第12講PKI公鑰基礎(chǔ)設(shè)施 張群哲湖南科技職業(yè)學(xué)院網(wǎng)絡(luò)教研室zqunzhe 2 本講主要內(nèi)容 1 教師講解鑒別 認(rèn)證 數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI2 動(dòng)手實(shí)踐 CA的基本使用安裝CA申請(qǐng)證書管理證書備份和恢復(fù)證書 3 1 鑒別 認(rèn)證 鑒別 authentication 是驗(yàn)證通信對(duì)象真實(shí)身份的技術(shù) 與鑒別容易混淆的另一個(gè)概念是授權(quán) authorization 鑒別關(guān)心是否在和某個(gè)特定的對(duì)象進(jìn)行通信 而授權(quán)關(guān)心的是允許此對(duì)象做什么 例子一個(gè)客戶進(jìn)程向某個(gè)服務(wù)器發(fā)出請(qǐng)求 我是管理員 我要?jiǎng)h除network txt文件 從文件服務(wù)器的觀點(diǎn)來看 有兩個(gè)問題必須回答 客戶是否確實(shí)為管理員 鑒別 允許管理員刪除network old文件嗎 授權(quán) 4 身份認(rèn)證 身份認(rèn)證就是使用戶能被正確地進(jìn)行個(gè)人身份識(shí)別 而不能假冒的方法 用所知道的進(jìn)行認(rèn)證 要求用戶輸入一些保密信息 如用戶名和口令 個(gè)人識(shí)別號(hào) 數(shù)字證書等 用所擁有的進(jìn)行認(rèn)證 采用一些物理識(shí)別設(shè)備 如訪問卡 鑰匙或令牌等 用本征特征進(jìn)行認(rèn)證 采用生物統(tǒng)計(jì)學(xué)系統(tǒng) 基于某種特殊的物理特征對(duì)人進(jìn)行唯一性識(shí)別 如指紋 視網(wǎng)膜血管分布圖等 用下意識(shí)動(dòng)作進(jìn)行認(rèn)證 要求用戶進(jìn)行一些別人無法模仿的動(dòng)作 提取結(jié)果數(shù)據(jù) 如筆跡 擊鍵習(xí)慣等 5 2 數(shù)字簽名 背景許多法律 財(cái)務(wù)以及其他文件的真實(shí)性和可靠性最終由是否有親筆簽名來確定 而復(fù)印件是無效的 如果要用計(jì)算機(jī)報(bào)文代替紙墨文件的傳送 就必須找到解決親筆簽名這樣問題的辦法 這就是數(shù)字簽名 digitalsignature 數(shù)字簽名系統(tǒng)必須滿足下列三個(gè)條件 接收方能夠驗(yàn)證發(fā)送方所宣稱的身份 發(fā)送方以后不能否認(rèn)報(bào)文是他發(fā)送的 接收方自己不能偽造該報(bào)文 6 用公開密鑰系統(tǒng)進(jìn)行數(shù)字簽名 采用雙重加密 就可以同時(shí)進(jìn)行數(shù)字簽名和保密通信 發(fā)送端即先用發(fā)送方的私有密鑰加密 數(shù)字簽名 再用接收方的公開密鑰對(duì)已簽名的數(shù)據(jù)再加密 保密通信 接收端用接收方的私有密鑰解除外層加密 數(shù)據(jù)解密 然后再用發(fā)送方的公開密鑰解除內(nèi)層加密 驗(yàn)證簽名 7 公鑰加密 保密通信 Data 3A78 8 公鑰驗(yàn)證 驗(yàn)證簽名 9 對(duì)公鑰的攻擊 黑客 H從公鑰庫中竊取A的公鑰Ka 然后用自己的公鑰Kh替換Ka 當(dāng)B要向A發(fā)送信息時(shí) B會(huì)檢索公鑰庫查找A的公鑰 這時(shí)B得到的是Kh 他用Kh加密信息后發(fā)送給A A的私鑰無法解密 H可以截獲加密信息并用自己的私鑰解密 再使用Ka加密信息后發(fā)送給A A B并不知道信息被截獲 10 3 數(shù)字證書 DigitalCertificate 證書是頒發(fā)機(jī)構(gòu)所頒發(fā)的證明證書持有人身份的數(shù)字聲明 證書 用戶身份與公鑰綁定 公鑰必須用數(shù)字證書分發(fā) 為了防止身份假冒數(shù)字證書不能由用戶自己產(chǎn)生 應(yīng)由證書管理機(jī)構(gòu)為公鑰簽發(fā)數(shù)字證書 11 證書使用的范圍 12 數(shù)字證書的種類 基本X 509v1證書擴(kuò)展X 509v3證書SSL服務(wù)器 客戶機(jī)證書安全電子郵件 S MIME 證書安全電子事務(wù) SET 證書可信代碼數(shù)字簽名證書IPSEC服務(wù)器 客戶機(jī) 終端用戶證書可訪問服務(wù)器秘密信息的成員證書時(shí)間戳證書 13 數(shù)字證書用途 認(rèn)證防否認(rèn) 數(shù)字簽名 授權(quán)數(shù)據(jù)保密數(shù)據(jù)完整性 14 證書內(nèi)容 X 509V3 版本序列號(hào)簽名算法管理機(jī)構(gòu)名稱有效期擁有者名擁有者公鑰信息擴(kuò)展項(xiàng) 15 4 公鑰基礎(chǔ)設(shè)施PKI 公鑰基礎(chǔ)設(shè)施PKI PublicKeyInfrastructure PKI 是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心 是電子商務(wù) 政務(wù)系統(tǒng)安全實(shí)施的基本保障 對(duì)PKI技術(shù)的研究和開發(fā)成為目前信息安全領(lǐng)域的熱點(diǎn) 所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng) 都可稱為PKI系統(tǒng) 16 圖12 1PKI典型系統(tǒng)組成視圖 17 PKI的帳戶 Users Computers Services 18 證書頒發(fā)機(jī)構(gòu) CA CertificateAuthority 證書頒發(fā)機(jī)構(gòu) CA 身份驗(yàn)證發(fā)放證書證書吊銷 19 證書管理模型 通用層次結(jié)構(gòu)CA自頂向下層次結(jié)構(gòu)CA 20 通用層次結(jié)構(gòu)CA IPRA PCA1 PCA2 CA1 CA5 CA6 CA7 CA2 CA3 CA4 CA8 a b 21 自頂向下層次結(jié)構(gòu)CA PCA CA1 CA6 CA2 CA5 CA7 CA8 CA3 CA4 CA9 b a 22 證書鏈 PCA CA1 CA2 A四張證書連在一起 便形成了一條證書鏈 它是從根結(jié)點(diǎn)證書到端實(shí)體證書的一條