PKI认证体系原理.pptVIP

* * PKI认证体系原理 北京宝兴达信息技术有限公司 数据通讯的安全要素 有效性 机密性 完整性 可靠性/不可抵赖性/鉴别 审查能力 PKI模式—新的信任模式 (Public Key Infrastructure) WIN32 认证权威 公认认证方式 自由交流 A B C PKI模式 PKI是一个完整系统 维持一个可靠的网络环境 提供 非对称式加密算法 数字签名 可向许多不同类型的应用提供服务 PKI意味着 密钥管理 证书管理 一些密码学基本概念 对称式加密(Symmetric Cryptographic) 非对称式加密(Asymmetric Cryptographic) 密钥交换协议(Key Agreement/Exchange) 哈希算法(Hash) 报文认证码(MAC) 数字签名(Digital Signature) 数字证书(Digital ID/Certificate) 认证中心(Certificate Authority) 基于对称密钥的加密方法 加密 Encryption “我们的五年计划是...” 解密 Decryption 老李 小王 老李和小王使用同一把密钥 密钥 密钥 老李使用密钥进行加密 小王使用密钥进行解密 Internet “Py75c%bn*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs” 密文 “我们的五年计划是...” 非对称加密算法 加密 Encryption 解密 Decryption 老李 小王 老李和小王使用不同的密钥 老李使用对方的公钥对会话密钥进行加密 小王使用自己的私钥进行解密得到会话密钥 Internet “Py75c%bn*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs” 密文 私钥 公钥 密钥 密钥 小王的公钥 小王的私钥 RSA算法 R、S、A是三个科学家名字的组合，即R.L.Rivest、A.Shamir和L.Adleman，RSA公钥系统受到了广泛的重视，并有以该算法为基础的国际标准。该算法基于数论的非对称密码体制，是建立在大整数的素数因子分解的困难上的，属于分组密码体制。简单的说：知道两个质数，求出它们的乘积，很容易；但知道一个整数，分解成两个质数就很复杂了。 RSA是非对称加密算法，加密与解密的密钥不同，这与DES算法有区别。RSA主要缺点是产生密钥受到素数产生技术的限制；密钥分组长度较长，运算速度较低。 哈希（Hash) 密码学中哈希的几个基本要求 输入可为任意长度 输出定长 函数单向 足够小的冲突可能性 Hash “我们的五年计划是…” “B*U@9374392l;qHUHW” 数字签名 Internet 老李 小王 老李和小王使用不同的密钥 老李使用小王的公钥对签名进行核实 小王使用私钥对消息进行签名 私钥 公钥 核实 签名 对消息签名 “我们亟需定购100套Windows2000” “dkso(Sc#xZ02f+bQaur}” “我们亟需定购100套Windows2000” “我们亟需定购100套Windows2000” 数字证书 证书的目的，身份信息，公钥 由认证中心(Certificate Authority)发布 拥有者公钥 认证中心标识 Subject: 老李 Not Before: 10/18/99 Not After: 10/18/04 Signed: Cg6^78#@dx Serial Number: Subject’s Public key: 公钥 Secure Email Client Authentication 扩展域 拥有者身份信息 有效期限 Issuer: INET CA1 认证中心(CA)的数字证书 证书发布ID号