信息安全与管理 第六章 公开密钥设施PKI
1 第六章 公开密钥设施PKI 信息安全与管理
第六章公开密钥设施PKI 6.1需要解决的问题 网络安全的要求 数据传输的机密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性 安全解决方案: 建立安全证书体系结构。提供在网上验证身份的方式。 主要采用了公开密钥体制,其它还包括对称密钥加密、 数字签名、数字信封等技术
2 6.1需要解决的问题 网络安全的要求: 数据传输的机密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性 安全解决方案: 建立安全证书体系结构。提供在网上验证身份的方式。 主要采用了公开密钥体制,其它还包括对称密钥加密、 数字签名、数字信封等技术。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI 62信任及信任模式 1、什么是信任 信任:实体A认定实体B将严格地按A所期望的 那样行动,则A信任B。(ITU-T推荐标准 X.509的定义) 称A是信任者,B是被信任者。信任涉及对某 种事件、情况的预测、期望和行为。信任是信 任者对被信任者的一种态度,是对被信任者的 种预期,相信被信任者的行为能够符合自己 的愿望
3 1、什么是信任 信任:实体A认定实体B将严格地按A所期望的 那样行动,则A信任B。(ITU-T推荐标准 X.509的定义) 称A是信任者,B是被信任者。信任涉及对某 种事件、情况的预测、期望和行为。信任是信 任者对被信任者的一种态度,是对被信任者的 一种预期,相信被信任者的行为能够符合自己 的愿望。 第六章 公开密钥设施PKI 6.2 信任及信任模式
信任涉及假设、期望和行为,这意味着信任 是不可能被定量测量的,信任是与风险相联 系的并且信任的建立不可能总是全自动的。 在PKI中,我们可以把这个定义具体化为: 如果一个用户假定CA可以把任一公钥绑定 到某个实体上,则他信任该CA
4 信任涉及假设、期望和行为,这意味着信任 是不可能被定量测量的,信任是与风险相联 系的并且信任的建立不可能总是全自动的。 在PKI中,我们可以把这个定义具体化为: 如果一个用户假定CA可以把任一公钥绑定 到某个实体上,则他信任该CA
第六章公开密钥设施PKI 信任具有不同的类别。按照涉及到的事件、情 况的分类,信任可以表现为三种期待:对自然 与社会的秩序性,对合作伙伴承担的义务,对 某角色的技术能力。例如在电子商务中,交易 者信任交易系统对每个用户是公平的、对用户 的私有信息是严加保密的、交易系统是稳定的 并且能够完成交易的全过程而且保证交易的正 确性等等。 信任具有时间差。信任者的期待在前,被信任 者的行为在后,信任者与被信任者之间存在着 时间上的某种不对称性
5 信任具有不同的类别。按照涉及到的事件、情 况的分类,信任可以表现为三种期待:对自然 与社会的秩序性,对合作伙伴承担的义务,对 某角色的技术能力。例如在电子商务中,交易 者信任交易系统对每个用户是公平的、对用户 的私有信息是严加保密的、交易系统是稳定的 并且能够完成交易的全过程而且保证交易的正 确性等等。 信任具有时间差。信任者的期待在前,被信任 者的行为在后,信任者与被信任者之间存在着 时间上的某种不对称性。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI 信任者与被信任者建立信任关系分为四个阶段: 1)信任者对被信任者的行为进行信任评价,得 到预测结果; 2)依据预测结果及其他参考因素,进行综合决 策,决定被信任者的行为是否发生 3)若被信任者的行为发生,将产生实际结果; 4)对被信任者的行为结果进行信任评价,即比 较预测结果与实际结果,根据信任评价修正信 任关系
6 信任者与被信任者建立信任关系分为四个阶段: 1)信任者对被信任者的行为进行信任评价,得 到预测结果; 2)依据预测结果及其他参考因素,进行综合决 策,决定被信任者的行为是否发生; 3)若被信任者的行为发生,将产生实际结果; 4)对被信任者的行为结果进行信任评价,即比 较预测结果与实际结果,根据信任评价修正信 任关系。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI 2、直接信任与推荐信任 按照有无第三方可信机构参与,信任可划分为 直接信任和第三方的推荐信任。 1)第三方信任 第三方信任是指两个实体以前没有建立起信任 关系,但双方与共同的第三方有信任关系,第 方为两者的可信任性进行了担保,由此建立 起来的信任关系。第三方信任的实质是第三方 的推荐信任,是目前网络安全中普遍采用的 任模式
7 2、直接信任与推荐信任 按照有无第三方可信机构参与,信任可划分为 直接信任和第三方的推荐信任。 1)第三方信任 第三方信任是指两个实体以前没有建立起信任 关系,但双方与共同的第三方有信任关系,第 三方为两者的可信任性进行了担保,由此建立 起来的信任关系。第三方信任的实质是第三方 的推荐信任,是目前网络安全中普遍采用的信 任模式。 第六章 公开密钥设施PKI
第六章公开密钥设施PKI 第三方信任 第三方 信任 信任 信任 第三方信任 Alice Bob
8 第三方信任 第六章 公开密钥设施PKI 信任 信任 信任 第三方 Alice Bob 第三方信任
第六章公开密钥设施PKI 扩展的第三方信任模型(交叉认证) CA CA K 第三方 Alice Bob信任Bil1 Anne CA域X CA域Y 交叉认证:如果两个CA交换密钥信息,每个CA可以有效地验证 另一方CA密钥的可信任性,这样的过程成为交叉认证 即:一个CA的用户信任其他所有自己CA交叉认证的CA用户
9 扩展的第三方信任模型(交叉认证) 第六章 公开密钥设施PKI 信 任 CA Alice CA Bob Bill Anne CA域X CA域Y 第 三 方 信任 交叉认证:如果两个CA交换密钥信息,每个CA可以有效地验证 另一方CA密钥的可信任性,这样的过程成为交叉认证。 即:一个CA的用户信任其他所有自己CA交叉认证的CA 用户
第六章公开密钥设施PKI 2)直接信任 直接信任是最简单的信任形式。两个实体间无 须第三方介绍而直接建立信任关系。 在Web浏览器中,用户直接信任根CA密钥,因 为密钥是由制造商直接提供的;在PGP中,用 户自己验证密钥,从不设置其他可信介绍人, 这就是直接信任;当两个从不同的CA来的实体 要进行安全通信,而这两个CA之间不能交叉认 证时,这时也需要直接信任,在此基础上直接 交换密钥,建立起信任关系。如果没有直接信 任,交换密钥就没有价值的
10 2)直接信任 直接信任是最简单的信任形式。两个实体间无 须第三方介绍而直接建立信任关系。 在Web浏览器中,用户直接信任根CA密钥,因 为密钥是由制造商直接提供的;在PGP中,用 户自己验证密钥,从不设置其他可信介绍人, 这就是直接信任;当两个从不同的CA来的实体 要进行安全通信,而这两个CA之间不能交叉认 证时,这时也需要直接信任,在此基础上直接 交换密钥,建立起信任关系。如果没有直接信 任,交换密钥就没有价值的。 第六章 公开密钥设施PKI