Submit Search
Upload
PKI Introduction / 公钥基础设施介绍
•
0 likes
•
999 views
Z
Zac John
Follow
an introduction to Public Key Infrastucture language: Chinese
Read less
Read more
Technology
Report
Share
Report
Share
1 of 30
Download now
Download to read offline
Recommended
Cloud native
Cloud native
Ci Jie Li
[Crypto Course] Blockchain Security
[Crypto Course] Blockchain Security
WEI CHIEH CHAO
Ch6 ssh(2013 ncu-nos_nm)
Ch6 ssh(2013 ncu-nos_nm)
Kir Chou
Pki guide v1.0a_aka
Pki guide v1.0a_aka
WASecurity
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
微信之道201204
微信之道201204
shaomeng shi
重庆市信息安全技术中心
重庆市信息安全技术中心
shizhao
献给上班族和金融业的Ppt教程 @乌拉拉80
献给上班族和金融业的Ppt教程 @乌拉拉80
shebellw
Recommended
Cloud native
Cloud native
Ci Jie Li
[Crypto Course] Blockchain Security
[Crypto Course] Blockchain Security
WEI CHIEH CHAO
Ch6 ssh(2013 ncu-nos_nm)
Ch6 ssh(2013 ncu-nos_nm)
Kir Chou
Pki guide v1.0a_aka
Pki guide v1.0a_aka
WASecurity
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
微信之道201204
微信之道201204
shaomeng shi
重庆市信息安全技术中心
重庆市信息安全技术中心
shizhao
献给上班族和金融业的Ppt教程 @乌拉拉80
献给上班族和金融业的Ppt教程 @乌拉拉80
shebellw
電腦網路 網路安全
電腦網路 網路安全
bruce761207
網路安全
網路安全
bruce761207
網路安全
網路安全
bruce761207
Internet Security
Internet Security
bruce761207
加密技術
加密技術
Lee-Chien-Hang
漫谈编码解码和加密解密
漫谈编码解码和加密解密
Depeng Cong
Oracle数据库高级安全选件ASO介绍
Oracle数据库高级安全选件ASO介绍
jenkin
加密技術
加密技術
wang-zoi
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
区块链技术创新应用
区块链技术创新应用
Hardway Hou
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
云计算可信评估方法研究
云计算可信评估方法研究
iamafan
Apk explorer1
Apk explorer1
Xiaoping Feng
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
Hacks in Taiwan (HITCON)
網路安全防護
網路安全防護
Hsuan-Chih Wang
防火墙产品原理介绍20080407
防火墙产品原理介绍20080407
paulqi
金鑰管理 (PKI)
金鑰管理 (PKI)
Kenny (netman)
[若渴計畫2015.8.18] SMACK
[若渴計畫2015.8.18] SMACK
Aj MaChInE
20181120 NISRA - 密碼學沒有入門
20181120 NISRA - 密碼學沒有入門
Chao An Hsiao
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
ssuserdfa916
项目方案模板
项目方案模板
Zac John
安装包制作说明手册
安装包制作说明手册
Zac John
More Related Content
Similar to PKI Introduction / 公钥基础设施介绍
電腦網路 網路安全
電腦網路 網路安全
bruce761207
網路安全
網路安全
bruce761207
網路安全
網路安全
bruce761207
Internet Security
Internet Security
bruce761207
加密技術
加密技術
Lee-Chien-Hang
漫谈编码解码和加密解密
漫谈编码解码和加密解密
Depeng Cong
Oracle数据库高级安全选件ASO介绍
Oracle数据库高级安全选件ASO介绍
jenkin
加密技術
加密技術
wang-zoi
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
区块链技术创新应用
区块链技术创新应用
Hardway Hou
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
云计算可信评估方法研究
云计算可信评估方法研究
iamafan
Apk explorer1
Apk explorer1
Xiaoping Feng
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
