第6章 公鑰基礎(chǔ)設(shè)施_第1頁(yè)
第6章 公鑰基礎(chǔ)設(shè)施_第2頁(yè)
第6章 公鑰基礎(chǔ)設(shè)施_第3頁(yè)
第6章 公鑰基礎(chǔ)設(shè)施_第4頁(yè)
第6章 公鑰基礎(chǔ)設(shè)施_第5頁(yè)
已閱讀5頁(yè),還剩73頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

公鑰基礎(chǔ)設(shè)施物聯(lián)網(wǎng)信息安全08檢查回顧新知學(xué)習(xí)合作探究過關(guān)測(cè)試五步教學(xué)法提綱考核點(diǎn)評(píng)1.如果發(fā)送方用私鑰加密消息,則可實(shí)現(xiàn)(

)。保密性保密與認(rèn)證(鑒別)保密而非認(rèn)證(鑒別)認(rèn)證(鑒別)ABCD提交單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試獨(dú)立完成單選題10分2.兩個(gè)不同的消息摘要具有相同的值時(shí),稱為(

)。攻擊沖突散列都不是ABCD提交單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試獨(dú)立完成單選題10分知識(shí)目標(biāo)1.了解公鑰基礎(chǔ)設(shè)施;2.掌握數(shù)字證書(重點(diǎn)、難點(diǎn));3.掌握CA信任模型(重點(diǎn));4.熟悉密鑰管理過程。能力目標(biāo)

培養(yǎng)網(wǎng)絡(luò)安全意識(shí)。思政目標(biāo)

具備分析數(shù)字證書的能力。第0章物理層

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹

1976年Diffie和Hellman在《密碼新方向》中提出了著名的D-H密鑰交換協(xié)議,標(biāo)志著公鑰密碼體制的出現(xiàn)。Diffie和Hellman第一次提出了不基于秘密信道的密鑰分發(fā),這就是D-H協(xié)議的重大意義所在。

PKI(PublicKeyInfrastructure)是一個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供數(shù)字簽名服務(wù)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹

公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)是一套基于公鑰密碼算法理論與技術(shù)提供安全服務(wù)的基礎(chǔ)設(shè)施,主要功能是將公鑰與實(shí)體(個(gè)人或組織)的相應(yīng)身份進(jìn)行綁定并簽發(fā)數(shù)字證書,并通過為用戶提供證書申請(qǐng)、證書撤銷以及證書狀態(tài)查詢等服務(wù),實(shí)現(xiàn)通信中各個(gè)實(shí)體的身份認(rèn)證、消息完整性、消息保密性和不可否認(rèn)等安全需求。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試(投稿回答)總結(jié)如何實(shí)現(xiàn)認(rèn)證、完整性、保密性和不可否認(rèn)性?1公鑰基礎(chǔ)設(shè)施的介紹認(rèn)證--采用數(shù)字簽名技術(shù),簽名作用于相應(yīng)的數(shù)據(jù)之上

被認(rèn)證的數(shù)據(jù)——數(shù)據(jù)源認(rèn)證服務(wù)用戶發(fā)送的遠(yuǎn)程請(qǐng)求——身份認(rèn)證服務(wù)遠(yuǎn)程設(shè)備生成的challenge信息——身份認(rèn)證完整性--PKI采用了兩種技術(shù)數(shù)字簽名:既可以是實(shí)體認(rèn)證,也可以是數(shù)據(jù)完整性MAC(消息認(rèn)證碼):如DES-CBC-MAC或者HMAC-MD5

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹保密性--用公鑰分發(fā)隨機(jī)密鑰,然后用隨機(jī)密鑰對(duì)數(shù)據(jù)加密不可否認(rèn)--發(fā)送方的不可否認(rèn)——數(shù)字簽名--接受方的不可否認(rèn)——收條+數(shù)字簽名

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試PKI提供的基本服務(wù)1公鑰基礎(chǔ)設(shè)施的介紹在提供前面四項(xiàng)服務(wù)的同時(shí),還必須考慮--性能盡量少用公鑰加解密操作,在實(shí)用中,往往結(jié)合對(duì)稱密碼技術(shù),避免對(duì)大量數(shù)據(jù)作加解密操作除非需要數(shù)據(jù)來(lái)源認(rèn)證才使用簽名技術(shù),否則就使用MAC或者HMAC實(shí)現(xiàn)數(shù)據(jù)完整性檢驗(yàn)--在線和離線模型簽名的驗(yàn)證可以在離線情況下完成用公鑰實(shí)現(xiàn)保密性也可以在離線情況下完成離線模式的問題:無(wú)法獲得最新的證書注銷信息--證書中所支持算法的通用性在提供實(shí)際的服務(wù)之前,必須協(xié)商到一致的算法

