公钥基础设施建设PKI技术培训.pptVIP

* 可研模板：说明本项目的来源（有关文件、规划的要求等）、概述与本项目有关的历史工作与前期论证的情况。 * * * Copyright 1998-2009 Infosec * 在协议内部分发证书 安全电子邮件 S/MIME协议 SSL协议 数字签名协议 使用证书库来分发证书 从LDAP上检索查询证书 安全电子邮件所需的加密证书 验证裸签所需的签名证书 4.5 证书分发 * Copyright 1998-2009 Infosec * 5.1 密钥类型 5.2 密钥管理 5.2.1 密钥生成 5.2.2 密钥存储与传输 5.2.3 密钥归档 5.2.4 密钥恢复 PKI基础 应用安全概述 密码学入门 公钥基础设施基础 证书生命周期管理 密钥生命周期管理 信任模型 PKI的应用 * Copyright 1998-2009 Infosec * 不同的密钥用途决定了密钥类型的不同 数字签名密钥：发送者的私钥用来签名，公钥用来验证签名 加密密钥：接收者的公钥用来加密，私钥用来解密 不同的密钥类型决定了密钥管理的策略和流程以及使用上的不同 5.1 密钥类型 * Copyright 1998-2009 Infosec * 密钥生成 密钥存储 密钥传输 密钥归档 密钥恢复 5.2 密钥管理 * Copyright 1998-2009 Infosec * 算法和密钥强度 密钥生成地点 签名密钥：终端实体本地密钥存储区（软件或硬件） 加密密钥：集中密钥管理区，密钥管理中心（KMC）为一种实现 5.2.1 密钥生成 * Copyright 1998-2009 Infosec * 公/私钥和相应的证书通常保存在一个应用指定的密钥存储中 密钥文件：.pfx、.cer/.key、.jks/.p7b 密钥存储区：IE、Netscape、智能卡 这些密钥存储提供一个标准API，以便使用API的其它应用可以共享对相同密钥资料的访问。 微软CrtptoAPI PKCS#11 应用程序 智能卡 读卡器 ISO 7816 PKCS#11PC/SCOpenCardJavaCard 5.2.2 密钥存储与传输 * Copyright 1998-2009 Infosec * 基于软件的存储 IE的私钥导入保护口令 IE的私钥使用保护口令 智能卡存储 PIN保护 硬件加密模块存储 操作员卡 管理员卡 密钥存储与传输安全 * Copyright 1998-2009 Infosec * 密钥对在智能卡内部产生 公钥可以导出 私钥以加密形成存储在智能卡内，不可读 只将适合的PKI操作在智能卡上实现 数字签名 对称密钥加密 PIN保护 最安全的私钥保护方式 智能卡 * Copyright 1998-2009 Infosec * PKI使用的模型禁止对数字签名密钥使用任何形式的密钥归档或者恢复操作 不可否认性原则 签名密钥丢失或损毁不影响签名验证 签名密钥过期不影响签名验证 只有加密密钥才有归档的管理需求 加密密钥损毁、过期 行政密钥恢复 密钥管理中心KMC 5.2.3 密钥归档 * Copyright 1998-2009 Infosec * 从密钥恢复观点来看，有3种密钥 当前密钥或活动密钥 先前的密钥 旧密钥 对归档密钥的访问 安全访问机制 M of N 解决方案 5.2.4 密钥恢复 * Copyright 1998-2009 Infosec * 8.1 证书信任链 8.2 证书信任层次 8.3 证书校验路径 PKI基础 应用安全概述 密码学入门 公钥基础设施基础 PKI服务与实现 密钥和证书生命周期 信任模型 PKI的应用 * Copyright 1998-2009 Infosec * 你的证书由你的CA签发 你CA的证书由他的CA签发 如此重复，形成“证书链条” 最后一层为根CA的自签证书 通常不会太长 6.1 证书信任链 * Copyright 1998-2009 Infosec * 6.2 证书层次结构 * Copyright 1998-2009 Infosec * 6.3 证书路径校验 * Copyright 1998-2009 Infosec * 7.1 SSL/TLS加密技术 7.1.1 SSL/TLS技术概况 7.1.2 SSL/TLS使用示意 7.1.3 SSL/TLS协议位置 7.1.4 SSL v2.0协议 7.1.5 SSL v3.0协议 7.1.6 SSL服务器连接示意 7.1.7 SSL v3.0身份认证实现 7.2 数字签名 7.2.1