网络安全基础教程教学PPT作者张仕斌陈麟方睿第5章认证技术.pptVIP

主 要 内 容 知识点： 5.1 认证技术概述 5.1.1 认证及认证模型 5.1.2 认证协议 5.2 口令认证技术 5.3 消息认证技术 5.4 实体认证技术 5.4.1 身份认证系统 习题5-1 5.5.3 PKI（公钥基础设施）技术 PKI技术是目前网络安全建设的基础与核心，是电子商务安全实施的基本保障，因此，对PKI技术的研究和开发成为目前信息安全领域的热点。 1．什么是PKI(Public Key Infrastructure)？ PKI是一种利用公钥密码理论和技术建立起来的提供信息安全服务的基础设施，旨在从技术上解决网上身份认证、信息的完整性和不可抵赖性等安全问题，为诸如电子商务、电子政务、网上银行和网上证券等网络应用提供可靠的安全服务的基础设施。 2．PKI的理论基础 PKI是一个利用现代密码学的公钥密码理论和技术、并在开放的Internet网络环境中建立起来的提供数据加密以及数字签名等信息安全服务的的基础设施。PKI引入证书机制来解决密钥的分配与管理问题。 PKI是一种新的安全技术，它是一种遵循标准的密钥管理平台，能为网络应用透明地提供采用加密和数字签名等密码技术服务所必需的密钥和证书管理。 证书是由认证中心，也称证书机构（CA，Certificate Authority，它是通信双方都信赖的颁发证书的机构，是PKI的核心组成部分）颁发的。CA颁发的证书类似于现实生活中公安局颁发的身份证。CA颁发的证书上有CA的数字签名，即用自己的私钥加密的。用户在获得自己的身份证书后，就可以使用证书来表明自己的身份，接收方只需要使用CA的公钥来验证用户证书，如果验证成功，就可以信任该证书描述的用户的身份和证书上公钥是真实的。证书的签发/验证充分利用了公开密钥算法的数据签名和验证功能，杜绝了冒充身份的可能性。 3．PKI的组成 PKI在实际应用上是一套软硬件系统和安全策略的集合，它提供了一整套安全机制，使用户在不知道对方身份或分布地很广的情况下，以证书为基础，通过一系列的信任关系进行通讯和电子商务交易。 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大部分来构建。 （1）认证机构（CA）：即数字证书的申请及签发机构，CA必须具备权威性的特征，它是PKI的核心，也是PKI的信任基础，它管理公钥的整个生命周期。其作用包括发放证书、规定证书的有效期和通过发布证书废除列表（CRL，Certificate Revocation Lists，又称证书黑名单）确保必要的情况下可以废除证书。 （2）数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。 （3）密钥备份及恢复系统：密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥是为确保其唯一性而不能够作备份。 （4）证书作废系统：证书作废处理系统是PKI的一个必备的组件。作废证书一般通过将证书列入证书废除列表CRL（CRL一般存放在目录系统中）中来完成。通常，系统中由CA负责创建并维护一张及时更新的CRL，而由用户正在验证证书时负责检查该证书是否在CRL之列。证书的作废处理必须在安全及可验证的情况下进行，必须确保CRL的完整性。 （5）应用接口（API）：一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性，同时降低管理维护成本。 4．PKI标准 PKI标准化主要有两个方面：一是RSA公司的公钥加密标准PKCS（Public Key Cryptography Standards）,它定义了许多基本PKI部件，包括数字签名和证书请求格式等；二是由Internet工程任务组IETF（Internet Engineering Task Force）和PKI工作组PKIX（Public Key Infrastructure Working Group）所定义的一组具有互操作性的公钥基础设施协议。在今后很长的一段时间内，PKCS和PKIX将会并存，大部分的PKI产品为保持兼容性，也将会对这两种标准进行支持。 （1）第一代PKI标准：RSA公司的公钥加密标准（Public Key Cryptography Standards，PKCS）系列 、ITU-T X.509、公钥基础设施X.509（Public Key Infrastructure X.509，PKIX）标准系列、无线应用协议（Wireless Applicat