(现代密码学课件）08网络加密.ppt

math@jnu 一、网络通信加密 Kerboros认证框图 PKI的用途 PKI还可用于… PKI包含什么? PKI包含什么? 专用还是通用PKI 密钥对交换 数字证书 数字证书 数字证书 数字证书 数字证书 数字证书 数字证书 数字证书 数字证书 CA 信任模型 CA 信任模型 CA 信任模型 CA 信任模型 CA 信任模型 CA 信任模型 CA 信任模型 CA 信任模型 PKI 政策 秘密密钥管理 秘密密钥管理 秘密密钥管理 授权和访问控制 授权和访问控制 一个PKI是一系列安全业务的集合，采用公钥密码和 X.509 数字证书，应用于分布式计算系统。 密钥对: 公开和秘密密钥 X.509数字证书 CA（Certificate Authority） RA（Register Authority） 公共目录服务 (PKI) 相关CA间的信任关系 一组PKI政策: 注销，维护,更新等等. PKI 应用 集成PKI的目录服务 (企业) 目前许多消息和群组产品提供自己的PKI，专用PKI支持专门应用。 也需要通用PKI支持多种应用，管理多个应用产生的密钥 集中管理证书政策，与企业目录更紧密的集成，降低管理的复杂性。 问题: 1. 接收者如何确定的知道发送者的公开密钥 (用于验证数字签名) 2. 发送者如何确定的知道接收者的公开密钥（用于加密消息） 解决方案: 数字证书. 数字证书将一个人或其他实体的身份和公开密钥绑定，以确保密钥确实属于该用户或实体。 包含下列信息的数据结构: 所有者公钥 用户或实体的身份 发布者身份 由第三方信任机构签名 (Certificate Authority) 有限的有效期. X.509 定义该结构 (ITU, IETF PKIX standards). 现在为 v3. version (v3) serial number signature algorithm id issuer name validity period subject name subject public key info issuer unique identifier {extensions} signature X.509v3 证书: 证书分类: ID/认证分级 证书重要性是不一样的 PKI通常支持不同类型的证书，可以 (1)用于不同的功能 (2)建立不同级别的 身份认证机制. 证书分类没有标准 1. 最低级 确保用户名和e-mail地址.，无第三方认证 用途：Web浏览 2. 基础级 由第三方(RA)验证姓名，地址和其他注册的个人信息。 可能应用: 小额 EDI, 在线支付。 3. 中级 注册过程需要个人当面认定，高强度的密码模块和访问控制 典型应用: 敏感的公司间邮件或 EDI 4. 高级 需要个人当面以及详细调查 最强的计算安全控制 Certificate Authority (CA) 对给定的安全域产生和发布证书。 控制政策，相对其他用户具有绝对的权威. Principal/ Applicant Registration Authority Certificate Authority Repository Application or other entity 1. Users apply for certification 2. RA verifies identity 3. RA requests cert for user Cert and CRL Repository (LDAP Directory) 4. CA issues cert 5. CA publishes certs and CRLs 5a. CA pushes CRL info to client based on policy 6. Apps and other systems use certs. Certificate Authority Local Area Network Wide Area Network Local Area Network Local Area Network Registration Authority Principal/ Applicant Repository 任何支持超出单个安全域的PKI必须考虑 : 如何建立对 CA本身的信任?? 问: 谁是CA的可信第三方？ 谁签发它的数字证书？ (分层) 它和谁共享信任? (交叉证书) 三种主要的 CA信任模型: 1. 交叉认证 2.