Hacks in Taiwan (HITCON)
網路安全防護
網路安全防護
Hsuan-Chih Wang
防火墙产品原理介绍20080407
防火墙产品原理介绍20080407
paulqi
金鑰管理 (PKI)
金鑰管理 (PKI)
Kenny (netman)
[若渴計畫2015.8.18] SMACK
[若渴計畫2015.8.18] SMACK
Aj MaChInE
20181120 NISRA - 密碼學沒有入門
20181120 NISRA - 密碼學沒有入門
Chao An Hsiao
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
ssuserdfa916
Similar to PKI Introduction / 公钥基础设施介绍
(20)
電腦網路 網路安全
電腦網路 網路安全
網路安全
網路安全
網路安全
網路安全
Internet Security
Internet Security
加密技術
加密技術
漫谈编码解码和加密解密
漫谈编码解码和加密解密
Oracle数据库高级安全选件ASO介绍
Oracle数据库高级安全选件ASO介绍
加密技術
加密技術
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
区块链技术创新应用
区块链技术创新应用
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
云计算可信评估方法研究
云计算可信评估方法研究
Apk explorer1
Apk explorer1
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
網路安全防護
網路安全防護
防火墙产品原理介绍20080407
防火墙产品原理介绍20080407
金鑰管理 (PKI)
金鑰管理 (PKI)
[若渴計畫2015.8.18] SMACK
[若渴計畫2015.8.18] SMACK
20181120 NISRA - 密碼學沒有入門
20181120 NISRA - 密碼學沒有入門
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
More from Zac John
项目方案模板
项目方案模板
Zac John
安装包制作说明手册
安装包制作说明手册
Zac John
如何使用JCE和CAPICOM进行加密和签名
如何使用JCE和CAPICOM进行加密和签名
Zac John
网格技术及其在中国企业信息化中的应用(pdf)
网格技术及其在中国企业信息化中的应用(pdf)
Zac John
Grid Technology and Enterprise Grid / 网格技术及其在企业信息化中的应用
Grid Technology and Enterprise Grid / 网格技术及其在企业信息化中的应用
Zac John
Resume - CV - Shanghai
Resume - CV - Shanghai
Zac John
More from Zac John
(6)
项目方案模板
项目方案模板
安装包制作说明手册
安装包制作说明手册
如何使用JCE和CAPICOM进行加密和签名
如何使用JCE和CAPICOM进行加密和签名
网格技术及其在中国企业信息化中的应用(pdf)
网格技术及其在中国企业信息化中的应用(pdf)
Grid Technology and Enterprise Grid / 网格技术及其在企业信息化中的应用
Grid Technology and Enterprise Grid / 网格技术及其在企业信息化中的应用
Resume - CV - Shanghai
Resume - CV - Shanghai
PKI Introduction / 公钥基础设施介绍
1.
2.
内容索引 •
信息安全 • 密码学原理 • 公钥基础设施(PKI) • CA和数字证书
3.
信息安全的需求 •
信息在网络的传输过程中被截获 • 传输的文件可能被篡改 • 伪造电子邮件 • 假冒他人身份 • 不承认或抵赖网络上已经做过的事 这些问题是不是您最担心的问题呢?
4.
信息安全的范围 • 信息安全是一个复杂领域,涉及计算机科学、
网络通信、密码学、应用数学、数论、信息论 等多学科的综合学科。 • 信息安全又与系统的硬件、软件、网络、数据 等复杂系统有关。 • 信息安全要求确保信息在存储、处理和传输的 过程中的可靠性、可用性、保密性、完整性、 不可抵赖性和可控性。 • 信息安全是与信息、人、组织、网络、环境有 关的技术安全、结构安全和管理安全的总和。
5.
信息安全的技术特征 • 可靠性(Reliability) 指信息系统能够在规定条件下和规定的时间内完成规
定的功能的特性。 • 可用性(Availability) 指信息可被授权实体访问并按需求使用的特性,是系 统面向用户的安全性能。 • 保密性(Confidentiality) 指信息不被泄露给非授权的用户、实体或过程,或供 其利用的特性。
6.
信息安全的技术特征 • 完整性(Integrity) 指网络信息未经授权不能进行改变的特性,既信息在
存储或传输过程中保持不被偶然或蓄意地删除、修改、 伪造、乱序、重放、插入等破坏和丢失的特性。 • 不可抵赖性(Non-repudiation) 指在信息交互过程中,确信参与者的真实同一性,既 所有参与者都不可能否认或抵赖曾经完成的操作和承 诺的特性。 • 可控性(Controllability) 指对信息传播及内容具有控制能力的特性。
7.
密码学 • 密码学是信息安全的核心。 • 密码学(cryptology)作为数学的一个分支,
是研究信息系统安全保密的科学。 • 密码学包括如下两个分支 ▪ 密码编码学(cryptography) ▪ 密码分析学(cryptoanalytics)
8.
