1、4.1 4.1 密码技术密码技术4.1.1 4.1.1 密码学定义密码学定义密码学(Cryptology)是研究如何实现秘密通信的科学,包含密码编码学和密码分析学。密码编码学(Cryptography),主要研究对信息进行编码,实现信息保密性的科学。密码分析学(Cryptanalytics),主要研究分析、破译密码的科学。密码学基本功能:保密性,非授权者无法知道消息内容;完整性,消息接收者应该能够验证消息在传输过程中没有被改变;鉴别,消息接收者应该能够确认消息的来源;不可否认性,发送方不能否认已经发送的消息。4.1.2 密码学发展历史4.1.3 香农模型4.1.4 密码体制分类按密钥使用数量不
2、同,对称密码(又称为单钥密码)(symmetric)和非对称密码(又称为公钥密码)(asymmetric)。对于对称密钥密码而言,按照明文处理方式的不同,又可以分为分组密码(block cipher)和流密码(stream cipher)。4.1.5 对称密码算法4.1.6 公钥密码算法4.1.7 密钥的管理和分配l密钥的产生l对称密码体制的密钥分配l公钥密码体制的密钥分配4.1.8 加密技术的应用l数字签名l数字证书4.1.9 DES和RSA混合加解密DES加密数据,RSA加密DES的密钥Hash单向散列函数数字签名4.2 PKI技术4.2.1 4.2.1 公钥基础公钥基础设施设施PKI是基
3、于公开密钥理论和技术建立起来的安全体系,提供信息安全服务的具有普适性的安全基础设施;该体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合;PKI是认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种主体身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。PKI提供的服务认证支持密钥管理完整性与不可否认PKI的体系结构认证机构CA(Certificate Authority
4、),是PKI的核心执行机构,是PKI的主要组成部分,通常称为认证中心。证书和证书库。密钥备份及恢复,是密钥管理的主要内容,如果用户的解密数据的密钥丢失,从而使已被加密的密文无法解开。密钥和证书的更新。证书历史档案。客户端软件。交叉认证。PKI的相关标准X.509(1993)信息技术之开放系统互联PKCS系列标准OCSP在线证书状态协议PKI的应用虚拟专用网络(Virtual Private Network,VPN)安全电子邮件Web安全4.2.2 证书权威(CA)CA的功能和组成CA认证体系组成:一ca,负责产生和确定用户实体的数字证书;二审核授权部门,简称ra,负责对证书的申请者进行资格审查
5、,并决定是否同意给申请者发放证书;同时,承担因审核错误而引起的、为不满足资格的人发放了证书而引起的一切后果,它应由能够承担这些责任的机构担任。三证书操作部门cp(certification processor)为已被授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权的人发放了证书等,它可由ra自己担任,也可委托给第三方担任。四密钥管理部门km,负责产生实体的加密钥对,并对其解密私钥提供托管服务。五证书存储地(dir),包括网上所有的证书目录。认证体系的职责:验证并标识公开密钥信息提交认证的实体的身份;确保用于产生数字证书的非对称密钥对的质量;保证认
6、证过程和用于签名公开密钥信息的私有密钥的安全;确保两个不同的实体未被赋予相同的身份,以便把它们区别开来;管理包含于公开密钥信息中的证书材料信息,例如数字证书序列号、认证机构标识等;维护并发布撤销证书列表;指定并检查证书的有效期;通知在公开密钥信息中标识的实体,数字证书已经发布;记录数字证书产生过程的所有步骤。安全认证体系的主要功能包括:签发数字证书、管理下级审核注册机构、接受下级审核注册机构的业务申请、维护和管理所有证书目录服务、向密钥管理中心申请密钥、实体鉴别密钥器的管理等等。CA自身证书的管理自身证书的查询CRL查询查询操作日志统计报表输出CA对用户证书的管理密钥管理和KMC1)密钥管理2
7、)密钥管理中心(Key Management Center,KMC)密钥生成密钥存储密钥传输密钥备份密钥和证书的更新查询注销时间戳服务时间戳是一个具有法律效力的电子凭证,是各种类型的电子文件(数据文件)在时间、权属及内容完整性方面的证明。时间戳主要用在商业秘密保护、工作文档的责任认定、著作权保护、原创作品、软件代码、发明专利、学术论文、试验数据、电子单据等方面。时间戳服务是时间戳服务中心通过我国法定时间源和现代密码技术相结合而提供的一种第三方服务,时间戳有效证明了数据电文(电子文件)产生的时间及内容完整性。4.2.3 数字证书和CRI数字身份认证基于国际PKI标准的网上身份认证系统,以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助各个实体识别对方身份和表明自身的身份,具有真实性和防抵赖功能。数字证书的类型SSL证书和SET证书个人身份证书企业机构身份证书支付网关证书服务器证书符合企业机构代码签名证书安全电子邮件证书个人代码签名证书4.3 Windows Server 2003证书服务n配置Web服务器n配置证书服务器实训4.1 使用证书