第2部分網(wǎng)絡(luò)安全應(yīng)用

第4章密鑰分配和用戶認證

第5章傳輸層安全

第6章無線網(wǎng)絡(luò)安全

第7章電子郵件安全

第8章IP安全密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第1頁!第4章

密鑰分配和用戶認證密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第2頁!提綱4.1基于對稱加密的密鑰分發(fā)4.2基于非對稱加密的密鑰分發(fā)4.3PKI密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第3頁!針對上述第四種方案，用到兩種類型的密鑰：會話密鑰：一次通信過程中使用的密鑰。永久密鑰：用于分發(fā)會話密鑰的密鑰。4.1基于對稱加密的密鑰分發(fā)密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第4頁!4.2基于非對稱加密的密鑰分發(fā)Diffie-Hellman密鑰交換被廣泛應(yīng)用，但是它的缺陷是不能為兩個通信者提供認證。使用像RSA這樣的非對稱加密算法來分發(fā)密鑰是不錯的選擇。密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第5頁!4.3PKIPKI（PublicKeyInfrastructure）含義為“公鑰基礎(chǔ)設(shè)施”，PKI技術(shù)是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封等。PKI基礎(chǔ)設(shè)施采用證書管理公鑰，通過第三方的可信任機構(gòu)--認證中心，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在Internet網(wǎng)上驗證用戶的身份。PKI基礎(chǔ)設(shè)施把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸。從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可歸結(jié)為PKI系統(tǒng)的一部分。密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第6頁!2、PKI之動機如何提供數(shù)字簽名功能如何實現(xiàn)不可否認服務(wù)公鑰和身份如何建立聯(lián)系為什么要相信這是某個人的公鑰公鑰如何管理方案：引入證書(certificate)通過證書把公鑰和身份關(guān)聯(lián)起來密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第7頁!1)、端實體（endentity）：一個用來表示終端用戶、設(shè)備或者任何其他的可以在公鑰證書的主體域被確定身份的實體的通用術(shù)語。2)、公鑰證書：由可信實體簽名的電子記錄，記錄將公鑰和密鑰（公私鑰對）所有者的身份捆綁在一起。公鑰證書是PKI的基本部件。3)、證書作廢列表（CRL）：作廢證書列單，通常由同一個發(fā)證實體簽名。當(dāng)公鑰的所有者丟失私鑰，或者改換姓名時，需要將原有證書作廢。4)、策略管理機構(gòu)（PMA）：監(jiān)督證書策略的產(chǎn)生和更新，管理PKI證書策略。3、PKI基本組成

密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第8頁!6)、注冊機構(gòu)（RA）互聯(lián)網(wǎng)定義：一個可選PKI實體（與CA分開），不對數(shù)字證書或證書作廢列單（CRL）簽名，而負責(zé)記錄和驗證部分或所有有關(guān)信息（特別是主體的身份），這些信息用于CA發(fā)行證書和CRL以及證書管理中。RA在當(dāng)?shù)乜稍O(shè)置分支機構(gòu)LRA。PKIX用語：一個可選PKI實體與CA分開，RA的功能隨情況而不同，但是可以包括身份認證和用戶名分配，密鑰生成和密鑰對歸檔，密碼模件分發(fā)及作廢報告管理。國防部定義：對CA負責(zé)當(dāng)?shù)赜脩羯矸荩?biāo)識）識別的人。3、PKI基本組成

