第3讲PKI技术与应用[PPT课件]

博士PKIPKI信息安全中心信息安全中心//数字内容中心数字内容中心教育部网络攻防重点实验室网络攻防重点实验室网络与交流国家工程实验室容灾技术国家工程实验室mzf@bupt.edu.cn 010-6228 3086计算机网络安全讲座系列计算机网络安全讲座2018年3月13日北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn密码PKI技术简介PKI应用程序PKI 2018年3月13日mzf @ bupt.edu.cn信息隐私（私密性）对称加密信息完整性数字签名信息源身份验证（认证）数字签名无争议信息数字签名时间戳2018年3月13日，北京邮电大学信息安全中心mzf @ bupt. edu.cn公钥侵权astructure Trust Management PKI是用于表示和管理信任关系的工具；数字，电子数字社会的基础之一建立信任关系的关键是能够确定彼此的身份. PKI 2018年3月13日mzf@bupt.edu.cn SecretKey密码学非对称密钥系统（PublicKey Cryptography）DES，IDEA，R，RC5，RSA，DH / DSA，ECDH / ECDSA新一代加密标准AES密码学简介北京邮电大学电信信息安全中心2018年3月13日mzf@bupt.edu.cn北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn北京邮电大学信息安全中心2018年3月13日mzf @ bupt.edu.cn DES DES是一种块加密算法. 输入的纯文本为64位，密钥为64位，并生成密文. 64位DES是从Lucifer算法派生的对称密码算法，该算法使用Feistel网络（Feistel网络），该网络被称为北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn IDEA XuejiaLai由詹姆斯·梅西（James Massey）提出； IDEA是一种对称的分组密码算法. 输入为64位纯文本，密钥为128位，生成的密文为64位. IDEA是一种具有较强推理能力的相对较新的算法. 基本，但仍应谨慎使用（尽管该算法已被证明可以抵抗差分分析和线性分析）； IDEA是Ascom-Tech AG拥有的专利算法（在欧洲和美国）； IDEA已在PGP中实施2018年3月13日，北京邮电大学信息安全中心mzf@bupt.edu.cn RC RC系列是RonRivest为RSA设计的一系列密码: RC1从未发布，所以有很说它只出现在Rivest Original中； RC2是可变长度密钥加密方法； （在设计过程中在RSADSI中违反了RC3）； RC5是由Rivest在1994年设计的分组迭代，它具有可变的数据包长度和密钥长度迭代次数. 密码算法； DES（56），RC5-32 / 12/5，RC5-32 / 12/6，RC5-32 / 12/7已于1997年破译; 2018年3月13日，mzf，北京邮电大学信息安全中心@ bupt.edu.cn AES Rijndael最后五个候选算法: Marspki技术的运用，RC6，Rijndael，Serpent，Rijndael算法的原型是Square算法，它的设计策略是针对差异分析和线性分析的宽径策略（Wide Trail Strategy）. Rijndael是一个迭代的分组密码，其分组的长度和密钥长度都是可变的. 为了满足AES的要求，块长度为128bit，密码长度为128/192 / 256bit，对应的整数r为10/12/14.

北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn是加密和解密算法pki技术的运用，然后: 基本技术: 替换/替换和移位对称密码算法摘要总结北京邮电大学电信信息安全中心2018年3月13日mzf@bupt.edu.cn不同的非对称密码算法北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn信息M非对称密钥算法非对称密钥算法信息MB专用密钥网络非对称密码算法加密过程2018年3月13日，北京邮电大学信息安全中心mzf@bupt.edu.cn公钥密码算法概念由不同密钥完成的加密和解密: 从加密密钥获得中了解加密算法解密密钥在计算上不可行北京邮电大学信息安全中心2018年3月13日，mzf @ bupt.edu. 两个密钥中的一个都可以用于加密，另一个可以用于解密（不必要）. cn DH两个人（Diffie，Hellman），“ NewDirections公钥密码术还可用于其他应用程序: 数字签名，不可否认等；陷阱门单向功能公钥密码算法算法历史2018年3月13日，北京大学邮电信息安全中心邮箱mzf@bupt.edu.cn设n为两个不同奇数素数n pq的乘积，并计算其欧拉函数值Φ（n）=（p-1）（q -1）. 随机选择一个整数e，1enewkey开始生成密钥.