--個(gè)體命名如何命名一個(gè)安全個(gè)體,取決于CA的命名登記管理工作

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹公鑰技術(shù)--如何提供數(shù)字簽名功能--如何實(shí)現(xiàn)不可否認(rèn)服務(wù)--公鑰和身份如何建立聯(lián)系--為什么要相信這是某個(gè)人的公鑰--公鑰如何管理方案:引入證書(certificate)--通過證書把公鑰和身份關(guān)聯(lián)起來(lái)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試(彈幕回答)給出方案。1公鑰基礎(chǔ)設(shè)施的介紹一個(gè)典型、完整、有效的PKI系統(tǒng)應(yīng)具有以下功能:數(shù)字證書的頒發(fā)和管理;證書撤消列表的發(fā)布和管理;密鑰的備份和恢復(fù);自動(dòng)更新密鑰;自動(dòng)管理歷史密鑰;支持交叉認(rèn)證。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試PKI由以下幾個(gè)基本部分組成:--公鑰證書--證書作廢列表(CRL)--策略管理機(jī)構(gòu)(PMA)

--認(rèn)證機(jī)構(gòu)(CA)--注冊(cè)機(jī)構(gòu)(RA)--證書管理機(jī)構(gòu)(CMA)--證書存檔(Repository)--署名用戶(Subscriber)--依賴方(Relyingparty)--最終用戶(EndUser)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成公鑰證書由可信實(shí)體簽名的電子記錄,記錄將公鑰和密鑰(公私鑰對(duì))所有者的身份捆綁在一起。公鑰證書是PKI的基本部件。證書作廢列表(CRL)

作廢證書列單,通常由同一個(gè)發(fā)證實(shí)體簽名。當(dāng)公鑰的所有者丟失私鑰,或者改換姓名時(shí),需要將原有證書作廢。策略管理機(jī)構(gòu)(PMA)

監(jiān)督證書策略的產(chǎn)生和更新,管理PKI證書策略。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成認(rèn)證機(jī)構(gòu)(CA)互聯(lián)網(wǎng)定義:一個(gè)可信實(shí)體,發(fā)放和作廢公鑰證書,并對(duì)各作廢證書列表簽名。國(guó)防部定義:一個(gè)授權(quán)產(chǎn)生,簽名,發(fā)放公鑰證書的實(shí)體。CA全面負(fù)責(zé)證書發(fā)行和管理(即,注冊(cè)進(jìn)程控制,身份標(biāo)識(shí)和認(rèn)證進(jìn)程,證書制造進(jìn)程,證書公布和作廢及密鑰的更換)。CA還全面負(fù)責(zé)CA服務(wù)和CA運(yùn)行。聯(lián)邦政府定義:被一個(gè)或多個(gè)用戶所信任發(fā)放和管理X.509公鑰證書和作廢證書的機(jī)構(gòu)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成作為發(fā)放和管理數(shù)字證書的機(jī)構(gòu)CA主要包含下述功能:接收驗(yàn)證用戶數(shù)字證書的申請(qǐng);確定是否接受用戶數(shù)字證書的申請(qǐng);向申請(qǐng)者頒發(fā)數(shù)字證書;接收、處理用戶的數(shù)字證書更新請(qǐng)求;接收用戶數(shù)字證書的查詢、撤銷;產(chǎn)生和發(fā)布數(shù)字證書撤銷表(CRL);數(shù)字證書的歸檔;密鑰歸檔;歷史數(shù)據(jù)歸檔。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成3.以下關(guān)于CA認(rèn)證中心說法正確的是(

