计算机系统安全 第七章 公开密钥设施PKI Public key infrastructure
1 第七章 公开密钥设施PKI Public key infrastructure 计算机系统安全
第七章公开密钥设施PKI 需要解决的问题 网络安全的要求 数据传输的机密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性 安全解决方案 建立安全证书体系结构。提供在网上验证身份的方式 主要采用了公开密钥体制,其它还包括对称密钥加密 数字签名、数字信封等技术
2 一、需要解决的问题 网络安全的要求: 数据传输的机密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性 安全解决方案: 建立安全证书体系结构。提供在网上验证身份的方式。 主要采用了公开密钥体制,其它还包括对称密钥加密、 数字签名、数字信封等技术。 第七章 公开密钥设施PKI
我们为什么需要PKI 密码协议和密码算法解决了应用安全中的 些关键问题 如何实现它们,并使它们能够真正应用起来? 如何将公钥颁发给个体? 个体的私钥存储在哪里? 到哪里去获得其它个体的公钥? 如何确定他人的公钥是否有效、合法?
3 我们为什么需要PKI 密码协议和密码算法解决了应用安全中的一 些关键问题 如何实现它们,并使它们能够真正应用起来? 如何将公钥颁发给个体? 个体的私钥存储在哪里? 到哪里去获得其它个体的公钥? 如何确定他人的公钥是否有效、合法?
什么是PKI PKI (Public-key infrastructure) 提供了解决这些问题的基础和框架 ⅹ.509定义PKI为:创建、管理、存储、发 布和撤消基于公钥密码系统的数字证书所 需要的硬件、软件、人和过程的集合
4 什么是PKI ◼ PKI(Public-key infrastructure) ◼ 提供了解决这些问题的基础和框架 ◼ X.509定义PKI为:创建、管理、存储、发 布和撤消基于公钥密码系统的数字证书所 需要的硬件、软件、人和过程的集合
PKI ■基于非对称密钥系统的一套安全体系 ■基于数字证书的身份验证 ■基于对称密钥的数据保护
5 PKI ◼ 基于非对称密钥系统的一套安全体系 ◼ 基于数字证书的身份验证 ◼ 基于对称密钥的数据保护
PKI ■该体系建立在统一的安全认证和规范基础 ■PK从技术上解决网上身份认证、信息完整 性、抗抵赖等安全问题。 为网络应用提供保证
6 PKI ◼ 该体系建立在统一的安全认证和规范基础 上。 ◼ PKI从技术上解决网上身份认证、信息完整 性、抗抵赖等安全问题。 ◼ 为网络应用提供保证
PK的应用 ■PKI提供一个安全的框架,使得PKI的应用 可以获得最终的利益。 ■例子: 在WEB服务器和浏览器之间的通信 电子邮件 电子数据内部交换 在 Internet上的信用卡交易 虚拟专用网VPN
7 PKI的应用 ◼ PKI提供一个安全的框架,使得PKI的应用 可以获得最终的利益。 ◼ 例子: ◼ 在WEB服务器和浏览器之间的通信 ◼ 电子邮件 ◼ 电子数据内部交换 ◼ 在Internet上的信用卡交易 ◼ 虚拟专用网VPN
PK的构成 ■认证中心(CA):负责签发、管理和作废 证书等操作 注册中心(RA):建立证书持有者和证书 之间的联系。 证书库 ■密钥备份及恢复系统 ■证书作废处理系统 ■PK应用接口系统
8 PKI的构成 ◼ 认证中心(CA):负责签发、管理和作废 证书等操作 ◼ 注册中心(RA):建立证书持有者和证书 之间的联系。 ◼ 证书库 ◼ 密钥备份及恢复系统 ◼ 证书作废处理系统 ◼ PKI应用接口系统
PK的基本功能 用户注册 ■证书申请 ■密钥产生 密钥更新 ■密钥备份 ■密钥恢复 证书作废 证书归档
9 PKI的基本功能 ◼ 用户注册 ◼ 证书申请 ◼ 密钥产生 ◼ 密钥更新 ◼ 密钥备份 ◼ 密钥恢复 ◼ 证书作废 ◼ 证书归档
第七章公开密钥设施PKI 信任及信任模式 1、什么是信任 信任:实体A认定实体B将严格地按A所期望 的那样行动,则A信任B。(ITU-T推荐标准 X.509的定y) 称A是信任者,B是被信任者。信任涉及对某 种事件、情况的预测、期望和行为。信任是信 任者对被信任者的一种态度,是对被信任者的 一种预期,相信被信任者的行为能够符合自己 的愿望
10 1、什么是信任 信任:实体A认定实体B将严格地按A所期望 的那样行动,则A 信任B。(ITU-T推荐标准 X.509的定义) 称A是信任者,B是被信任者。信任涉及对某 种事件、情况的预测、期望和行为。信任是信 任者对被信任者的一种态度,是对被信任者的 一种预期,相信被信任者的行为能够符合自己 的愿望。 第七章 公开密钥设施PKI 二、信任及信任模式
