第3章网络安全技术及应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子支付,电子合同、数字签名
国防
在线访问军事资源、通信保密 、文件保密、秘密分级管理、
各部门通信协调。
登录授权
2019/6/29
VPN
电子政务
电子公章、资源访问 控制、文件保密
13
3.1.2 为什么需要PKI
Internet最大的特点是它的开放性、广 泛性和自发性
网络安全服务包含了信息的真实性、完整性、 机密性和不可否认性等
(6)密钥历史档案
密钥更新的概念告诉我们,经过一段时间 后,每个用户都会形成多个“旧”证书和至少一 个“当前”证书。这一系列旧证书和相应的私钥 就组成了用户密钥和证书的历史档案。 返回本章首页
2019/6/29
8
3.1 概述
3.1.1 什么是 PKI
PKI就是这样一个平台,以数字证书和公钥技 术为基础,提供网络安全所需要的真实性、保 密性、完整性和不可否认性等基础服务。
PKI首先是适用于多种环境的框架,这个框架 避免了零碎的、点对点的、特别是那些没有互操作 性的解决方案,它引入了可管理的机制以及跨越多
个应用和多种计算平台的一致安全性。
2019/6/29
返回本章首页
5
PKI的组成
公钥基础设施主要包括认证机构CA、证书库、密 钥备份(即恢复系统)、证书作废处理系统、PKI 应用接口系统等。
PKI 是Public Key Infrastructure 的缩写, 通常译作公钥基础设施。
PKI以公钥技术为基础,以数字证书为媒介, 结合对称加密技术,将个人、组织、设备的标 识身份信息与各自的公钥捆绑在一起,其主要 目的是通过自动管理密钥和证书,为用户建立 一个安全、可信的网络运行环境.
返回本章首页
2019/6/29
3
从参与电子政务与电子商务的用户实体出发,应 用系统常规的安全需求通常包括:
(1)认证需求:提供某个实体(人或系统)的身 份保证。
(2)访问控制需求:保护资源,以防止被非法使用和 操作。
(3)保密需求:保护信息不被泄漏或暴露给非授权的 实体。
(4)数据完整性需求:保护数据以防止未经授权的增 删、修改和替代。
(5)不可否认需求:防止参与某次通信交换的一方事
后否认本次交换曾经发生过。
返回本章首页
2019/6/29
4
PKI的基本概念
PKI是一个用公钥密码算法原理和技术来提供 安全服务的通用性基础平台,用户可利用PKI平台 提供的安全服务进行安全通信。PKI采用标准的密 钥管理规则,能够为所有应用透明地提供采用加密 和数字签名等密码服务所需要的密钥和证书管理。
2019/6/29
9
什么是PKI?
Public Key Infrastructure
公Biblioteka Baidu密钥基础设施
普适性、系统
是用公钥概念与技术来实施和提供安全服务的普遍适用的 安全基础设施
产生、管理、存储、分发和撤销基于公开密钥密码学的公 钥证书所必须的软件、硬件、人、策略和处理过程的集合
随着互联网技术的推广和普及,各种网络应 用如电子商务、电子政务、网上银行、网上证券交 易等也迅猛发展。但如何保障这些应用的安全性, 已成为发展网络通信需要解决的重要任务。
在公开密钥加密技术基础上发展起来的PKI (Public Key Infrastructure,公钥基础设施)很好 地适应了互联网的特点,可为互联网以及网络应用 提供全面的安全服务如认证、密钥管理、数据完整 性检验和不可否认性保证等。今天互联网的安全应 用,已经离不开PKI的支持了。
(4)密钥备份和恢复
为了避免解密密钥丢失带来的不便,PKI 提供了密钥备份与解密密钥的恢复机制,即密钥 备份与恢复系统,它由可信任的CA来完成。值 得强调的是,密钥备份与恢复只针对解密密钥, 而签名密钥不能做备份。
2019/6/29
返回本章首页
7
(5)自动更新密钥
证书有效期是有限的,该规定既有理论上 的原因,又有实际操作因素。因此,在很多PKI 环境中,一个已颁发的证书需要有过期的措施, 以便更换新的证书。为解决密钥更新的复杂性和 人工操作的麻烦,PKI自动完成密钥或证书的更 新。
第三章 公钥基础设施PKI
本章学习重点掌握内容: PKI的组成 数字证书格式 数字证书管理 信任模型
2019/6/29
1
第三章 公钥基础设施PKI
3.1 概述 3.2 PKI组成 3.3 数字证书及管理 3.4密钥管理 3.5 信任模型 3.6 PKI的应用
2019/6/29
2
PKI的引入
可以认为PKI的其他部件是依附于CA的 所以,在非学术场合,我们看到CA和PKI的概念是混用
2019/6/29
11
基础设施
PKI的类比--电力基础设施 能够递归--使用电力控制的变电站 PKI与应用的分离--电器
2019/6/29
12
PKI就在我们身边
电子商务(包括移动商务)
为了防范用户身份(包括人和设备)的假冒、 数据的截取和篡改以及行为的否认等安全漏洞, 需一种技术或体制来实现对用户身份的认证,
2019/6/29
14
PKI能够提供什么?