北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn PGPKeys北京邮电大学窗口信息安全中心2018年3月13日mzf@bupt.edu.cn信息安全中心北京邮电大学学报2018年3月13日mzf @ bupt.edu.cn PGPKeys窗口北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn密钥的生成（公钥和私钥）北京邮电大学信息安全中心2018年3月13日mzf @ bupt. edu.cn公钥另存为.asc或.txt文件，并发送给另一方进行加密. 北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn文件加密北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn注意选择加密密钥北京大学邮电信息安全中心2018年3月13日mzf@bupt.edu.cn注意选择合适的加密公钥2018年3月13日北京邮电大学信息安全中心mzf@bupt.edu.cn为什么使用用于数字证书和认证的数字证书？数字证书的内容？如何使用它们的数字证书？北京邮电大学证书管理信息安全中心2018年3月13日mzf@bupt.edu.cn为什么使用数字证书？ （摘要）必须使用公共密钥吗？如何确保公钥受信任？答: 请使用每个人都信任的第三方为每个人颁发数字证书！北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn用户名颁发机构有效期签名算法公钥信息用户名颁发机构有效期公共密钥信息签名结果数字签名什么是数字证书？数字证书北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn使用证书进行认证北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn SS​​L协议概述Netscape，IETFTLS工作组开发的SSL / TLS在源实体和目标实体之间建立了安全通道（在传输层之上），提供了基于证书的身份验证，信息完整性和数据机密性SSL体系结构: SSL协议栈IP IP TCP TCP SSL SSL SSL记录协议记录协议SSL SSL握手握手协议协议SSL SSL修改修改算法协议算法协议SSL SSL警报警报协议协议HTTP HTTP协议协议2018年3月13日mzf@bupt.edu.cn SS​​L协议流客户端发出连接请求来自服务器并发送服务器数字证书. 服务器可以请求客户端证书以验证客户端的身份. 你好？验证服务器数字证书. 如有必要，将客户端证书发送到服务器. 身份验证完成后，客户端将生成会话密码. 密钥和使用服务器的公共密钥密钥加密发送到服务器. 会话密钥已建立，并且已发送应用层数据. ServerID ClientID会话密钥北京邮电大学服务器客户端信息安全中心2018年3月13日mzf@bupt.edu.cn SS​​L当前应用领域•网上银行（个人，企业）•报税•电子商务•系统管理北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn其他安全协议•PGP（个人电子邮件）•S / MIME•北京邮电大学IPSec信息安全中心2018年3月13日mzf@bupt.edu.cn证书管理证书颁发证书续订证书吊销证书查询证书使用证书申请2018年3月13日mzf@bupt.edu.cn密钥/证书生命周期初始化阶段: 终端实体注册->密钥对生成->证书创建和密钥/证书分发，证书分发，密钥备份发布阶段: 证书检索，认证类别验证，密钥恢复，密钥更新取消阶段: 证书过期，证书恢复，证书撤销，密钥历史记录，密钥文件证书管理北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn PKI是北京邮电大学信息安全中心的组成部分2018年3月13日mzf@bupt.edu.cn PKI正在根据所需的硬件，软件，人员，策略和过程的总和来生成，管理，存储，分发和吊销公钥密码学，用于公钥密码学.