)。CA認(rèn)證是使用對(duì)稱密鑰機(jī)制的認(rèn)證方法CA認(rèn)證中心只負(fù)責(zé)簽名,不負(fù)責(zé)證書的產(chǎn)生CA認(rèn)證中心負(fù)責(zé)證書的頒發(fā)和管理、并依靠證書證明一個(gè)用戶的身份CA認(rèn)證中心不用保持中立,可以隨便找一個(gè)用戶來(lái)作為CA認(rèn)證中心ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分注冊(cè)機(jī)構(gòu)(RA)互聯(lián)網(wǎng)定義:一個(gè)可選PKI實(shí)體(與CA分開),不對(duì)數(shù)字證書或證書作廢列單(CRL)簽名,而負(fù)責(zé)記錄和驗(yàn)證部分或所有有關(guān)信息(特別是主體的身份),這些信息用于CA發(fā)行證書和CLR以及證書管理中。RA在當(dāng)?shù)乜稍O(shè)置分支機(jī)構(gòu)LRA。PKIX用語(yǔ):一個(gè)可選PKI實(shí)體與CA分開,RA的功能隨情況而不同,但是可以包括身份認(rèn)證和用戶名分配,密鑰生成和密鑰對(duì)歸檔,密碼模件分發(fā)及作廢報(bào)告管理。國(guó)防部定義:對(duì)CA負(fù)責(zé)當(dāng)?shù)赜脩羯矸荩?biāo)識(shí))識(shí)別的人。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成證書管理機(jī)構(gòu)(CMA)

將CA和RA合起來(lái)稱CMA(certificatemanagementauthority)。

證書存檔(Repository)

一個(gè)電子站點(diǎn),存放證書和作廢證書列表(CRL),CA在用證書和作廢證書。署名用戶(Subscriber)

署名用戶是作為主體署名證書并依據(jù)策略使用證書和相應(yīng)密鑰的實(shí)體。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成依賴方(Relyingparty)

一個(gè)接收包括證書和簽名信息的人或機(jī)構(gòu),利用證書提供的公鑰驗(yàn)證其有效性,與持證人建立保密通信,接收方處于依賴的地位。最終用戶(EndUser)

署名用戶和依賴方的統(tǒng)稱,也稱末端實(shí)體(End-entity),可以是人,也可以是機(jī)器,如路由器,或計(jì)算機(jī)中運(yùn)行的進(jìn)程,如防火墻。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1公鑰基礎(chǔ)設(shè)施的介紹--PKI的基本組成如圖所示,攻擊者可以輕易的更換Alice存儲(chǔ)的Bob公鑰,而使得Alice誤以為攻擊者是Bob。為了避免這種攻擊,我們可以部署一個(gè)可信的中央數(shù)據(jù)庫(kù)存儲(chǔ)各方的公鑰。然而使用中央數(shù)據(jù)庫(kù)又帶來(lái)了管理公鑰的問題,以及使用不方便的問題。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書為了避免上訴的問題,PKI引入了數(shù)字證書的概念證書(certificate),有時(shí)候簡(jiǎn)稱為certPKI適用于異構(gòu)環(huán)境中,所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一證書是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)安全個(gè)體的證明,所以證書的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性一個(gè)證書中,最重要的信息是個(gè)體名字、個(gè)體的公鑰、機(jī)構(gòu)的簽名、算法和用途簽名證書和加密證書分開最常用的證書格式為X.509v3

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書版本1、2、3序列號(hào):在CA內(nèi)部唯一簽名算法標(biāo)識(shí)符:指該證書中的簽名算法簽發(fā)人名字:CA的名字有效時(shí)間:起始和終止時(shí)間個(gè)體名字

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書個(gè)體的公鑰信息:算法;參數(shù);密鑰簽發(fā)人唯一標(biāo)識(shí)符個(gè)體唯一標(biāo)識(shí)符擴(kuò)展域簽名

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書一個(gè)數(shù)字證書由三個(gè)組成部分,即證書內(nèi)容,簽名算法以及簽名值。證書內(nèi)容包括了公鑰擁有者的身份信息、公鑰、以及其它的一些信息。下圖為基于X.509標(biāo)準(zhǔn)的證書主要內(nèi)容。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書4.定義數(shù)字證書結(jié)構(gòu)的標(biāo)準(zhǔn)是(

)。

X.500TCP/IPASN.1X.509ABCD提交單選題10分多選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分5.數(shù)字證書上除了有簽證機(jī)關(guān)、序列號(hào)、加密算法、生效日期等等外,還有(

