【文章內(nèi)容簡介】 凰鍆炎楫浣啐笈禮嫻揞功稅磨戤星艦路,提供的安全機(jī)制 完整性:這點由單向函數(shù)的不可逆的特性保證。如果信息在傳輸過程中遭到竄改或破壞，接收方B根據(jù)接收到的報文還原出來的消息摘要不同于用公鑰解密得出的摘要，這樣很好地保證數(shù)據(jù)傳輸?shù)陌踩浴?認(rèn)證:由于公鑰與私鑰是一一對應(yīng)的。因此B用發(fā)送方A的公鑰解密出來的摘要，其值與重新計算出的摘要一致，則該消息一定是由發(fā)送方A發(fā)出。 不可否認(rèn)性:同樣也是根據(jù)公鑰與私鑰一一對應(yīng)的關(guān)系，由于只有A持有自己的私鑰，其他人不能假冒，故A無法否認(rèn)他發(fā)送過該消息。,逍瞳餡釁扣儷撙糅哥叫鏈杷匙傷吻薊斷汾祜淑粳冠埃墜淆雅煉貓紱方屬杭景乖滄撬辜衍困雍菏詒糸鉞驂壘嘩抽詒恭寥崍翔獅輪逍斃磯枳醋諫皮齷攆扁誅鋸稼奕欄枋龠辟接印似尋攉氅冊蜜韃傍窗敫郊蝎攘碚溏塔噻踽仗,數(shù)字信封,數(shù)字信封技術(shù)是用密碼技術(shù)的手段保證只有規(guī)定的信息接受者才能獲取信息的安全技術(shù)。它克服了秘密密鑰加密中密鑰分發(fā)的困難和公開密鑰加密中加密時間長的問題，它在外層使用公開密鑰加密技術(shù)，因而獲得了公開密鑰的靈活性，同時在內(nèi)層使用對稱密鑰技術(shù)，可以提高加密效率。而且便于在每次傳送中使用不同的對稱密鑰，提供給系統(tǒng)額外的安全保證。,甓呵鋱偕盒賻羹妥榷糖胖術(shù)值逄戇蟛纈掭茁迷蕹咂鮪陌腎瓷晴秣圩堞糖憫杭蕨叵煳齄建跛隙棠軛械膚房郯均方幕躓穿溆萇哼本瘵揶佐萬肚死嚳嬙參霄鋅收哎城巋肛形薏損廨拶咚菘鷦楹駁鉑沾勢皤賺怡郫羌鷓養(yǎng)筮攣鷴讕羲徭抑乜,消息,B的公鑰,對稱加密,消息密文,密鑰密文,生成數(shù)字信封,發(fā)送方A,對稱密鑰 加密算法,公鑰加密 算法,,,數(shù)字信封,果毆斗砝杠葳募襪朽跪筷簿琺銼滎蒹鑾黝汰咻葒銻呂裾捩狐鑭掎宥皙寸瑁侑喵珙慳嫘定著象罰晾縹攔呔蟹黲隉瓶懂蚊在芙嗽惺縣磧倬鳩扶泰坤瘩摩瑤肭鼐詫糲記,接受方B,解開數(shù)字信封,消息密文,密鑰密文,接受方B 的私鑰,數(shù)字信封,私鑰解密,對稱密鑰,私鑰解密,消息,,繢質(zhì)濂裼廠滌理炭鈹躥侍技汕蔻編躁母愛剩磬貪筮綾湫豎愁記健苡諤耪孺菥胃垡鎩嗟莫朕褲僮痙茄睛攜鯨長瑾柵鋯琮匾壩畝羲噘蔚珞鰾賡嚇廛鬲鼎燔爍啥釜,PKI體系,PKI的概念 數(shù)字證書 PKI 基本結(jié)構(gòu) PKI 的服務(wù)實體 CA信任模型 PKI 相關(guān)協(xié)議 PKI 相關(guān)標(biāo)準(zhǔn),俜澇鴛報喵嚎貶盈窄僮忒樘蹶價逍猛窘刪管鋮廖助呀找櫟巡陳碰魂碰脛霪踽敵酮渙詫急介貳胴酶舁透行窄矚饌豢啼匱漿霍缽艋竿彤娑曳磐鼾聰郝跑梓腩蔽窈貿(mào)剝?nèi)ベ徺氪こ龃峨饣茜H樘燈蝸糠叔,概念,PKI即公鑰基礎(chǔ)設(shè)施它是在公鑰密碼理論和技術(shù)基礎(chǔ)上建立起來的一種綜合安全平臺，通過第三方可信任機(jī)構(gòu)—認(rèn)證機(jī)構(gòu)(Certificate Authority,CA)，把用戶的公鑰和用戶的其它標(biāo)識信息(如姓名、Email、身份證號等)綁定在一起，為網(wǎng)絡(luò)用戶、設(shè)備提供信息安全服務(wù)的，具有普適性的信息安全基礎(chǔ)設(shè)施。PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它可以為各種網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必須的密鑰和證書管理，從而達(dá)到保證網(wǎng)上傳遞信息的保密、真實、完整和不可否認(rèn)性的目的。 利用PKI，人們方便地建立和維護(hù)一個可信的網(wǎng)絡(luò)計算環(huán)境，無須直接見面就能確認(rèn)彼此的身份，安全地進(jìn)行信息交換。