公鑰基礎設施介紹課件

公鑰基礎設施介紹課件2023/8/8內(nèi)容索引信息安全密碼學原理公鑰基礎設施(PKI)CA和數(shù)字證書2023/7/25內(nèi)容索引信息安全2023/8/8信息安全的需求信息在網(wǎng)絡的傳輸過程中被截獲傳輸?shù)奈募赡鼙淮鄹膫卧祀娮余]件假冒他人身份不承認或抵賴網(wǎng)絡上已經(jīng)做過的事這些問題是不是您最擔心的問題呢？2023/7/25信息安全的需求信息在網(wǎng)絡的傳輸過程中被截獲2023/8/8信息安全的范圍信息安全是一個復雜領(lǐng)域，涉及計算機科學、網(wǎng)絡通信、密碼學、應用數(shù)學、數(shù)論、信息論等多學科的綜合學科。信息安全又與系統(tǒng)的硬件、軟件、網(wǎng)絡、數(shù)據(jù)等復雜系統(tǒng)有關(guān)。信息安全要求確保信息在存儲、處理和傳輸?shù)倪^程中的可靠性、可用性、保密性、完整性、不可抵賴性和可控性。信息安全是與信息、人、組織、網(wǎng)絡、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。2023/7/25信息安全的范圍信息安全是一個復雜領(lǐng)域，涉及2023/8/8信息安全的技術(shù)特征可靠性(Reliability)

指信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性?？捎眯?Availability)

指信息可被授權(quán)實體訪問并按需求使用的特性，是系統(tǒng)面向用戶的安全性能。保密性(Confidentiality)

指信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。2023/7/25信息安全的技術(shù)特征可靠性(Reliabil2023/8/8信息安全的技術(shù)特征完整性(Integrity)

指網(wǎng)絡信息未經(jīng)授權(quán)不能進行改變的特性，既信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。不可抵賴性(Non-repudiation)

指在信息交互過程中，確信參與者的真實同一性，既所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾的特性?？煽匦?Controllability)

指對信息傳播及內(nèi)容具有控制能力的特性。2023/7/25信息安全的技術(shù)特征完整性(Integrit2023/8/82023/7/252023/8/8密碼系統(tǒng)的定義密碼體制是一個五元組(M,C,K,E,D)滿足條件M是可能明文的有限集(明文空間)C是可能密文的有限集(密文空間)K是可能密鑰的有限集(密鑰空間)并有加密解密算法滿足以下：加密E(M,K)=C解密D(C,K)=M并且有D(E(M,K1),K2)=M所有算法的安全性都基于密鑰的安全性，而不是基于算法的細節(jié)的安全性。2023/7/25密碼系統(tǒng)的定義密碼體制是一個五元組(M,C2023/8/8密碼體制分類密碼體制分兩大類：單鑰體制(對稱算法)K1＝K2流密碼(StreamCipher)

明文按位加密。對稱密碼(SymmetricCipher)

