PKI认证体系原理..ppt

PKI认证体系原理 北京宝兴达信息技术有限公司 数据通讯的安全要素 有效性机密性完整性可靠性 不可抵赖性 鉴别审查能力 PKI模式 新的信任模式 PublicKeyInfrastructure PKI模式 PKI是一个完整系统维持一个可靠的网络环境提供非对称式加密算法数字签名可向许多不同类型的应用提供服务PKI意味着密钥管理证书管理 一些密码学基本概念 对称式加密 SymmetricCryptographic 非对称式加密 AsymmetricCryptographic 密钥交换协议 KeyAgreement Exchange 哈希算法 Hash 报文认证码 MAC 数字签名 DigitalSignature 数字证书 DigitalID Certificate 认证中心 CertificateAuthority 基于对称密钥的加密方法 加密Encryption 我们的五年计划是 解密Decryption 老李 小王 老李和小王使用同一把密钥 老李使用密钥进行加密 小王使用密钥进行解密 Internet Py75c bn 9 fDe bDFaq xzjFr g5vMd rkgMs 密文 我们的五年计划是 非对称加密算法 加密Encryption 解密Decryption 老李 小王 老李和小王使用不同的密钥 老李使用对方的公钥对会话密钥进行加密 小王使用自己的私钥进行解密得到会话密钥 Internet Py75c bn 9 fDe bDFaq xzjFr g5vMd rkgMs 密文 公钥 密钥 小王的公钥 小王的私钥 RSA算法 R S A是三个科学家名字的组合 即R L Rivest A Shamir和L Adleman RSA公钥系统受到了广泛的重视 并有以该算法为基础的国际标准 该算法基于数论的非对称密码体制 是建立在大整数的素数因子分解的困难上的 属于分组密码体制 简单的说 知道两个质数 求出它们的乘积 很容易 但知道一个整数 分解成两个质数就很复杂了 RSA是非对称加密算法 加密与解密的密钥不同 这与DES算法有区别 RSA主要缺点是产生密钥受到素数产生技术的限制 密钥分组长度较长 运算速度较低 哈希 Hash 密码学中哈希的几个基本要求输入可为任意长度输出定长函数单向足够小的冲突可能性 Hash 我们的五年计划是 B U 9374392l qHUHW 数字签名 Internet 老李 小王 老李和小王使用不同的密钥 老李使用小王的公钥对签名进行核实 小王使用私钥对消息进行签名 私钥 核实 签名 对消息签名 我们亟需定购100套Windows2000 dkso Sc xZ02f bQaur 我们亟需定购100套Windows2000 我们亟需定购100套Windows2000 数字证书 证书的目的 身份信息 公钥由认证中心 CertificateAuthority 发布 拥有者公钥 认证中心标识 Subject 老李 NotBefore 10 18 99NotAfter 10 18 04 Signed Cg6 78 dx SerialNumber 29483756 Subject sPublickey 公钥 SecureEmailClientAuthentication 扩展域 拥有者身份信息 有效期限 Issuer INETCA1 认证中心 CA 的数字证书 证书发布ID号 认证中心 CertificateAuthority 密钥的管理及传递 认证权威认证中心 CA 的相关问题证书请求及发放过程证书验证过程证书的撤销及更新层次认证 信任链 PKI认证体系的载体 1 ESAM嵌入式安全控制模块内置RSA 3DES HASH等算法 可与终端绑定2 CPU卡内置RSA算法 可随身携带 需配合读卡设备使用 可放入终端中 也可随身携带 3 电子钥匙相当与将CPU卡或者ESAM与读卡器集成为一体 通常直接与PC机进行通讯 携带较方便 PK典型应用系统构成 电子钥匙 或 电子钥匙 或 在电子签名 加密中的应用流程 我们的五年计划是 明文 这是 算法算出摘要 Py75c bn g5v r 电子钥匙 明文 数字证书 签字 签字 A私钥 签名 对称加密 如 3DES 会话密钥 数字信封 B公钥 电子签名包 密文 加密过后的文件 A方 Internet Intranet 数字信封 密文 会话密钥 对称加密 如 3DES 明文 数字证