




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、第2部分 網(wǎng)絡(luò)安全應(yīng)用 第4章 密鑰分配和用戶認(rèn)證 第5章 傳輸層安全 第6章 無(wú)線網(wǎng)絡(luò)安全 第7章 電子郵件安全 第8章 IP安全,第4章 密鑰分配和用戶認(rèn)證,提綱,4.1 基于對(duì)稱加密的密鑰分發(fā) 4.2 基于非對(duì)稱加密的密鑰分發(fā) 4.3 PKI,4.1 基于對(duì)稱加密的密鑰分發(fā),A選定密鑰K,并通過(guò)物理方法傳遞給B. 第三方選定密鑰K,并通過(guò)物理方法傳遞給A和B. 如果A和B在之前使用過(guò)一個(gè)密鑰,一方能夠?qū)⑹褂镁兔荑€加密的新密鑰傳遞給另一方. 如果A和B各自有一個(gè)到達(dá)第三方C的加密鏈路,C能夠在加密鏈路上傳遞密鑰給A和B.,針對(duì)上述第四種方案,用到兩種類型的密鑰: 會(huì)話密鑰:一次通信過(guò)程中使
2、用的密鑰。 永久密鑰:用于分發(fā)會(huì)話密鑰的密鑰。,4.1 基于對(duì)稱加密的密鑰分發(fā),4.2 基于非對(duì)稱加密的密鑰分發(fā),Diffie-Hellman密鑰交換被廣泛應(yīng)用,但是它的缺陷是不能為兩個(gè)通信者提供認(rèn)證。 使用像RSA這樣的非對(duì)稱加密算法來(lái)分發(fā)密鑰是不錯(cuò)的選擇。,4.2 基于非對(duì)稱加密的密鑰分發(fā),假設(shè)Alice和Bob準(zhǔn)備進(jìn)行如下秘密通信: Alice: 我叫Alice,我的公開(kāi)密鑰是Ka,你選擇一個(gè)會(huì)話密鑰K,用Ka加密后傳送給我。 Bob:使用Ka加密會(huì)話密鑰K; Alice:使用K加密傳輸信息; Bob:使用K加密傳輸信息; 存在問(wèn)題: 1、Bob怎么知道一定是Alice和他通信?(數(shù)字簽
3、名) 2、Bob如何知道Ka一定是Alice的公鑰?(公鑰證書(shū)),4.3 PKI,PKI(Public Key Infrastructure)含義為“公鑰基礎(chǔ)設(shè)施”,PKI技術(shù)是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施 PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封等。 PKI基礎(chǔ)設(shè)施采用證書(shū)管理公鑰,通過(guò)第三方的可信任機(jī)構(gòu)-認(rèn)證中心,把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起,在Internet網(wǎng)上驗(yàn)證用戶的身份。 PKI基礎(chǔ)設(shè)施把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái),在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理,保證網(wǎng)上數(shù)據(jù)的安全傳輸。 從廣義上講,所有提供公鑰加密和數(shù)字簽名服務(wù)
4、的系統(tǒng),都可歸結(jié)為PKI系統(tǒng)的一部分。,1、PKI提供的基本服務(wù),認(rèn)證 采用數(shù)字簽名技術(shù),簽名作用于相應(yīng)的數(shù)據(jù)之上 數(shù)據(jù)源認(rèn)證服務(wù) 身份認(rèn)證服務(wù) 完整性 保密性 用公鑰分發(fā)隨機(jī)密鑰,然后用隨機(jī)密鑰對(duì)數(shù)據(jù)加密 不可否認(rèn) 發(fā)送方和接受方的不可否認(rèn),2、PKI之動(dòng)機(jī),如何提供數(shù)字簽名功能 如何實(shí)現(xiàn)不可否認(rèn)服務(wù) 公鑰和身份如何建立聯(lián)系 為什么要相信這是某個(gè)人的公鑰 公鑰如何管理 方案:引入證書(shū)(certificate) 通過(guò)證書(shū)把公鑰和身份關(guān)聯(lián)起來(lái),3、PKI基本組成(至此),PKI由以下幾個(gè)基本部分組成: 端實(shí)體 公鑰證書(shū) 證書(shū)作廢列表(CRL) 策略管理機(jī)構(gòu)(PMA) 認(rèn)證機(jī)構(gòu)(CA) 注冊(cè)機(jī)構(gòu)(
