信息安全工程第8章公钥基础设施.pptVIP

第8章公钥根底设施8.1;根底设施根底设施就是一个普;平安根底设施的内容1.平;登录是广泛使用的一种保护措施,;2.完全透明的效劳用户使用;以上都是基于平安根底设施工作正;3.全面的平安性作为一个普;使根底设施到达全面平安性所采取;平安根底设施在信息根底设施中的;许多事实已经证明,一定要有一个;一些平安效劳提供商和应用软件提;公钥根底设施的定义公钥根底;使用基于公开密钥技术平台建立平;8.2公钥根底设施的必要性;问题针对该案例,最自然的想法;问题乙怎样才能平安地得到其密;问题既然甲可以用乙的公钥加密;问题如果黑客截获到密文,同样;问题通过对称加密算法加密其文;最简单的证书包含一个公开密钥、;数字证书是公开的,就像公开的;问题甲虽将合同文件发给乙,但;时间戳产生的过程为:用户首先将;问题有了数字证书将公/私钥和;解决这个问题之前我们先来看看目;假设用户的私钥被保存在后台效劳;(3)甲将加密后的合同、打包后;8.3PKI的根本构成PK;(5)PKI应用接口系统:为各;(1)认证中心(CA):是;(3)Web(平安通信平台):;认证中心保证网上数字信息的;这就意味着应有一个网上各方都信;概括地说,认证中心的功能有证书;(6)产生和发布证书撤销列表(;CA的数字签名保证了证书的合法;(1)签名密钥对。签名私钥具有;(2)加密密钥对。为了防止密钥;为了实现其功能,认证中心主要由;证书签发1.离线方式发放;(2)RA将申请者信息初始化后;2.在线方式发放在线方式发;证书撤销证书废止的原因如下;CA可由于以下原因撤销证书:;密钥的生成、备份和恢复用户;1.密钥生成在密钥/证书的;一旦私钥和公钥证书产生即可进入;2.密钥备份用户在申请证书;3.密钥恢复密钥恢复功能发;证书撤销列表处理证书撤销列;信息发布证书和证书撤销信息;虽然私下分发可行的环境确实存在;2.信息发布最普遍的证书和;8.4核心PKI效劳P;采用PKI进行远程认证的优势如;2.完整性数据完整性就是确;3.保密性保密性就是确保数;PKI效劳的作用随着信息化;PKI效劳的意义PKI作为;(3)互操作性(企业间)。任何;(5)???际获得平安的可能性。平;8.5PKI信任模型信;信任包含了双方的一种关系以及对;信任涉及假设、预期和行为。这意;此外,“信任〞还通过另一种有用;识别信任域及其边界对构建PKI;一个组织完全可以存在多个信任域;要建立跨越不同组织的信任关系就;如果被识别的个体不在你直接交往;如果有一个高度可信而且离你很远;信任关系证书用户找到一条从;跨越信任域边界时,信任关系的建;为解决上述矛盾,必须能够构造出;信任模型1.严格层次结构;术语“根〞通常被想象为一个具有;在这个模型中,层次结构的所有实;图严格层次结构;一个持有一份可信的根CA公钥的;2.分布式信任结构严格层次;如果这些层次结构都是浅层的可信;1)网状配置在网状配置中,;2)中心辐射配置在中心辐射;注意:不应将中心CA视为通过它;3.Web模型Web模型的;图Web模型CA层次结构;Web模型在方便性和简单互操作;其他信任模型也可能出现类似情况;如果Alice精通PKI,并且;另一个与Web模型有关的平安问;Web模型根本上不可能在用户和;4.以用户为中心的信任模型;图以用户为中心的信任模型;著名的平安软件程序PGP是典型;PGP模型是现实生活中信任关系;交叉认证前面提到的交叉认证;交叉认证可以是单向的,也可以是;图CA1和CA2之间的相互交;交叉认证机制可以在不同的依托群;例如,Alice已经被CA1认;然而,交叉认证使用一个或多个为;策略约束证书扩展提供了限制证书;8.6证书管理证书证书;通过签名可保障证书的合法性和有;X.509证书1988年,;1993年出版的Interne;RFC2459中提出的公开密钥;X.509v3允许使用扩展项给;(1)密钥用途：定义和限制证书;(3)证书策略:一个或多个对;图Windows环境下的CA;证书管理标准IETF平安领;这些标准包括:(1)RFC;其中,证书管理的标准主要包括证;X.509标准与PKIX标准的;X.509描述两个级别的认证:;图X.509系列版本的证书格;PKIX是IETF(Inter;无标题;8.7基于PKI的双向认证;图基于PKI的双向身份认证;图中,用户STA和AP要通过P;(3)AS对STA和AP的数;2.基于Radius的身份认证;图基于Radius的身份认证;3.两种方案的比较