PKI认证体系原理课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,PKI,认证体系原理,北京宝兴达信息技术有限公司,PKI认证体系原理北京宝兴达信息技术有限公司,1,数据通讯的安全要素,有效性,机密性,完整性,可靠性,/,不可抵赖性,/,鉴别,审查能力,数据通讯的安全要素 有效性,2,PKI,模式新的信任模式,(Public Key Infrastructure),WIN32,认证权威,公认认证方式,自由交流,A,B,C,PKI模式新的信任模式 (Public Key Infr,3,PKI,模式,PKI,是一个完整系统,维持一个可靠的网络环境,提供,非对称式加密算法,数字签名,可向许多不同类型的应用提供服务,PKI,意味着,密钥管理,证书管理,PKI模式PKI是一个完整系统,4,一些密码学基本概念,对称式加密(,Symmetric Cryptographic),非对称式加密(,Asymmetric Cryptographic),密钥交换协议(,Key Agreement/Exchange),哈希算法(,Hash),报文认证码(,MAC),数字签名(,Digital Signature),数字证书(,Digital ID/Certificate),认证中心(,Certificate Authority),一些密码学基本概念对称式加密(Symmetric Crypt,5,基于对称密钥的加密方法,加密,Encryption,“我们的五年计划是.”,解密,Decryption,老李,小王,老李和小王使用同一把密钥,密钥,密钥,老李使用密钥进行加密,小王使用密钥进行解密,Internet,“,Py75c%bn&*)9|fDebDFaq#xzjFrg5vMdrkgMs”,密文,“我们的五年计划是.”,基于对称密钥的加密方法加密“我们的五年计划是.”解密老李,6,非对称加密算法,加密,Encryption,解密,Decryption,老李,小王,老李和小王使用不同的密钥,老李使用对方的公钥对会话密钥进行加密,小王使用自己的私钥进行解密得到会话密钥,Internet,“,Py75c%bn&*)9|fDebDFaq#xzjFrg5vMdrkgMs”,密文,私钥,公钥,密钥,密钥,小王的公钥,小王的私钥,非对称加密算法加密解密老李小王老李和小王使用不同的密钥老李使,7,RSA,算法,R、S、A,是三个科学家名字的组合，即,R.L.Rivest、A.Shamir,和,L.Adleman，RSA,公钥系统受到了广泛的重视，并有以该算法为基础的国际标准。该算法基于数论的非对称密码体制，是建立在大整数的素数因子分解的困难上的，属于分组密码体制。简单的说：知道两个质数，求出它们的乘积，很容易；但知道一个整数，分解成两个质数就很复杂了。,RSA,是非对称加密算法，加密与解密的密钥不同，这与,DES,算法有区别。,RSA,主要缺点是产生密钥受到素数产生技术的限制；密钥分组长度较长，运算速度较低。,RSA算法 R、S、A是三个科学家名字的组合，即,8,哈希（,Hash),密码学中哈希的几个基本要求,输入可为任意长度,输出定长,函数单向,足够小的冲突可能性,Hash,“我们的五年计划是”,“,B*U9374392l;qHUHW”,哈希（Hash)密码学中哈希的几个基本要求Hash“我们的五,9,数字签名,Internet,老李,小王,老李和小王使用,不同,的密钥,老李使用小王的公钥对签名进行核实,小王使用私钥对消息进行签名,私钥,公钥,核实,签名,对消息签名,“我们亟需定购100套,Windows2000,”,“,dkso(Sc#xZ02f+bQaur”,“我们亟需定购100套,Windows2000,”,“我们亟需定购100套,Windows2000,”,数字签名Internet老李小王老李和小王使用不同的密钥老李,10,数字证书,证书的目的，身份信息，公钥,由认证中心(,C,ertificate,A,uthority),发布,拥有者公钥,认证中心标识,Subject:,老李,Not Before: 10/18/99,Not After: 10/18/04,Signed: Cg6&78#dx,Serial Number: 29483756,Subjects Public key:,公钥,Secure Email Client Authentication,扩展域,拥有者身份信息,有效期限,Issuer: INET CA1,认证中心(,CA),的数字证书,证书发布,ID,号,数字证书证书的目的，身份信息，公钥拥有者公钥认证中心标识Su,11,认证中心(,Certificate Authority),密钥的管理及传递，认证权威,认证中心(,CA),的相关问题,证书请求及发放过程,证书验证过程,证书的撤销及更新,层次认证，信任链,认证中心(Certificate Authority)密钥的,12,PKI,认证体系的载体,1,、,ESAM,嵌入式安全控制模块,内置,RSA,3DES,、,HASH,等算法，可与终端绑定,2,、,CPU,卡,内置,RSA,算法，可随身携带，需配合读卡设备使用，可放入终,端中，也可随身携带。,3,、电子钥匙,相当与将,CPU,卡或者,ESAM,与读卡器集成为一体，通常直接与,PC,机进行通讯，携带较方便,PKI认证体系的载体1、ESAM嵌入式安全控制模块,13,Internet/Intranet,浏览器/,Client,读卡器,卡,浏览器,/,Client,读卡器,卡,CA,中心,防火墙,Web,服务器及应用软件,数据库,防火墙,银行等数据接收网关,业务处理流程,PK,典型应用系统构成,电子钥匙,或,电子钥匙,或,浏览器/Client 读卡器卡浏览器/Clien,14,在电子签名、加密中的应用流程,“我们的五年计划是.”,明文,这是算法算出摘要,“,Py75c%bn.”,“g5vr”,电子钥匙,明文,数字证书,签字,签字,A,私钥,签名,对称加密（如：3,DES）,会话密钥,数字信封,B,公钥,电子签名包,密文,加密过后的文件,A,方,Internet/,Intranet,数字信封,密文,会话密钥,对称加密（如：3,DES）,明文,数字证书,签字,“我们的五年.”,明文,A,公钥,“g5vr”,签字,摘要二,签名,解出经,A,签字的摘要,摘要一,由明文生成的摘要,B,方,作比较,如果摘要一和二相同则确定是,A,发送的文件且内容完整,B,私钥,电子钥匙,在电子签名、加密中的应用流程“我们的五年计划是.”明文这,15,