网络安全协议2公钥基础设施PKIPPT文档格式.ppt
- 文档编号:15041138
- 上传时间:2022-10-27
- 格式:PPT
- 页数:101
- 大小:3.43MB
网络安全协议2公钥基础设施PKIPPT文档格式.ppt
《网络安全协议2公钥基础设施PKIPPT文档格式.ppt》由会员分享,可在线阅读,更多相关《网络安全协议2公钥基础设施PKIPPT文档格式.ppt(101页珍藏版)》请在冰豆网上搜索。
n为什么需要PKI?
n电子政务、电子商务对信息传输的安全需求n在收发双方建立信任关系,提供身份认证、数字签名、加密等安全服务n收发双方不需要共享密钥,通过公钥加密传输会话密钥2.1PKI基本概念n非对称密码体制C7D08FF私有密钥KPV明文密文公开密钥KPB密文明文摘要签名签名摘要COMMONACCESSCARD-DRAFTLAYOUTGenevaConv.Cat.VIDateofBirth19XXJAN00SocialSecurityNumber000-12-3456DDFormXXXXXX2000PropertyoftheU.S.GovernmentIntegratedCircuitChipLocationArmyanticipatesa32KChip.PKICertificateswilltake9.9Kto12.9KoftheChip.Futureresidualspaceforotherfunctionalandserviceapplications.BarcodeforPersonnelDataIssueDate2000OCT23Keane,JohnM.ArmyActiveDutyExpirationDate2003OCT22PayGradeO10ArmedForcesoftheUnitedStatesRankGENGenevaConventionsIdentificationCardSAMPLEBarcodeforFunctionalApplicationsCurrentUsesInclude:
ArmyFoodManagementInformationSystem(AFMIS)-3sitesUSAREUR(Army/USAF)-MotorVehicleRegistration-26workstationsUSMCFlightlineAccessControlSystem-8sitesUSAFMilitaryImmunizationTrackingSystem-26workstationsLittleCreekNavalStationVOQ/BOQCheck-in-1siteSAMPLEMedicalBloodType:
O+OrganDonor:
YesMedicalDataShowstheBloodTypeandOrganDonorStatus.MagneticStripeProposeduseisforbuildingandfacilityAccess.NavycurrentlyusesonetrackforATMaccess证书的结构PKIPKI的组成的组成n认认证证机机构构CA证证书书的的签签发发机机构构,它它是是PKI的的核核心心,是是PKI应应用用中权威的、可信任的、公正的第三方机构。
中权威的、可信任的、公正的第三方机构。
n注注册册机机构构RA注注册册功功能能也也可可以以由由CA直直接接实实现现,但但随随着着用用户户的的增增加加,多多个个RA可可以以分分担担CA的的功功能能,增增强强可可扩扩展展性性,应应注注意意的的是是RA不容许颁发证书或不容许颁发证书或CRL.n证证书书库库证证书书的的集集中中存存放放地地,提提供供公公众众查查询询,常常用用目目录录服服务务器器提供服务,采用提供服务,采用LDAP目录访问协议。
目录访问协议。
n密钥备份及恢复系统密钥备份及恢复系统n签签名名密密钥钥对对:
签签名名私私钥钥相相当当于于日日常常生生活活中中的的印印章章效效力力,为为保保证证其其唯唯一一性性,签名私钥不作备份签名私钥不作备份。
签名密钥的生命期较长。
n加加密密密密钥钥对对:
加加密密密密钥钥通通常常用用于于分分发发会会话话密密钥钥,为为防防止止密密钥钥丢丢失失时时丢丢失失数据,数据,解密密钥应进行备份解密密钥应进行备份。
这种密钥应频繁更换。
PKIPKI的组成(续)的组成(续)n证证书书作作废废处处理理系系统统证证书书由由于于某某种种原原因因需需要要作作废废,终终止止使使用用,这将通过证书作废列表(这将通过证书作废列表(CRL)来完成。
)来完成。
n自自动动密密钥钥更更新新无无需需用用户户干干预预,当当证证书书失失效效日日期期到到来来时时,启启动动更新过程,生成新的证书更新过程,生成新的证书n密密钥钥历历史史档档案案由由于于密密钥钥更更新新,每每个个用用户户都都会会拥拥有有多多个个旧旧证证书书和和至至少少一一个个当当前前证证书书,这这一一系系列列证证书书及及相相应应私私钥钥(除除签签名名私私钥钥)组成密钥历史档案。
组成密钥历史档案。
nPKI应用接口系统应用接口系统是为各种各样的应用提供安全、一致、可信是为各种各样的应用提供安全、一致、可信任的方式与任的方式与PKI交互,确保所建立起来的网络环境安全可信,交互,确保所建立起来的网络环境安全可信,并降低管理成本。
并降低管理成本。
n交叉认证交叉认证多个多个PKI独立地运行,相互之间应建立信任关系独立地运行,相互之间应建立信任关系PKI的特点n节省费用n互操作性n开放性n一致的解决方案n可验证性n可选择性第二章:
