《PKI认证体系原理课件.ppt》由会员分享,可在线阅读,更多相关《PKI认证体系原理课件.ppt(15页珍藏版)》请在三一办公上搜索。
1、PKI认证体系原理,北京宝兴达信息技术有限公司,数据通讯的安全要素,有效性 机密性 完整性 可靠性/不可抵赖性/鉴别 审查能力,PKI模式新的信任模式(Public Key Infrastructure),PKI模式,PKI是一个完整系统维持一个可靠的网络环境 提供非对称式加密算法数字签名可向许多不同类型的应用提供服务PKI意味着密钥管理证书管理,一些密码学基本概念,对称式加密(Symmetric Cryptographic)非对称式加密(Asymmetric Cryptographic)密钥交换协议(Key Agreement/Exchange)哈希算法(Hash)报文认证码(MAC)数字签
2、名(Digital Signature)数字证书(Digital ID/Certificate)认证中心(Certificate Authority),基于对称密钥的加密方法,加密Encryption,“我们的五年计划是.”,解密Decryption,老李,小王,老李和小王使用同一把密钥,老李使用密钥进行加密,小王使用密钥进行解密,Internet,“Py75c%bn&*)9|fDebDFaq#xzjFrg5vMdrkgMs”,密文,“我们的五年计划是.”,非对称加密算法,加密Encryption,解密Decryption,老李,小王,老李和小王使用不同的密钥,老李使用对方的公钥对会话密钥进行
3、加密,小王使用自己的私钥进行解密得到会话密钥,Internet,“Py75c%bn&*)9|fDebDFaq#xzjFrg5vMdrkgMs”,密文,公钥,密钥,小王的公钥,小王的私钥,RSA算法,R、S、A是三个科学家名字的组合,即R.L.Rivest、A.Shamir和L.Adleman,RSA公钥系统受到了广泛的重视,并有以该算法为基础的国际标准。该算法基于数论的非对称密码体制,是建立在大整数的素数因子分解的困难上的,属于分组密码体制。简单的说:知道两个质数,求出它们的乘积,很容易;但知道一个整数,分解成两个质数就很复杂了。RSA是非对称加密算法,加密与解密的密钥不同,这与DES算法有区
4、别。RSA主要缺点是产生密钥受到素数产生技术的限制;密钥分组长度较长,运算速度较低。,哈希(Hash),密码学中哈希的几个基本要求输入可为任意长度输出定长函数单向足够小的冲突可能性,Hash,“我们的五年计划是”,“B*U9374392l;qHUHW”,数字签名,Internet,老李,小王,老李和小王使用不同的密钥,老李使用小王的公钥对签名进行核实,小王使用私钥对消息进行签名,私钥,核实,签名,对消息签名,“我们亟需定购100套Windows2000”,“dkso(Sc#xZ02f+bQaur”,“我们亟需定购100套Windows2000”,“我们亟需定购100套Windows2000”,
5、数字证书,证书的目的,身份信息,公钥由认证中心(Certificate Authority)发布,拥有者公钥,认证中心标识,Subject:老李,Not Before:10/18/99Not After:10/18/04,Signed:Cg6&78#dx,Serial Number:29483756,Subjects Public key:,公钥,Secure Email Client Authentication,扩展域,拥有者身份信息,有效期限,Issuer:INET CA1,认证中心(CA)的数字证书,证书发布ID号,认证中心(Certificate Authority),密钥的管理及传
6、递,认证权威认证中心(CA)的相关问题证书请求及发放过程证书验证过程证书的撤销及更新层次认证,信任链,PKI认证体系的载体,1、ESAM嵌入式安全控制模块 内置RSA,3DES、HASH等算法,可与终端绑定2、CPU卡 内置RSA算法,可随身携带,需配合读卡设备使用,可放入终 端中,也可随身携带。3、电子钥匙 相当与将CPU卡或者ESAM与读卡器集成为一体,通常直接与 PC机进行通讯,携带较方便,PK典型应用系统构成,电子钥匙,或,电子钥匙,或,在电子签名、加密中的应用流程,“我们的五年计划是.”,明文,这是算法算出摘要,“Py75c%bn.”,“g5vr”,电子钥匙,明文,数字证书,签字,签字,A私钥,签名,对称加密(如:3DES),会话密钥,数字信封,B公钥,电子签名包,密文,加密过后的文件,A方,Internet/Intranet,数字信封,密文,会话密钥,对称加密(如:3DES),明文,数字证书,签字,“我们的五年.”,明文,A公钥,“g5vr”,签字,摘要二,签名,解出经A签字的摘要,摘要一,由明文生成的摘要,B方,作比较,如果摘要一和二相同则确定是A发送的文件且内容完整,B私钥,电子钥匙,