)。公鑰私鑰用戶賬戶ABC提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分下圖是DigiCertSHA2SecureServerCA給知乎網(wǎng)站*.簽發(fā)的一個(gè)數(shù)字證書,有效期從2019年3月20號(hào)到2020年4月19號(hào),簽名算法使用SHA256,加密方法為RSA加密。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--PKI的運(yùn)行證書機(jī)構(gòu)CA證書庫(kù)署名用戶依賴方312465X509標(biāo)準(zhǔn)PKIX1)署名用戶向證明機(jī)構(gòu)(CA)提出數(shù)字證書申請(qǐng);2)CA驗(yàn)明署名用戶身份,并簽發(fā)數(shù)字證書;3)CA將證書公布到證書庫(kù)中;4)署名用戶對(duì)電子信件數(shù)字簽名作為發(fā)送認(rèn)證,確保信件完整性,不可否認(rèn)性,并發(fā)送給依賴方。5)依賴方接收信件,用署名用戶的公鑰驗(yàn)證數(shù)字簽名,并到證書庫(kù)查明署名用戶證書的狀態(tài)和有效性;6)證書庫(kù)返回證書檢查結(jié)果。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--PKI的運(yùn)行密鑰/證書生命周期管理的各個(gè)階段:--初始化階段--頒發(fā)階段--取消階段證書過期證書撤銷

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--PKI中密鑰和證書的管理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--密鑰生命周期密鑰產(chǎn)生證書簽發(fā)Bob密鑰使用Bob證書檢驗(yàn)密鑰過期密鑰更新在終端實(shí)體能夠使用PKI支持的服務(wù)之前,它們必須初始化以進(jìn)入PKI。初始化由以下幾步組成:

①終端實(shí)體注冊(cè)。

②密鑰對(duì)產(chǎn)生。

③證書創(chuàng)建和密鑰/證書分發(fā)。

④證書分發(fā)。

⑤密鑰備份。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--PKI初始化階段

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--PKI初始化階段終端實(shí)體的初始化8.證書響應(yīng)7.證書請(qǐng)求4.注冊(cè)建立請(qǐng)求5.注冊(cè)建立結(jié)果6.注冊(cè)結(jié)果3.注冊(cè)表格提交2.注冊(cè)表格應(yīng)答終端實(shí)體RACA1.注冊(cè)表格請(qǐng)求一旦私鑰和公鑰證書已經(jīng)產(chǎn)生并適當(dāng)?shù)胤职l(fā),密鑰/證書生命周期管理的頒發(fā)階段即開始。這個(gè)階段包括:

①證書檢索——遠(yuǎn)程資料庫(kù)的證書檢索。

②證書驗(yàn)證——確定一個(gè)證書的有效性(包括證書路徑的驗(yàn)證)。

③密鑰恢復(fù)——當(dāng)不能正常訪問密鑰資料時(shí),從CA或信任第三方處恢復(fù)。

④密鑰更新——當(dāng)一個(gè)合法的密鑰對(duì)將過期時(shí),進(jìn)行新的公/私鑰的自動(dòng)產(chǎn)生和相應(yīng)證書的頒發(fā)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--頒發(fā)階段密鑰/證書生命周期管理以取消階段來(lái)結(jié)束。此階段包括如下內(nèi)容:

①證書過期——證書生命周期的自然結(jié)束。

②證書撤銷——宣布一個(gè)合法證書(及其相關(guān)私有密鑰)不再有效。

③密鑰歷史——維持一個(gè)有關(guān)密鑰資料的記錄(一般是關(guān)于終端實(shí)體的),以便被過期的密鑰資料所加密的數(shù)據(jù)能夠被解密。

④密鑰檔案——出于對(duì)密鑰歷史恢復(fù)、審計(jì)和解決爭(zhēng)議的考慮所進(jìn)行的密鑰資料的安全第三方儲(chǔ)存。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--撤銷階段

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書--撤銷階段PKI中證書的撤銷2.證書撤銷響應(yīng)證書撤銷請(qǐng)求2.證書撤銷響應(yīng)1.證書撤銷請(qǐng)求RACA帶外請(qǐng)求終端實(shí)體OR在實(shí)際應(yīng)用中,根據(jù)場(chǎng)景的不同,一般需要使用不同類型或功能的數(shù)字證書。我們根據(jù)證書的持有者類別以及密鑰使用類別,可以對(duì)證書進(jìn)行分類。根據(jù)證書持有者分類CA證書:證書的此有者是CA本身。個(gè)人證書:CA給個(gè)人用戶頒發(fā)的證書。單位證書:CA給組織單位頒發(fā)的證書。系統(tǒng)證書:CA給各種系統(tǒng)頒發(fā)的證書。根據(jù)證書中密鑰使用類別分類簽名證書:簽名證書作用是允許證書中的公鑰對(duì)簽名進(jìn)行驗(yàn)證,但其不能用于進(jìn)行加解密。加密證書:加密證書的作用是允許證書中的公鑰進(jìn)行加密,但其不能用于進(jìn)行簽名的驗(yàn)證。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試2數(shù)字證書6.數(shù)字證書采用公鑰體制,每個(gè)用戶設(shè)定一把公鑰,由本人公開,用它進(jìn)行(

