15
PKI技术的典型应用
身份认证
身份认证是鉴别资源的访问者的合法性的基础手段
通常的认证方式：用户名+口令 用户名+口令方式的脆弱性
安全隐患 口令破解技术的发展 管理因素
16
用户名+口令的安全隐患
安全隐患
• • • •
密码容易被无意中泄漏； 黑客和木马工具层出不穷，密码很容易被窃取； 由于密码长度有限，设置密码时没有进行强密码限制，导致密码 可能被猜测、穷举、破译； 应用系统逐步丰富，如果用户密码多了就容易忘记。
12
非对称加密算法
没有共享的密钥。两把密钥同时产生；一把为公钥，另一 把为私钥；因此也被称为一对密钥。
解密
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
非对称 加密算法
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones
HSM
CA
D/B
HSM PKI enabled applications
PKIX
RA
D/B
RA
D/B
RA
D/B
SPKM
受理点
Public Bob
HASH
• 使用CA的私钥 • 保证信息的真实性和完整性
• 遵守X.509标准
Signed with trusted private Private CA key
Digital Signature
14
数字证书 VS 身份证
• 姓名：王明 • 序列号： 484865 • 签发者：XXXCA • • • •
•
•
发布时间：2002-01-01 有效时间：2002-12-31 Email：wm@ 公钥：38ighwejb 私钥： 42qdyeipv ……
• 姓名：王明 • 编号： 110104197312061536 • 签发者：北京市公安局海淀 分局 • 发布时间：2000-04-05 • 有效期：20年 • 住址：北京市海淀区中科院 南路6号
对称加密 算法
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones 11
篡改 发出的信息被篡改过吗？
身份认证
不可抵赖
?
伪造 我在与谁通讯?
未发出
Claims
未收到
是否发出/收到信息?
8
如何解决电子通讯中的安全要素
密码技术 （加密 & 解密）
• 对称加密
• 共享 密钥
• 非对称加密
• 公共/私有 密钥对
密码技术的特殊应用： • 数字签名
• 数字证书
Digital Certificate
非对称加密算法
没有共享的密钥。两把密钥同时产生；一把为公钥，另 一把为私钥；因此也被称为一对密钥。
加密
To: The Bank To: The Bank From: Tom Jones From: Tom Jones Date: 31 Dec 99 Date: 31 Dec 99 Please transfer Please transfer One Million Dollars One Million from account Dollars 1234567 account 1234567 tofrom account 7654321, to account 7654321, TomJones TomJones
17
口令的破解技术
破解技术
• • • • •
穷举法（蛮力猜测） 利用技术和管理漏洞 字典法破译 通过网络监听非法得到用户口令 采用缺省口令直接猜测
18
几种认证方式的比较
用户名/口令 动态口令 生物特征 数字证书 （非对称密钥 ） 高
安全性
低
较高
高
双向认证
单向
单向
单向
双向
确保信息的保 密性、完整性 和不可否认性 成本
• 国家保密局：涉及国家秘密的计算机信息系统集成资质证书 • 公安部：计算机信息系统安全专用产品销售许可证 • 国家信息安全测评认证中心：信息安全认证产品型号证书 • 国家密码管理局:系统安全性审查 • 解放军信息安全测评认证中心：军用信息安全产品认证证书 • 国家信息产业部:CA运营执照
21
PKI系统的总体介绍
解密
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
3
• 但人们担心的是 . . .
Internet上没人知道你是一只狗
4
常用的安全防护手段

基于口令验证 防火墙 入侵检测 漏洞扫描 安全审计 防病毒Байду номын сангаас
5
我们将找到答案 ……
加密算法： 对称加密 非对称加密 网络安全 解决方案 数字证书 证书链 Certification Authorities & PKI
不能
不能
不能
能
低
较高
最高
高
19
什么是 PKI ?
Public Key Infrastructure (PKI) . . . . . . 是硬件、软件、人员、策略 和操作规程的总和，它们要完成创建、管理、 保存、发放和废止证书的功能
PKI 基于公开密钥加密算法来保证网络通讯安全
20
国家的相关管理机构
非对称 加密算法
*> *ql3*UY *> *ql3*UY #~00873/JDI #~00873/JDI c4(DH: IWB(883 c4(DH: IWB(883 LKS9UI29as9eeasdofi LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe.> qw9vijhas9djerhp7goe.> (*Y23k^wbvlqkwcyw83 (*Y23k^wbvlqkwcyw83 zqw-_89237xGyjdc zqw-_89237xGyjdc Biskdue di7@94 Biskdue di7@94
13
什么是数字证书?
一个 数字证书 是 . . .
• 一个包含用户身份信息的文件
• CA的名称 （颁发机构） • Bob的名称 （对象） • Bob的公钥
• 数字签名
• 由可信的第三方进行签名
Certification Authority
• Issuer (CA) • Subject (Bob) • Subject’s Public Key
PKI技术基础
吉大正元信息技术股份有限公司 2007年9月
PKI技术的引入
如何保证网络上的通讯安全？
• 使用LAN/Internet . . .
• • • • • • • • • 发送邮件 分发软件 发送敏感的或私有的数据 进行应用系统访问 如何确认某人的身份? 如何知道我连接的是一个可信的站点? 怎样才能保证我的通讯安全? 怎样确定电子信息是否被篡改? 如何证明某人确实给我发过电子邮件?
受理点
27
KMC
CA
RA
RA
受理点
受理点
受理点
PKI系统标准结构
PKIX CMP, Cert
LDAPv3, DAP
CA
KMC
Cross Certification
CA
D/B
HSM
Signing Algorithms RSA, DSA, ECDSA
Directory Services
LDAP
CA
D/B
• 交叉认证、审计、统计
• 支持多级CA • 支持逻辑CA • 支持证书模板 • 支持双证书 • 支持汉字证书 • 支持密钥管理中心（KMC） • 支持OCSP（在线证书状态查询）