欢迎来到天天文库
浏览记录
ID:39366175
大小:1.02 MB
页数:66页
时间:2019-07-01
《《windows系统安全》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、七章:公钥基础结构PKIPKI的功能PKI的组件数字证书PKI的发展现状windows2000支持的PKI的特性PKI(PublicKeyInfrastructure)是一系列基于公钥密码学之上,用来创建,管理,存储,分布和作废证书的软件,硬件集合。PKI的由来在数字话的社会中,实体间建立信任管理的关键是能彼此确定对方的身份。问题:Alice如何能够确认从网络上获取的Bob的公钥为真?公钥加密通信存在的问题中间人攻击AliceBobMalloryKaKmEKm(K,Bob)EKa(K,Bob)攻击的成功本
2、质上在于Bob收到的Alice的公开密钥可能是攻击者假冒的,即无法确定获取的公开密钥的真实身份,从而无法保证信息传输的保密性、不可否认性、数据交换的完整性。为了解决这些安全问题,采用公钥基础设施PKI。PKI的核心是CA(CertificateAuthority)。CA是受一个或多个用户信任,提供用户身份验证的第三方机构,承担公钥体系中公钥的合法性检验的责任。PKI正成为安全体系结构的核心部分,有了它,许多标准的安全应用成为可能。例如:(1)安全电子邮件。(2)安全Web访问与服务。(3)虚拟专用网(VP
3、N)。(4)安全路由器。(5)登录用户认证系统。(6)安全传输层协议SSL、TLS。(7)安全电子交易协议SET。(8)安全目录访问协议与服务。7.1、PKI(公钥基础结构)的功能PKI能为网络用户建立安全通信信任机制。按照有无第三方可信机构参与,信任可划分为直接信任第三方的推荐信任信任模式直接信任:两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。AliceBob直接信任信任模式第三方信任(推荐信任)是指两个实体以前没有建立起信任关系,但双方与共同的第三方有信任关系,第三方为两者的可信任性
4、进行了担保,由此建立起来的信任关系。信任信任第三方AliceBob第三方信任信任模式在PKI中,第三方的认证代理就是称谓的“认证中心”(CA)。一个认证中心是一个可信任的实体,通常是国家认定的权威机构。CA的核心职责就是审查认证某实体的身份,证明该实体是不是他所声称的实体,然后由CA发放给实体数字证书,作为CA信任他的一种证明通过第三方信任,任何信任第三方的人便可以信任拥有有效证书的实体。信任模式证书将用户公钥和名字等其他信息绑定起来,CA使用它的签名私钥对证书信息进行数字签名。CA机构的数字签名使得攻击
5、者不能伪造和篡改证书,CA不能否认它签名的证书(抗抵赖性)。用户公钥和名字CA签名信任模式如果两个CA交换密钥信息,这样每个CA都可以有效地验证另一方CA密钥的可信任性,我们称这样的过程为交叉认证。交叉认证是第三方信任的扩展。第三方信任信任信任信任CAAliceBob信任信任CABillAnnePKI的功能PKI的组件数字证书PKI的发展现状windows2000支持的PKI的特性7.2、PKI的组件PKI的组件:证书签发机构(CA)证书注册机构(RA)证书库档案库用户密钥备份及恢复系统证书废除处理系统应
6、用系统接口功能管理密钥PKI方便了颁发新密钥、检查或吊销现有密钥,以及管理不同颁发者发行的密钥的信任程度发行密钥PKI为客户端明确定义了定位和获得公钥、以及查看某公钥是否有效的途径。如果不能获得公钥和知道它的有效性,用户就不能利用公钥服务。使用密钥PKI为用户提供了便于使用密钥的途径,它不仅将密钥至于用户需要的地方,而且还提供了执行公钥加密的便于使用的应用程序,使之能保障电子邮件、电子商务和网络的安全。组件1:证书注册机构(RA)RA(RegistrationAuthority)是CA面对用户的窗口,它负
7、责接收用户的证书申请,审核用户的身份RA也负责向用户发放证书组件2:证书颁发机构(CA)CA(CertificationAuthority)是PKI的核心,CA通过签发证书将一个主体与其公钥进行捆绑公证CA有两个知名的属性:CA的名字和CA的公钥。功能CA执行4个基本的PKI功能:签发证书(例如:创建和签名);维持证书状态信息和签发CRL;发布它的当前(例如:期限未满)证书和CRL,因此用户可以获得他们需要实现安全服务的信息;维持有关到期证书的状态信息档案CA类型企业根CA企业从属CA独立根CA独立从属C
8、A组件3:证书库证书库是证书的集中存放地,用户可以从此处获得其他用户的证书构造证书库可以采用X.500(目录标准),数据库等。组件4:档案库档案库是一个被用来解决将来争执的信息库,为CA承担长期存储文档信息的责任。档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。组件5:密钥备份及恢复系统如果用户的解密私钥丢失,则密文无法解密,造成数据丢失密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对
此文档下载收益归作者所有