PKI技术基础--吉大正元
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
非对称 加密算法
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones
• 交叉认证、审计、统计
• 支持多级CA • 支持逻辑CA • 支持证书模板 • 支持双证书 • 支持汉字证书 • 支持密钥管理中心(KMC) • 支持OCSP(在线证书状态查询)
受理点
RA
RA
受理点
受理点
受理点
24
Registration Authority - RA
• 进行用户身份信息的审核,确 保其真实性; • 本区域用户身份信息管理和维 护; • 数字证书的下载; • 数字证书的发放和管理。
受理点 受理点 受理点 KMC
CA
RA
RA
受理点
25
证书受理点 - RA 操作端
• 收集和管理申报材料和 信息 • 录入身份信息 • 初步审核与提交身份信 息 • 制作数字证书 • 发放数字证书
受理点 受理点 受理点
KMC
CA
RA
RA
受理点
26
密钥管理中心 - KMC
• 密钥的生成 • 密钥的分发 • 密钥的备份 • 密钥的恢复 • 密钥的更新 • 密钥的归档 • 密钥查询 • 密钥销毁
非对称加密算法
没有共享的密钥。两把密钥同时产生;一把为公钥,另 一把为私钥;因此也被称为一对密钥。
加密
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones
12
非对称加密算法
没有共享的密钥。两把密钥同时产生;一把为公钥,另一 把为私钥;因此也被称为一对密钥。
解密
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
解密
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
PKI系统总体结构
• CA • RA • 证书受理点
密钥管理中心
D/B
CA
HSM
• 密钥管理中心-KMC
RA
D/B
RA
D/B
受理点
受理点
受理点
受理点
23
Certification Authority - CA
• 基本证书业务
• 申请、发放、归档wk.baidu.com废止、恢复、 更新、查询等 KMC
CA
• CA管理
非对称 加密算法
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
Public Bob
HASH
• 使用CA的私钥 • 保证信息的真实性和完整性
• 遵守X.509标准
Signed with trusted private Private CA key
Digital Signature
14
数字证书 VS 身份证
• 姓名:王明 • 序列号: 484865 • 签发者:XXXCA • • • •
17
口令的破解技术
破解技术
• • • • •
穷举法(蛮力猜测) 利用技术和管理漏洞 字典法破译 通过网络监听非法得到用户口令 采用缺省口令直接猜测
18
几种认证方式的比较
用户名/口令 动态口令 生物特征 数字证书 (非对称密钥 ) 高
安全性
低
较高
高
双向认证
单向
单向
单向
双向
确保信息的保 密性、完整性 和不可否认性 成本
15
PKI技术的典型应用
身份认证
身份认证是鉴别资源的访问者的合法性的基础手段
通常的认证方式:用户名+口令 用户名+口令方式的脆弱性
安全隐患 口令破解技术的发展 管理因素
16
用户名+口令的安全隐患
安全隐患
• • • •
密码容易被无意中泄漏; 黑客和木马工具层出不穷,密码很容易被窃取; 由于密码长度有限,设置密码时没有进行强密码限制,导致密码 可能被猜测、穷举、破译; 应用系统逐步丰富,如果用户密码多了就容易忘记。
6
什么是 PKI ?
Public Key Infrastructure (PKI) . . . . . . 是硬件、软件、人员、策略 和操作规程的总和,它们要完成创建、管理、 保存、发放和废止证书的功能
PKI 基于公开密钥加密算法来保证网络通讯安全
7
网络通讯的四个安全要素
机密性 完整性
拦截 通讯是否安全?
对称加密 算法
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
PKI技术基础
吉大正元信息技术股份有限公司 2007年9月
PKI技术的引入
如何保证网络上的通讯安全?
• 使用LAN/Internet . . .
• • • • • • • • • 发送邮件 分发软件 发送敏感的或私有的数据 进行应用系统访问 如何确认某人的身份? 如何知道我连接的是一个可信的站点? 怎样才能保证我的通讯安全? 怎样确定电子信息是否被篡改? 如何证明某人确实给我发过电子邮件?
13
什么是数字证书?
一个 数字证书 是 . . .
• 一个包含用户身份信息的文件
• CA的名称 (颁发机构) • Bob的名称 (对象) • Bob的公钥
• 数字签名
• 由可信的第三方进行签名
Certification Authority
• Issuer (CA) • Subject (Bob) • Subject’s Public Key
篡改 发出的信息被篡改过吗?
身份认证
不可抵赖
?
伪造 我在与谁通讯?
未发出
Claims
未收到
是否发出/收到信息?
8
如何解决电子通讯中的安全要素
密码技术 (加密 & 解密)
• 对称加密
• 共享 密钥
• 非对称加密
• 公共/私有 密钥对
密码技术的特殊应用: • 数字签名
• 数字证书
Digital Certificate
9
密码技术的基本概念
加密是把明文信息转化为密文的过程 解密是把密文信息还原成明文的过程 加密 / 解密 的过程需要: 一个加密算法和一把密钥 两种加密的类型: 对称加密和非对称加密
10
对称加密算法
在两个通讯者之间需要一把共享的密钥
加密
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones
受理点
27
KMC
CA
RA
RA
受理点
受理点
受理点
PKI系统标准结构
PKIX CMP, Cert
LDAPv3, DAP
CA
KMC
Cross Certification
CA
D/B
HSM
Signing Algorithms RSA, DSA, ECDSA
Directory Services
LDAP
CA
D/B
• 国家保密局:涉及国家秘密的计算机信息系统集成资质证书 • 公安部:计算机信息系统安全专用产品销售许可证 • 国家信息安全测评认证中心:信息安全认证产品型号证书 • 国家密码管理局:系统安全性审查 • 解放军信息安全测评认证中心:军用信息安全产品认证证书 • 国家信息产业部:CA运营执照
21
PKI系统的总体介绍
•
•
发布时间:2002-01-01 有效时间:2002-12-31 Email:wm@sina.com.cn 公钥:38ighwejb 私钥: 42qdyeipv ……
• 姓名:王明 • 编号: 110104197312061536 • 签发者:北京市公安局海淀 分局 • 发布时间:2000-04-05 • 有效期:20年 • 住址:北京市海淀区中科院 南路6号
HSM
CA
D/B
HSM PKI enabled applications
PKIX
RA
D/B
RA
D/B
RA
D/B
SPKM
受理点
对称加密 算法
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones 11
3
• 但人们担心的是 . . .
Internet上没人知道你是一只狗
4
常用的安全防护手段
基于口令验证 防火墙 入侵检测 漏洞扫描 安全审计 防病毒
5
我们将找到答案 ……
加密算法: 对称加密 非对称加密 网络安全 解决方案 数字证书 证书链 Certification Authorities & PKI
不能
不能
不能
能
低
较高
最高
高
19
什么是 PKI ?
Public Key Infrastructure (PKI) . . . . . . 是硬件、软件、人员、策略 和操作规程的总和,它们要完成创建、管理、 保存、发放和废止证书的功能
PKI 基于公开密钥加密算法来保证网络通讯安全
20
国家的相关管理机构