网络安全理论与技术13—PKI技术详解.pptx

  1. 1、本文档共133页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
7.1 PKI概述 7.2 证书权威(CA) 7.3 数字证书和CRL 7.4 信任模型 ;导论;电子商务是21世纪的主要经济增长方式,互联网上的交易或者信息传输,存在安全问题:;;思考:在李四用张三的公钥验证张三的数字签名的时候,有一个关键问题必须要解决。李四怎样得到张三的公钥?李四又怎样才能确定这个公钥的确是张三的,而不是王五冒充的呢? 当面告诉 直接用U盘复制 打电话 如果张三和李四不认识,从未联系过,并且相隔万里,怎么办? 最简单的办法是是张三在发送文件和签名的同时,将自己的公钥传给李四。但却存在被掉包的风险。;公开密钥调包风险;解决方法: 我们需要一个可信任的第三方,它负责验证所有人的身份,包括某些计算机设备的身份。它一定要信誉良好,它验证过的人和设备,我们就可以相信。 这个第三方现在称为CA(Certificate Authority证书权威),CA首先认真检查所有人的身份,然后给他们颁发证书,当然这是数字证书。证书包括持有人的信息和他的公钥,还可以有其他更复杂的信息。关键的一点是证书不可被篡改,这由数字签名技术来保证。;基于数字证书进行身份认证的过程;7.1.2 PKI的概念、目的、实体构成和服务;;PKI的理论基础;;一个简化的PKI实体构成图;举例说明PKI的运作过程:;PKI技术额标准化是PKI技术推广的关键。目前,制定PKI相关标准(也包括有关的密码标准)的主要有3个组织: (1)美国RSA公司:RSA公司的研究机构是RSA实验室,RSA实验室制订了很多规范,以成为事实上的国际标准。这些规范成为PKCS。 (2)因特网工程任务组:是互联网标准化的主要力量,它制定的标准都以RFC(Request For Comments请求评议,包含了关于Internet的几乎所有重要的文字资料)的形式出现。 (3)国际电信联盟(International Telecommunication Union,ITU)是电信界最权威的标准制订机构。;7.2 证书权威(CA) ;CA是PKI的核心,CA负责产生、分配并管理PKI结构下的所有用户(包括各种计算机设备甚至是某个应用程序)的证书,把用户的公钥和用户的身份信息捆绑在一起,在网上验证用户的身份。CA还要负责用户证书的撤销列表登记和证书撤销列表的发布。 概括地说,CA的基本功能有证书发放、证书更新和撤销。CA的核心功能就是发放和管理数字证书。;功能具体描述如下: (1) 接收最终用户数字证书的申请。 (2) 确定是否接受最终用户数字证书的申请——证书的审批。 (3) 向申请者颁发或者拒绝颁发数字证书——证书的发放。 (4) 接收、处理最终用户的数字证书更新请求——证书的更新。 (5) 接收最终用户数字证书的查询、撤销。 (6) 产生和发布证书撤销列表(CRL)。 (7) 数字证书的归档。 (8) 密钥归档。 (9) 历史数据归档。 ;简化的CA构成图;7.2.2 CA对用户证书的管理 1.用户公/私钥对的分类和产生 一般地,用户公/私钥对有两大类用途: (1)用于数字签名 (2)用于加密信息 相应地,系统中需要配置两对密钥:签名密钥对和加密密钥对。这两对密钥有不同的管理要求。 (1)签名密钥对:由签名私钥和验证公钥组成。为保证唯一性,签名私钥不能在CA做备份和存档。丢失则重新生成新的密钥对。 (2)加密密钥对:由加密密钥和解密密钥组成,为了防止私钥丢失无法解密数据,解密私钥应该在CA进行存档和备份。;用户的密钥有两种产生方式: (1) CA替用户生成密钥对:将公钥制作进证书,然后把私钥以秘密方式传送给用户。 对CA的可信性要求很高 且CA必须在时候销毁用户的私钥 适用于加密密钥对 (2) 用户自己生成密钥对:自己保管私钥,将公钥以安全的方式传给CA,CA将这个公钥制作进证书中。 适用于签名密钥对 问题:CA如何确定公钥与用户私钥是对应的? 解决:美国RSA公司制定的规范PKCS#10解决办法是这样的:用户生成密钥对后,将公钥和自己身份的相关信息打包,然后用私钥签名,再发给CA。CA从信息中取出公钥,验证这个签名,验证通过才开始制作证书。这时,恶意的攻击者再想替换公钥就办不到了。;2. 证书的签发 (1)完全手工过程 申请者向注册管理员提供所有关于他们身份的物理证据 注册管理员检查申请者提供的证据 当满意时便会初始化一个注册请求来输入数据,并有注册管理员进行数字签名后发给CA CA使用最小限度的附加检查就可以发行证书。 这种方式适用于安全性要求比较高的注册系统 身份验证后,证书的发放分为两种方式: (1)离线发放:面对面发放(特别是CA代为生成密钥对时,最好用此方式发放证书与私钥) (2)在线发放:通过Internet使用目录服务器下载证

文档评论(0)

shuwkb + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档