密码系统的定义 密码体制是一个五元组(M,C,K,E,D)满足条件 •
M是可能明文的有限集(明文空间) • C是可能密文的有限集(密文空间) • K是可能密钥的有限集(密钥空间) • 并有加密解密算法满足以下: ▪ 加密 E(M,K)=C ▪ 解密 D(C,K)=M ▪ 并且有D(E(M,K1),K2)=M • 所有算法的安全性都基于密钥的安全性,而不是基于 算法的细节的安全性。
9.
密码体制分类 密码体制分两大类: • 单钥体制(对称算法)K1=K2 ▪
流密码(Stream Cipher) 明文按位加密。 ▪ 对称密码(Symmetric Cipher) 明文按组(含多个字符)加密。 (也称为分组密码Block Cipher) • 双钥体制(非对称算法)K1≠K2 ▪ 加密 M=D(E(M,public-key),private-key) ▪ 认证 M=D(E(M,private-key),public-key)
10.
单钥体制/对称密钥加解密技术 • 对信息的加密和解密都使用相同的密钥。 • 过程说明
▪ 加密方:明文P用密钥k加密成密文C=E (P,k) ▪ 解密方:密文C用密钥k解密成明文P=D (P,k)=D (E (P,k) ,k) ▪ 传输:密文C通过普通信道传输;密钥k通过安全 信道传输(安全重心之所在)
11.
单钥体制示意图
12.
双钥体制/非对称密钥加解密技术 • 对信息的加密和解密都使用不同的密钥,公钥
用于加密,私钥用于解密。 • 过程说明 ▪ 加密:明文P用解密方的公钥k1加密成密文C=E (P,k1) ▪ 解密:密文C用解密方的私钥k2解密成明文P=D (C,k2)=D (E (P,k1) ,k2) ▪ 传输:密文C和公钥k1通过普通信道传输 ▪ 保存:私钥k2由解密方秘密保存(安全重心之所 在)
13.
双钥体制示意图
14.
数字信封/随机数加解密技术 • 非对称加密技术和对称加密技术的结合,对明文
用对称加解密,对此对称密钥用非对称加解密。 • 过程 ▪ 发送:发送方通过Rand()函数产生一个随机数作为密 钥k用解密方的公钥k1加密成密钥密文Ck=E (k,k1); 明文P用密钥k加密成密文C=E (P,k) ▪ 解密:解密方用解密方的私钥k2将密钥密文解密成密 钥k=Pk=D (Ck,k2)=D (E (k,k1) ,k2);密文C用密 钥k解密成明文P=D (C,k)=D (E (P,k) ,k) ▪ 传输:密文C和密钥密文Ck及解密方公钥k1通过普通 信道传输 ▪ 保存:私钥k2由解密方秘密保存(安全重心之所在)
15.
加解密技术比较 • 单钥体制 ▪
优点:处理速度快,高保密强度 ▪ 缺点:密钥管理繁杂 • 双钥体制 ▪ 优点:密钥分发管理简单,密钥安全风险较低 ▪ 缺点:密钥生成、加解密的计算代价高,处理慢 • 数字信封 ▪ 优点:既保证密钥的安全,又兼顾处理速度,且一旦 被破解仅影响本次通信,危害范围较小 ▪ 缺点:随机密钥量与明文量一样大,产生、存储、传 递与管理密钥困难。
16.
数字摘要 • 摘要(Message Digest)是一种防止篡改的方
法,用到的函数叫摘要函数(Hash函数)。 • 摘要的性质:若改变输入消息中的任何东西, 输出的摘要将发生不可预测的改变,即输入的 每一位对输出都有影响。 • Hash函数的输入可以是任意大小的消息,而 输出是一个固定长度的摘要。 • Hash函数无法逆向运算,并且不带密钥。 • 摘要可以保证网络通信中数据的完整性。
17.
数字签名 • 通过数字签名(Digital Signature)能够实现对原
始报文的鉴别和不可抵赖性,可以基于对称加密 技术、非对称加密技术和密钥分发中心KDC(Key Distribution Center) 进行数字签名 • 过程 ▪ 发送:对报文生成摘要MD并用发送方的私钥k1进行加 密得到数字签名DS=E(MD,k1)联同报文M一齐发送 ▪ 接收:对收到的报文生成摘要MD’并与用发送方公钥 k2解密数字签名DS得到的发送方报文摘要 MD=D(DS,k2)核对 ▪ 传输:数字签名DS和报文M通过普通信道传输 ▪ 验证:若MD=MD’则可认为报文未被篡改具有完整 性和确认发送方具有不可抵赖性
18.