)。加密和驗(yàn)證簽名解密和簽名加密解密ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分職責(zé)--接受用戶的請(qǐng)求--(由RA負(fù)責(zé)對(duì)用戶的身份信息進(jìn)行驗(yàn)證)--用自己的私鑰簽發(fā)證書--提供證書查詢--接受證書注銷請(qǐng)求--提供證書注銷表各個(gè)組件和功能示意圖

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3CA(CertificateAuthority)健壯的數(shù)據(jù)

庫(kù)系統(tǒng)無(wú)縫的目錄接口CA硬件管理和運(yùn)

行平臺(tái)安全的審計(jì)密鑰PKI

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3CA(CertificateAuthority)密鑰備份和恢復(fù)

進(jìn)一步授權(quán)

(#可定制)授權(quán)恢

復(fù)密鑰RA最終用戶PKI加密密鑰的歷史新的簽名密鑰對(duì)

和證書Password??Help!!隨機(jī)點(diǎn)名:我們實(shí)際忘記密碼時(shí)怎樣操作的?

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3CA(CertificateAuthority)CA密鑰更新保證透明性用于驗(yàn)證的CA公鑰用于簽名的CA私鑰

CA最終用戶Sep 1998Oct 1998Nov 1998Dec 1998Jan 1999Feb 1999Mar 1999Apr 1999May 1999Jun 1999Jul 1999Aug 1999CA密鑰歷史保證對(duì)于

最終用戶和其他的PKI

是透明的新的CA簽名

密鑰對(duì)7.CA用(

)簽名數(shù)字證書。用戶的公鑰用戶的私鑰自己的公鑰自己的私鑰ABCD提交單選題10分多選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分?jǐn)?shù)字證書,其主要的作用是信任傳遞。用戶因?yàn)樾湃蜟A,所以把CA里存儲(chǔ)的公鑰當(dāng)作為通信另一方的公鑰。然而在實(shí)際使用的時(shí)候,我們并無(wú)法得知當(dāng)前的CA是否為可信的。相對(duì)的我們可能只會(huì)相信一個(gè)具有權(quán)威的根CA,而其它CA為了使用戶相信也會(huì)讓根CA為其頒發(fā)證書。如下圖所示,這樣會(huì)形成一條信任鏈,也就是證書路徑。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3CA信任模型當(dāng)一個(gè)安全個(gè)體看到另一個(gè)安全個(gè)體出示的證書時(shí),他是否信任此證書?--信任難以度量,總是與風(fēng)險(xiǎn)聯(lián)系在一起可信CA--如果一個(gè)個(gè)體假設(shè)CA能夠建立并維持一個(gè)準(zhǔn)確的“個(gè)體-公鑰屬性”之間的綁定,則他可以信任該CA,該CA為可信CA根據(jù)PKI信任鏈分層的不同,可以將PKI的信任模型分為四類。根CA信任模型:如下圖所示,在該模型下CA可以分為多個(gè)等級(jí),每個(gè)等級(jí),每個(gè)等級(jí)之間有嚴(yán)格的上下層關(guān)系,上層CA給下層CA頒發(fā)證書,所以下層CA信任上層CA。最頂層的CA稱為根CA,其下面的CA成為子CA。在該模型下,用戶的信任錨可以是根CA或者子CA。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試根CA具有一個(gè)自簽名的證書根CA依次對(duì)它下面的CA進(jìn)行簽名層次結(jié)構(gòu)中葉子節(jié)點(diǎn)上的CA用于對(duì)安全個(gè)體進(jìn)行簽名對(duì)于個(gè)體而言,它需要信任根CA,中間的CA可以不必關(guān)心(透明的);同時(shí)它的證書是由底層的CA簽發(fā)的在CA的機(jī)構(gòu)中,要維護(hù)這棵樹在每個(gè)節(jié)點(diǎn)CA上,需要保存兩種cert

