(密钥分配和用户认证.pptVIP

第4章 密钥分配和用户认证 提纲 4.1 基于对称加密的密钥分发 4.2 基于非对称加密的密钥分发 4.3 PKI 4.1 基于对称加密的密钥分发 A选定密钥K，并通过物理方法传递给B. 第三方选定密钥K，并通过物理方法传递给A和B. 如果A和B在之前使用过一个密钥，一方能够将使用就密钥加密的新密钥传递给另一方. 如果A和B各自有一个到达第三方C的加密链路，C能够在加密链路上传递密钥给A和B. 4.1 基于对称加密的密钥分发 针对上述第四种方案，用到两种类型的密钥： 会话密钥：一次通信过程中使用的密钥。 永久密钥：用于分发会话密钥的密钥。 4.2 基于非对称加密的密钥分发 Diffie-Hellman密钥交换被广泛应用，但是它的缺陷是不能为两个通信者提供认证。 使用像RSA这样的非对称加密算法来分发密钥是不错的选择。 4.2 基于非对称加密的密钥分发 假设Alice和Bob准备进行如下秘密通信： Alice: 我叫Alice，我的公开密钥是Ka，你选择一个会话密钥K，用Ka加密后传送给我。 Bob:使用Ka加密会话密钥K； Alice：使用K加密传输信息； Bob:使用K加密传输信息； 存在问题： 1、Bob怎么知道一定是Alice和他通信？（数字签名） 2、Bob如何知道Ka一定是Alice的公钥?（公钥证书） 4.3 PKI PKI（Public Key Infrastructure）含义为“公钥基础设施”，PKI技术是利用公钥理论和技术建立的提供信息安全服务的基础设施 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封等。 PKI基础设施采用证书管理公钥，通过第三方的可信任机构--认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet网上验证用户的身份。 PKI基础设施把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的安全传输。 从广义上讲，所有提供公钥加密和数字签名服务的系统，都可归结为PKI系统的一部分。 1、PKI提供的基本服务 认证 采用数字签名技术，签名作用于相应的数据之上 数据源认证服务 身份认证服务 完整性 必威体育官网网址性 用公钥分发随机密钥，然后用随机密钥对数据加密 不可否认 发送方和接受方的不可否认 2、PKI之动机 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案：引入证书(certificate) 通过证书把公钥和身份关联起来 3、PKI基本组成(至此) PKI由以下几个基本部分组成： 端实体 公钥证书 证书作废列表（CRL） 策略管理机构（PMA） 认证机构（CA） 注册机构（RA） 存储库(Repository) 3、PKI基本组成 1)、端实体（end entity）：一个用来表示终端用户、设备或者任何其他的可以在公钥证书的主体域被确定身份的实体的通用术语。 2)、公钥证书：由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。 3)、证书作废列表（CRL）：作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。 4)、策略管理机构（PMA）：监督证书策略的产生和更新，管理PKI证书策略。 3、PKI基本组成 证书(certificate)，有时候简称为cert。 PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一。 证书提供了一种在Internet上验证身份的方式，作用类似于驾照和身份证。是一个机构颁发给一个个体的证明，所以证书的权威性取决于该机构的权威性。 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途。 最常用的证书格式为X.509 v3。 * 第2部分 网络安全应用  第4章 密钥分配和用户认证 第5章 传输层安全 第6章 无线网络安全 第7章 电子邮件安全 第8章 IP安全 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Evaluation only.