加解密与CA认证技术.ppt

CONTENT 一、 Internet的安全需求 二、密码学基础 三、对称加密体系/算法 四、非对称加密体系/算法 五、 PKI/CA安全体系介绍 CONTENT 一、 Internet的安全需求 二、密码学基础 三、对称加密体系/算法 四、非对称加密体系/算法 五、 PKI/CA安全体系介绍 数字世界的信息安全要素 电子商务、电子政务的安全支柱 CONTENT 一、 Internet的安全问题 二、密码学基础 三、对称加密体系/算法 四、非对称加密体系/算法 五、 PKI/CA安全体系介绍 替换密码：就是明文中的每一个字符被替换成密文中的另一个字符。接收者对密文做反向替换就可以恢复出明文。 置换密码，又称换位密码：将明文分组，每个组内的字母进行重新排列，而每个字母本身并不改变。 CONTENT 一、 Internet的安全问题 二、密码学基础 三、对称加密体系/算法 四、非对称加密体系/算法 五、 PKI/CA安全体系介绍 CONTENT 一、 Internet的安全问题 二、密码学基础 三、对称加密体系/算法 四、非对称加密体系/算法 五、 PKI/CA安全体系介绍 公钥算法加密 公开密钥体制 优点： 用户可以自由的发布他的公钥 无论与多少个人通信，用户只需要一对密钥即可（与陌生人通信） 用户可以用自己的私钥加密信息，来实现对该信息的数字签名 CONTENT 一、 Internet的安全问题 二、密码学基础 三、对称加密体系/算法 四、非对称加密体系/算法 五、 PKI/CA安全体系介绍 数字证书格式 数字证书格式（续） 谢 谢! PKI-电子商务、政务的信任基础 IP 骨干网络（公网） PKI 骨干网络 浏览器 E-mail 服务器 防火墙 目录 VPN 网上办公 电子贸易 网上报税 供应链管理 网上招投标 PKI与现实世界对比 Digital Signature 加密 私钥与数字签名 应用授权 数字证书 John Hancock 保密性 身份鉴证 访问控制授权 完整性 抗抵赖 各种安全技术比较 身份鉴别 机密性 完整性 抗抵赖 口令 动态口令 密码技术 PKI/CA ü ü ü ü ü ü ü ü ü PKI的基本组成 PKI由以下几个基本部分组成： 认证机构（CA） 注册机构（RA） 公钥证书 证书库 证书作废列表（CRL） 策略管理机构 最终用户 CA中心-PKI的核心 CA (Certification Authority)：数字证书认证中心 提供网络身份认证服务，负责签发和管理数字证书的机构 具有权威性和公正性的第三方信任机构 作用类似于颁发证件的公司— 如公安机关，护照办理机构 如同电厂对于电力基础设施一样，CA是PKI基础设施的核心 数字证书--建设PKI的基石 数字证书的定义 数字证书是由国家认可的、具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。数字证书包含有公开密钥拥有者的信息、公开密钥、签名算法和CA的数字签名。 数字证书的存储 可以分为USBKey证书、普通磁盘证书、P12磁盘证书。 USBKey证书是将证书存储于专有USBKey（一个带智能运算芯片、形状类似于U盘的硬件设备）中，像钥匙一样让您随身携带，安全性最好。 普通磁盘证书和P12磁盘证书都是存储于用户的本地磁盘上，只是针对不同的应用而划分。磁盘证书存在可被拷贝的风险，但是磁盘证书有证书私钥保护口令保护，仍可以保证安全性。 数字证书--建设PKI的基石 电子身份证 特别的密码文件 防篡改的身份标识和签名 由认证中心（CA）签发 公开或自有的组织,具有可信性 用户信息与公钥的绑定 证书有效期 证书包含的内容 用户的公钥 用户的姓名、地址等个人信息 证书的有效期和序列号 证书签发者的姓名等等 序号 数据项名称 采用标准 内容 1 版本号 RFC 3280 X.509v3 2 序列号 RFC 3280 正整数，16进制表示 3 签名算法 RFC 3280 SHA1withRSAEnctyption 4 签发者 信息 名称（CN） ? CHINA NETCOM OU ? CNCCA 单位（O） ? CNC 省（S） ? BEIJING 国家（C） ISO 3166-1 CN 5 有效期 生效日期 GB 7408—1994 ? 失效日期 GB 7408—1994 ? 6 证书持有者信息 名称（CN） ? UserTrueName 市（L） ? BEIJING 省（S） ? BEIJING 国家（C） ISO 3166-1 CN 7 证书持有者公钥信息 RFC 3280