您的位置:360文档中心› 公钥基础设施 PKI及其应用

公钥基础设施 PKI及其应用

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

公钥基础设施PKI及其应用

PKI-公钥基础设施

对称加密算法

相同的密钥做加密和解密

DES,3-DES,CAST,RC4,IDEA,SSF33,AES

加解密速度快,适合大量数据的加密,极强的安全性,增加密钥长度增强密文安

缺点用户难以安全的分享密钥,扩展性差,密钥更新困难,不能用以数字签名,故不能用以身份认证

非对称加密算法——公钥算法

公私钥对

公钥是公开的

私钥是由持有者安全地保管

用公私钥对中的一个进行加密,用另一个进行解密

用公钥加密,私钥解密

用私钥签名,公钥验证

公钥不能导出私钥

发送方用接受方的公钥加密

接受方用其私钥解密

我国已发布了中国数字签名法

签名原理

发送方用其私钥进行数字签名

接受方用发送方的公钥验证签名

RSA,DSA,ECC,Diffie-Hellman

优点

参与方不用共享密钥

扩展性很好

实现数字签名

缺点

慢,不适合大量数据的加解密

解决:结合对称密钥算法

RSA,ECC同时支持加密和签名

密钥和证书管理

生命周期

X509证书格式,DN,serial,valid date,CRL,public key,extensions,CA digital signature

数字证书的验证

证书黑名单CRL

双证书

签名证书

密钥只作签名用

私钥用户自己保管

加密证书

密钥做数据加密用

私钥应由PKI统一管理

CA安全管理

证书管理中心

策略批准

证书签发

证书撤消

证书发布

证书归档

密钥管理中心

生成

恢复

更新

备份托管

证书生命周期

申请产生发放查询撤消

CA交叉验证

应用及证书种类

email证书,SET证书,模块签名

WEB浏览器证书,WEB服务器证书

VPN证书

公钥加密是IT安全最基本的保障

数字签名

身份认证,数字完整,不可抵赖

数据加密

第1章概述

1.1 信息安全的发展趋势

1.2 现今的电子商务和电子政务的安全

1.3 电子商务、电子政务的安全需求

1.3.1 安全策略

就是实时计算机信息系统的安全措施及安全管理的知道思想,是在计算机信息系统内,用于所有与安全活动先关的一套规则。

1.授权

2.访问控制策略

3.责任

1.3.2 安全威胁分析

可分为基本的安全威胁、主要可实现的威胁和潜在威胁

1.基本的完全威胁

2.主要可实现的威胁

3.现在威胁

4.媒体废弃物

1.4 网络安全服务

安全服务是指一个系统新提供的安全功能,从用户的角度出发,就称做安全需求,所以安全需求与安全服务是同一事务、从两种角度提出。

1.鉴别

2.认证

3.授权

4.访问控制

5.完整性

6.机密性

7.不可否认性

8.服务可用性

9.安全审计

10.责任性

1.5 安全服务与安全威胁的关系

1.5.1 安全服务与安全机制的关系

1.5.2 安全需求与PKI

(1)认证需求

(2)访问控制需求

(3)保密需求

(4)数据完整性需求

(5)不可否认性需求

1.6 公钥基础设施

1.7 PKI应用

1.7.1 虚拟专用网

虚拟专用网是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议或者会话层安全协议,以及建立在PKI上的加密与签名技术获得安全性。

1.7.2 安全电子邮件

电子邮件的安全需求也是机密性、完整性、认证和不可否认性

1.7.3 Web安全

诈骗、泄露、篡改、攻击

1.7.4 时间戳服务

1.7.5 公证服务

第2章PKI理论基础

2.1 密码理论基础

2.1.1 保密学的基本概念

保密学是研究信息系统安全保密的科学。包含两个分支,即密码学和密码分析学。

采用密码方法可以隐蔽和保护需要保密的消息,适合未授权者不能提取信息。被隐蔽的消息称做明文。密码可将明文变换成另一种隐蔽的形式,称为密文或密报。这种变换过程称做加密,其逆过程,即由密文恢复出原文的过程称为解密。

2.1.2 密码体制

1.单钥体制

2.双钥体制

2.1.3 密码分析

2.2 对称密钥密码技术

2.2.1 分组密码概述

分组密码的工作方法是将明文分成固定长度的块,如64bit一组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。

设计分组密码算法的核心技术是:在复杂函数可以通过简单函数迭代若干轮得到的原则下,利用简单轮函数及复合运算(或称迭代运算),充分利用非线性运算。

2.2.2 美国数据加密标准DES

DES是一种对二元数据进行加密的算法,数据分组长度为64bit(8byte),密文分组长度也是64Bit,没有数据扩展。

1.初始置换IP

2.逆初置换IP-1

3.乘积变换

4.选择扩展运算E

5.密钥加密运算

6.选择压缩运算S

7.置换运算P

8.子密钥产生器

相关文档
最新文档