公钥基础设施PKI 信息安全概论课件与复习提纲

员背叛或利用加密系统进行反政府活动时，政府可
以通过法定的手续解密其通信内容，保护政府的合
法权益。PKI能够通过良好的密钥恢复能力，提供 可信的、可管理的密钥恢复机制。PKI的普及应用
能够保证在全社会范围内提供全面的密钥恢复与管
理能力，保证网上活动的健康有序发展。
12
2.1 PKI技术的信任服务及意义
络通信的瓶颈。
PKI通过证书进行认证，证书是一个可信的第三方证明，
通过它，通信双方可以安全地进行互相认证，而不用担心
对方是假冒的。
11
2.1 PKI技术的信任服务及意义
2、支持密钥管理
在大规模的网络中，特别是在电子政务中，密
钥恢复也是密钥管理的一个重要方面，政府绝不希
望加密系统被犯罪分子窃取使用。当政府的个别职
方案：引入证书(certificate)
通过证书把公钥和身份关联起来
2
公钥基础设施
为解决Internet的安全问题，各国对其进行了多年的 研究，初步形成了一套完整的Internet安全解决方案，即目 前被广泛采用的PKI技术(Public Key Infrastructure-公 钥基础设施)。PKI技术采用证书管理公钥，通过第三方的 可信任机构—认证中心(CA，Certificate Authority)，把 用户的公钥和用户的其他标识信息（如名称、E-mail、身份 证号等）捆绑在一起，在Internet网上验证用户的身份。
协商，确定一个秘密，然后，依据这个秘密进行相互认证。
随着网络的扩大和用户的增加，事前协商秘密会变得非常
复杂，特别是在电子政务中，经常会有新聘用和退休的情
况。另外，在大规模的网络中，两两进行协商几乎是不可
能的。透过一个密钥管理中心来协调也会有很大的困难，
而且当网络规模巨大时，密钥管理中心甚至有可能成为网
7
1.2 PKI的概念
PKI不仅仅涉及到技术层面的问题，还涉及到电子 政务、电子商务以及国家信息化的整体发展战略等多层面问 题。PKI作为国家信息化的基础设施，是相关技术、应用、 组织、规范和法律法规的总和，是一个宏观体系，其本身就 体现了强大的国家实力。PKI的核心是要解决信息网络空间 中的信任问题，确定信息网络空间中各种经济、军事和管理 行为主体（包括组织和个人）身份的惟一性、真实性和合法 性，保护信息网络空间中各种主体的安全利益。
公钥基础设施 PKI
1 PKI概述 2 PKI技术的信任服务及意义 3 PKI的标准 4 PKI的组成 5 PKI的体系结构 6 数字证书 7 PKI的应用与发展
1
PKI之动机
公钥技术
如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系
为什么要相信这是某个人的公钥 公钥如何管理
PKI的定义在不断地延伸和扩展。PKI涉及到多个实 体之间的协作过程,如CA、RA、证书库、密钥恢复服务器 和终端用户。许多厂家(如Baltimore、Entrust等)推出了 可以应用的PKI产品,有些公司(如VerySign等)已经开始提 供PKI服务。许多网络应用已经在使用PKI技术以保证网络 的认证、不可否认、加解密和密钥管理等。尽管如此,总的 说来PKI技术仍在发展中。
8
公钥基础设施 PKI
1 PKI概述 2 PKI技术的信任服务及意义 3 PKI的标准 4 PKI的组成 5 PKI的体系结构 6 数字证书 7 PKI的应用与发展
9
2 PKI技术的信任服务及意义
到目前为止，完善并正确实施的PKI系统是全面解决所
有网络交易和通信安全问题的最佳途径。根据美国国家标
目前，通用的办法是采用建立在PKI基础之上的数字证 书，通过把要传输的数字信息进行加密和签名，保证信息传 输的机密性、真实性、完整性和不可否认性，从而保证信息 的安全传输。
3
1 PKI概述
从广义上讲，所有提供公钥加密和数字签名 服务的系统，都可叫做PKI系统，PKI的主要目的是 通过自动管理密钥和证书，为用户建立起一个安全 的网络运行环境，使用户可以在多种应用环境下方 便地使用加密和数字签名技术，从而保证网上数据 的机密性、完整性、有效性，数据的机密性是指数 据在传输过程中,不能被非授权者偷看，数据的完整 性是指数据在传输过程中不能被非法篡改，数据的 有效性是指数据不能被否认。一个有效的PKI系统必 须是安全的和透明的，用户在获得加密和数字签名 服务时，不需要详细地了解PKI是怎样管理证书和密 钥的。
5
1.2 百度文库KI的概念
PKI是一种遵循既定标准的密钥管理平台,它能够为所有 网络应用提供加密和数字签名等密码服务及所必需的密钥和 证书管理体系，简单来说，PKI就是利用公钥理论和技术建 立的提供安全服务的基础设施。PKI技术是信息安全技术的 核心，也是电子商务的关键和基础技术。
6
1.2 PKI的概念
准技术局的描述，在网络通信和网络交易中，特别是在电 子政务和电子商务业务中，最需要的安全保证包括4个方面：
身份标识和认证、保密或隐私、数据完整性和不可否认
性。PKI可以完全提供以上4个方面的保障，它所提供的服
务主要包括以下3个方面：
10
2.1 PKI技术的信任服务及意义
1、认证
在现实生活中，认证采用的方式通常是两个人事前进行
4
1.1 PKI的来历
目前大多数企业的IT管理人员都为其企业的网络系统采 取了某种形式的加密和认证方案。许多企业的网络管理人员 正在利用Web向企业提供安全的Internet商务、虚拟专用 网络(VPN)以及远程认证服务,以使其远地雇员拥有对企业 网络的存取能力。
然而,当前的大多数安全技术(例如用户名和口令、一次 性口令以及双向鉴别)并不适合企业的安全需求,而且这些传 统的技术通常需要互不相同的维护与管理措施。
否认”就是通过这样的PKI数字签名机制来提供服务的。当
3、完整性与不可否认
PKI提供的完整性是可以通过第三方仲裁的，并且这种
可以由第三方进行仲裁的完整性是通信双方都不可否认的。
例如，小张发送一个合约给老李，老李可以要求小张进行
数字签名，签名后的合约不仅老李可以验证其完整性，其
他人也可以验证该合约确实是小张签发的。而所有的人，
包括老李，都没有模仿小张签署这个合约的能力。“不可