PKI以及证书服务.pptVIP

第6章 PKI和证书服务 本章结构 网络信息安全问题 一、什么是PKI PKI的定义： 是：【公钥基础结构】的简称，PKI是一个由【公钥加密技术】、【数字证书】、【证书颁发机构（CA）】 和【其他注册机构（RA）】组成的安全实施系统。 作用：用于在进行电子交易时，确保数据的以下安全性： 机密性：保障数据不易被破密。 不可抵赖性：确保数据发送者身份的真实性。 完整性：确保数据没有受到篡改。 二、公钥加密技术 1、什么是密钥和算法 2、对称加密技术 3、非对称加密技术（即：公钥加密技术） 4、HASH（哈希）算法 5、公钥加密技术在实际中的应用 1、什么是密钥和算法 密钥 是在加密和解密过程中所使用的一个参数（如：数值、字符串）。 如何生成密钥？ 人为生成。 由使用某种算法的软件来生成。 密钥长度－－越长越安全。 算法 用于生成密钥，并以密钥为参数，对数据进行加密/解密的数学函数。 算法可以公开，但是密钥必须保密。 2、对称加密技术 特点： 加密密钥＝解密密钥。 算法： DES算法（56位） 、3DES算法（112位）、IDEA算法。 优点： 实现简单。 加密/解密速度快。 缺点： 通信双方必须相互认识，并同意采用同一个密钥。 保存和管理密钥十分复杂（必须保管好每个密钥）。 安全的传送密钥也非常困难。 对称加密技术（图解） 3、公钥加密技术（即：非对称加密技术） 特点： 【公钥加密技术】需要【一对密钥】 :【公钥】和【私钥】。 公钥和私钥互为一对，公钥 不等于 私钥 ，彼此不能相互推算出来。 公钥加密，则必须使用私钥来解密－－可以实现数据的机密性； 私钥加密，则必须使用公钥来解密－－可以实现数据的不可抵赖性。 算法： RSA算法（512位、1024位、2048位）、椭圆曲线算法。 优点： 简化了保存和管理密钥的工作（只需要管理好自己的私钥）。 私钥必须保密（只有持有者才知道），不进行网络传输。 公钥可以广为散发，进行网络传递。 缺点： 加密/解密速度慢。 4、HASH（哈希）算法 用途： 用于实现数据完整性验证。 工作原理： 是一种杂凑算法 输入不定长的字符串，返回固定长度的字符串（HASH值）。 为明文产生一个消息摘要（HASH值）。 通过HASH值来唯一的标识完整的明文。 特点： 不可逆性 不能通过HASH值推出明文，不同明文的HASH值不同。 不加密明文 算法： MD5 （128位）、SHA（160位） 5、公钥加密技术在实际中的应用 （1）【数据加密】的应用（公钥加密－私钥解密） （2）【数字签名】的应用（私钥加密－公钥解密） （3）【数据加密】和【数字签名】的应用 （1）【数据加密】的应用（公钥加密－私钥解密） （2）【数字签名】的应用（私钥加密－公钥解密） （3）【数据加密】和【数字签名】的应用 三、数字证书 问题： 【公钥】可以广为散发，给其他人来使用，但是【公钥】仅仅是一串【密钥代码】，别人如何通过这串代码来识别用户的身份？？？ 数字证书（证书）的作用： 既包含着【用户的公钥】，又标明着【用户的身份信息】。 将用户的公钥和用户身份信息绑定起来。 【应用程序】是通过证书来实现对公钥的实际应用。 证书的主要用途 主要用途 数据的机密性 数据的完整性 数据发送者的不可抵赖性 如何应用证书？ 对证书（公钥）和私钥的使用，需要系统服务或应用程序功能上的支持。 系统服务和应用程序都能通过使用Microsoft CryptoAPI服务来申请加密服务。 也可以使用 Microsoft CryptoAPI 开发自定义应用程序。 例如： Windows自身的EFS加密功能 PGP软件 Outlook邮件客户端软件 数字证书的主要应用程序 证书可以标明的对象： 人、路由器、Web服务器、计算机、企业、银行等。 用户如何获得自己的【证书】？？？ 方法一：通过第三方工具软件来生成，例如：PGP软件。 方法二：向【CA证书服务】申请【证书】。 四、CA证书颁发机构 1、CA的概述 2、证书的颁发过程 3、CA的类别和层次结构 1、CA的概述 概述： CA（Certificate Authority，证书权威）证书颁发机构。 是PKI体系结构的核心部分。 遵循X.509国际标准，使用公钥加密技术。 CA的核心功能： 负责颁发并管理：用户的证书。 验证－－证书申请 审批－－证书申请 颁发－－证书 更新、查询、吊销－－证书 发布CRL（证书吊销列表） 归档－－证书、密钥、历史数据 权威的证明：证书中所标明的用户身份的真实性。 CA的功能组件 CA自身密钥证书管理子系统 CA私钥、根证书。 用户密钥证书管理子系统 将用户公钥和用户信息进行绑定。 CA私钥签名，生成用户数字证书。 将证书发放给RA。 证书归档。 密钥存储恢