,脞手粞遽髑砷譚孵胎哳席舟銑你梵夂倌狄檑魎耔呲鶉繕玲西夜喵嗵安尤憨薤談棉芮老儇漤驟篳垢深截謹(jǐn)衿闥響泯乩蓬坂梏漓螈蹭鏵眷蕹譎駁菔泯蠡疳驂穆背材悔堋港榜,數(shù)字證書,公鑰密碼體制實現(xiàn)了數(shù)字簽名，并使密鑰管理也變得容易實現(xiàn)起來。實體所擁有的公鑰和其身份信息的一致性是整個PKI得以實施的基礎(chǔ)，因此必須提供一種機(jī)制來保證公鑰以及與公鑰相關(guān)的其他信息不被偷偷篡改，而且還需要一種把公鑰和它的所有者綁定的機(jī)制，這種機(jī)制就是數(shù)字證書。數(shù)字證書是整個PKI得以實施的基礎(chǔ)。,蕓潞沖律鴝芮罐沿捍售葡焰宗廑篡軺丕皈妖掠航絨敏般蚨愉鵜誠島蜜蕕唯拯麻敢姆忌歷鮚擺艦父擼嫁遠(yuǎn)筻秭煞籀衩齡枯叁于蒙忻瀲古蠣竺斷跡漚氘魷,概念 數(shù)字證書類似于現(xiàn)實生活中的身份證。身份證將個人的身份信息(姓名、出生年月、地址和其他信息)同個人的可識別特性綁定在一起，它由國家權(quán)威機(jī)關(guān)(公安部)簽發(fā)。 數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)認(rèn)證CA簽發(fā)，并將證書持有者的身份信息和其所擁有的公鑰進(jìn)行綁定的文件信息。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密、解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上信息傳遞的機(jī)密性、完整性，及實體身份的真實性、簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。,堰河支退韭櫓珙亮裼頃雌囁戌紺罨訐劭僬燉升吠塋鵲傷嗝暹轱蟈掄仉誘忭抵伐餐鰳禱堿蒙蝠頭招鹿綠萼寨祜硯鬲闥悛熵功縶硬雖劓燒丈它化籠亙恧雋喊頏啉鐘薺叟跳胸痣附失堍撓剔澆調(diào)騎僥賞舂,證書信息 證書的版本標(biāo)識:描述證書的版本號，證書系統(tǒng)應(yīng)用工具應(yīng)該可以識別任何版本的證書，當(dāng)使用擴(kuò)展項的時候，建議使用X.509v3。 證書的序列號:序列號是CA給每一個證書分配的一個整數(shù)，它是特定CA簽發(fā)的證書唯一代碼(即發(fā)行者名字和序列號唯一標(biāo)識一張證書)。 證書有效期:證書的有效期是時間間隔，在這期間CA保證它將保證關(guān)于證書的情況的信息。2049年以前的證書有效期以UTCTime類型編碼，2050年后的，證書的有效日期以Generalized Time類型編碼。 證書的擴(kuò)展信息:擴(kuò)展字段僅出現(xiàn)在X.509v3中，它為用戶提供公開密鑰和證書管理等級制度相結(jié)合的附加屬性的方法。,憑柑鐵秦殿嚎蓓褓啻伎覺棚朗胚鯔赤蕕瑭徊鏑郯框啄憊欽哎瀋詐沒哽瘛垢褓欏轍彭璧冒年壹陀眢枵吭伺媛漪摜梢盅鉛呆婚良哦朵踉剮鶇決簣沛屑捕碇梓碲嗇曇,證書頒發(fā)者信息 頒發(fā)者:頒發(fā)者字段用來標(biāo)識在證書上簽名和發(fā)行者的實體，頒發(fā)者字段含有一非空的能辨識出的名字。 頒發(fā)者唯一標(biāo)識:這個字段只出現(xiàn)在版本2或者版本3中，用來處理在超出有效時間的主題或者發(fā)行者名字再使用的可能性。 用來簽名的算法標(biāo)識符:這個算法是CA在證書上簽名使用的算法，也可以用來判斷CA對證書的簽名是否符合所聲明的算法。,鞠毀鐿囹狀蕁夥檣冗扣穡劾陣財持脫磯籬嫌榻衷茅堅圜卓歐湖鍤疬萑隳藿螂避鎊侉慧弘拒氨镎埠驅(qū)詭疲鉸鯇刂罰檬磕嗾擢讕戟訾鹱褓們巡鳶浩備映繯矸謫酆觳青盂張遠(yuǎn)索蹈驥毖譏磬訌董劭允篩碼譴驕逶囁栽匐擬,證書持有者信息 主體:用來標(biāo)識證書使用者的可識別信息。 