资源描述:
《cisp授课-pkicanew》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、PKI/CA技术中国信息安全产品测评认证中心汪洋CNITSECWY@GMAIL.COM内容安排PKI/CAPKI/CA发展历程发展历程PKI/CA体系结构PKI/CA标准与协议PKI/CA应用国外PKI/CA现状和展望中国PKI/CA现状和展望PKI/CA优缺点探讨什么是PKI?PKI(PublicKeyInfrastructure)即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务
2、的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI/CA发展历程源动力对认证的需求PKI/CA发展历程安全要素1.1你是谁?1.1我是Rick.1.2怎么确认你就是你?1.2口令是1234.2.我能干什么?认证Internet/IntranetRick授权2.你能干这个,不能干那个保密性应用系统.3.我有密钥?3.如何让别人无法偷听?完整性防抵赖4.如何保证不能被篡改?Mary4.别怕,我有数字签名.5.我有你的
3、罪证.5.我偷了机密文件,我不承认.PKI/CA发展历程安全要素认证¾我不认识你!--你是谁?¾我怎么相信你就是你?--要是别人冒充你怎么办?授权¾我能干什么?--我有什么权利?¾你能干这个,不能干那个.保密性¾我与你说话时,别人能不能偷听?完整性¾收到的传真不太清楚?¾传送过程中别人篡改过没有?防抵赖¾我收到货后,不想付款,想抵赖,怎么样?¾我将钱寄给你后,你不给发货,想抵赖,如何?PKI对各安全要素的解决方法认证身份证明:证书数字签名和证书唯一性如何告诉别人,你是谁?身份验证:证书数字签名和证书的唯一性向别人证明,你确是
4、此人?PKI对各安全要素的解决方法机密性加密技术对称加密共享密钥非对称加密公开密钥PKIPKI对各安全要素的解决方法对各安全要素的解决方法完整性数字签名如果数字签名验证失败,说明数据的完整性遭到了破坏PKI对各安全要素的解决方法不可抵赖性数字签名证明信息已经被发送或接收:发送方不能抵赖曾经发送过数据使用发送者本人的私钥进行数字签名接收方不能抵赖曾经接收到数据接收方使用私钥对确认信息进行数字签名DigitalSignature,Date,TimePKI/CA发展历程认证使用无所不在认证贯穿每一天:早晨、白天、晚上父
5、母/亲戚/朋友对自己的认证机场安检对个人的认证电话购火车票,现场取票时认证彩票中奖后领奖时认证电信公司对用户的认证……PKI/CA发展历程认证使用无所不在PKI/CA发展历程三种认证类型你有什么认物不认人身份证、听课证、护照、彩票你知道什么认信息不认人口令、用户名、暗号、密钥你是什么只认人长相、声音、指纹、虹膜PKI/CA发展历程两类认证模式两方认证预先注册,比较确认如:电话购买火车票、彩票中奖PKI/CA发展历程两类认证模式三方认证第三方确认PKI/CA发展历程网络认证方法基于口令基于对称密
6、钥基于非对称密钥基于人体特征PKI/CA发展历程认证技术认证技术5.传输的数据口令是12346.用户不承认自己的越很难保密轨行为时无法审计--口令方式7.用户口令库Internet/IntranetRick管理的安全性2.口令容易泄漏,3.口令改变且很难发现不安全Mary用户口令库1.口令需要预先分发给用户/注册4.别人使用该口令(不安全)冒充时,很难发现PKI/CA发展历程认证技术认证技术我有密钥5.用户不承认自己的越--口令方式轨行为时无法审计--对称密钥6.用户密钥库Internet/IntranetRick管理的安全性
7、2.密钥容易泄漏,3.密钥更新且很难发现不安全Mary用户密钥库1.密钥需要预先分发给用户/注册4.别人使用该密钥(不安全)冒充时,很难发现PKI/CA发展历程认证技术认证技术我有私钥4.用户公钥库--口令方式管理的安全性?--对称密钥--公开密钥Internet/IntranetRick2.私钥用户保存,3.密钥更新需要安全手段?不安全Mary用户公钥库非PKI方式1.公钥需要预先分发给用户/注册PKI/CA方式(不安全/安全?)PKI/CA发展历程时间历程1972年,PK概念的提出1976年,提出RSA算法20世纪80年代
8、,美国学者提出了PKI的概念为了推进PKI在联邦政府范围内的应用,1996年就成立了联邦PKI指导委员会1996年,以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议,推出CA和证书