(1)ForwardCertificates:其他CA發(fā)給它的certs

(2)ReverseCertificates:它發(fā)給其他CA的certs3.1根CA信任模型假設(shè)個(gè)體A看到B的一個(gè)證書B的證書中含有簽發(fā)該證書的CA的信息沿著層次樹往上找,可以構(gòu)成一條證書鏈,直到根證書驗(yàn)證過程:沿相反的方向,從根證書開始,依次往下驗(yàn)證每一個(gè)證書中的簽名。其中,根證書是自簽名的,用它自己的公鑰進(jìn)行驗(yàn)證一直到驗(yàn)證B的證書中的簽名如果所有的簽名驗(yàn)證都通過,則A可以確定所有的證書都是正確的,如果他信任根CA,則他可以相信B的證書和公鑰

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.1根CA信任模型--CA中證書的驗(yàn)證問題:證書鏈如何獲得?

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試PKI通過分層的信任鏈來(lái)確保證書的安全。每個(gè)證書都包含了證書的“使用者”和“頒發(fā)者”。為了減少根CA的工作量,根CA會(huì)頒發(fā)一些被廣泛認(rèn)可的根證書。這些根證書的使用者和發(fā)布者都是其本身。然后,這些根證書又能頒布中間證書,每個(gè)中間證書又可以給具體的實(shí)體頒發(fā)終端實(shí)體證書。當(dāng)用戶進(jìn)行證書驗(yàn)證時(shí),其需要按照信任鏈找到上層某一個(gè)可信的CA。如圖所示,為了驗(yàn)證知乎網(wǎng)站的證書,用戶會(huì)遍歷證書的信任鏈,當(dāng)其驗(yàn)證到證書3:DigiCert的證書時(shí),發(fā)現(xiàn)其在瀏覽器的可信根CA列表中,所以完成驗(yàn)證,允許建立可信連接。3.1根CA信任模型--CA中證書的驗(yàn)證

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.1根CA信任模型--CA中證書的驗(yàn)證證書鏈的驗(yàn)證示例如果用戶i和j都屬于CA111,那么i和j之間的密鑰交換,只需要持有CA111開具的證明書就可以,即:對(duì)用戶i和j的公鑰PKi和PKj分別蓋章,如(Pki)ca111,(Pkj)ca111,那么用戶i和j就能證明密鑰是對(duì)方的密鑰。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.1根CA信任模型--CA認(rèn)證模型CACA1CA2CA11CA12CA21CA22個(gè)人證書個(gè)人證書個(gè)人證書個(gè)人證書ijCA111CA121

CA證明鏈CA122如果用戶j的證明書是CA122開具的,那么情況就復(fù)雜了,各自具有:

i方:(Pki)ca111,(CA111)CA11,(CA11)CA1

j方:(Pkj)ca122,(CA122)CA12,(CA12)CA1

這就形成了層層證明的證明鏈(certificationchain)。這里,符號(hào)(CA11)CA1是CA1對(duì)CA11的公鑰蓋章,只是證明本公鑰是CA11的。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.1根CA信任模型--CA認(rèn)證模型CACA1CA2CA11CA21CA22個(gè)人證書個(gè)人證書個(gè)人證書ij

CA證明鏈CA111CA12個(gè)人證書CA121CA122分組討論:

根據(jù)下圖用戶i和j所擁有的證書,假設(shè)i看到j(luò)的證書并要對(duì)其進(jìn)行驗(yàn)證,請(qǐng)表示出其證明鏈。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試CACA1CA2CA11CA12CA21CA22個(gè)人證書個(gè)人證書個(gè)人證書個(gè)人證書ij

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.2交叉認(rèn)證信任模型交叉認(rèn)證信任模型:如下圖所示,在該模型下有多個(gè)根CA,不同的根CA之間可以相互簽發(fā)交叉認(rèn)證證書,這樣可以確保在不增加信任錨的情況下建立起不同CA管理域之間的信任關(guān)系。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.3橋CA信任模型橋CA信任模型:如下圖所示,該模型似于交叉認(rèn)證信任模型,不同是該信任模型加了一個(gè)獨(dú)立的虛擬橋CA,這個(gè)橋CA與其它根CA之間相互簽發(fā)交叉認(rèn)證證書,將不同的根CA之間通過這個(gè)橋CA連接起來(lái),根CA之間不需要再簽發(fā)交叉認(rèn)證證書。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試3.4信任列表信任模型信任列表信任模型:如下圖所示,在該信任模型下,一個(gè)用戶可以擁有多個(gè)信任錨。即其可以將多個(gè)可信的根CA或者子CA存儲(chǔ)在其信任列表中,這樣其可以更加高效地驗(yàn)證不同管理域下的用戶證書。8.CA交叉認(rèn)證的結(jié)果是(

