公钥的基础设施PKI介绍信息安全.ppt

公钥基础设施PKI介绍;信息安全 PKI理论基础 PKI体系结构;信息安全;信息安全的定义 信息安全的分类 信息安全服务 信息安全技术与PKI;信息安全的定义 信息安全是指保证信息数据的机密性、完整性和不可否认性，以保证主体对信息资源的控制。在网络环境下，它是网络安全研究中的一个组成部分，它的研究离不开网络安全。从广义上讲，网络环境下的信息安全就是指利用网络管理控制和技术措施，保证在一个网络环境里信息数据的机密性、完整性及可使用性。 ;分类 用户身份鉴别 信息传输的安全 信息存储的安全 网络传输信息内容的审计 ; 传输的安全 传输的过程中如何防窃取、防纂改、防假冒等就涉及到传输安全。对于信息的传输安全，可以有很多的解决方法，如链路层加密方案、IP层加密方案、应用层加密解决方案等。 ; 存储的安全 信息存储安全主要包括纯粹的数据信 息和各种功能信息两大类。在信息系统中 大多数信息存储在各种存储媒介中，例如 数据库和服务器系统。;信息安全服务;保密性Confidentiality: 确保在一个计算机系统中的信息和被传输的信息仅能被授权让读取的那方得到。 完整性Integrity: 确保仅是被授权的各方能够对计算机系统中有价值的内容和传输的信息进行权限范围之内的操作，这些操作包括修改、改变状态、删除、创建、时延或重放。 ;可用性Availability: 即保证信息和信息系统随时为授权者提供服务，而不出现非授权者滥用却对授权者拒绝服务的情况。 不可否认性non-repudiation: 要求无论发送方还是接收方都不能抵赖所进行的传输。 鉴别Authentication: 就是确认实体是它所声明的，用于对人或实体的身份进行鉴别，为身份的真实性提供保证，一般可通过认证机构CA和证书来实现。 ;信息安全技术与PKI; 针对上述问题，世界各国经过多年的研究，初步形成一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术。PKI技术采用证书管理公钥，通过第三方的可信任机构—认证中心CA（Certificate Authority）把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起。通过Internet的CA机构，较好的解决了密钥分发和管理问题，并通过数字证书，对传输的数据进行加密和鉴别，保证了信息传输的机密性、真实性、完整性和不可否认性。 目前，PKI的安全认证体系得到了各界人士的普通关注。国外的一些大的网络安全公司也都推出了PKI的产品，如美国的VeriSign, IBM、加拿大的Entrust, SUN等，为用户之间的内部信息交互提供了安全保障。 ; PKI理论基础;相关概念; 任何加密系统，无论形式如何复杂，实现的算法如何不同，但其基本组成部分是相同的。通常包括如下四个部分: (1) 明文(plaint text ):需要加密的报文; (2) 密钥(key):用于加密和解密的钥匙,密钥可以 是数字、词汇或者语句; (3) 加密、解密的装置或者算法(cipher) ; (4) 密文(cipher text):加密后形成的报文。 ;Ek(M);加密技术;;优点:效率高、算法简单、计算开销小，适合加密大量数据。 缺点:密钥分配问题 eg: A与B两人之间的密钥必须不同于A和C两人之间的密钥，在有1000个用户的团体中，A需要保持至少999个密钥(更确切的说是1000个，如果她需要留一个密钥给他自己加密数据)。对于该团体中的其它用户，此种倩况同样存在。所以N个用户的团体需要N2/2个不同的密钥。 ;常用的对称加密算法 DES(Data Encryption Standard) 数据以64bit分组进行加密，密钥长度为56bit。 64位一组的明文从算法的一端输入，经过左右部分的迭代以及密钥的异或、置换等一系列操作，从另一段输出。解密的过程使用同样的步骤和密钥。DES的安全强度大体上涉及到两个方面:密钥大小和算法的性质。DES对于个人和商业的应用来说，其安全性是合理的。 ; TDES 三重DES是DES的一种替代加密方案，它是用DES和多个密钥进行多次加密，这样可以保护在软件和硬件设备方面的己有投资。它有两种形式，一个是两个密钥的三重DES，它采用加密一解密一加密(ECE)的序列:C=Ek1[Dk2[Ek3[M]]];另一个是三个密钥的三重