5、RA) 存儲(chǔ)庫(kù)(Repository),1)、端實(shí)體(end entity):一個(gè)用來(lái)表示終端用戶、設(shè)備或者任何其他的可以在公鑰證書(shū)的主體域被確定身份的實(shí)體的通用術(shù)語(yǔ)。 2)、公鑰證書(shū):由可信實(shí)體簽名的電子記錄,記錄將公鑰和密鑰(公私鑰對(duì))所有者的身份捆綁在一起。公鑰證書(shū)是PKI的基本部件。 3)、證書(shū)作廢列表(CRL):作廢證書(shū)列單,通常由同一個(gè)發(fā)證實(shí)體簽名。當(dāng)公鑰的所有者丟失私鑰,或者改換姓名時(shí),需要將原有證書(shū)作廢。 4)、策略管理機(jī)構(gòu)(PMA):監(jiān)督證書(shū)策略的產(chǎn)生和更新,管理PKI證書(shū)策略。,3、PKI基本組成,3、PKI基本組成,5)、認(rèn)證機(jī)構(gòu)(CA) 互聯(lián)網(wǎng)定義:一個(gè)可信實(shí)體,發(fā)放和
6、作廢公鑰證書(shū),并對(duì)各作廢證書(shū)列表簽名。 國(guó)防部定義:一個(gè)授權(quán)產(chǎn)生/簽名/發(fā)放公鑰證書(shū)的實(shí)體。CA全面負(fù)責(zé)證書(shū)發(fā)行和管理(即,注冊(cè)進(jìn)程控制,身份標(biāo)識(shí)和認(rèn)證進(jìn)程,證書(shū)制造進(jìn)程,證書(shū)公布和作廢及密鑰的更換)。CA還全面負(fù)責(zé)CA服務(wù)和CA運(yùn)行。 聯(lián)邦政府定義:被一個(gè)或多個(gè)用戶所信任發(fā)放和管理X.509公鑰證書(shū)和作廢證書(shū)的機(jī)構(gòu)。,6)、注冊(cè)機(jī)構(gòu)(RA) 互聯(lián)網(wǎng)定義:一個(gè)可選PKI實(shí)體(與CA分開(kāi)),不對(duì)數(shù)字證書(shū)或證書(shū)作廢列單(CRL)簽名,而負(fù)責(zé)記錄和驗(yàn)證部分或所有有關(guān)信息(特別是主體的身份),這些信息用于CA發(fā)行證書(shū)和CRL以及證書(shū)管理中。RA在當(dāng)?shù)乜稍O(shè)置分支機(jī)構(gòu)LRA。 PKIX用語(yǔ):一個(gè)可選PKI
7、實(shí)體與CA分開(kāi),RA的功能隨情況而不同,但是可以包括身份認(rèn)證和用戶名分配,密鑰生成和密鑰對(duì)歸檔,密碼模件分發(fā)及作廢報(bào)告管理。 國(guó)防部定義:對(duì)CA負(fù)責(zé)當(dāng)?shù)赜脩羯矸荩?biāo)識(shí))識(shí)別的人。,3、PKI基本組成,3、PKI基本組成,7)、存儲(chǔ)庫(kù)(Repository):一個(gè)電子站點(diǎn),存放證書(shū)和作廢證書(shū)列表(CRL),CA在用證書(shū)和作廢證書(shū)。,證書(shū)(certificate),有時(shí)候簡(jiǎn)稱為cert。 PKI適用于異構(gòu)環(huán)境中,所以證書(shū)的格式在所使用的范圍內(nèi)必須統(tǒng)一。 證書(shū)提供了一種在Internet上驗(yàn)證身份的方式,作用類似于駕照和身份證。是一個(gè)機(jī)構(gòu)頒發(fā)給一個(gè)個(gè)體的證明,所以證書(shū)的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性。