)。產(chǎn)生用戶證書產(chǎn)生交叉證書產(chǎn)生CRL產(chǎn)生OCSPABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理密鑰管理是密碼系統(tǒng)中最重要,同時(shí)也是最薄弱的環(huán)節(jié),密鑰的泄漏將直接導(dǎo)致整個(gè)密碼系統(tǒng)的失效。密鑰管理是密碼算法,鑒別邏輯,VPN等的技術(shù)的基礎(chǔ),密鑰的重要性隨著信息安全技術(shù)的發(fā)展越顯突出。重要性:邏輯隔離技術(shù)之一重要的認(rèn)證參數(shù)管理體制:集中,分散分發(fā)體制:靜態(tài),動(dòng)態(tài)層次化的密鑰管理結(jié)構(gòu)。在較大的信息系統(tǒng)中,密鑰按其作用分為三種:將用于數(shù)據(jù)加密的密鑰稱三級(jí)密鑰;保護(hù)三級(jí)密鑰的密鑰稱二級(jí)密鑰,也稱密鑰加密密鑰;保護(hù)二級(jí)密鑰的密鑰稱一級(jí)密鑰,也稱密鑰保護(hù)密鑰或主密鑰,主密鑰構(gòu)成了整個(gè)密鑰管理系統(tǒng)的關(guān)鍵。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理密鑰使用舉例

DATAHASH(DATA)=H;(H)DA=SIGNERAN1(DATA//SIGN)=CODEEKA-B(RAN1)=RAN2

發(fā)送:(RAN2,CODE)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理在密鑰管理體制中,密鑰整個(gè)生存周期中要涉及到密鑰的生產(chǎn)、驗(yàn)證、分發(fā)、交換、存儲(chǔ)、更換、銷毀等多個(gè)方面。密鑰分發(fā)和交換技術(shù)是整個(gè)密鑰管理技術(shù)中最關(guān)鍵,最核心的技術(shù)。密鑰管理的內(nèi)容和原則

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理密鑰分發(fā)密鑰分發(fā)可分為兩種形式,靜態(tài)分發(fā)和動(dòng)態(tài)分發(fā)。密鑰分發(fā)方式與密鑰生產(chǎn)方式相關(guān),也與密鑰存儲(chǔ)技術(shù)相關(guān)。靜態(tài)分發(fā)是由中心以脫線方式預(yù)分配的技術(shù),采用“面對(duì)面”的分發(fā)方式,是屬于秘密通道的傳遞方式之一。靜態(tài)分發(fā)方式只有在集中式機(jī)制下才能存在,其前提條件是必須解決所分發(fā)密鑰的存儲(chǔ)問題。--動(dòng)態(tài)分發(fā)是“請(qǐng)求-分發(fā)”的在線分發(fā)技術(shù)。密鑰分發(fā)可以采用密鑰證書的形式,密鑰傳遞和密鑰鑒別同時(shí)進(jìn)行,其協(xié)議安全性需要證明。有中心的KMC或無(wú)中心的CA機(jī)制都可采用。在KMC中通常采用即用即發(fā)方式,無(wú)需解決密鑰存放問題,但要解決密鑰傳遞的秘密通道問題。而在CA中密鑰的存放問題和密鑰獲取得的問題都需要解決。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理封閉式密鑰管理一直是密鑰管理的主導(dǎo)方式,適用于各種專用網(wǎng)。專用網(wǎng)一般指處理專門業(yè)務(wù)的封閉網(wǎng)。專用網(wǎng)的密鑰管理一般采用集中式密鑰管理中心(KMC)實(shí)現(xiàn),密鑰由密鑰管理中心統(tǒng)一編制,統(tǒng)一生產(chǎn),統(tǒng)一配發(fā)使用。--物理分發(fā):又稱靜態(tài)分發(fā),密鑰的生產(chǎn)和配發(fā)在KMC內(nèi)部進(jìn)行,KMC一般離線工作。在KMC體制中,靜態(tài)分發(fā)是密鑰管理的基礎(chǔ)。封閉式密鑰管理的密鑰分發(fā)的類型--電子分發(fā):又稱動(dòng)態(tài)分發(fā),往往是在靜態(tài)分發(fā)的基礎(chǔ)上實(shí)現(xiàn)的。動(dòng)態(tài)分發(fā)是近年來(lái)發(fā)展出的新技術(shù),最初由KMC體制發(fā)展,現(xiàn)在延伸到開放網(wǎng)的CA、PKI技術(shù)中。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理

