计算机安全技术-PKI.pptVIP

计算机安全技术 PKI 主要的密码模块 密码功能模块基本用法(1) 密码功能模块基本用法(2) 密码功能模块基本用法(3) 密码功能模块基本用法(4) 密码功能模块基本用法(5) 密码功能模块基本用法(6) 加密技术 对称加密 运算速度快、密钥短、多种用途(随机数产生、Hash函数)、历史悠久。 密钥管理困难(分发、更换)。 主要用于数据加密 非对称加密 只需保管私钥、可以相当长的时间保持不变、需要的数目较小。 运算速度慢、密钥尺寸大、历史短 主要用于签字, 密钥交换 二者结合: 数字信封 数字信封 密钥对的用法 用于加密的密钥对 问题? 公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案：引入证书(certificate) 通过证书把公钥和身份关联起来 中间人攻击 公开密钥基础设施PKI PKI (Pubic Key Infrastructure) PKI是一个用公钥技术来实施和提供安全服务具有普适性的安全基础设施. 它的目标是为所有应用提供统一规范的安全服务. 遵循一定规则建立的PKI, 提供信息安全服务, 能够节省费用, 提高效率, 简化管理, 降低复杂性, 提高可靠性. PKI提供的基本服务 认证 采用数字签名技术，签名作用于相应的数据之上 数据源认证服务 身份认证服务 完整性 PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性 MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5 PKI提供的基本服务 保密性 用公钥分发随机密钥，然后用随机密钥对数据加密 不可否认 发送方的不可否认 —— 数字签名 接受方的不可否认 —— 收条 + 数字签名 X.509 证书格式 内容 格式和编码 签名 鉴别协议 X509中推荐的协议 * 分发公钥 PKI基本组成 PKI由以下几个基本部分组成： 公钥证书 证书作废列表（CRL） 证书中心（CA） 注册机构（RA） 证书存档(Repository) 用户（End User） CA(Certificate Authority) 职责 接受用户的请求 对用户的身份信息进行验证 用自己的私钥签发证书 提供证书查询 接受证书注销请求 提供证书注销表 PKI中的证书 数字证书(certificate):数字证书是一个经证书授权中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件,它是一种用于绑定用户身份信息和公钥信息的数据结构。 PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途 签名证书和加密证书分开 最常用的证书格式为X.509 v3 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 X.509证书格式(续) 个体的公钥信息 算法 参数 密钥 签发人唯一标识符 个体唯一标识符 扩展域 签名 X.509证书格式 扩展域 Authority 密钥控制符: 用来验证证书密钥的唯一标识符,用来区分同一个证书颁发者的多对密钥 主体密钥标识符: 证书所含密钥的唯一标识符, 用来区分同一个证书拥有者的多对密钥. 密钥使用用途: 一个比特串, 指明(限定) 利用证书中的公钥可完成的各项功能或服务, 如数字签名,不可否认性, 密钥加密, 数据加密等 扩展密钥用途:由对象标识符组成, 用以说明证书中密钥的特别用途, 包括: SSL,安全电子邮件,时戳. CRL分布点: 指明CRL分段的地点. 私钥使用期: 指明与证书中公钥相关联的私钥的使用期限, 用于数字签名. 证书策略: 说明一系列的与证书颁发和使用有关的策略对象标识符和可选的限定符. 策略映射: 表明在两个CA域之间的一个或多个策略对象标识符的等价映射关系. 主体别名:指出主体拥有者的别名. 颁发者别名: 证书颁发者的别名( 电子邮件地址, IP, URL等) 证书格式 证书使用DER编码 Distinguished Encoding Rules The Distinguished Encoding Rules for ASN.1, abbreviated DER, are a subset of BER, and give exactly one way to represent any ASN.1 value as an octet string. DER is defined in Section 8.7 of X.509. PKI的