資訊保安學習筆記(八) PKI原理與應用

2021-10-04 06:08:49 字數 2603 閱讀 7264

前言:pki是public key infrastructure的縮寫,意為"公鑰基礎設施",是乙個用非對稱金鑰演算法原理和技術實現,具有通用性的安全的基礎設施。

pki利用證書標識金鑰持有人的身份,通過對金鑰的規範化管理,為組織機構建立和維護乙個可信賴的系統環境,透明地為應用系統提供身份認證、資料保密性和完整性、抗抵賴等各種必要的安全保障,滿足各種應用系統的安全需求。簡單地說,pki是提供公鑰加密和數字簽名服務的系統,目的是為了自動管理金鑰和證書,保證網上數字資訊傳輸的機密性真實性、完整性和不可否認性。

pki的作用

1)對身份合法性進行驗證:以明文傳輸的使用者名稱和口令存在被截獲的安全隱患。

2)實現資料保密性和完整性:企業中儲存的資料大多是明文儲存,避免被篡改和洩露。

3)實現資料傳輸安全性:以明文方式在網路上傳輸的資料很容易被洩露。

4)實現數字簽名和不可抵賴:

pki的體系結構:pki的體系是由多種認證機構及各種終端實體等元件組成,其結構模式一般為多層次的樹狀結構。pki是由很多ca和ca信任鏈組成的。ca通過3種方式組織到一起。

注:ca:證書頒發機構(certificate authority)即頒發數字證書的機構。是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。

第一種:首先建立ca,再在根ca下組成分層的體系結構,上層ca向下層ca發起證書。

第二種:ca連線成的網狀,並且它們之間的地位平等

第三種:橋接體系結構

ca採用pki公開金鑰基礎架構技術,專門提供網路身份認證服務,負責簽發和管理數字證書,且具有權威性和公正性的第三方信任機構。

ca證書簽發機構:

ra註冊審核機構設定:

kmc金鑰管理:

發布系統:

數字證書是指網路通訊中標誌通訊各方身份資訊的一系列資料,其作用類似於現實生活中的身份證。

數字證書的作用

訪問需要客戶驗證的安全internet安全點。

用對方的數字證書向對方傳送加密資訊。

給對方傳送帶自己簽名的資訊。

數字證書的內容

證書的格式有itu標準x.509 v3來定義。

(1)證書資料:

a.版本資訊,用來與x.509的將來版本相容。

b.證書序列號,每個由ca發行的證書必須有乙個唯一的序列號。

c.ca所使用的簽名演算法。

d.發行證書ca的名稱。

e.證書的有效期限。

f.證書的主題名稱

g.被證明的公鑰資訊,包括公鑰演算法、公鑰的位字串表示。

h.包含額外資訊的拓展。

(2)發行證書的ca簽名

證書第二部分包括發行證書的ca簽名和用來生成數字簽名的簽名演算法。任何人收到證書後都能使用簽名演算法來驗證證書是否由ca的簽名金鑰簽發。

使用數字證書的注意事項

(1)含有使用者私鑰的數字證書匯出檔案本身應加上密碼,並且有備份,妥善儲存在比較安全的地方。

(2)安裝使用者的數字簽名證書時,應該使用密碼對私鑰進行保護,並且密碼要足夠長、很難猜測。

(3)安裝使用者的數字證書時最好不要將私鑰標記為可匯出,以防止意外。

(4)使用私鑰進行數字簽名或者解密時,不要選擇選項記錄密碼。

(5)如果使用者證書遺失或者被他人竊取,應及時吊銷。

基於pki技術,目前世界上已經出現了許多依賴pki的安全標準,即pki的應用標準,如安全的套接層標準ssl、傳輸層安全協議tls、安全的多用途網際網路郵件拓展協議s/mime和ip安全協議ipsec等

電子商務應用:

電子商務的參與方一般包括買方、賣方、銀行和作為中介的電子市場。買方通過自己的瀏覽器上網,登入到電子交易市場的web伺服器並尋找賣方。當買方登陸伺服器時,互相之間需要通過pki驗證對方以確認其身份,這被稱作為雙向認證。

在雙方身份被互相確認以後,建立起安全通道,並進行討價還價,之後向**提交訂單。訂單裡有兩種資訊:一部分是訂貨資訊,另一部分是提交銀行的支付資訊。

買方對這兩種資訊進行數字簽名,分別用商場和銀行的證書公鑰加密上述資訊。當商場收到交易資訊後留下訂貨單資訊,而將支付資訊**給銀行。商場只有用自己的金鑰解開訂貨資訊並驗證簽名。同理,銀行只能用自己的私鑰解開加密的支付資訊、驗證簽名並進行劃賬。銀行在完成劃賬之後,通知起中介作用的電子市場,物流中心和買方,並進行商品配送。整個交易過程都是在pki所提供的安全服務下進行的,實現了安全、可靠、保密和不可否認性。

電子政務:

電子政務的主要內容有網上資訊發布、辦公自動化、網上辦公、資訊資源共享等。按應用模式也可以分為g2c、g2b、g2g,pki在其中的應用主要是解決身份認證、資料完整性、資料保密性和不可抵賴性等問題。

例如,乙個保密檔案發給誰或者哪一級公務員有權檢視某個機密檔案,這些都需要進行身份認證,與身份認證相關的還有訪問控制,即許可權控制。認證通過證書進行,而訪問控制通過屬性證書或者訪問控制列表(acl)完成。有些檔案在網路傳輸中要保密以保證資料的保密性。有些檔案在網上傳輸時要求不能被丟失或者被篡改。特別是一些保密檔案的收發必須要有數字簽名等。只有pki提供的安全服務才能滿足電子政務中的這些安全需求。

資訊保安學習筆記

密碼學 1.受限制的演算法 演算法的保密性基於保持演算法的秘密 2.基於金鑰的演算法 演算法的保密性基於對金鑰的保密 3.分組密碼 將明文分成固定長度的組,用同一金鑰演算法對每一塊加密,輸出也是固定長度的密文 4.流密碼 有成序列密碼,每次加密一位或者乙個位元組的明文 5.凱撒密碼的密文空間是26,...

資訊保安學習筆記 1

菜鳥最近上了一本資訊保安的課程,現在打算做做筆記,整理所學知識.首先是資訊保安的目標 機密性,完整性 可用性 可控性 不可否認性 機密性 意思就是資訊被該知道的人知道,不被不該知道的人的知道 完整性 是指資訊的完整性,不可以被破壞 可用性 資訊對於已經被授權的人應該是可用的 可控性 資訊的傳播和內容...

資訊保安學習筆記 3

資訊保安的目標之中有乙個完整性.完整性 是指資訊不被非法篡改,針對完整性,有一種函式 雜湊函式,雜湊函式的特點是 1.單向密碼體制,只有從明文到密文的對映,而不會有對應 的逆對映,也就是說只有加密的過程,不存在解密.2.輸出是固定長度的密文.無論明文的長度是多少,輸出的 密文都是固定長度的.雜湊函式...