什么是PKI技术讲述.ppt

大型信息网络面临的问题 安全问题日益突出 大型信息网络面临的问题 产生信息孤岛 信息网现状 信息系统建设的发展和网络化应用的不断扩大 各地各部门对跨地区、跨部门的信息共享和综合利用的需求在不断提高（控制?共享） 信息安全的问题日益突出 当前信息网上身份认证和访问控制机制已远不能适应形势发展的要求，甚至影响到了整体效益的发挥 信息网应用及安全现状 应用现状 信息量大 种类繁多 应用复杂 不同信息有不同的访问控制要求 数据分布 安全现状 信息的保密性方面 身份认证和安全审计方面 访问控制方面 信息完整性、抗抵赖性方面 信息安全管理方面 信息网应用及安全现状 授权及访问控制需求 不同种类（如治安、交管、刑侦等）、不同级别（如部、省、市）的信息对不同的用户有不同程度的保密需求（公开、内部、秘密、机密、绝密）。 数据与人员分布于全国四百多个市级管理域内。 多个系统，多种应用多个角色群体如何合理的分配、设定、并有机的结合 如何适应系统分级、多管理域的管理模式 应用系统现存问题 身份认证方面： 现有的“用户名+口令”访问控制机制漏洞较多，无法也不可能真正实现将用户与其本人真实身份一一对应起来。并且“口令”采用明文传输，容易被截获破解并冒用，降低了系统的安全性。 权限管理方面： 如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限；多个系统，多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合。 访问控制方面： 不同的信息应用采取了不同的授权访问模式，各系统的授权信息只在本系统内有效，不能共享，无法在非安全的、分布式环境中使用，难以满足各地各部门对跨地区、跨部门的信息共享和综合利用的需求。 信息系统应用安全解决方案 建立身份认证与访问授权控制系统(PKI/PMI)为每位上网人员配发数字身份证书 对登录用户进行身份的合法性验证 根据用户的身份授予访问不同信息内容的权限 What’s PKI? Public Key Infrastructure 基础设施 PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施. 在网络上… 安全层次 如何保证网络上的通讯安全？ 使用LAN/Internet . . . 发送邮件 分发软件 发送敏感的或私有的数据 进行应用系统访问 但人们担心的是 . . . 如何确认某人的身份? 如何知道我连接的是一个可信的站点? 怎样才能保证我的通讯安全? 怎样确定电子信息是否被篡改? 如何证明某人确实给我发过电子邮件? 网络通讯的四个安全要素 我们将找到答案 …… 数字世界的信息安全要素 PAIN… Privacy（机密性） 确认信息的保密，不被窃取 Authentication Authorization（鉴别与授权） 确认对方的身份并确保其不越权 Integrity（完整性） 确保你收到信息没有被篡改 Non-Repudiation（抗抵赖） 有证据保证网络行为不被否认 数字世界的信息安全要素 数字世界的安全支柱 第2章 密码和密钥 密码学的历史与发展 密码学的演进 单表代替－多表代替－机械密(恩格玛)－现代密码学(对称与非对称密码体制)－量子密码学 密码编码学和密码分析学 应用领域 军事，外交，商业，个人通信，古文化研究等 非对称密钥密码 Whitefield Diffie，Martin Hellman，《New Directions in Cryptography》,1976 公钥密码学的出现使大规模的安全通信得以实现 – 解决了密钥分发问题； 公钥密码学还可用于另外一些应用：数字签名、防抵赖等； 公钥密码体制的基本原理 – 陷门单向函数(troopdoor one-way function) RSA Ron Rivest, Adi Shamir和Len Adleman于1977年研制并于1978年首次发表； RSA是一种分组密码，其理论基础是一种特殊的可逆模幂运算，其安全性基于分解大整数的困难性； RSA既可用于加密，又可用于数字签名，已得到广泛采用； RSA已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳； RSA-155(512 bit), RSA-140于1999年分别被分解； DH/DSA Diffie-Hellman(DH)是第一个公钥算法，其安全性基于在有限域中计算离散对数的难度； DH可用于密钥分发，但不能用于加/解密报文； DH算法已得到广泛应用，并为许多标准化组织(IETF等)接纳； DSA是NIST于1991年提出的数字签名标准(DSS),该标准于1994年5月19日被颁布； DSA是Schnorr和Elgemal签名算法的变型,DSA只能