8、一個(gè)證書(shū)中,最重要的信息是個(gè)體名字、個(gè)體的公鑰、機(jī)構(gòu)的簽名、算法和用途。 最常用的證書(shū)格式為X.509 v3。,4、PKI中的證書(shū),X.509證書(shū)格式:,5、密鑰的產(chǎn)生,用戶自己生成密鑰對(duì),然后將公鑰傳送給CA。 CA替用戶生成密鑰對(duì),然后將其傳送給用戶,要求CA可信性高。,6、PKI的運(yùn)行,1)署名用戶向證明機(jī)構(gòu)(CA)提出數(shù)字證書(shū)申請(qǐng); 2)CA驗(yàn)明署名用戶身份,并簽發(fā)數(shù)字證書(shū); 3)CA將證書(shū)公布到證書(shū)庫(kù)中; 4)署名用戶對(duì)電子信件數(shù)字簽名作為發(fā)送認(rèn)證,確保信件完整性,不可否認(rèn)性,并發(fā)送給依賴方。 5)依賴方接收信件,用署名用戶的公鑰驗(yàn)證數(shù)字簽名,并到證書(shū)庫(kù)查明署名用戶證書(shū)的狀態(tài)和有效性; 6)證書(shū)庫(kù)返回證書(shū)檢查結(jié)果。,7、CA信任關(guān)系,當(dāng)一個(gè)安全個(gè)體看到另一個(gè)安全個(gè)體出示的證書(shū)時(shí),他是否信任此證書(shū)? 信任難以度量,總是與風(fēng)險(xiǎn)聯(lián)系在一起 可信CA 如果一個(gè)個(gè)體假設(shè)CA能夠建立并維持一個(gè)準(zhǔn)確的“個(gè)體
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 基礎(chǔ)教育資源分配的現(xiàn)狀與挑戰(zhàn)
- DB1408∕T052-2024 餐飲食品經(jīng)營(yíng)分級(jí)規(guī)范
- 3至6歲幼兒學(xué)習(xí)與發(fā)展指南考試試題及答案
- 牧馬人課件教學(xué)課件
- VR技術(shù)對(duì)學(xué)生認(rèn)知能力提升的有效性分析
- AIGC帶來(lái)的數(shù)字文化產(chǎn)品創(chuàng)新與用戶體驗(yàn)提升
- 機(jī)械制造技術(shù)課程設(shè)計(jì)-撥叉銑槽專用夾具設(shè)計(jì)
- 手足口病中班健康防護(hù)指南
- 2025年株洲b2貨運(yùn)資格證模擬考試
- 地西泮中毒診斷和治療
- 小球彈簧(蹦極、蹦床)模型-高考物理一輪復(fù)習(xí)模型及解題技巧(解析版)
- 氫能分解與轉(zhuǎn)化技術(shù)創(chuàng)新-全面剖析
- 2025-2030天文望遠(yuǎn)鏡行業(yè)市場(chǎng)深度調(diào)研及發(fā)展趨勢(shì)與投資戰(zhàn)略研究報(bào)告
- 2025年小學(xué)教師資格考試《綜合素質(zhì)》邏輯推理能力測(cè)評(píng)題庫(kù)(附答案)
- 深圳市羅湖區(qū)教育科學(xué)研究院選調(diào)教研員筆試真題2024
- DB11-T 2398-2025 水利工程巡視檢查作業(yè)規(guī)范
- 2025至2031年中國(guó)紙巾用香精行業(yè)投資前景及策略咨詢研究報(bào)告
- 2025年浙江杭州市上城區(qū)人力資源開(kāi)發(fā)服務(wù)有限公司招聘筆試參考題庫(kù)附帶答案詳解
- KPI績(jī)效培訓(xùn)課件
- 經(jīng)營(yíng)審計(jì)管理制度
- 藥品經(jīng)營(yíng)使用和質(zhì)量監(jiān)督管理辦法2024年宣貫培訓(xùn)課件
評(píng)論
0/150
提交評(píng)論