公共密钥基础设施(PKI:Public-Key Infrastructure)

Slides:



Advertisements
Similar presentations
Public key infrastructure
Advertisements

公钥基础设施PKI介绍 Public Key Infrastructure.
全国高等职业教育计算机类规划教材 实例与实训教程系列 网络安全应用技术 密码技术.
§3.4 空间直线的方程.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第18章 网络安全III —身份认证和公钥基础设施
中国金融认证中心(CFCA) 第三方安全权威认证机构 13小组:吉露露、吴莹莹、潘韦韦.
安全协议理论与方法 第一章 引论.
互联网金融和比特币 云南开发者2014聚会分享 王楚安.
電子戶籍謄本申辦及驗證實務作業與問題討論
第八章补充:PKI认证技术.
3.6 安全套接层协议 SSL SSL协议概述 SSL原理 SSL协议的加密和认证算法
Oracle数据库 Oracle 子程序.
7.2.4 证券投资基金券的发行 一、证券投资基金券的发行人 二、证券投资基金券的发行条件 证券投资基金券的发行人是:基金财团。
第一章 商品 第一节 价值创造 第二节 价值量 第三节 价值函数及其性质 第四节 商品经济的基本矛盾与利己利他经济人假设.
实验十二、PKI的部署和安全应用 实验开发教师:郑方伟 谌黔燕 佘 堃.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
第十讲公钥加密算法 (续) 公钥密码(续) RSA \ ElGamal algorithms.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
Ebooking 突发问题解决方案.
管理信息结构SMI.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
《手把手教你学STM32》 主讲人 :正点原子团队 硬件平台:正点原子STM32开发板 版权所有:广州市星翼电子科技有限公司 淘宝店铺:
PaPaPa项目架构 By:Listen 我在这.
绿色圃中小学教育网 比例 比例的意义 绿色圃中小学教育网
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
第3章 信息与信息系统 陈恭和.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
程序设计工具实习 Software Program Tool
SSL(Security Socket Layer)
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
信息安全 第四章 密钥管理与分配技术 /4/9.
C语言程序设计 主讲教师:陆幼利.
第3章 密钥分配与管理.
VisComposer 2019/4/17.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1)
中国国家标准文献 共享服务平台检索 信息检索与利用 2019/4/29 王婧怡 图书馆615室 科技信息研究所
IT 安全 第 11节 加密控制.
编译OpenSSL 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang 官网地址:
信号量(Semaphore).
定理21.9(可满足性定理)设A是P(Y)的协调子集,则存在P(Y)的解释域U和项解释,使得赋值函数v(A){1}。
§6.7 子空间的直和 一、直和的定义 二、直和的判定 三、多个子空间的直和.
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
数据报分片.
第3章 密码技术 教学提示:上一章我们已经学习了协议安全的有关知识,本章将介绍与密码算法相关的一些知识,包括其基本概念和简单的实现方法。
魏新宇 MATLAB/Simulink 与控制系统仿真 魏新宇
OpenStack vs CloudStack
第15讲 特征值与特征向量的性质 主要内容:特征值与特征向量的性质.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
第二节 函数的极限 一、函数极限的定义 二、函数极限的性质 三、小结 思考题.
Google的云计算 分布式锁服务Chubby.
基于列存储的RDF数据管理 朱敏
C++语言程序设计 C++语言程序设计 第一章 C++语言概述 第十一组 C++语言程序设计.
第9章 基于身份的公钥密码体制.
关于使用问题的解决方法 中山医学院大数据信息系统.
第8章 创建与使用图块 将一个或多个单一的实体对象整合为一个对象,这个对象就是图块。图块中的各实体可以具有各自的图层、线性、颜色等特征。在应用时,图块作为一个独立的、完整的对象进行操作,可以根据需要按一定比例和角度将图块插入到需要的位置。 2019/6/30.
第四章 UNIX文件系统.
第十七讲 密码执行(1).
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
位似.
入侵检测技术 大连理工大学软件学院 毕玲.
§2 自由代数 定义19.7:设X是集合,G是一个T-代数,为X到G的函数,若对每个T-代数A和X到A的函数,都存在唯一的G到A的同态映射,使得=,则称G(更严格的说是(G,))是生成集X上的自由T-代数。X中的元素称为生成元。 A变, 变 变, 也变 对给定的 和A,是唯一的.
App 加密算法建议 Possible lab 土豪军 小陈.
Presentation transcript:

公共密钥基础设施(PKI:Public-Key Infrastructure) 公共密钥加密术(Public Key Cryptography) 公共密钥基础设施(PKI) PKI的基本组成 PKI系统的常用信任模型 PKI 体系主要支持功能

公共密钥加密术 公共密钥加密术(Public Key Cryptography)为计算机用户提供了一种安全交换信息的方法。公共密钥加密标准是由 RSA 实验室组织世界各地的安全系统开发人员推出的一种规范。目前 PKCS 使用较为普遍,并且其中的某些标准文档成为正式或非正式标准的一部分,包括 ANSI X9 文档、PKIX、SET、S/MIME 及 SSL。公共密钥加密又叫作非对称加密(Asymmetric Encryption),它基于由Diffie 和 Hellman 开发的数学模式。

公共密钥加密术 公共密钥加密技术允许任何人对信息进行加密处理后,将它发送给另一个人,而不需要预先交换密钥。但该过程对于互相了解的或属于同一组织的两个人之间是不可行的。在公共密钥加密过程中,实现Internet 上的敏感数据报文的交换,需要提供两种密钥支持:公共密钥和私人密钥。公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。换句话说,如果 A 要向 B 发送经过加密的数据,那么 A 使用 B 的公共密钥对将要发送的数据进行加密处理,而 B 使用对应的私人密钥才可以对由 A 发送的那些加密数据解密。

公共密钥加密术 相反地,用户也能用自己私人密钥对使用公共密钥加密的数据加以处理。但该方法对于加密敏感报文而言并不是很有用,这是因为每个人都可以获得解密信息的公共密钥。但它可以应用于下面的一种情形:当一个用户想用自己的私人密钥对数据进行了处理,可以用他提供的公共密钥对数据加以处理,这提供了"数字签名"的基础。

公共密钥基础设施(PKI) 公共密钥基础设施(PKI)是基于公共密钥加密(Public Key Cryptography)概念、提供公共密钥创建和管理的系统,它支持用户高效实现数据加密和密钥交换过程。 简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI的基本组成 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

PKI的基本组成 认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征. 通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

PKI的基本组成 数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥 .

PKI的基本组成 密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。 但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

PKI的基本组成 证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

PKI的基本组成 应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

PKI系统的常用信任模型 选择信任模型(Trust Model)是构筑和运作PKI所必需的一个环节。选择正确的信任模型以及与它相应的安全级别是非常重要的,同时也是部署PKI所要做的较早和基本的决策之一。

PKI系统的常用信任模型 为了进一步说明信任模型,我们首先需要阐明信任的概念。每个人对术语信任(Trust)的理解并不完全相同,在这里我们只简单地叙述在ITU-T推荐标准X.509 规范(X.509,Section3.3.23)中给出的定义:Entity A trusts entity B when Aassumes that B will behave exactly as A expects。如果翻译成中文,这段话的意思是:当实体A假定实体B严格地按A所期望的那样行动,则A信任B。 从这个定义可以看出,信任涉及假设、期望和行为,这意味着信任是不可能被定量测量的,信任是与风险相联系的并且信任的建立不可能总是全自动的。在PKI中,我们可以把这个定义具体化为:如果一个用户假定CA可以把任一公钥绑定到某个实体上,则他信任该CA。

PKI系统的常用信任模型 目前常用的四种信任模型 : 认证机构的严格层次结构模型(Strict Hierarchy of Certification Authorities Model) 分布式信任结构模型(Distributed Trust Architecture Model) Web模型(Web Model) 以用户为中心的信任模型(User-Centric Trust Model)

PKI系统的常用信任模型 认证机构的严格层次结构模型 认证机构(CA)的严格层次结构可以被描绘为一棵倒转的树,根在顶上,树枝向下伸展,树叶在下面。在这棵倒转的树上,根代表一个对整个PKI系统的所有实体都有特别意义的CA——通常叫做根CA(root CA),它充当信任的根或信任锚(trust anchor)——也就是认证的起点或终点。在根CA的下面是零层或多层中介CA(intermediate CA),也被称作子CA(subordinate CA),因为它们从属于根CA。子CA用中间节点表示,从中间节点再伸出分支。与非CA的PKI实体相对应的树叶通常被称作终端实体(end-entities)或被称作终端用户(end-users)。在这个模型中,层次结构中的所有实体都信任唯一的根CA。

PKI系统的常用信任模型 分布式信任结构模型 与在PKI系统中的所有实体都信任唯一一个CA的严格层次结构相反,分布式信任结构把信任分散在两个或多个CA上。也就是说,A把CA1作为他的信任锚,而B可以把CA2做为他的信任锚。因为这些CA都作为信任锚,因此相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA(CA1是包括A在内的严格层次结构的根,CA2是包括B在内的严格层次结构的根)。

PKI系统的常用信任模型 Web模型 Web模型是在环球网(World Wide Web)上诞生的,而且依赖于流行的浏览器,如Netscape 公司的Navigator和Microsoft公司的Internet Explorer。在这种模型中,许多CA的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信任的CA。尽管这组根密钥可以被用户修改,然而几乎没有普通用户对于PKI和安全问题能精通到可以进行这种修改的程度。

PKI系统的常用信任模型 以用户为中心的信任模型 在以用户为中心的信任模型中,每个用户自己决定信任哪些证书。通常,用户的最初信任对象包括用户的朋友、家人或同事,但是否信任某证书则被许多因素所左右。 因为要依赖于用户自身的行为和决策能力,因此以用户为中心的模型在技术水平较高和利害关系高度一致的群体中是可行的,但是在一般的群体(它的许多用户有极少或者没有安全及PKI的概念)中是不现实的。而且,这种模型一般不适合用在贸易、金融或政府环境中,因为在这些环境下,通常希望或需要对用户的信任实行某种控制,显然这样的信任策略在以用户为中心的模型中是不可能实现的。

PKI 体系主要支持功能 PKI 体系由 Internet 标准组和美国国家标准与技术协会(NIST)制定。在 PKI 结构中,包括一个关键的认证机构,即认证中心 CA(属于第三方组织),它是一个负责发放和管理数字证书的权威机构。PKI 体系主要支持以下功能部分: 系统安全增强服务 ----- 允许建立用户身份并与他们在 PKI 系统中操作联系起来。

PKI 体系主要支持功能 加密原语和服务 ---- 支持加密功能,公共密钥安全性正是建立在该功能基础之上,包括私人密钥原语,如国际数据加密算法(IDEA)。 长期密钥服务 ---- 允许用户管理自己的长期密钥和认证,以及检索和校验其他主要认证的有效性。 协议安全服务 ---- 提供安全功能,如数据起源认证、数据完整性保护、数据私有保护以及认可。 安全协议 ---- 增强未知安全性或已知有限安全性的应用程序内通信的安全性。

PKI 体系主要支持功能 安全策略服务 ---- 通过安全策略信息,增强访问控制,并指导访问控制,策略强制校验已知安全应用程序的效能。 支持服务 ---- 安全操作(但不是安全策略强制功能)方面的功能 .