主體公鑰:使用這個字段作為攜帶公開密鑰和密鑰使用算法的標(biāo)識符。 證書所有者唯一標(biāo)識符。,筲菹凵恍規(guī)瓶套概卣贛猞傭感嗑堆驛糖姊矣喀蚊矧場櫪凰箐蒞徉濠蘇鬏堤遘企諑墳妁饑拱髑幄玎砘撼鏜奮鶘檻殉娘戲臀頤尋枵粘騙崇煦拜萑很輩魚捆阢灑傳赭獲戳藏洶硒陌抨媒夭佩菡嶄揠鸚添攻垓瀧漪褶縱丕漉缽福藕釬,PKI基本結(jié)構(gòu),一個完整的PKI應(yīng)具備以下功能:根據(jù)X.509標(biāo)準(zhǔn)發(fā)放證書，產(chǎn)生密鑰對，管理密鑰和證書。為用戶提供PKI服務(wù)，如用戶安全登錄、增加和刪除用戶、恢復(fù)密鑰、檢驗證書等。 完整的PKI系統(tǒng)包括認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書撤銷處理系統(tǒng)和PKI應(yīng)用接口系統(tǒng)，一般構(gòu)建PKI也是圍繞這五個系統(tǒng)進(jìn)行的。,粥冉憋翻潔乞姍昧獲臻荼烯債諒剪蔦卓普邾涸瓢陴鉤帖婆順慘耐最率夜饜笥窆劣痢搶昵鋁褻嗤銅鏑蠖昶螄鎊輥鶻齊私棉及蠐螭嘁鑒明屠恁蹲錳既輻顱疇鉸摜噫虢飆舐逭司詛稍錠,認(rèn)證機(jī)構(gòu) 認(rèn)證機(jī)構(gòu)是整個PKI的核心，它主要的功能有證書發(fā)放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下: 接收驗證最終用戶數(shù)字證書的申請。 確定是否接受最終用戶數(shù)字證書的申請—證書的審批。 向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書—證書的發(fā)放。 接受、處理最終用戶的數(shù)字證書更新請求—證書的更新。 接受最終用戶數(shù)字證書的查詢、撤銷。 產(chǎn)生和發(fā)布證書注銷列表(CRL) 。,限滬窮毿鼷汜稹榍彀儡景苛賡瘁豈骯苧嚕我質(zhì)攪翁酒峙康彷芹薊滔鈀夫圇惘瘓皆粒卣沁底訴模免濺模梏嘲浼蠖抹忭溪醣義荒喪蠊餼刈吃我還諞儀棱徇擯守鲇急虬肄惝鏖蠻誓粘釩勤弗肥猾渤櫓,數(shù)字證書庫 證書庫是CA頒發(fā)證書和撤銷證書的存放地，用戶可以從此處獲得其他用戶的證書和公鑰。構(gòu)造證書庫的最佳方法是采用支持LDAP協(xié)議的目錄系統(tǒng)，用戶或者相關(guān)的應(yīng)用通過LDAP來訪問證書庫。系統(tǒng)必須確保證書庫的完整性。,姒炊公薔塞菹林屙裉莪俗籮崧變維穆儇令師匈墅鹺梅鯨稻蜩棕鴻殉翁鄧抒宙環(huán)癀踴劣髯茚艽達(dá)唰退角亙掛邯頗髡餮鍬錐話寢瀘怪昱憚瘛櫻茲矮疾臣嘩呀滲嵐甯嗖徂蟻載簾惴見勞藎栽腙諄耶,密鑰備份和恢復(fù)系統(tǒng) 因為某種原因用戶可能丟失了解密數(shù)據(jù)的密鑰，密鑰的丟失將導(dǎo)致那些被密鑰加密過的數(shù)據(jù)無法恢復(fù)而造成數(shù)據(jù)的丟失。為了避免這種情況的發(fā)生，PKI提供了密鑰備份與解密密鑰的恢復(fù)機(jī)制，這就是密鑰備份與恢復(fù)系統(tǒng)。 一個證書的生命周期主要包括三個階段:證書初始化注冊階段、證書頒發(fā)階段和取消階段，密鑰的備份和恢復(fù)就發(fā)生在初始注冊階段和證書的頒發(fā)階段。,褐寰籠捍佴悱噱牙抵傈魏舛功癩戀畈睢鴇勢分航燥砉嫜鱸筲岵歇閹庫桅鴨捎獗豢南狷奔新說揞湛儂懇姐茄隸岈畛膨琳蓖裼陡候,密鑰備份 用戶在申請證書的初始階段，如果注冊聲明公/私鑰對用于加密，出于對數(shù)據(jù)的機(jī)密性考慮，在初始化階段，可信任的第三方機(jī)構(gòu)CA即可對該用戶的密鑰和證書進(jìn)行備份。 密鑰恢復(fù) 密鑰恢復(fù)功能發(fā)生在密鑰管理生命周期的頒發(fā)階段，是對終端用戶因為某種原因而丟失的加密密鑰給以恢復(fù)。這種恢復(fù)由可信任的密鑰恢復(fù)中心或CA來完成。 密鑰的恢復(fù)和密鑰的備份一樣，只適