密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第9頁!證書(certificate)，有時候簡稱為cert。PKI適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一。證書提供了一種在Internet上驗證身份的方式，作用類似于駕照和身份證。是一個機構(gòu)頒發(fā)給一個個體的證明，所以證書的權(quán)威性取決于該機構(gòu)的權(quán)威性。一個證書中，最重要的信息是個體名字、個體的公鑰、機構(gòu)的簽名、算法和用途。最常用的證書格式為X.509v3。4、PKI中的證書密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第10頁!5、密鑰的產(chǎn)生用戶自己生成密鑰對，然后將公鑰傳送給CA。CA替用戶生成密鑰對，然后將其傳送給用戶，要求CA可信性高。密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第11頁!7、CA信任關(guān)系當(dāng)一個安全個體看到另一個安全個體出示的證書時，他是否信任此證書？信任難以度量，總是與風(fēng)險聯(lián)系在一起可信CA如果一個個體假設(shè)CA能夠建立并維持一個準(zhǔn)確的“個體-公鑰屬性”之間的綁定，則他可以信任該CA，該CA為可信CA信任模型單個CA層次信任模型交叉認證信任模型（網(wǎng)狀認證）密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第12頁!CA交叉認證密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第13頁!4.1基于對稱加密的密鑰分發(fā)A選定密鑰K，并通過物理方法傳遞給B.第三方選定密鑰K，并通過物理方法傳遞給A和B.如果A和B在之前使用過一個密鑰，一方能夠?qū)⑹褂镁兔荑€加密的新密鑰傳遞給另一方.如果A和B各自有一個到達第三方C的加密鏈路，C能夠在加密鏈路上傳遞密鑰給A和B.密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第14頁!密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第15頁!4.2基于非對稱加密的密鑰分發(fā)假設(shè)Alice和Bob準(zhǔn)備進行如下秘密通信：Alice:我叫Alice，我的公開密鑰是Ka，你選擇一個會話密鑰K，用Ka加密后傳送給我。Bob:使用Ka加密會話密鑰K；Alice：使用K加密傳輸信息；Bob:使用K加密傳輸信息；存在問題：1、Bob怎么知道一定是Alice和他通信？（數(shù)字簽名）2、Bob如何知道Ka一定是Alice的公鑰?（公鑰證書）密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第16頁!1、PKI提供的基本服務(wù)認證采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上數(shù)據(jù)源認證服務(wù)身份認證服務(wù)完整性保密性用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密不可否認發(fā)送方和接受方的不可否認密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第17頁!3、PKI基本組成(至此)

PKI由以下幾個基本部分組成：端實體公鑰證書證書作廢列表（CRL）策略管理機構(gòu)（PMA）認證機構(gòu)（CA）注冊機構(gòu)（RA）存儲庫(Repository)密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第18頁!3、PKI基本組成

5)、認證機構(gòu)（CA）互聯(lián)網(wǎng)定義：一個可信實體，發(fā)放和作廢公鑰證書，并對各作廢證書列表簽名。國防部定義：一個授權(quán)產(chǎn)生/簽名/發(fā)放公鑰證書的實體。CA全面負責(zé)證書發(fā)行和管理（即，注冊進程控制，身份標(biāo)識和認證進程，證書制造進程，證書公布和作廢及密鑰的更換）。CA還全面負責(zé)CA服務(wù)和CA運行。聯(lián)邦政府定義：被一個或多個用戶所信任發(fā)放和管理X.509公鑰證書和作廢證書的機構(gòu)。密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第19頁!3、PKI基本組成

7)、存儲庫(Repository)：一個電子站點，存放證書和作廢證書列表（CRL），CA在用證書和作廢證書。密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第20頁!版本號1、2、3序列號證書唯一序列號，整數(shù)算法標(biāo)識產(chǎn)生證書的簽名算法標(biāo)識符以及參數(shù)頒發(fā)者建立和簽署證書的機構(gòu)CA的名字有效期證書有效的起止日期主體名證書持有者的名字主體公鑰簽名算法、相關(guān)參數(shù)、證書持有者的公開密鑰頒發(fā)者唯一標(biāo)識符唯一標(biāo)識CA主體唯一標(biāo)識符唯一標(biāo)識證書持有者擴展密鑰和策略信息、主體和頒發(fā)者屬性、證書路徑等數(shù)字簽名簽名算法標(biāo)識符、參數(shù)、EKCA(H(證書所有數(shù)據(jù)))X.509證書格式：密鑰分配和用戶認證共24頁，您現(xiàn)在瀏覽的是第21頁!6、PKI的運行1）署名用戶向證明機構(gòu)（CA）提出數(shù)字證書申請；2）CA驗明署名用戶身份，并簽發(fā)數(shù)字證書；3）CA將證書公布到證書庫中；4）署名用戶對電子信件數(shù)字簽名作為發(fā)送認證，確保信件完整性，不可否認性，并發(fā)送給依賴方。5）依賴方接收信件，用署名用戶的公鑰驗證數(shù)字簽名，并到證書庫查明署名用戶證書的狀態(tài)和有效性；6）證書庫返回證書檢查結(jié)果。