全面的信息安全支持
真实性(标识与鉴别) 完整性(不被修改,没有错误) 机密性(隐私与保密) 非否认性(责任确定) 可用性(可获得,系统稳定性)
(1)CA
它是数字证书的签发机构,是PKI的核心,并 且是PKI应用中权威的、可信任的、公正的第三方 机构。
(2)证书库
它是CA颁发证书和撤销证书的集中存放地,
是网上的一种公共信息库,供广大公众进行开放式
查询。
返回本章首页
2019/6/29
6
(3)证书撤销
认证机构CA通过签发证书来为用户的身份 和公钥进行捆绑,但因种种原因,还必须存在一 种机制来撤销这种捆绑关系,将现行的证书撤销。
是硬件、软件、策略和人组成的系统,当完全并且正确的 实施后,能够提供一整套的信息安全保障,这些保障对保
护敏感的通信和交易是非常重要的.
2019/6/29
10
澄清概念
PKI
Public Key Infrastructure
CA
Certification Authority 数字证书认证中心、认证中心、CA中心 是PKI系统的最核心部件
国防
在线访问军事资源、通信保密 、文件保密、秘密分级管理、
各部门通信协调。
登录授权
2019/6/29
VPN
电子政务
电子公章、资源访问 控制、文件保密
13
3.1.2 为什么需要PKI
Internet最大的特点是它的开放性、广 泛性和自发性
网络安全服务包含了信息的真实性、完整性、 机密性和不可否认性等
(6)密钥历史档案
密钥更新的概念告诉我们,经过一段时间 后,每个用户都会形成多个“旧”证书和至少一 个“当前”证书。这一系列旧证书和相应的私钥 就组成了用户密钥和证书的历史档案。 返回本章首页
2019/6/29
8
3.1 概述
3.1.1 什么是 PKI
PKI就是这样一个平台,以数字证书和公钥技 术为基础,提供网络安全所需要的真实性、保 密性、完整性和不可否认性等基础服务。
PKI首先是适用于多种环境的框架,这个框架 避免了零碎的、点对点的、特别是那些没有互操作 性的解决方案,它引入了可管理的机制以及跨越多
个应用和多种计算平台的一致安全性。
2019/6/29
返回本章首页
5
PKI的组成
公钥基础设施主要包括认证机构CA、证书库、密 钥备份(即恢复系统)、证书作废处理系统、PKI 应用接口系统等。
PKI 是Public Key Infrastructure 的缩写, 通常译作公钥基础设施。
PKI以公钥技术为基础,以数字证书为媒介, 结合对称加密技术,将个人、组织、设备的标 识身份信息与各自的公钥捆绑在一起,其主要 目的是通过自动管理密钥和证书,为用户建立 一个安全、可信的网络运行环境.
