windows系统安全7(公钥基础设施删减版本).pptVIP

七章：公钥基础结构PKI PKI的功能 PKI的组件 数字证书 PKI的发展现状 windows 2000支持的PKI的特性 PKI(Public Key Infrastructure)是一系列基于公钥密码学之上，用来创建，管理，存储，分布和作废证书的软件，硬件，人员，策略和过程的集合。 PKI 的由来 在数字话的社会中，实体间建立信任管理的关键是能彼此确定对方的身份。 问题：Alice如何能够确认从网络上获取的Bob的公钥为真？ 公钥加密通信存在的问题 中间人攻击 公钥加密通信存在的问题 攻击的成功本质上在于Bob收到的Alice的公开密钥可能是攻击者假冒的，即无法确定获取的公开密钥的真实身份，从而无法保证信息传输的保密性、不可否认性、数据交换的完整性。 为了解决这些安全问题，采用公钥基础设施（Pubic Key Infrastructure简称PKI）。 CA机构，又称为证书授证(Certificate Authority)中心，是PKI的核心。CA是受一个或多个用户信任，提供用户身份验证的第三方机构，承担公钥体系中公钥的合法性检验的责任。 PKI正成为安全体系结构的核心部分，有了它，许多标准的安全应用成为可能。例如： (1) 安全电子邮件。 (2) 安全Web访问与服务。 (3) 虚拟专用网(VPN)。 (4) 安全路由器。 (5) 登录用户认证系统。 (6) 安全传输层协议SSL、TLS。 (7) 安全电子交易协议SET。 (8) 安全目录访问协议与服务。 PKI(公钥基础结构)的功能 PKI能为网络用户建立安全通信信任机制。 信任定义：实体A认定实体B将严格地按A所期望的那样行动，则A信任B。 按照有无第三方可信机构参与，信任可划分为直接信任和第三方的推荐信任。 信任模式 直接信任：两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。 信任模式 第三方信任（推荐信任）是指两个实体以前没有建立起信任关系，但双方与共同的第三方有信任关系，第三方为两者的可信任性进行了担保，由此建立起来的信任关系。 信任模式 在PKI中，第三方的认证代理就是称谓的“认证中心”(CA)。 一个认证中心是一个可信任的实体，通常是国家认定的权威机构。 CA的核心职责就是审查认证某实体的身份，证明该实体是不是他所声称的实体，然后由CA发放给实体数字证书，作为CA信任他的一种证明 通过第三方信任，任何信任第三方的人便可以信任拥有有效证书的实体。 信任模式 证书将用户公钥和名字等其他信息绑定起来，CA使用它的签名私钥对证书信息进行数字签名。 CA机构的数字签名使得攻击者不能伪造和篡改证书，CA不能否认它签名的证书（抗抵赖性）。 信任模式 如果两个CA交换密钥信息，这样每个CA都可以有效地验证另一方CA密钥的可信任性，我们称这样的过程为交叉认证。交叉认证是第三方信任的扩展。 PKI的功能 PKI的组件 数字证书 PKI的发展现状 windows 2000支持的PKI的特性 PKI的组件 功能 管理密钥 PKI方便了颁发新密钥、检查或吊销现有密钥，以及管理不同颁发者发行的密钥的信任程度 发行密钥 PKI为客户端明确定义了定位和获得公钥、以及查看某公钥是否有效的途径。如果不能获得公钥和知道它的有效性，用户就不能利用公钥服务。 使用密钥 PKI为用户提供了便于使用密钥的途径，它不仅将密钥至于用户需要的地方，而且还提供了执行公钥加密的便于使用的应用程序，使之能保障电子邮件、电子商务和网络的安全。 组件1：证书注册机构（RA） RA(Registration Authority)是CA面对用户的窗口，它负责接收用户的证书申请，审核用户的身份 RA也负责向用户发放证书 组件2：证书颁发机构（CA） CA(Certification Authority)是PKI的核心，CA通 过签发证书将一个主体与其公钥进行捆绑公证 CA有两个知名的属性：CA的名字和CA的公钥。 功能 CA执行4个基本的PKI功能： 签发证书(例如：创建和签名)； 维持证书状态信息和签发CRL ； 发布它的当前(例如：期限未满)证书和CRL，因此用户可以获得他们需要实现安全服务的信息； 维持有关到期证书的状态信息档案 CA类型 企业根CA 企业从属CA 独立根CA 独立从属CA 组件3：证书库 证书库是证书的集中存放地，用户可以从此处获得其他用户的证书 构造证书库可以采用X.500 (目录标准)，数据库等。 组件4：档案库 档案库是一个被用来解决将来争执的信息库，为CA承担长期存储文档信息的责任。 档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。 组件5：密钥备份及恢复系统 如果用户的解密私钥丢失，则密文无法解密， 造成数据丢失