信息安全技术教程[4].ppt

信息安全技术教程[4] 信息安全技术教程[4] 证书 X.509 v3证书的主要内容（是目前最常用的证书格式） 字段 说明 版本（Certificate Fortmat Version） 证书格式版本号，例如V3 序列号（Certificate Serial Number） 证书的序号列，是证书的惟一标识 签名算法（Signature and Hashing Algorithm for the CA） CA用于颁发证书所使用的签名和Hash算法，例如RSA和SHA-1 颁发者（Issuer Name） CA的惟一标识名 有效期（Validity Period） 证书的有效时间段，包括证书生效和过期的时间 使用者（Subject Name） 证书申请者的惟一标识名 公钥（Subject Public Key Information） 证书申请者的公钥信息和加密算法 颁发者惟一标识符（Issuer Unique Identifier） CA的惟一标识符（可选项） 使用者惟一标识符（Subject Unique Identifier） 证书申请者的惟一标识符（可选项） 扩展部分（Type Criticality Value Extension） 可选的扩展属性，包括扩展项类型、关键标志和扩展项值 CA签名（CA Signature） CA对颁发证书的数字签名 信息安全技术教程[4] 使用证书提供的服务 Web认证和专有信道 签名和加密的信息传递 签名的事务和表单签发 网络操作系统、主机和大型机认证 远程访问 虚拟专用网 文件加密 软件代码签发 信息安全技术教程[4] 7.1.3 PKI组件 证书颁发机构（CA） 注册权威机构（RA） 证书管理协议（CMP） 证书吊销 证书存储库 时间戳权威机构（TSA） 信息安全技术教程[4] PKI组件(续) RA 用户 用户 注册 CA LDAP 信息安全技术教程[4] 证书颁发机构（CA） CA是公钥基础设施中受信任的第三方实体 CA向主体颁发证书 CA是信任的起点 Certificate Authority 证书 信息安全技术教程[4] 证书颁发机构（CA）(续) CA是PKI的核心 CA管理证书 主体登记证书的过程 CA可以续借和更新证书 信息安全技术教程[4] 证书颁发机构（CA）(续) —— CA生成证书的过程 Certificate Authority Priv pub 生产密钥对 请求生成证书 核实申请者的身份， 并生成数字证书 证书 信息安全技术教程[4] 注册权威机构（RA） CA委派给注册权威机构（ Registration Authority， RA 也称为注册审批机构或注册受理机构）一些责任 RFC2510中规定的RA功能： 个人认证、令牌分发 吊销报告、名称指定 密钥生成、存储密钥对 多数情况下，RA用于在证书登记过程中核实证书申请者的身份 负责与证书请求的主体相关的管理任务 PKI的可选组件 信息安全技术教程[4] 证书管理协议（CMP） 常用的证书管理协议 PKCS（Public Key Cryptographic Standards，公钥加密系统标准） CMP（Certificate Management Protocol，证书管理协议） CMC SCEP（Simple Certificate Enrollment Protocol，简单证书登记协议） 信息安全技术教程[4] 证书吊销 CA在证书过期之前使证书失效 CA需要一种方法来吊销证书并通知吊销的终端实体 CRL OCSP 信息安全技术教程[4] 信息安全技术教程[4] 信息安全技术教程[4] 第二章信息安全技术基础 信息安全技术教程[4] 加密技术概要 信息是当今社会的一种重要资源 用户要求信息保密、完整和真实 现代信息系统必须具备有信息安全技术措施 信息加密是信息安全的主要措施之一 KEY (A) Locked 信息安全技术教程[4] 加密的基本概念 加密定义 拥有解密密钥，说明经过了授权 加密系统的目的 信息安全技术教程[4] 加密的基本概念(续) 通过使用加密，可以提供的安全服务 保密性 完整性 不可否认性 进不来 看不懂 保密性 拿不走 改不了 完整性 跑不掉 不可否认性 信息安全技术教程[4] 密码学 是研究如何把信息转换成一种隐蔽的方式并阻止其他人得到它。密码学是信息安全的基础和核心，是防范各种安全威胁的最重要的手段。 主要任务是解决信息的保密性和可认证性，即保证信息在生成、传递、处理和保存的过程中不被未授权者非法提取、篡改、删除、重放和伪造 信息安全技术教程[4] 密码体制 概念：密码体制是密码技术中最为核心的一个概念。密码体制被定义为一