網(wǎng)絡(luò)安全技術(shù)4

第4章公鑰基礎(chǔ)設(shè)施主要內(nèi)容4.1密碼技術(shù)4.2PKI技術(shù)4.3WindowsServer2003證書服務(wù)14.1密碼技術(shù)4.1.1密碼學(xué)定義密碼學(xué)(Cryptology)是研究如何實(shí)現(xiàn)秘密通信的科學(xué)，包含密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)(Cryptography)，主要研究對信息進(jìn)行編碼,實(shí)現(xiàn)信息保密性的科學(xué)。密碼分析學(xué)(Cryptanalytics)，主要研究分析、破譯密碼的科學(xué)。密碼學(xué)基本功能：①保密性，非授權(quán)者無法知道消息內(nèi)容；②完整性，消息接收者應(yīng)該能夠驗(yàn)證消息在傳輸過程中沒有被改變；③鑒別，消息接收者應(yīng)該能夠確認(rèn)消息的來源；④不可否認(rèn)性，發(fā)送方不能否認(rèn)已經(jīng)發(fā)送的消息。24.1.2密碼學(xué)發(fā)展歷史4.1.3香農(nóng)模型34.1.4密碼體制分類按密鑰使用數(shù)量不同，對稱密碼（又稱為單鑰密碼）(symmetric)和非對稱密碼（又稱為公鑰密碼）(asymmetric)。對于對稱密鑰密碼而言，按照明文處理方式的不同，又可以分為分組密碼（blockcipher）和流密碼（streamcipher）。4.1.5對稱密碼算法44.1.6公鑰密碼算法54.1.7密鑰的管理和分配密鑰的產(chǎn)生對稱密碼體制的密鑰分配公鑰密碼體制的密鑰分配64.1.8加密技術(shù)的應(yīng)用數(shù)字簽名數(shù)字證書74.1.9DES和RSA混合加解密DES加密數(shù)據(jù)，RSA加密DES的密鑰Hash單向散列函數(shù)數(shù)字簽名84.2PKI技術(shù)4.2.1公鑰基礎(chǔ)設(shè)施PKI是基于公開密鑰理論和技術(shù)建立起來的安全體系，提供信息安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施；該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證，是CA認(rèn)證、數(shù)字證書、數(shù)字簽名以及相關(guān)安全應(yīng)用組件模塊的集合；PKI是認(rèn)證、完整性、機(jī)密性和不可否認(rèn)性的技術(shù)基礎(chǔ)，從技術(shù)上解決網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障。PKI的核心是要解決信息網(wǎng)絡(luò)空間中的信任問題，確定信息網(wǎng)絡(luò)空間中各種主體身份的惟一性、真實(shí)性和合法性，保護(hù)信息網(wǎng)絡(luò)空間中各種主體的安全利益。PKI提供的服務(wù)①認(rèn)證②支持密鑰管理③完整性與不可否認(rèn)9PKI的體系結(jié)構(gòu)①認(rèn)證機(jī)構(gòu)CA（CertificateAuthority），是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成部分，通常稱為認(rèn)證中心。②證書和證書庫。③密鑰備份及恢復(fù)，是密鑰管理的主要內(nèi)容，如果用戶的解密數(shù)據(jù)的密鑰丟失，從而使已被加密的密文無法解開。④密鑰和證書的更新。⑤證書歷史檔案。⑥客戶端軟件。⑦交叉認(rèn)證。