PKI认证体系原理课件

PKI认证体系原理北京宝兴达信息技术有限公司PKI认证体系原理北京宝兴达信息技术有限公司1数据通讯的安全要素有效性机密性完整性可靠性/不可抵赖性/鉴别审查能力数据通讯的安全要素有效性2PKI模式—新的信任模式

(PublicKeyInfrastructure)WIN32认证权威公认认证方式自由交流ABCPKI模式—新的信任模式

(PublicKeyInfr3PKI模式PKI是一个完整系统维持一个可靠的网络环境提供非对称式加密算法数字签名可向许多不同类型的应用提供服务PKI意味着密钥管理证书管理PKI模式PKI是一个完整系统4一些密码学基本概念对称式加密(SymmetricCryptographic)非对称式加密(AsymmetricCryptographic)密钥交换协议(KeyAgreement/Exchange)哈希算法(Hash)报文认证码(MAC)数字签名(DigitalSignature)数字证书(DigitalID/Certificate)认证中心(CertificateAuthority)一些密码学基本概念对称式加密(SymmetricCrypt5基于对称密钥的加密方法加密Encryption“我们的五年计划是...”解密Decryption老李小王老李和小王使用同一把密钥密钥密钥老李使用密钥进行加密小王使用密钥进行解密Internet“Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs”密文“我们的五年计划是...”基于对称密钥的加密方法加密“我们的五年计划是...”解密老李6非对称加密算法加密Encryption解密Decryption老李小王老李和小王使用不同的密钥老李使用对方的公钥对会话密钥进行加密小王使用自己的私钥进行解密得到会话密钥Internet“Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs”密文私钥公钥密钥密钥小王的公钥小王的私钥非对称加密算法加密解密老李小王老李和小王使用不同的密钥老李使7RSA算法

R、S、A是三个科学家名字的组合，即R.L.Rivest、A.Shamir和L.Adleman，RSA公钥系统受到了广泛的重视，并有以该算法为基础的国际标准。该算法基于数论的非对称密码体制，是建立在大整数的素数因子分解的困难上的，属于分组密码体制。简单的说：知道两个质数，求出它们的乘积，很容易；但知道一个整数，分解成两个质数就很复杂了。

RSA是非对称加密算法，加密与解密的密钥不同，这与DES算法有区别。RSA主要缺点是产生密钥受到素数产生技术的限制；密钥分组长度较长，运算速度较低。RSA算法R、S、A是三个科学家名字的组合，即8哈希（Hash)密码学中哈希的几个基本要求输入可为任意长度输出定长函数单向足够小的冲突可能性Hash“我们的五年计划是…”“B*U@9374392l;qHUHW”哈希（Hash)密码学中哈希的几个基本要求Hash“我们的五9数字签名Internet老李小王老李和小王使用不同的密钥老李使用小王的公钥对签名进行核实小王使用私钥对消息进行签名私钥公钥核实签名对消息签名“我们亟需定购100套Windows2000”“dkso(Sc#xZ02f+bQaur}”“我们亟需定购100套Windows2000”“我们亟需定购100套Windows2000”数字签名Internet老李小王老李和小王使用不同的密钥老李10数字证书证书的目的，身份信息，公钥由认证中心(CertificateAuthority)发布拥有者公钥认证中心标识Subject:老李NotBefore:10/18/99NotAfter:10/18/04Signed:Cg6&^78#@dxSerialNumber:29483756Subject’sPublickey:公钥SecureEmailClientAuthentication扩展域拥有者身份信息有效期限Issuer:INETCA1认证中心(CA)的数字证书证书发布ID号数字证书证书的目的，身份信息，公钥拥有者公钥认证中心标识Su11认证中心(CertificateAuthority)密钥的管理及传递，认证权威认证中心(CA)的相关问题证书请求及发放过程证书验证过程证书的撤销及更新层次认证，信任链认证中心(CertificateAuthority)密钥的12PKI认证体系的载体1、ESAM嵌入式安全控制模块内置RSA,3DES、HASH等算法，可与终端绑定2、CPU卡内置RSA算法，可随身携带，需配合读卡设备使用，可放入终端中，也可随身携带。3、电子钥匙相当与将CPU卡或者ESAM与读卡器集成为一体，通常直接与PC机进行通讯，携带较方便PKI认证体系的载体1、ESAM嵌入式安全控制模块13

Internet/Intranet浏览器/Client读卡器卡浏览器/Client读卡器卡CA中心防火墙Web服务器及应用软件数据库防火墙银行等数据接收网关业务处理流程PK典型应用系统构成电子钥匙或电子钥匙或浏览器/Client读卡器卡浏览器/Clien14在电子签名、加密中的应用流程“我们的五年计划是...”明文这是ＨＡＳＨ算法算出摘要“Py75c%bn...”“g5v’r…”电子钥匙明文数字证书签字签字A私钥签名对称加密（如：3DES）会话密钥数字信封B公钥电子签名包密文加密过后的文件A方Internet/Intranet数字信封密文会话密钥对称加密（如：3DES）明文数字证书签字“我们的五年...”明文A公钥“g5v’r…”签字摘要二签名解出经A签字的摘要摘要一由明文生成的摘要B方作比较如果摘要一和二相同则确定是A发送的文件且内容完整B私钥电子钥匙在电子签名、加密中的应用流程“我们的五年计划是...”明文这15PKI认证体系原理北京宝兴达信息技术有限公司PKI认证体系原理北京宝兴达信息技术有限公司16数据通讯的安全要素有效性机密性完整性可靠性/不可抵赖性/鉴别审查能力数据通讯的安全要素有效性17PKI模式—新的信任模式