靜態(tài)配置的封閉式密鑰管理是一種事先進(jìn)行預(yù)配置的密鑰管理。在密鑰管理中心(KMC)和各所屬用戶之間建立信任關(guān)系的基礎(chǔ)上,密鑰統(tǒng)一由KMC生成、分發(fā)、更換的集中式(centralized)的管理體制。 --點(diǎn)對(duì)點(diǎn)配置 --單層星形配置 --多層星形配置 --網(wǎng)狀配置靜態(tài)配置的封閉式密鑰管理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理靜態(tài)分發(fā):?jiǎn)螌有菭钆渲?/p>

中心K1K2K3KnT2,K2T3,K3TN,Kn

T1,K1

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理CBDAKA-B

KA-C

KA-DKC-A

KC-B

KC-DKD-A

KD-B

KD-CKB-A

KB-C

KB-D靜態(tài)分發(fā):網(wǎng)狀配置

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理

動(dòng)態(tài)分發(fā)的封閉式密鑰管理是在靜態(tài)分發(fā)技術(shù)基礎(chǔ)上發(fā)展起來(lái)的新技術(shù)。專用網(wǎng)的動(dòng)態(tài)分發(fā)一般采用集中式,即KMC下的動(dòng)態(tài)分發(fā)。動(dòng)態(tài)分發(fā)可以基于單鑰體制實(shí)現(xiàn),也可以基于雙鑰體制實(shí)現(xiàn);而動(dòng)態(tài)分發(fā)的密鑰類型可以是單密鑰,也可以是雙密鑰。--基于單鑰的單鑰分發(fā)--基于單鑰的雙鑰分發(fā)--基于雙鑰的單鑰分發(fā)動(dòng)態(tài)分發(fā)的封閉式密鑰管理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理動(dòng)態(tài)分發(fā):KDC,拉方式分發(fā)協(xié)議:1)a→c:request//n1;2)c→a:EKA(KS//request//n1//EKB(KS,IDA))3)a→b:EKB(KS,IDA)

這樣a,b雙方都有相同的密鑰KS。驗(yàn)證協(xié)議:4)b→a:EKS(N2)5)a→b:EKS(f(N2)),

其中f是簡(jiǎn)單函數(shù),是加1等簡(jiǎn)單變換。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理KDCAB1。request//n12。EKA(KS//request//n1//EKB(KS,IDA))3。EKB(KS,IDA)4。EKS(N2)5。EKS(fN2)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理動(dòng)態(tài)分發(fā):KDC,推方式分發(fā)協(xié)議:1)a→b:a,EKA(EMa);2)b→c:EKA(EMa)3)c→b:EKB(KS,a,EMb),EKA(KS,b,EMa)4)b→a:EKA(KS,b,EMa)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試4密鑰管理KDCAB1。a,EKA(EMa)4。EKA(KS,b,EMa)2。EKA(EMa)3。EKB(KS,a,EMb),EKA(KS,b,EMa)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試5公鑰基礎(chǔ)設(shè)施的應(yīng)用

當(dāng)前,全球已經(jīng)有幾十億設(shè)備連接到互聯(lián)網(wǎng)上,建立起萬(wàn)物互聯(lián)的物聯(lián)網(wǎng),給人類生活帶來(lái)極大的便利。根據(jù)Gartner報(bào)告預(yù)測(cè),預(yù)計(jì)到2020年,將有超過260億設(shè)備互相連接,物聯(lián)網(wǎng)技術(shù)將產(chǎn)生數(shù)十萬(wàn)億的商業(yè)價(jià)值。

然而,由于物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)滯后,且智能設(shè)備制造商也缺乏安全意識(shí)和投入,這些都為物聯(lián)網(wǎng)安全埋下極大隱患,是個(gè)人隱私、企業(yè)信息安全,甚至國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的頭號(hào)安全威脅。

作為保障互聯(lián)網(wǎng)安全的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論