zl—第3章网络安全技术及应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
09.03.2021
.
10
澄清概念
PKI
Public Key Infrastructure
CA
Certification Authority 数字证书认证中心、认证中心、CA中心 是PKI系统的最核心部件
可以认为PKI的其他部件是依附于CA的 所以,在非学术场合,我们看到CA和PKI的概念是混用
09.03.2021
.
11
基础设施
PKI的类比--电力基础设施 能够递归--使用电力控制的变电站 PKI与应用的分离--电器
09.03.2021
.
12
PKI就在我们身边
电子商务(包括移动商务)
电子支付,电子合同、数字签名
国防
在线访问军事资源、通信保密 、文件保密、秘密分级管理、
各部门通信协调。
(6)密钥历史档案
密钥更新的概念告诉我们,经过一段时间
后,每个用户都会形成多个“旧”证书和至少一 个“当前”证书。这一系列旧证书和相应的私钥 就组成了用户密钥和证书的历史档案。 返回本章首页
09.03.2021
.
8
3.1 概述
3.1.1 什么是 PKI
PKI就是这样一个平台,以数字证书和公钥技 术为基础,提供网络安全所需要的真实性、保 密性、完整性和不可否认性等基础服务。
返回本章首页
09.03.2021
.
3
从参与电子政务与电子商务的用户实体出发,应 用系统常规的安全需求通常包括:
(1)认证需求:提供某个实体(人或系统)的身 份保证。
(2)访问控制需求:保护资源,以防止被非法使用和 操作。
(3)保密需求:保护信息不被泄漏或暴露给非授权的 实体。
(4)数据完整性需求:保护数据以防止未经授权的增 删、修改和替代。
09.03.2021
.
14
PKI能够提供什么?
全面的信息安全支持
真实性(标识与鉴别) 完整性(不被修改,没有错误) 机密性(隐私与保密) 非否认性(责任确定) 可用性(可获得,系统稳定性)
09.03.2021
.
9
什么是PKI?
Public Key Infrastructure 公开密钥基础设施
普适性、系统
是用公钥概念与技术来实施和提供安全服务的普遍适用的 安全基础设施
产生、管理、存储、分发和撤销基于公开密钥密码学的公 钥证书所必须的软件、硬件、人、策略和处理过程的集合
是硬件、软件、策略和人组成的系统,当完全并且正确的 实施后,能够提供一整套的信息安全保障,这些保障对保 护敏感的通信和交易是非常重要的.
(1)CA
它是数字证书的签发机构,是PKI的核心,并 且是PKI应用中权威的、可信任的、公正的第三方 机构。
(2)证书库
它是CA颁发证书和撤销证书的集中存放地,
是网上的一种公共信息库,供广大公众进行开放式
查询。
返回本章首页
09.03.2021
.
6
(3)证书撤销
认证机构CA通过签发证书来为用户的身份 和公钥进行捆绑,但因种种原因,还必须存在一 种机制来撤销这种捆绑关系,将现行的证书撤销。
PKI首先是适用于多种环境的框架,这个框架 避免了零碎的、点对点的、特别是那些没有互操作 性的解决方案,它引入了可管理的机制以及跨越多
个应用和多种计算平台的一致安全性。
09.03.2021
返回本章首页
.
5
PKI的组成
公钥基础设施主要包括认证机构CA、证书库、密 钥备份(即恢复系统)、证书作废处理系统、PKI 应用接口系统等。
(5)不可否百度文库需求:防止参与某次通信交换的一方事 后否认本次交换曾经发生过。
返回本章首页
09.03.2021
.
4
PKI的基本概念
PKI是一个用公钥密码算法原理和技术来提供 安全服务的通用性基础平台,用户可利用PKI平台 提供的安全服务进行安全通信。PKI采用标准的密 钥管理规则,能够为所有应用透明地提供采用加密 和数字签名等密码服务所需要的密钥和证书管理。
第三章 公钥基础设施PKI
本章学习重点掌握内容: PKI的组成 数字证书格式 数字证书管理 信任模型
09.03.2021
.
1
第三章 公钥基础设施PKI
3.1 概述 3.2 PKI组成 3.3 数字证书及管理 3.4密钥管理 3.5 信任模型 3.6 PKI的应用
09.03.2021
.
2
PKI的引入
登录授权
09.03.2021
V. PN
电子政务
电子公章、资源访问 控制、文件保密
13
3.1.2 为什么需要PKI
Internet最大的特点是它的开放性、广 泛性和自发性
网络安全服务包含了信息的真实性、完整性、 机密性和不可否认性等
为了防范用户身份(包括人和设备)的假冒、 数据的截取和篡改以及行为的否认等安全漏洞, 需一种技术或体制来实现对用户身份的认证,
(4)密钥备份和恢复
为了避免解密密钥丢失带来的不便,PKI 提供了密钥备份与解密密钥的恢复机制,即密钥 备份与恢复系统,它由可信任的CA来完成。值 得强调的是,密钥备份与恢复只针对解密密钥, 而签名密钥不能做备份。
09.03.2021
返回本章首页
.
7
(5)自动更新密钥
证书有效期是有限的,该规定既有理论上 的原因,又有实际操作因素。因此,在很多PKI 环境中,一个已颁发的证书需要有过期的措施, 以便更换新的证书。为解决密钥更新的复杂性和 人工操作的麻烦,PKI自动完成密钥或证书的更 新。
PKI 是Public Key Infrastructure 的缩写, 通常译作公钥基础设施。
PKI以公钥技术为基础,以数字证书为媒介, 结合对称加密技术,将个人、组织、设备的标 识身份信息与各自的公钥捆绑在一起,其主要 目的是通过自动管理密钥和证书,为用户建立 一个安全、可信的网络运行环境.
09.03.2021
随着互联网技术的推广和普及,各种网络应 用如电子商务、电子政务、网上银行、网上证券交 易等也迅猛发展。但如何保障这些应用的安全性, 已成为发展网络通信需要解决的重要任务。
在公开密钥加密技术基础上发展起来的 PKI (Public Key Infrastructure,公钥基础设施)很好 地适应了互联网的特点,可为互联网以及网络应用 提供全面的安全服务如认证、密钥管理、数据完整 性检验和不可否认性保证等。今天互联网的安全应 用,已经离不开PKI的支持了。