(PublicKeyInfrastructure)WIN32认证权威公认认证方式自由交流ABCPKI模式—新的信任模式

(PublicKeyInfr18PKI模式PKI是一个完整系统维持一个可靠的网络环境提供非对称式加密算法数字签名可向许多不同类型的应用提供服务PKI意味着密钥管理证书管理PKI模式PKI是一个完整系统19一些密码学基本概念对称式加密(SymmetricCryptographic)非对称式加密(AsymmetricCryptographic)密钥交换协议(KeyAgreement/Exchange)哈希算法(Hash)报文认证码(MAC)数字签名(DigitalSignature)数字证书(DigitalID/Certificate)认证中心(CertificateAuthority)一些密码学基本概念对称式加密(SymmetricCrypt20基于对称密钥的加密方法加密Encryption“我们的五年计划是...”解密Decryption老李小王老李和小王使用同一把密钥密钥密钥老李使用密钥进行加密小王使用密钥进行解密Internet“Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs”密文“我们的五年计划是...”基于对称密钥的加密方法加密“我们的五年计划是...”解密老李21非对称加密算法加密Encryption解密Decryption老李小王老李和小王使用不同的密钥老李使用对方的公钥对会话密钥进行加密小王使用自己的私钥进行解密得到会话密钥Internet“Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5vMd’rkgMs”密文私钥公钥密钥密钥小王的公钥小王的私钥非对称加密算法加密解密老李小王老李和小王使用不同的密钥老李使22RSA算法

R、S、A是三个科学家名字的组合，即R.L.Rivest、A.Shamir和L.Adleman，RSA公钥系统受到了广泛的重视，并有以该算法为基础的国际标准。该算法基于数论的非对称密码体制，是建立在大整数的素数因子分解的困难上的，属于分组密码体制。简单的说：知道两个质数，求出它们的乘积，很容易；但知道一个整数，分解成两个质数就很复杂了。

RSA是非对称加密算法，加密与解密的密钥不同，这与DES算法有区别。RSA主要缺点是产生密钥受到素数产生技术的限制；密钥分组长度较长，运算速度较低。RSA算法R、S、A是三个科学家名字的组合，即23哈希（Hash)密码学中哈希的几个基本要求输入可为任意长度输出定长函数单向足够小的冲突可能性Hash“我们的五年计划是…”“B*U@9374392l;qHUHW”哈希（Hash)密码学中哈希的几个基本要求Hash“我们的五24数字签名Internet老李小王老李和小王使用不同的密钥老李使用小王的公钥对签名进行核实小王使用私钥对消息进行签名私钥公钥核实签名对消息签名“我们亟需定购100套Windows2000”“dkso(Sc#xZ02f+bQaur}”“我们亟需定购100套Windows2000”“我们亟需定购100套Windows2000”数字签名Internet老李小王老李和小王使用不同的密钥老李25数字证书证书的目的，身份信息，公钥由认证中心(CertificateAuthority)发布拥有者公钥认证中心标识Subject:老李NotBefore:10/18/99NotAfter:10/18/04Signed:Cg6&^78#@dxSerialNumber:29483756Subject’sPublickey:公钥SecureEmailClientAuthentication扩展域拥有者身份信息有效期限Issuer:INETCA1认证中心(CA)的数字证书证书发布ID号数字证书证书的目的，身份信息，公钥拥有者公钥认证中心标识Su26认证中心(CertificateAuthority)密钥的管理及传递，认证权威认证中心(CA)的相关问题证书请求及发放过程证书验证过程证书的撤销及更新层次认证，信任链认证中心(CertificateAuthority)密钥的27PKI认证体系的载体1、ESAM嵌入式安全控制模块内置RSA,3DES、HASH等算法，可与终端绑定2、CPU卡内置RSA算法，可随身携带，需配合读卡设备使用，可放入终端中，也可随身携带。3、电子钥匙相当与将CPU卡或者ESAM与读卡器集成为一体，通常直接与PC机进行通讯，携带较方便PKI认证体系的载体1、ESAM嵌入式安全控制模块28

Internet/Intranet浏览器/Client读卡器卡浏览器/Client读卡器卡CA中心防火墙Web服务器及应用软件数据库防火墙银行等数据接收网关业务处理流程PK典型应用系统构成电子钥匙或电子钥匙或浏览器/Client读卡器卡浏览器/Clien29在电子签名、加密中的应用流程“我们的五年计划是...”明文这是ＨＡＳＨ算法算出摘要“Py75c%bn...”