CA代表证书颁发机构，并且是PKI的核心组件. PKI和CA北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn一个典型的国家CA建设案例北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn一个证书应用程序的一种: 安全电子邮件证书应用程序的一种: 安全电子邮件-提供批量发送信息的功能；-它可以实现电子邮件内容（包括附件）的加密和签名-采用类似Outlook的界面设计和可以使用Outlook的通讯簿； ，SMTP，IMAP协议，支持S / MIME协议，支持Web电子邮件；支持多种加密算法，例如DES，3DES，AES，RSA，MD4，MD5；支持用户制定的加密算法；支持代理和自动拨号；-支持各种Windows操作系统平台. 北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn用户邮箱区域邮件内容区域邮件列表区域系统工具栏和菜单区域系统主界面北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn用户密钥对生成北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn导入用户证书北京邮电大学信息安全中心2018年3月13日mzf @ bupt .edu.cn通信地址簿北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn用户邮箱管理北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu. cn附件区域正文区域发件人收件人CC副本区域加密，签名工具栏编写电子邮件回复电子邮件转发邮件北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn嵌入式系统嵌入式系统的主要功能是完成文件的加密，解密，签名和验证.

北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn部分加密的文件签名北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn安全中心2018年3月13日mzf@bupt.edu.cn北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn北京邮电大学信息安全中心2018年3月13日mzf @ bupt. edu.cn经过简单的“复制+粘贴”操作，2018年3月13日，北京邮电大学信息安全中心mzf@bupt.edu.cn系统功能目标系统功能目标不可否申请二: 证书申请二: Visual DigiSign Visual DigiSign可视化数字签名系统北京邮电大学视觉数字签名系统信息安全中心3月ch 13，2018 mzf@bupt.edu.cn解决方案解决方案在AutoCAD，WORD，Excel环境下的可视数字签名2018年3月13日mzf @ bupt.edu.cn CA中心功能: 初始化令牌并生成证书管理用户证书（包括存储（发布，发布，吊销，更新）颁发证书吊销列表文件2018年3月13日，北京邮电大学信息安全中心mzf@bupt.edu.cn用户签名的条件: 向CA中心申请令牌，证书，用于签名的带有BMP的根证书图像文件安装必需的软件北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn系统流程•用户安装Visual DigiSign V1.0； •CA Center向用户颁发eToken，证书，根证书； •用户配置证书和相关的签名图片文件； •用户使用系统对文件签名； •用户发布文件或将文件发送给另一个用户； •获得文件的用户验证数字签名；北京邮电大学信息安全中心2018年3月13日mzf @ bupt. edu.cn系统安全性和系统功能•利用Token的主机登录管理，非法用户无法登录到主机； •用户密钥对为1024位，以确保足够的安全性. •私钥存储在eToken中，无法读取或伪造； •支持Autocad，Word，Excel环境； •数字签名和文件内容关联，较小的更改标志验证失败； 2018年3月13日mzf@bupt.edu.cn签名证明（Word文档，手写）北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn签名证明（Word文档，印章）信息安全中心北京邮电大学学报2018年3月13日mzf@bupt.edu.cn北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn北京签名信息（Autocad文件）北京信息安全中心邮电大学2018年3月13日mzf@bupt.edu.cn Windows域登录的优势: 更高的系统安全性2018年3月13日mzf@bupt.edu.cn Windows域登录系统的配置和实现: 域控制器安装Active Directory CA中心创建用户应用程序证书在域控制器中配置根证书配置用户登录方法客户端安装令牌驱动程序配置完整用户登录北京大学邮电信息安全中心理事会2018年3月13日mzf@bupt.edu.cn应用四: 安全Web应用（SSL）浏览器Web服务器SSL Web服务器SSL Web服务器SSL北京邮电大学信息安全中心3月13日，2018 mzf@bupt.edu.cn网络管理系统资源授权，审计管理服务器管理工​​作台身份验证和授权审计服务器Web服务器AAAServer用户代理代理路由器交换机主机系统代理用户AAA系统逻辑结构北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn用户管理用户北京邮电大学信息安全中心2018年3月13日mzf@bupt.edu.cn管理员内部人员域产品提供商其他用户域组和域分组和域下属单位组的划分和域的划分2018年3月13日北京邮电大学信息安全中心mzf@bupt.edu.cn谢谢！

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-144756-1.html