第1章信息安全PKI.ppt

课程名称:PKI体系与CA技术;第一章 PKI基础设施;1.1 基础设施;1.1.2 网络基础设施;1.2 安全基础设施的概念; 使基础设施达到全面安全性所采取的重要机制之一就是保证大范围的组织实体和设备采用统一的方式使用、理解和处理密钥。为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI(Public Key Infrastructure，公钥基础设施)技术，PKI技术采用证书管理公钥，通过第三方的可信任机构——认证中心(Certificate Authority，CA)，把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起，在Internet上验证用户的身份。; 目前，通用的办法是采用建立在PKI基础之上的数字证书，通过对要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。; 在通过网络传输信息时，公钥密码算法体现出了单密钥加密算法不可替代的优越性。; 公钥密码算法中的密钥依据性质划分，可分为公钥和私钥两种。用户产生一对密钥，将其中的一个向外界公开，称为公钥；另一个则自己保留，称为私钥。凡是获悉用户公钥的任何人若想向用户传送信息，只需用用户的公钥对信息加密，将信息密文传送给用户即可。因为公钥与私钥之间存在着依存关系，在用户安全保存私钥的前提下，只有用户本身才能解密该信息，任何未受用户授权的人包括信息的发送者都无法将此信息解密。 ; RSA公钥密码算法是一种公认十分安全的公钥密码算法。它的命名取自3个创始人：Rivest、Shamir和Adelman。RSA公钥密码算法是目前网络上进行必威体育官网网址通信和数字签名的最有效的安全算法。RSA算法的安全性基于数论中大整数分解的困难性，所以，RSA需采用足够大的整数。因子分解越困难，密码就越难以破译，加密强度就越高。;1.2.2 安全基础设施在信息基础设施中的地位;1.3 公钥基础设施; PKI首先必须具有可信任的认证机构，在公钥加密技术基础上实现证书的产生、管理、存档、发放以及证书撤销管理等功能，并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及为PKI体系中的各成员提供全部的安全服务，例如，身份认证、数据必威体育官网网址性、完整性以及不可否认性服务等。 构建实施一个PKI系统主要包括以下内容： (1) 认证机构 证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。;(2) 证书库 证书的集中存放地，提供公众查询。 (3) 密钥备份及恢复系统 对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复。 (4) 证书撤销处理系统 证书由于某种原因需要作废，终止使用，将通过证书撤销列表CRL来实现。 (5) PKI应用接口系统 为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可靠，并降低管理成本。 ; 综上所述，PKI是一种新的安全技术，它基于公开密钥密码技术，通过数字证书建立信任关系。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。; 一个典型、完整、有效的PKI应用系统至少应包括以下部分： (1) 认证中心(CA) (2) X.500目录服务器 (3) 具有高强度密码算法(SSL)的安全WWW服务器 (4) Web(安全通信平台) (5) 自开发安全应用系统 ;1.3.1 认证机构; 认证中心是电子商务体系中的核心环节，是电子交易中信赖的基础。它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。 概括地说，认证中心的功能有证书发放、证书更新、证书注销和证书验证。CA的核心功能就是发放和管理数字证书。; CA的数字签名保证了证书的合法性和权威性。主体的公钥可有两种产生方式： (1) 用户自己生成密钥对，然后将公钥以安全的方式传给CA，该过程必须保证用户公钥的可验证性和完整性。 (2) CA替用户生成密钥对，然后将其以安全的方式传送给用户，该过程必须确必威体育官网网址