返回
公开密钥设施PKI

公开密钥设施PKI

ID:39135507

大小:536.81 KB

页数:52页

时间:2019-06-25

公开密钥设施PKI_第1页
公开密钥设施PKI_第2页
公开密钥设施PKI_第3页
公开密钥设施PKI_第4页
公开密钥设施PKI_第5页
资源描述:

《公开密钥设施PKI》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、公开密钥设施PKI1公钥加密通信存在的问题Alice→Bob:我叫Alice,我的公开密钥是Ka,你选择一个会话密钥K,用Ka加密后传送给我。Bob→Alice:使用Ka加密会话密钥K;Alice→Bob:使用K加密传输信息;Bob→Alice:使用K加密传输信息。以上协议能否实现秘密通信?2公钥加密通信存在的问题中间人攻击AliceBobMalloryKaKmEKm(K,Bob)EKa(K,Bob)3公钥加密通信存在的问题攻击的成功本质上在于Bob收到的Alice的公开密钥可能是攻击者假冒的,即无法确定获取的公开密钥的真实身份,从而无

2、法保证信息传输的保密性、不可否认性、数据交换的完整性。为了解决这些安全问题,采用公钥基础设施(PubicKeyInfrastructure简称PKI)。CA机构,又称为证书授证(CertificateAuthority)中心,是PKI的核心。CA是受一个或多个用户信任,提供用户身份验证的第三方机构,承担公钥体系中公钥的合法性检验的责任。4公钥加密通信存在的问题PKI正成为安全体系结构的核心部分,有了它,许多标准的安全应用成为可能。例如:(1)安全电子邮件。(2)安全Web访问与服务。(3)虚拟专用网(VPN)。(4)安全路由器。(5)登

3、录用户认证系统。(6)安全传输层协议SSL、TLS。(7)安全电子交易协议SET。(8)安全目录访问协议与服务。5信任模式信任定义:实体A认定实体B将严格地按A所期望的那样行动,则A信任B。这里我们称A是信任者,B是被信任者。从定义可以看出,信任涉及对某种事件、情况的预测、期望和行为。信任是信任者对被信任者的一种态度,是对被信任者的一种预期,相信被信任者的行为能够符合自己的愿望。按照有无第三方可信机构参与,信任可划分为直接信任和第三方的推荐信任。6信任模式直接信任是最简单的信任形式。两个实体之间无须第三方介绍而直接建立起来的信任关系称为

4、直接信任。AliceBob直接信任7信任模式第三方信任(推荐信任)是指两个实体以前没有建立起信任关系,但双方与共同的第三方有信任关系,第三方为两者的可信任性进行了担保,由此建立起来的信任关系。信任信任第三方AliceBob第三方信任8信任模式在PKI中,第三方的认证代理就是称谓的“认证中心”(CA)。一个认证中心是一个可信任的实体,通常是国家认定的权威机构。CA的核心职责就是审查认证某实体的身份,证明该实体是不是他所声称的实体,然后由CA发放给实体数字证书,作为CA信任他的一种证明通过第三方信任,任何信任第三方的人便可以信任拥有有效证书

5、的实体。9信任模式证书将用户公钥和名字等其他信息绑定起来,CA使用它的签名私钥对证书信息进行数字签名。CA机构的数字签名使得攻击者不能伪造和篡改证书,CA不能否认它签名的证书(抗抵赖性)。用户公钥和名字CA签名10信任模式如果两个CA交换密钥信息,这样每个CA都可以有效地验证另一方CA密钥的可信任性,我们称这样的过程为交叉认证。交叉认证是第三方信任的扩展。第三方信任信任信任信任CAAliceBob信任信任CABillAnne11PKI的构成PKI包括:认证中心(认证权威),注册权威,证书库、档案库、PKI的用户认证中心(CA)和公证人类

6、似。认证中心CA是PKI一个基本的组成部分,是提供PKI安全服务的中心。CA有两个知名的属性:CA的名字和CA的公钥。CA执行4个基本的PKI功能:签发证书(例如:创建和签名);维持证书状态信息和签发CRL;发布它的当前(例如:期限未满)证书和CRL,因此用户可以获得他们需要实现安全服务的信息;维持有关到期证书的状态信息档案。12PKI的构成注册权威(RA)是一个可以被CA信任的实体,它能够为用户注册提供担保。RA被设计用来为CA验证证书内容的。证书内容可以反映出实体需要在证书中反映的内容,这些内容可以是五花八门的。例如:Alice的证

7、书可以反映他具有一定的借贷能力,Bob的证书可以反映他是具有某种特权的官员。RA验证证书申请者与要在证书中反映的内容是否相符,然后把这些信息提供给CA,由CA签发证书13PKI的构成证书库是CA系统中活动的数字证书的数据库。证书库的主要任务是为收到数字签名消息的个人和商务提供可证实数字证书状态的数据。PKI应用在很大程度上依赖于发布证书和证书状态信息的目录服务。目录提供了一种证书分发、存储、管理、更新的方法。目录服务是X.500标准或者该标准子集的典型实现。14PKI的构成档案库是一个被用来解决将来争执的信息库,为CA承担长期存储文档信

8、息的责任。档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。15PKI的构成PKI用户是使用PKI的组织或者个人,但是他们不发布证书。PKI的用户一般来源于2种:证书持有者和证

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。