计算机网络安全管理课件第2章 加密技术.pptVIP

2. 证书的管理 认证机构应有一证书管理机构来管理它发出的所有证书，证书的管理应通过目录服务来实现。这些管理功能包括： · 用户能方便地查找各种证书及已经撤销的证书。 用户在验证发送方数字签字时需要验证用户的身份，这就要检验发送方数字证书。由于该证书可能在其有效期限内被认证机构撤销，因此，用户往往要检查认证机构的已撤销证书。因此，能否给用户提供方便的证书查询功能，是认证机构是否成功的重要标准之一。 · 能根据用户请求或其它相关信息撤销用户的证书。 用户的身份并不是一成不变的。如用户的服务处所改变后，用户的身份也就改变了。这时，原来的证书虽在有效期限内但已无意义。故认证机构就应该根据用户的请求，撤销该证书。 · 能根据证书的有效期限自动地撤销证书。 · 能完成证书数据库的备份工作。 3. 证书库 证书库是证书的集中存放地，是网上的一种公共信息库，用户可从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统，用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性，防止伪造、篡改证书。 4. 密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则密文数据将无法被解密，从而造成数据丢失。为避免这种情况的出现，PKI应该提供备份与恢复解密密钥的机制。密钥的备份与恢复应该由可信的机构来完成，例如CA可以充当这一角色。值得强调的是，密钥备份与恢复只能针对解密密钥，签名私钥不能够做备份。 5. 证书作废处理系统 证书作废处理系统是PKI的一个重要组件。同日常生活中的各种证件一样，证书在CA为其签署的有效期以内也可能需要作废。例如，A公司的职员a辞职离开公司，这就需要终止a证书的生命期。为实现这一点，PKI必须提供作废证书的一系列机制。作废证书有3种策略：一是作废一个或多个主体的证书；一是作废由某一对密钥签发的所有证书；还有一个是作废由某CA签发的所有证书。 6. 证书的发放政策 证书的发放需要遵照一定的规定和手续来进行。证书的发放政策是由发证机构根据自己的服务方式和管理方式来确定的。最简单的情况下，例如在一个 Intranet 上，提供用户的名字、住址、工作证和 E-mail 地址可能就可以了。在复杂的情况下，可能要求用户提供各种证明身份的证件，一些权威性的文件，提供银行帐号，并且需要亲自到专门的机构去办理申请手续。 7. 证书的发放方式 证书的发放方式可以有多种。使用 Net-Pass 智能卡时，证书的发放可以在网上在线签发，也可以进行卡的预制签发。 8. 证书的应用 认证机构发放的证书主要应用有： · 使用S/MIME协议实现安全的电子邮件系统； · 使用SSL协议实现浏览器与Web服务器之间的安全通信； · 使用SET协议实现信用卡网上安全支付。 §2.10 智能卡 使用智能卡方法是当前国际上公认的商业网络安全通信中最好的用户端解决方案。智能卡的外形与普通的信用卡相同，内部有微处理器 （CPU）和可重写存储单元（EEPROM），并且有文件管理系统和保护算法。Net-Pass 1.0E? 使用目前国内、国际上最高水平的智能卡片，其内部有硬件产生密钥和实现的 RSA? 加密算法，可以高速完成加、解密等操作。智能卡是防止篡改的简便方法，它可以向诸如客户身份验证、登录到 Windows 2000 域、代码签名和保护电子邮件之类的任务提供安全性解决方案。 对加密智能卡的支持是 Microsoft 集成到 Windows 2000 中的公钥基础结构 (PKI) 的关键功能。使用智能卡具有几个其它方法所不具备的独特优点： 把用户的重要信息，包括证书、密钥、口令、个人信息等，存放于智能卡中安全保管； 加密处理可以在卡内完成，用于加密的个人密钥等信息是不允许从卡中读出的，从而最大限度地保障通讯的安全使用； 每张智能卡存放的内容都是独特的，是不可替代的，具有代表使用者身份的意义，提供对操作安全的可管理性； 第2章 加密技术 2.1 密码算法 2.2 对称加密技术 2.3 不对称加密算法 2.4 RSA算法简介 2.5 RSA算法和DES算法的比较 2.6 DSS/DSA算法 2.7 椭圆曲线密码算法 2.8 量子加密技术 2.9 PKI管理机制 2.10 智能卡 在现代社会，随着Internet的发展，人们越来越多的在网络上从事个人事务处理和商业活动，网络已经发展成人们日常生活和工作的重要媒体。如：使用网络发送电子邮件进行电子购物、资金转账、发布公告、接收重要数据等等，信息安全性也变得越来越重要，信息安全主要表现在以下的四个特性： · 保密性(Confidentiality)保证信息不泄露给未经授权的任何人； · 完整性（Integ