明文按組(含多個字符)加密。

(也稱為分組密碼BlockCipher)雙鑰體制(非對稱算法)K1≠K2加密

M=D(E(M,public-key),private-key)認證

M=D(E(M,private-key),public-key)2023/7/25密碼體制分類密碼體制分兩大類：2023/8/8單鑰體制/對稱密鑰加解密技術(shù)對信息的加密和解密都使用相同的密鑰。過程說明加密方：明文P用密鑰k加密成密文C=E(P,k)解密方：密文C用密鑰k解密成明文P=D(P,k)=D(E(P,k),k)傳輸：密文C通過普通信道傳輸；密鑰k通過安全信道傳輸（安全重心之所在）2023/7/25單鑰體制/對稱密鑰加解密技術(shù)對信息的加密和2023/8/8單鑰體制示意圖2023/7/25單鑰體制示意圖2023/8/8雙鑰體制/非對稱密鑰加解密技術(shù)對信息的加密和解密都使用不同的密鑰，公鑰用于加密，私鑰用于解密。過程說明加密：明文P用解密方的公鑰k1加密成密文C=E(P,k1)解密：密文C用解密方的私鑰k2解密成明文P=D(C,k2)=D(E(P,k1),k2)傳輸：密文C和公鑰k1通過普通信道傳輸保存：私鑰k2由解密方秘密保存（安全重心之所在）2023/7/25雙鑰體制/非對稱密鑰加解密技術(shù)對信息的加密2023/8/8雙鑰體制示意圖2023/7/25雙鑰體制示意圖2023/8/8數(shù)字信封/隨機數(shù)加解密技術(shù)非對稱加密技術(shù)和對稱加密技術(shù)的結(jié)合，對明文用對稱加解密，對此對稱密鑰用非對稱加解密。過程發(fā)送：發(fā)送方通過Rand()函數(shù)產(chǎn)生一個隨機數(shù)作為密鑰k用解密方的公鑰k1加密成密鑰密文Ck=E(k,k1)；明文P用密鑰k加密成密文C=E(P,k)解密：解密方用解密方的私鑰k2將密鑰密文解密成密鑰k=Pk=D(Ck,k2)=D(E(k,k1),k2)；密文C用密鑰k解密成明文P=D(C,k)=D(E(P,k),k)傳輸：密文C和密鑰密文Ck及解密方公鑰k1通過普通信道傳輸保存：私鑰k2由解密方秘密保存(安全重心之所在)2023/7/25數(shù)字信封/隨機數(shù)加解密技術(shù)非對稱加密技術(shù)和2023/8/8加解密技術(shù)比較單鑰體制優(yōu)點：處理速度快，高保密強度缺點：密鑰管理繁雜雙鑰體制優(yōu)點：密鑰分發(fā)管理簡單，密鑰安全風險較低缺點：密鑰生成、加解密的計算代價高，處理慢數(shù)字信封優(yōu)點：既保證密鑰的安全，又兼顧處理速度，且一旦被破解僅影響本次通信，危害范圍較小缺點：隨機密鑰量與明文量一樣大，產(chǎn)生、存儲、傳遞與管理密鑰困難。2023/7/25加解密技術(shù)比較單鑰體制2023/8/8數(shù)字摘要摘要(MessageDigest)是一種防止篡改的方法，用到的函數(shù)叫摘要函數(shù)(Hash函數(shù))。摘要的性質(zhì)：若改變輸入消息中的任何東西，輸出的摘要將發(fā)生不可預測的改變，即輸入的每一位對輸出都有影響。Hash函數(shù)的輸入可以是任意大小的消息，而輸出是一個固定長度的摘要。Hash函數(shù)無法逆向運算，并且不帶密鑰。摘要可以保證網(wǎng)絡通信中數(shù)據(jù)的完整性。2023/7/25數(shù)字摘要摘要(MessageDigest2023/8/8數(shù)字簽名通過數(shù)字簽名(DigitalSignature)能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性，可以基于對稱加密技術(shù)、非對稱加密技術(shù)和密鑰分發(fā)中心KDC(KeyDistributionCenter)進行數(shù)字簽名過程發(fā)送：對報文生成摘要MD并用發(fā)送方的私鑰k1進行加密得到數(shù)字簽名DS=E(MD,k1)聯(lián)同報文M一齊發(fā)送接收：對收到的報文生成摘要MD’并與用發(fā)送方公鑰k2解密數(shù)字簽名DS得到的發(fā)送方報文摘要MD=D(DS,k2)核對傳輸：數(shù)字簽名DS和報文M通過普通信道傳輸驗證：若MD=MD’則可認為報文未被篡改具有完整性和確認發(fā)送方具有不可抵賴性2023/7/25數(shù)字簽名通過數(shù)字簽名(DigitalSi2023/8/8數(shù)字簽名示意圖2023/7/25數(shù)字簽名示意圖2023/8/8還有一個問題在雙鑰體制中，發(fā)送方與密鑰是相互脫離的，如果不同的發(fā)送方以相同的密鑰與接受方通信，接受方是無法識別的。日常生活中，每個人都有唯一號碼的身份證來標識自己的唯一性。網(wǎng)絡通信中，為了能夠識別通信雙方的身份，完成身份驗證，你的身份必須以某種方式與你的密鑰捆綁，這就是數(shù)字證書。通過數(shù)字證書可以將一個公鑰和一個身份的實體及其相關(guān)信息相綁定，這種綁定的方法使得被驗證方的信息必須與數(shù)字驗證系統(tǒng)中的信息完全吻合才能通過，這也正是數(shù)字驗證的目的所在。2023/7/25還有一個問題在雙鑰體制中，發(fā)送方與密鑰是相2023/8/8公鑰基礎設施-

PKI公鑰基礎設施是提供公鑰加密和數(shù)字簽名服務的綜合系統(tǒng)，簡稱PKI(PublicKeyInfrastructure)。PKI是一個提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺，目的是為了管理密鑰和證書。PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和。2023/7/25公鑰基礎設施-PKI公鑰基礎設施是提供2023/8/8PKI的架構(gòu)PKI應用PKI應用接口CA中心KM中心其他PKI設施加密設備2023/7/25PKI的架構(gòu)PKI應用PKI應用接口CA中2023/8/8PKI的組成CertificateAuthority(CA)Directory(目錄)PKI-enabledApplications(基于PKI的應用)SecurityPolicy(安全策略)