公钥基础设施PKIn2.1PKI基本概念2.2PKI和电子商务中常用的密码技术n2.3PKI体系结构与功能操作n2.4PKI体系的互通性与标准化n2.5X.509标准n2.6认证机构CA系统n2.7PKI的应用之一安全电子交易协议-SET2.2PKI和电子商务中常用的密码技术n信息加密/解密n数字签名n报文检验码n数字信封n双重数字签名PKI提供的安全手段与传统方法的比较机密性机密性身份认证身份认证完整性完整性不可否认性不可否认性传统的纸制方法传统的纸制方法电子加密方法电子加密方法封好的信封封好的信封身份证、护照身份证、护照监测数据特征监测数据特征手写签名手写签名数据加密数据加密数字签名数字签名数字签名数字签名数字签名数字签名信息的加密/解密由于非对称密码的运算复杂、加/解密速度慢,因此信息的加密采用对称密码算法,其会话密钥的分发采用非对称密码算法,即采用收方的公钥对会话密钥进行加密。
数字签名n数数字字签签名名是是指指用用密密码码算算法法,对对待待发发的的数数据据进进行行加加密密处处理理,生生成成一一段段数数据据摘摘要要信信息息附附在在原原文文上上一一起起发发送送,接接受受方方对对其其进进行行验验证证,判判断断原原文文真真伪伪。
这这种种数数字字签签名名适适用用于于对对大大文文件件的的处处理理,对对于于那那些些小小文文件件的的数数据据签签名名,则则不不预预先先做做数数据据摘摘要,而直接将原文进行加密处理。
要,而直接将原文进行加密处理。
n数字签名在数字签名在PKI中提供中提供数据完整性保护数据完整性保护和提供和提供不可否认性服务不可否认性服务。
数据摘要这种方法很容易把明文变成密文,而将密文转换成明文不容易,这种方法将在后来使用。
数数据据摘摘要要具有数据摘要的数字签名直接用私钥进行加密的数字签名报文检验码n报文检验码,也称消息认证码,MAC(MessageAuthenticationCode),是一种需要密钥参与的杂凑函数,采用这种方法也可以实现数据完整性服务。
数字信封n数字信封就是信息发送端用接收端的公钥,将一个通信密钥(即对称密钥)给予加密,生成一个数字信封。
n然后接收端用自己的私钥打开数字信封,获取该对称密钥SK,用它来解读收到的信息。
数字信封的使用(续)-发送方
(1)将要传输的信息经hash后,得到一个数据摘要MD,MD=hash(信息)
(2)发送者A用自己的私钥PVA对数据摘要MD进行加密,得到A的数字签名DS(3)发送者A将信息明文、数字签名和它的证书上的公钥三项信息,通过对称算法,用对称密钥SK进行加密,得密文E(4)发送者在发送信息之前,必须事先得到接受方B的证书公钥PBB,用PBB加密SK,形成一个数字信封DE(5)E+DE就是将密文与数字信封连接起来,既A所发送的内容
(1)
(2)(3)(4)(5)问题:
PBA在这里传送是否会引入中间人攻击?
数字信封的使用(续)-接受方
(1)接收者B用自己的私钥PVB解密数字信封DE,获取对称加密密钥SK
(2)接收者B用SK将密文E解密还原成信息明文、数字签名DS和A的证书公钥PBA(3)B将数字签名用A的公钥PBA进行解密,得到信息摘要MD(4)B再将已收到的信息明文,用同样的hash函数计算,得到信息摘要MD(5)比较MD与MD,若相等,则接收。
(1)
(2)(3)(4)(5)双重数字签名n发送者寄出两个相关信息给接收者,对这两组相关信息,接收者只能解读其中一组,另一组只能转送给第三方接收者,不能打开看其内容。
这时发送者就需分别加密两组密文,做两组数字签名,故称双重数字签名。
n应用场合:
电子商务购物、付款。
是SET和non-SET中常用DualSignature1.商家收到PIMD、OI、DS,计算H(PIMD|H(OI)和DKUc(DS)2.银行收到OIMD、PI、DS,计算H(H(PI)|OIMD)和DKUc(DS)3.顾客将PIOI链在一起起到签名作用。
CardholdersendsPurchaseRequestPaymentprocessingMerchantVerifiesCustomerPurchaseRequestPaymentprocessing第二章:
公钥基础设施PKIn2.1PKI基本概念n2.2PKI和电子商务中常用的密码技术2.3PKI体系结构与功能操作n2.4PKI体系的互通性与标准化n2.5X.509标准n2.6认证机构CA系统n2.7PKI的应用之一安全电子交易协议-SET2.3PKI体系结构与功能1.PKI体系结构体系结构2.PKI功能操作功能操作3.PKI的服务的服务1.PKI体系结构政策批准机构PAA创建整个创建整个PKI系统的方针、政系统的方针、政策,批准本策,批准本PAA下属的下属的PCA的的政策,为下属政策,为下属PCA签发公钥证签发公钥证书,建立整个书,建立整个PKI体系的安全体系的安全策略,并具有监控各策略,并具有监控各PCA行为行为的责任的责任1.PKI体系结构政策机构PCAPCA为政策为政策CA制定本制定本PCA的具的具体政策,可以是上级体政策,可以是上级PAA政策政策的扩充或细化,但必须是上层的扩充或细化,但必须是上层所允许的。
这些政策可能包括所允许的。
这些政策可能包括PCA范围内范围内密钥的产生密钥的产生、密钥密钥的长度的长度、证书的有效期证书的有效期规定及规定及CRLCRL的处理的处理等。
等。
1.PKI体系结构认证机构CACA是认证机构,也称认证中是认证机构,也称认证中心,具备有限的政策制定功心,具备有限的政策制定功能,按照上级能,按照上级PCA制定的政制定的政策,担任具体的策,担任具体的用户公钥证用户公钥证书的签发书的签发、生成和发布生成和发布及及CRLCRL生成及发布生成及发布功能。
功能。
1.PKI体系结构在线证书申请ORA进行证书申请者的身份认进行证书申请者的身份认证,向证,向CA提交证书申请,提交证书申请,验证接收验证接收CA签发的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 协议 基础设施 PKI