数字签名示意图
19.
还有一个问题 • 在双钥体制中,发送方与密钥是相互脱离的,如
果不同的发送方以相同的密钥与接受方通信,接 受方是无法识别的。 • 日常生活中,每个人都有唯一号码的身份证来标 识自己的唯一性。网络通信中,为了能够识别通 信双方的身份,完成身份验证,你的身份必须以 某种方式与你的密钥捆绑,这就是数字证书。 • 通过数字证书可以将一个公钥和一个身份的实体 及其相关信息相绑定,这种绑定的方法使得被验 证方的信息必须与数字验证系统中的信息完全吻 合才能通过,这也正是数字验证的目的所在。
20.
公钥基础设施 - PKI •
公钥基础设施是提供公钥加密和数字签名服务 的综合系统,简称PKI(Public Key Infrastructure)。 • PKI是一个提供公钥加密和数字签名服务的系 统或平台,目的是为了管理密钥和证书。 • PKI是生成、管理、存储、分发和吊销基于公 钥密码学的公钥证书所需要的硬件、软件、人 员、策略和规程的总和。
21.
PKI 的架构
PKI应用 PKI应用接口 CA中心 KM中心 其他PKI设施 加密设备
22.
PKI 的组成 • Certificate
Authority (CA) • Directory (目录) • PKI-enabled Applications (基于PKI的应 用) • Security Policy (安全策略) CA是PKI体系的核心
23.
CA 和数字证书 • PKI体系中,认证中心CA(Certificate
Authority) 和数字证书(Certificate)是密不可分的两个部分。 CA中心是负责产生、分配并管理数字证书的可信赖 的第三方权威机构。CA是PKI安全体系的核心环节, 故又被称作PKI/CA。CA通常采用多层次的分级结 构,上级CA负责签发和管理下级CA的证书,最下 一级的CA直接面向最终用户。 • 数字证书是由认证中心发放并经认证中心数字签名 的,包含公开密钥拥有者以及公开密钥相关信息的 一种电子文件,可以用来证明数字证书持有者的真 实身份,无法伪造。
24.
证书颁发示意图
25.
数字证书的内容 • 证书包括两部分:证书本身内容及签发该证书的CA
机构对该证书的数字签名 • 证书本身的内容: ▪ 版本号(Version) ▪ 证书序列号(Serial Number) ▪ 证书有效期间(Validity) ▪ 证书拥有者的姓名标识符(Subject/DN) ▪ 证书拥有者的公钥参数信息(Subject Public Key Info) ▪ CA机构唯一的标识符(Issuer/DN) ▪ 签发证书的CA机构采用的签名算法(Signature Info) • CA机构对证书签发的数字签名(Signature) 包括CA机构签发的数字签名和签名算法
26.
数字证书与物理证件 • 相同点 ▪
由可信任的权威机构颁发 ▪ 表明实体的身份 ▪ 有效期结束后须重新申领 ▪ 被社会和法律承认和接受 • 不同点 ▪ 数字证书不能伪造 ▪ 数字证书里的公钥可用来加密和验证数字签名 ▪ 可以实现网上不见面的身份识别 ▪ 每个数字证书对应有一把私钥
27.
数字证书的类型 •
个人证书 • 单位证书 • 服务器证书 • 电子邮件证书 • VPN证书 • 代码签名证书 • 无线应用证书 • CA系统证书
28.
数字证书的保管 • 数字证书是持有人身份的表征。 • 任何由该数字证书签发的文件视为证书持有人
发生的行为。 • 妥善保管数字证书的介质。 (IC、软盘、硬盘、USB接口棒等) • 发现证书被窃后,立即挂失。
29.
证书认证系统的功能特性 • 认证系统采用B/S多层架构; • 在认证系统的设计中支持多级CA,并提供证
书链的编码与下载功能; • 证书系统能实现远程的证书申请,远程的证书 废除,远程的证书下载; • 证书系统在一般B/S的结构上加入网页签名、 代码签名、信息加密等新技术,保证证书认证 系统在公网上的运行安全;
Download now