,-证书的范围 -授权,-证书周期 -交叉认证,-保护绝密资料 -不
7、同的密钥 -确认证书,-证书撤销列表 -CRL的发布点,-在线证书状态协议(OCSP),-9-,认证中心,CA(Certificate Authority) -PKI的核心组成部分 -PKI的信任基础 -可信第三方 CA主要功能 -发放证书。,-规定证书的有效期。,-发布证书废除列表(CRL) -,-10-,注册机构,RA(Registration Authority) -提供用户和CA之间的接口 RA主要功能,-受理证书申请、注销。 -数据审核。,支持多种注册方式 -面对面,-远程注册,-11-,证书发布系统,负责证书的发放,一般通过目录服务器实现 目录,-网络系统中各种资源的清单 -关联关
8、系 目录服务,-X.500包括客户机-目录服务器访问协议、服务器-服务器通信 协议、完全或部分的目录数据复制、服务器链对查询的响应、 复杂搜寻的过滤功能等。 目录访问协议,-LDAP, Lightweight Directory Access Protocol。,-12-,CA引言,公开密钥体制的特点 -公钥可公开,-只需一对密钥 -数字签名 问题,-如何发布自己的公钥? -如何证实自己的身份?,-13-,A,1、解密,B 2、加密并签名,公开密钥,Mallory,我用我的公开密钥和Alice 的调包,让Bob以为我的 公开密钥就是Alice的 冒牌货的,公钥攻击公钥调包 这封讯息经认证是由
9、Alice发来的,安全的公开密钥发放,密钥对的产生,私密密钥,在本地电脑上 或USB KEY,发送,发证机构,签名,对象名称及 其他细节,CA签名,公开密钥 数字证书,公钥目录,公开密钥 发放 公开密钥以证书,形式发放, 证书需经发证机,构(CA)签名 公开发放 -14-,-15-,成为发布证书权威机构的条件,依法成立,具有与认证服务相适应的专业技术人员和管理人员 具有与提供认证服务相适应的资金和经营场所 具有符合国家安全标准的技术、设备 国家法律法规规定的其他条件,公安局,用户A的公开密钥 用于验证签名和信息加密,与数字证书捆绑在一起,发送给 其他人,也可以通过公开查询获得 -16-,.,什
10、么是数字证书? 数字证书是公钥的载体 用户A的私有密钥 用户A 用于数字签名和信息解密,由用户自己妥善保管不能泄 露,确保只有用户本身才能签名 颁发给:用户A 颁发者:河南省数字证书认证中心,CA,什么是数字证书?,一个 数字证书 是 . . . 一个包含用户身份信息的文件 CA的名称 (颁发机构) Bob的名称 (对象) Bob的公钥 数字签名 由可信的第三方进行签名 Certification Authority 使用CA的私钥 保证信息的真实性和完整性 遵守X.509标准,数字证书 VS 身份证,姓名:王明 序列号: 484865 签发者:XXXCA 发布时间:2002-01-01 有效
11、时间:2002-12-31 Email: 公钥:38ighwejb 私钥: 42qdyeipv ,姓名:王明 编号:110104197312061536 签发者:北京市公安局海淀分局 发布时间:2000-04-05 有效期:20年 住址:北京市海淀区中科院南路6号,-18-,数字证书的基本内容,证书格式:,序列号 签名算法 颁证机构 有效期限,持有人姓名,辨识数字证书的标识,证书采用格式 签名证书采 用的算法,颁证机构名称,证书有效期限,持有人公钥 颁证机关签名 公钥数值及演算标示,确认证书的拥有者,确保证书资料不被篡改,-19-,数字证书示例,身份认证 身份认证是鉴别资源的访问者的合法性的基
12、础手段 通常的认证方式:用户名+口令 用户名+口令方式的脆弱性 -安全隐患 -口令破解技术的发展 -管理因素,PKI技术的典型应用,安全隐患 密码容易被无意中泄漏; 黑客和木马工具层出不穷,密码很容易被窃取; 由于密码长度有限,设置密码时没有进行强密码限制,导致密码可能被猜测、穷举、破译; 应用系统逐步丰富,如果用户密码多了就容易忘记。,用户名+口令的安全隐患,破解技术 穷举法(蛮力猜测) 利用技术和管理漏洞 字典法破译 通过网络监听非法得到用户口令 采用缺省口令直接猜测,口令的破解技术,几种认证方式的比较,RA,CA End Entity,证书申请 -20-,证书过期 密钥备份 与恢复,证书
13、生命周期 证书吊销,证书发布 Directory Services 证书生成,-21-,证书等级,第一级 第二级 第三级,明确“处理”,电子邮件地址 经本地资料库验证 真实姓名、真实地址、所在地、电子邮件地址 经过“可信任的”资料库验证 真实姓名、真实地址、所在地、电子邮件地址 经过“可信任的”资料库验证 经当面验证、有公证书,-22-,数字证书的类型,单位身份证书 个人身份证书 服务器证书 邮件证书,代码签名证书,-23-,CA系统框架,-24-,CA系统框架(Cont.),面向普通用户,提供证书申请、浏览、 CRL和证书下载等服务 通信采取安全信道方式(如SSL方式,不需要认证用户身份)
14、-加密传输保证证书申 请和传输过程中的信息 安全性(使用业务受理服务器证书中提供的公钥),-25-,CA系统框架(Cont.),整个认证中心CA的核心,负责证书的签发 -CA自身,-操作员、安全服务器、 业务受理服务器 -用户,安全需与其他服务器隔离,-26-,CA系统框架(Cont.),承上启下,隔离模块 -向CA证书服务器转发 申请,-向数据库和LDAP目录 服务器转发证书和CRL,-27-,CA系统框架(Cont.),提供目录浏览服务 -用户信息 -数字证书,-28-,CA系统框架(Cont.),认证机构的核心部分 数据、日志和统计信息 的存储和管理,采取多种安全性措施,PKI系统总体结
15、构,CA RA 证书受理点 密钥管理中心-KMC,Certification Authority - CA,基本证书业务 申请、发放、归档、废止、恢复、更新、查询等 CA管理 交叉认证、审计、统计 支持多级CA 支持逻辑CA 支持证书模板 支持双证书 支持汉字证书 支持密钥管理中心(KMC) 支持OCSP(在线证书状态查询),Registration Authority - RA,进行用户身份信息的审核,确保其真实性; 本区域用户身份信息管理和维护; 数字证书的下载; 数字证书的发放和管理。,证书受理点 - RA 操作端,收集和管理申报材料和信息 录入身份信息 初步审核与提交身份信息 制作数字证书 发放数字证书,密钥管理中心 - KMC,密钥的生成 密钥的分发 密钥的
