PKI学习研讨.pptVIP

PKI技术基础 PKI技术的引入 如何保证网络上的通讯安全？ 使用LAN/Internet . . . 发送邮件 分发软件 发送敏感的或私有的数据 进行应用系统访问 但人们担心的是 . . . 如何确认某人的身份? 如何知道我连接的是一个可信的站点? 怎样才能保证我的通讯安全? 怎样确定电子信息是否被篡改? 如何证明某人确实给我发过电子邮件? Internet上没人知道你是一只狗 常用的安全防护手段 基于口令验证 防火墙 入侵检测 漏洞扫描 安全审计 防病毒 我们将找到答案 …… 什么是 PKI ? Public Key Infrastructure (PKI) . . . . . . 是硬件、软件、人员、策略和操作规程的总和，它们要完成创建、管理、保存、发放和废止证书的功能 PKI 基于公开密钥加密算法来保证网络通讯安全 网络通讯的四个安全要素 如何解决电子通讯中的安全要素 密码技术 （加密 解密） 对称加密 共享 密钥 非对称加密 公共/私有 密钥对 密码技术的特殊应用： 数字签名 数字证书 密码技术的基本概念 加密是把明文信息转化为密文的过程 解密是把密文信息还原成明文的过程 加密 / 解密 的过程需要：一个加密算法和一把密钥 两种加密的类型：对称加密和非对称加密 对称加密算法 在两个通讯者之间需要一把共享的密钥 非对称加密算法 没有共享的密钥。两把密钥同时产生；一把为公钥，另一把为私钥；因此也被称为一对密钥。 非对称加密算法 没有共享的密钥。两把密钥同时产生；一把为公钥，另一把为私钥；因此也被称为一对密钥。 什么是数字证书? 一个 数字证书 是 . . . 一个包含用户身份信息的文件 CA的名称 （颁发机构） Bob的名称 （对象） Bob的公钥 数字签名 由可信的第三方进行签名Certification Authority 使用CA的私钥 保证信息的真实性和完整性 遵守X.509标准 数字证书 VS 身份证 姓名：王明 序列号： 484865 签发者：XXXCA 发布时间：2002-01-01 有效时间：2002-12-31 Email：wm@ 公钥：38ighwejb 私钥： 42qdyeipv …… 姓名：王明 编号签发者：北京市公安局海淀分局 发布时间：2000-04-05 有效期：20年 住址：北京市海淀区中科院南路6号 PKI技术的典型应用 身份认证 身份认证是鉴别资源的访问者的合法性的基础手段 通常的认证方式：用户名+口令 用户名+口令方式的脆弱性 安全隐患 口令破解技术的发展 管理因素 用户名+口令的安全隐患 安全隐患 密码容易被无意中泄漏； 黑客和木马工具层出不穷，密码很容易被窃取； 由于密码长度有限，设置密码时没有进行强密码限制，导致密码可能被猜测、穷举、破译； 应用系统逐步丰富，如果用户密码多了就容易忘记。 口令的破解技术 破解技术 穷举法（蛮力猜测） 利用技术和管理漏洞 字典法破译 通过网络监听非法得到用户口令 采用缺省口令直接猜测 什么是 PKI ? Public Key Infrastructure (PKI) . . . . . . 是硬件、软件、人员、策略和操作规程的总和，它们要完成创建、管理、保存、发放和废止证书的功能 PKI 基于公开密钥加密算法来保证网络通讯安全 国家的相关管理机构 国家保密局：涉及国家秘密的计算机信息系统集成资质证书 公安部：计算机信息系统安全专用产品销售许可证 国家信息安全测评认证中心：信息安全认证产品型号证书 国家密码管理局:系统安全性审查 解放军信息安全测评认证中心：军用信息安全产品认证证书 国家信息产业部:CA运营执照 PKI系统的总体介绍 PKI系统总体结构 CA RA 证书受理点 密钥管理中心-KMC Certification Authority - CA 基本证书业务 申请、发放、归档、废止、恢复、更新、查询等 CA管理 交叉认证、审计、统计 支持多级CA 支持逻辑CA 支持证书模板 支持双证书 支持汉字证书 支持密钥管理中心（KMC） 支持OCSP（在线证书状态查询） Registration Authority - RA 进行用户身份信息的审核，确保其真实性； 本区域用户身份信息管理和维护； 数字证书的下载； 数字证书的发放和管理。 证书受理点 - RA 操作端 收集和管理申报材料和信息 录入身份信息 初步审核与提交身份信息 制作数字证书 发放数字证书 密钥管理中心 - KMC 密钥的生成 密钥的分发 密钥的备份 密钥的恢复 密钥的更新