【正文】 保證業(yè)務數(shù)據(jù)的保密性 167。 ② A 和 B 雙方都可以根據(jù)密鑰導出參數(shù) F 和它們之間的共享密鑰 KAB，計算出導出密鑰 K ： K = f ( KAB, F ) 31 可鑒別的密鑰導出 K=f(KAB , RB) 32 樹狀的密鑰導出 34 2 第四章密鑰管理與 PKI技術 7 1. 密鑰管理概述 2. 基本概念 3. 密鑰建立模型 4. 公鑰傳輸機制 5. 密鑰傳輸機制 6. 密鑰導出機制 7. PKI技術 35 如何保證網(wǎng)絡上的通訊安全？ ? 使用 LAN/Inter . . . – 發(fā)送郵件 – 分發(fā)軟件 – 發(fā)送敏感的或私有的數(shù)據(jù) – 進行應用系統(tǒng)訪問 ? 但人們擔心的是 . . . – 如何確認某人的身份 ? – 如何知道我連接的是一個可信的站點 ? – 怎樣才能保證我的通訊安全 ? – 怎樣確定電子信息是否被篡改 ? – 如何證明某人確實給我發(fā)過電子郵件 ? 36 常用的安全防護手段 ? 基于口令驗證 ? 防火墻 ? 入侵檢測 ? 漏洞掃描 ? 安全審計 ? 防病毒 37 安全體系解決方案 網(wǎng)絡安全 解決方案 加密算法： 對稱加密 非對稱加密 數(shù)字證書 Certification Authorities PKI 證書鏈 38 如何解決電子通訊中的安全要素 密碼技術 （加密 解密） ? 對稱加密 – 共享 密鑰 ? 非對稱加密 – 公共 /私有 密鑰對 密碼技術的特殊應用： ? 數(shù)字簽名 ? 數(shù)字證書 Digital Certificate 39 對稱加密算法 在兩個通訊者之間需要一把共享的密鑰 To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones * *ql3*UY ~00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23k^wbvlqkwcyw83 zqw_89237xGyjdc Biskdue di794 加密 對稱加密 算法 To: The Bank From: Tom Jones Date: 31 Dec 99 Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones * *ql3*UY ~00873/JDI c4(DH: IWB(883 LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe. (*Y23k^wbvlqkwcyw83 zqw_89237xGyjdc Biskdue di794 對稱加密 算法 解密 40 非對稱加密算法 沒有共享的密鑰。處于密鑰層次結(jié)構的底層，用于 加密用戶的數(shù)據(jù) ，以使數(shù)據(jù)能夠安全地傳輸。 用戶名 +口令的安全隱患 63 破解技術 ? 窮舉法（蠻力猜測） ? 利用技術和管理漏洞 ? 字典法破譯 ? 通過網(wǎng)絡監(jiān)聽非法得到用戶口令 ? 采用缺省口令直接猜測 口令的破解技術 64 用戶名 /口令 動態(tài)口令 生物特征 數(shù)字證書 （非對稱密鑰） 安全性 低 較高 高 高 雙向認證 單向 單向 單向 雙向 確保信息的保密性、完整性和不可否認性 不能 不能 不能 能 成本 低 較高 最高 高 幾種認證方式的比較 65 RA CA End Entity 證書申請 20 證書過期 密鑰備份 與恢復 證書生命周期 證書吊銷 證書發(fā)布 Directory Services 證書生成 66 21 證書等級 第一級 第二級 第三級 明確 “處理 ”，電子郵件地址 經(jīng)本地資料庫驗證 真實姓名、真實地址、所在地、電子郵件地址 經(jīng)過 “可信任的 ”資料庫驗證 真實姓名、真實地址、所在地、電子郵件地址 經(jīng)過 “可信任的 ”資料庫驗證 經(jīng)當面驗證、有公證書 67 22 數(shù)字證書的類型 單位身份證書 個人身份證書 服務器證書 郵件證書 代碼簽名證書 68 23 CA系統(tǒng)框架 69 24 CA系統(tǒng)框架 (Cont.) 面向普通用戶 提供證書申請、瀏覽、 CRL和證書下載等服務 通信采取安全信道方式(如 SSL方式，不需要認證用戶身份 ) 加密傳輸保證證書申 請和傳輸過程中的信息 安全性 （使用業(yè)務受理服務器證書中提供的公鑰） 70 25 CA系統(tǒng)框架 (Cont.) 整個認證中心 CA的核心， 負責證書的簽發(fā) CA自身 操作員、安全服務器、 業(yè)務受理服務器 用戶 安全 —— 需與其他服務器隔離 71 26 CA系統(tǒng)框架 (Cont.) 承上啟下，隔離模塊 向 CA證書服務器轉(zhuǎn)發(fā) 申請 向數(shù)據(jù)庫和 LDAP目錄 服務器