网络安全第三章PKI认证二.ppt

该【网络安全第三章PKI认证二 】是由【落意心】上传分享，文档一共【67】页，该文档可以免费在线阅读，需要了解更多关于【网络安全第三章PKI认证二 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。一、PKI背景1、PKI2、PKI功能3、PKI基础4、PKI由来5、PKI发展1、何谓PKIPKI,PublicKeyInfrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。PKI正在快速地演进中,从不同的角度出发,、PKI由来公钥技术如何提供数字签名功能如何实现不可否认服务公钥和身份如何建立联系为什么要相信这是某个人的公钥公钥如何管理方案:引入证书(certificate)通过证书把公钥和身份关联起来3、PKI功能(1)认证:采用数字签名技术,签名作用于相应的数据之上被认证的数据——数据源认证服务用户发送的远程请求——身份认证服务远程设备生成的challenge信息——身份认证完整性:PKI采用了两种技术数字签名:既可以是实体认证,也可以是数据完整性MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5保密性:用公钥分发随机密钥,然后用随机密钥对数据加密不可否认:发送方的不可否认——数字签名接受方的不可否认——收条+数字签名3、PKI功能(2)在提供前面四项服务功能的同时,还必须考虑性能尽量少用公钥加解密操作,在实用中,往往结合对称密码技术,避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术,否则就使用MAC或者HMAC实现数据完整性检验在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题:无法获得最新的证书注销信息证书中所支持算法的通用性在提供实际的服务之前,必须协商到一致的算法个体命名如何命名一个安全个体,取决于CA的命名登记管理工作4、PKI组成(1)PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。PKI的构件,PKI的安全策略4、PKI组成(2)ponents: CA,RA,Directory,EE,PKI-enabledApplications,CertificateStatusChecking5、PKI发展标准化进展:IETFPKIX、SPKIWorkgroup;NIST,DOT(DepartmentoftheTreasury);TOG(TheOpenGroup);andothers(includeWAPForum,etc)产品与工程:FromPilotProjectstoPractices,VariousVendorsandProductsPKI应用:scapeMessanger(S/MIME),IE/Navigator(SSL/TLS),PGP4、认证机构(CA)(2)CA是PKI的核心,CA负责产生、分配并管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书