密钥分配和用户认证.pptVIP

第2部分网络安全应用

第4章密钥分配和用户认证

第5章传输层安全

第6章无线网络安全

第7章电子邮件安全

第8章IP安全第4章

密钥分配和用户认证基于对称加密的密钥分发基于非对称加密的密钥分发PKI提纲4.1基于对称加密的密钥分发A选定密钥K，并通过物理方法传递给B.第三方选定密钥K，并通过物理方法传递给A和B.如果A和B在之前使用过一个密钥，一方能够将使用就密钥加密的新密钥传递给另一方.如果A和B各自有一个到达第三方C的加密链路，C能够在加密链路上传递密钥给A和B.4.1基于对称加密的密钥分发针对上述第四种方案，用到两种类型的密钥：0102会话密钥：一次通信过程中使用的密钥。永久密钥：用于分发会话密钥的密钥。4.2基于非对称加密的密钥分发Diffie-Hellman密钥交换被广泛应用，但是它的缺陷是不能为两个通信者提供认证。使用像RSA这样的非对称加密算法来分发密钥是不错的选择。4.2基于非对称加密的密钥分发Alice:我叫Alice，我的公开密钥是Ka，你选择一个会话密钥K，用Ka加密后传送给我。Bob:使用Ka加密会话密钥K；Alice：使用K加密传输信息；Bob:使用K加密传输信息；假设Alice和Bob准备进行如下秘密通信：01Bob怎么知道一定是Alice和他通信？（数字签名）Bob如何知道Ka一定是Alice的公钥?（公钥证书）存在问题：024.3PKIPKI（PublicKeyInfrastructure）含义为“公钥基础设施”，PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封等。PKI基础设施采用证书管理公钥，通过第三方的可信任机构--认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的安全传输。从广义上讲，所有提供公钥加密和数字签名服务的系统，都可归结为PKI系统的一部分。1、PKI提供的基本服务认证采用数字签名技术，签名作用于相应的数据之上数据源认证服务身份认证服务完整性必威体育官网网址性用公钥分发随机密钥，然后用随机密钥对数据加密不可否认发送方和接受方的不可否认2、PKI之动机如何提供数字签名功能如何实现不可否认服务公钥和身份如何建立联系为什么要相信这是某个人的公钥公钥如何管理方案：引入证书(certificate)通过证书把公钥和身份关联起来3、PKI基本组成(至此)PKI由以下几个基本部分组成：端实体公钥证书证书作废列表（CRL）策略管理机构（PMA）认证机构（CA）注册机构（RA）存储库(Repository)3、PKI基本组成端实体（endentity）：一个用来表示终端用户、设备或者任何其他的可以在公钥证书的主体域被确定身份的实体的通用术语。01公钥证书：由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。02证书作废列表（CRL）：作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。03策略管理机构（PMA）：监督证书策略的产生和更新，管理PKI证书策略。043、PKI基本组成5)、认证机构（CA）互联网定义：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。国防部定义：一个授权产生/签名/发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。联邦政府定义：被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。3、PKI基本组成6)、注册机构（RA）互联网定义：一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CRL以及证书管理中。RA在当地可设置分支机构LRA。PKIX用语：一个可选PKI实体与CA分开，RA的功能随情况而不同，但是可以包括身份认证和用户名分配，密钥生成和密钥对归档，密码模件分发及作废报告管理。国防部定义：对CA负责当地用户身份（标识）识别的人。13、PKI基本组成存储库(Repository)：一个电子站点，存放