10PKI的相關(guān)標(biāo)準(zhǔn)①X.509（1993）信息技術(shù)之開放系統(tǒng)互聯(lián)②PKCS系列標(biāo)準(zhǔn)③OCSP在線證書狀態(tài)協(xié)議PKI的應(yīng)用①虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork，VPN)②安全電子郵件③Web安全114.2.2證書權(quán)威（CA）CA的功能和組成①CA認(rèn)證體系組成：一ca，負(fù)責(zé)產(chǎn)生和確定用戶實(shí)體的數(shù)字證書；二審核授權(quán)部門，簡稱ra，負(fù)責(zé)對證書的申請者進(jìn)行資格審查，并決定是否同意給申請者發(fā)放證書；同時，承擔(dān)因?qū)徍隋e誤而引起的、為不滿足資格的人發(fā)放了證書而引起的一切后果，它應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任。三證書操作部門cp（certificationprocessor）為已被授權(quán)的申請者制作、發(fā)放和管理證書，并承擔(dān)因操作運(yùn)營錯誤所產(chǎn)生的一切后果，包括失密和為沒有獲得授權(quán)的人發(fā)放了證書等，它可由ra自己擔(dān)任，也可委托給第三方擔(dān)任。四密鑰管理部門km，負(fù)責(zé)產(chǎn)生實(shí)體的加密鑰對，并對其解密私鑰提供托管服務(wù)。五證書存儲地（dir），包括網(wǎng)上所有的證書目錄。②認(rèn)證體系的職責(zé)：驗(yàn)證并標(biāo)識公開密鑰信息提交認(rèn)證的實(shí)體的身份；確保用于產(chǎn)生數(shù)字證書的非對稱密鑰對的質(zhì)量；保證認(rèn)證過程和用于簽名公開密鑰信息的私有密鑰的安全；確保兩個不同的實(shí)體未被賦予相同的身份，以便把它們區(qū)別開來；管理包含于公開密鑰信息中的證書材料信息，例如數(shù)字證書序列號、認(rèn)證機(jī)構(gòu)標(biāo)識等；維護(hù)并發(fā)布撤銷證書列表；指定并檢查證書的有效期；通知在公開密鑰信息中標(biāo)識的實(shí)體，數(shù)字證書已經(jīng)發(fā)布；記錄數(shù)字證書產(chǎn)生過程的所有步驟。③安全認(rèn)證體系的主要功能包括：簽發(fā)數(shù)字證書、管理下級審核注冊機(jī)構(gòu)、接受下級審核注冊機(jī)構(gòu)的業(yè)務(wù)申請、維護(hù)和管理所有證書目錄服務(wù)、向密鑰管理中心申請密鑰、實(shí)體鑒別密鑰器的管理等等。12CA自身證書的管理●自身證書的查詢●CRL查詢●查詢操作日志●統(tǒng)計(jì)報(bào)表輸出CA對用戶證書的管理密鑰管理和KMC1)密鑰管理2)密鑰管理中心（KeyManagementCenter，KMC）⑴密鑰生成⑵密鑰存儲⑶密鑰傳輸⑷密鑰備份⑸密鑰和證書的更新⑹查詢⑺注銷13時間戳服務(wù)時間戳是一個具有法律效力的電子憑證，是各種類型的電子文件（數(shù)據(jù)文件）在時間、權(quán)屬及內(nèi)容完整性方面的證明。時間戳主要用在商業(yè)秘密保護(hù)、工作文檔的責(zé)任認(rèn)定、著作權(quán)保護(hù)、原創(chuàng)作品、軟件代碼、發(fā)明專利、學(xué)術(shù)論文、試驗(yàn)數(shù)據(jù)、電子單據(jù)等方面。時間戳服務(wù)是時間戳服務(wù)中心通過我國法定時間源和現(xiàn)代密碼技術(shù)相結(jié)合而提供的一種第三方服務(wù)，時間戳有效證明了數(shù)據(jù)電文（電子文件）產(chǎn)生的時間及內(nèi)容完整性。144.2.3

數(shù)字證書和CRI數(shù)字身份認(rèn)證基于國際PKI標(biāo)準(zhǔn)的網(wǎng)上身份認(rèn)證系統(tǒng)，以數(shù)字簽名的方式通過第三方權(quán)威認(rèn)證有效地進(jìn)行網(wǎng)上身份認(rèn)證，幫助各個實(shí)體識別對方身份和表明自身的身份，具有真實(shí)性和防抵賴功能。數(shù)字證書的類型SSL證書和SET證書①個人身份證書②企業(yè)機(jī)構(gòu)身份證書③支付網(wǎng)關(guān)證書④服