返回本章首页
2019/6/29
3
从参与电子政务与电子商务的用户实体出发,应 用系统常规的安全需求通常包括:
(1)认证需求:提供某个实体(人或系统)的身 份保证。
(2)访问控制需求:保护资源,以防止被非法使用和 操作。
(3)保密需求:保护信息不被泄漏或暴露给非授权的 实体。
(4)数据完整性需求:保护数据以防止未经授权的增 删、修改和替代。
(5)不可否认需求:防止参与某次通信交换的一方事
后否认本次交换曾经发生过。
返回本章首页
2019/6/29
4
PKI的基本概念
PKI是一个用公钥密码算法原理和技术来提供 安全服务的通用性基础平台,用户可利用PKI平台 提供的安全服务进行安全通信。PKI采用标准的密 钥管理规则,能够为所有应用透明地提供采用加密 和数字签名等密码服务所需要的密钥和证书管理。
2019/6/29
9
什么是PKI?
Public Key Infrastructure
公Biblioteka Baidu密钥基础设施
普适性、系统
是用公钥概念与技术来实施和提供安全服务的普遍适用的 安全基础设施
产生、管理、存储、分发和撤销基于公开密钥密码学的公 钥证书所必须的软件、硬件、人、策略和处理过程的集合
随着互联网技术的推广和普及,各种网络应 用如电子商务、电子政务、网上银行、网上证券交 易等也迅猛发展。但如何保障这些应用的安全性, 已成为发展网络通信需要解决的重要任务。
在公开密钥加密技术基础上发展起来的PKI (Public Key Infrastructure,公钥基础设施)很好 地适应了互联网的特点,可为互联网以及网络应用 提供全面的安全服务如认证、密钥管理、数据完整 性检验和不可否认性保证等。今天互联网的安全应 用,已经离不开PKI的支持了。
(4)密钥备份和恢复
为了避免解密密钥丢失带来的不便,PKI 提供了密钥备份与解密密钥的恢复机制,即密钥 备份与恢复系统,它由可信任的CA来完成。值 得强调的是,密钥备份与恢复只针对解密密钥, 而签名密钥不能做备份。
2019/6/29
返回本章首页
7
(5)自动更新密钥
证书有效期是有限的,该规定既有理论上 的原因,又有实际操作因素。因此,在很多PKI 环境中,一个已颁发的证书需要有过期的措施, 以便更换新的证书。为解决密钥更新的复杂性和 人工操作的麻烦,PKI自动完成密钥或证书的更 新。
第三章 公钥基础设施PKI
本章学习重点掌握内容: PKI的组成 数字证书格式 数字证书管理 信任模型
2019/6/29
1
第三章 公钥基础设施PKI
3.1 概述 3.2 PKI组成 3.3 数字证书及管理 3.4密钥管理 3.5 信任模型 3.6 PKI的应用
2019/6/29
2
PKI的引入
可以认为PKI的其他部件是依附于CA的 所以,在非学术场合,我们看到CA和PKI的概念是混用
2019/6/29
11
基础设施
PKI的类比--电力基础设施 能够递归--使用电力控制的变电站 PKI与应用的分离--电器
2019/6/29
12
PKI就在我们身边
电子商务(包括移动商务)
为了防范用户身份(包括人和设备)的假冒、 数据的截取和篡改以及行为的否认等安全漏洞, 需一种技术或体制来实现对用户身份的认证,
2019/6/29
14
PKI能够提供什么?
全面的信息安全支持
真实性(标识与鉴别) 完整性(不被修改,没有错误) 机密性(隐私与保密) 非否认性(责任确定) 可用性(可获得,系统稳定性)
(1)CA
它是数字证书的签发机构,是PKI的核心,并 且是PKI应用中权威的、可信任的、公正的第三方 机构。
(2)证书库
它是CA颁发证书和撤销证书的集中存放地,
是网上的一种公共信息库,供广大公众进行开放式
查询。
返回本章首页
2019/6/29
6
(3)证书撤销
认证机构CA通过签发证书来为用户的身份 和公钥进行捆绑,但因种种原因,还必须存在一 种机制来撤销这种捆绑关系,将现行的证书撤销。
是硬件、软件、策略和人组成的系统,当完全并且正确的 实施后,能够提供一整套的信息安全保障,这些保障对保
护敏感的通信和交易是非常重要的.
2019/6/29
10
澄清概念
PKI
Public Key Infrastructure
CA
Certification Authority 数字证书认证中心、认证中心、CA中心 是PKI系统的最核心部件