公钥基础设施pki及其应用.docVIP

公钥基础设施 PKI及其应用 PKI-公钥基础设施 对称加密算法 相同的密钥做加密和解密 DES,3-DES,CAST,RC4,IDEA,SSF33,AES 加解密速度快，适合大量数据的加密，极强的安全性，增加密钥长度增强密文安 全 缺点 用户难以安全的分享密钥，扩展性差，密钥更新困难，不能用以数字签名 ，故不能用以身份认证 非对称加密算法——公钥算法 公私钥对 公钥是公开的 私钥是由持有者安全地保管 用公私钥对中的一个进行加密，用另一个进行解密 用公钥加密，私钥解密 用私钥签名，公钥验证 公钥不能导出私钥 发送方用接受方的公钥加密 接受方用其私钥解密 我国已发布了中国数字签名法 签名原理 发送方用其私钥进行数字签名 接受方用发送方的公钥验证签名 RSA,DSA,ECC,Diffie-Hellman 优点 参与方不用共享密钥 扩展性很好 实现数字签名 缺点 慢，不适合大量数据的加解密 解决：结合对称密钥算法 RSA,ECC同时支持加密和签名 密钥和证书管理 生命周期 X509证书格式，DN,serial,valid date,CRL,public key,extensions,CA digital signature 数字证书的验证 证书黑名单CRL 双证书 签名证书 密钥只作签名用 私钥用户自己保管 加密证书 密钥做数据加密用 私钥应由PKI统一管理 CA安全管理 证书管理中心 策略批准 证书签发 证书撤消 证书发布 证书归档 密钥管理中心 生成 恢复 更新 备份托管 证书生命周期 申请 产生 发放 查询 撤消 CA交叉验证 应用及证书种类 email证书，SET证书，模块签名 WEB浏览器证书，WEB服务器证书 VPN证书 公钥加密是IT安全最基本的保障 数字签名 身份认证，数字完整，不可抵赖 数据加密 第1章 概述 1.1 信息安全的发展趋势 1.2 现今的电子商务和电子政务的安全 1.3 电子商务、电子政务的安全需求 1.3.1 安全策略 就是实时计算机信息系统的安全措施及安全管理的知道思想，是在计算机信息系统内，用于所有与安全活动先关的一套规则。 1.授权 2.访问控制策略 3.责任 1.3.2 安全威胁分析 可分为基本的安全威胁、主要可实现的威胁和潜在威胁 1.基本的完全威胁 2.主要可实现的威胁 3.现在威胁 4.媒体废弃物 1.4 网络安全服务 安全服务是指一个系统新提供的安全功能，从用户的角度出发，就称做安全需求，所以安全需求与安全服务是同一事务、从两种角度提出。 1.鉴别 2.认证 3.授权 4.访问控制 5.完整性 6.机密性 7.不可否认性 8.服务可用性 9.安全审计 10.责任性 1.5 安全服务与安全威胁的关系 1.5.1 安全服务与安全机制的关系 1.5.2 安全需求与PKI (1)认证需求 (2)访问控制需求 (3)保密需求 (4)数据完整性需求 (5)不可否认性需求 1.6 公钥基础设施 1.7 PKI应用 1.7.1 虚拟专用网 虚拟专用网是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议或者会话层安全协议，以及建立在PKI上的加密与签名技术获得安全性。 1.7.2 安全电子邮件 电子邮件的安全需求也是机密性、完整性、认证和不可否认性 1.7.3 Web安全 诈骗、泄露、篡改、攻击 1.7.4 时间戳服务 1.7.5 公证服务 第2章 PKI理论基础 2.1 密码理论基础 2.1.1 保密学的基本概念 保密学是研究信息系统安全保密的科学。包含两个分支，即密码学和密码分析学。 采用密码方法可以隐蔽和保护需要保密的消息，适合未授权者不能提取信息。被隐蔽的消息称做明文。密码可将明文变换成另一种隐蔽的形式，称为密文或密报。这种变换过程称做加密，其逆过程，即由密文恢复出原文的过程称为解密。 2.1.2 密码体制 1.单钥体制 2.双钥体制 2.1.3 密码分析 2.2 对称密钥密码技术 2.2.1 分组密码概述 分组密码的工作方法是将明文分成固定长度的块，如64bit一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 设计分组密码算法的核心技术是：在复杂函数可以通过简单函数迭代若干轮得到的原则下，利用简单轮函数及复合运算（或称迭代运算），充分利用非线性运算。 2.2.2 美国数据加密标准DES DES是一种对二元数据进行加