CA是PKI體系的核心2023/7/25PKI的組成CertificateAut2023/8/8CA和數(shù)字證書PKI體系中，認證中心CA(CertificateAuthority)和數(shù)字證書(Certificate)是密不可分的兩個部分。CA中心是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機構(gòu)。CA是PKI安全體系的核心環(huán)節(jié)，故又被稱作PKI/CA。CA通常采用多層次的分級結(jié)構(gòu)，上級CA負責簽發(fā)和管理下級CA的證書，最下一級的CA直接面向最終用戶。數(shù)字證書是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份，無法偽造。2023/7/25CA和數(shù)字證書PKI體系中，認證中心CA(2023/8/8證書頒發(fā)示意圖2023/7/25證書頒發(fā)示意圖2023/8/8數(shù)字證書的內(nèi)容證書包括兩部分：證書本身內(nèi)容及簽發(fā)該證書的CA機構(gòu)對該證書的數(shù)字簽名證書本身的內(nèi)容：版本號(Version)證書序列號(SerialNumber)證書有效期間(Validity)證書擁有者的姓名標識符(Subject/DN)證書擁有者的公鑰參數(shù)信息(SubjectPublicKeyInfo)CA機構(gòu)唯一的標識符(Issuer/DN)簽發(fā)證書的CA機構(gòu)采用的簽名算法(SignatureInfo)CA機構(gòu)對證書簽發(fā)的數(shù)字簽名(Signature)包括CA機構(gòu)簽發(fā)的數(shù)字簽名和簽名算法2023/7/25數(shù)字證書的內(nèi)容證書包括兩部分：證書本身內(nèi)容2023/8/8數(shù)字證書與物理證件相同點由可信任的權(quán)威機構(gòu)頒發(fā)表明實體的身份有效期結(jié)束后須重新申領(lǐng)被社會和法律承認和接受不同點數(shù)字證書不能偽造數(shù)字證書里的公鑰可用來加密和驗證數(shù)字簽名可以實現(xiàn)網(wǎng)上不見面的身份識別每個數(shù)字證書對應有一把私鑰2023/7/25數(shù)字證書與物理證件相同點2023/8/8數(shù)字證書的類型個人證書單位證書服務器證書電子郵件證書VPN證書代碼簽名證書無線應用證書CA系統(tǒng)證書2023/7/25數(shù)字證書的類型個人證書2023/8/8數(shù)字證書的保管數(shù)字證書是持有人身份的表征。任何由該數(shù)字證書簽發(fā)的文件視為證書持有人發(fā)生的行為。妥善保管數(shù)字證書的介質(zhì)。

(IC、軟盤、硬盤、USB接口棒等)發(fā)現(xiàn)證書被竊后，立即掛失。2023/7/25數(shù)字證書的保管數(shù)字證書是持有人身份的表征。2023/8/8證書認證系統(tǒng)的功能特性Hardware編碼加解密LDAP服務器數(shù)據(jù)庫證書

編碼簽發(fā)證書

黑名單

CRL等用戶

信息

管理證書信息管理OCSP

/CRL

等編碼證書

黑名單發(fā)布安全通訊密鑰管理證書

簽發(fā)黑名單發(fā)布在線證書狀態(tài)證書注冊證書

發(fā)布應用系統(tǒng)SafeEngine證書管理器2023/7/25證書認證系統(tǒng)的功能特性Hardware編碼2023/8/8證書認證系統(tǒng)的功能特性認證系統(tǒng)采用B/S多層架構(gòu)；在認證系統(tǒng)的設計中支持多級CA，并提供證書鏈的編碼與下載功能；證書系統(tǒng)能實現(xiàn)遠程的證書申請，遠程的證書廢除，遠程的證書下載；證書系統(tǒng)在一般B/S的結(jié)構(gòu)上加入網(wǎng)頁簽名、代碼簽名、信息加密等新技術(shù)，保證證書認證系統(tǒng)在公網(wǎng)上的運行安全；2023/7/25證書認證系統(tǒng)的功能特性認證系統(tǒng)采用B/S多2023/8/8安全引擎SHECA在規(guī)劃CA系統(tǒng)的同時，也提供功能強大、跨平臺的安全引擎(API)。它實現(xiàn)了數(shù)字證書應用各方面的安全，包括證書編碼的轉(zhuǎn)換、數(shù)字簽名及驗證、數(shù)字信封、數(shù)字摘要等方面的功能。提供開發(fā)商1024/128位強度的加密算法開發(fā)商無需了解證書的結(jié)構(gòu)以及獲取、驗證等一切與證書相關(guān)的操作知識接口提供所有的安全機制，包括證書驗證、黑名單查詢等提供多種系統(tǒng)版本：Windows、Linux、AIX、Solaris、UnixWare2023/7/25安全引擎SHECA在規(guī)劃C