计算机网络安全技术与应用第五章.ppt

计算机网络安全技术与应用第五章计算机网络安全技术与应用第五章现在学习的是第1页，共49页第五章第五章 PKIPKI技术技术n掌握身份识别与鉴别的概念及身份识别技术掌握身份识别与鉴别的概念及身份识别技术n掌握掌握PKI的概念，了解网络中传输信息的安全要求的概念，了解网络中传输信息的安全要求n掌握掌握PKI的服务功能和实体构成的服务功能和实体构成n掌握掌握CA的相关概念、功能和组成的相关概念、功能和组成n掌握数字证书的相关概念掌握数字证书的相关概念n了解了解CA数字证书的管理数字证书的管理n了解了解PKI的相关标准及应用的相关标准及应用本章学习要求本章学习要求现在学习的是第2页，共49页第五章第五章 PKIPKI技术技术5.1 口令的安全口令的安全5.2 身份识别与鉴别身份识别与鉴别5.3 PKI概述概述5.4 PKI应用举例应用举例主要内容主要内容现在学习的是第3页，共49页 目前，被广泛采用的目前，被广泛采用的公钥基础设施公钥基础设施（Public Key Infrastructure，PKI）技术采用证书管理公钥，通过）技术采用证书管理公钥，通过第三方的可信任机构第三方的可信任机构认证中心（认证中心（Certificate Authority，CA）把用户的公钥和用户的其他标识信）把用户的公钥和用户的其他标识信息（例如名称、息（例如名称、E-mail、身份证号等）捆绑在一起。、身份证号等）捆绑在一起。通过通过Internet的的CA机构，较好地解决了密钥的分发和机构，较好地解决了密钥的分发和管理问题，并通过数字证书，对传输的数据进行加密管理问题，并通过数字证书，对传输的数据进行加密和鉴别，保证了信息传输的机密性、真实性、完整性和鉴别，保证了信息传输的机密性、真实性、完整性和不可否认性。和不可否认性。现在学习的是第4页，共49页 口令口令是用于身份标识和身份认证的一种是用于身份标识和身份认证的一种凭证凭证，以密，以密码理论为基础的身份认证和鉴别是访问控制和审计码理论为基础的身份认证和鉴别是访问控制和审计的前提，对网络环境下的信息安全尤其重要，而的前提，对网络环境下的信息安全尤其重要，而PKI为此提供了为此提供了全面的解决方案全面的解决方案。现在学习的是第5页，共49页5.1 5.1 口令安全口令安全 5.1.1 5.1.1 口令的管理口令的管理 口令机制是一种口令机制是一种最简单、最常用最简单、最常用的系统或应用程的系统或应用程序序访问控制的方法访问控制的方法。因为这种认证用户的方法简单、。因为这种认证用户的方法简单、实现容易而且消耗系统资源少，至今仍在广泛地使用实现容易而且消耗系统资源少，至今仍在广泛地使用着。着。几乎所有的计算机及网络系统、通信系统都需要几乎所有的计算机及网络系统、通信系统都需要口令，以拥有易于实现的第一级别的访问安全。非法口令，以拥有易于实现的第一级别的访问安全。非法用户通过一些手段获取口令的过程，称为口令的破解。用户通过一些手段获取口令的过程，称为口令的破解。现在学习的是第6页，共49页5.1 5.1 口令安全口令安全1 1口令安全面临的威胁口令安全面临的威胁 尽管目前许多计算机系统和网络的进入或登录都尽管目前许多计算机系统和网络的进入或登录都是采用口令来防止非法用户的入侵，然而口令系统却是采用口令来防止非法用户的入侵，然而口令系统却是非常是非常脆弱的脆弱的。其安全威胁主要来自于：。其安全威胁主要来自于：（1）非法用户利用缺少保护的口令进行攻击）非法用户利用缺少保护的口令进行攻击 （2）屏蔽口令）屏蔽口令 （3）窃取口令）窃取口令 （4）木马攻击）木马攻击 （5）安全意识淡薄）安全意识淡薄现在学习的是第7页，共49页5.1 5.1 口令安全口令安全2创建安全口令和维护口令安全创建安全口令和维护口令安全 一个好的口令应该是一个好的口令应该是一个好的口令应该是一个好的口令应该是不容易被破解不容易被破解不容易被破解不容易被破解的，因此创建一个有效的口令是保证的，因此创建一个有效的口令是保证的，因此创建一个有效的口令是保证的，因此创建一个有效的口令是保证其安全的第一步，维护口令安全是第二步。其安全的第一步，维护口令安全是第二步。其安全的第一步，维护口令安全是第二步。其安全的第一步，维护口令安全是第二步。（1）安全口令的创建）安全口令的创建 口令的长度应尽可能的长，口令字符集中包含的字符应尽可能的多。口令的长度应尽可能的长，口令字符集中包含的字符应尽可能的多。口令的长度应尽可能的长，口令字符集中包含的字符应尽可能的多。口令的长度应尽可能的长，口令字符集中包含的字符应尽可能的多。不要选择使用一些有特征的字词作为口令。不要选择使用一些有特征的字词作为口令。不要选择特别难记的口令，以免遗忘而影响使用。不要选择特别难记的口令，以免遗忘而影响使用。最好将创建的口令加密以后，以文件的形式保存在磁盘上，当需要输入最好将创建的口令加密以后，以文件的形式保存在磁盘上，当需要输入口令时，执行一次此文件，这样可以防止盗窃口令者用猜测的方法窃取。口令时，执行一次此文件，这样可以防止盗窃口令者用猜测的方法窃取。现在学习的是第8页，共49页5.1 5.1 口令安全口令安全 （2 2）口令安全的维护）口令安全的维护）口令安全的维护）口令安全的维护 应经常更换口令。应经常更换口令。应经常更换口令。应经常更换口令。用户不要将自己的口令告诉别人，也不要几个人或几个用户不要将自己的口令告诉别人，也不要几个人或几个用户不要将自己的口令告诉别人，也不要几个人或几个用户不要将自己的口令告诉别人，也不要几个人或几个系统共用一个口令系统共用一个口令系统共用一个口令系统共用一个口令;用户最好不要用电子邮件来传送口令。用户最好不要用电子邮件来传送口令。用户最好不要用电子邮件来传送口令。用户最好不要用电子邮件来传送口令。当用户使用了难以记忆的口令，应该将记录口令的载体放当用户使用了难以记忆的口令，应该将记录口令的载体放当用户使用了难以记忆的口令，应该将记录口令的载体放当用户使用了难以记忆的口令，应该将记录口令的载体放到远离计算机的地方，以减少被盗窃的机会。到远离计算机的地方，以减少被盗窃的机会。到远离计算机的地方，以减少被盗窃的机会。到远离计算机的地方，以减少被盗窃的机会。用户应增强保护口令的安全意识。用户应增强保护口令的安全意识。用户应增强保护口令的安全意识。用户应增强保护口令的安全意识。现在学习的是第9页，共49页5.1 5.1 口令安全口令安全5.1.2 5.1.2 5.1.2 5.1.2 脆弱性口令脆弱性口令脆弱性口令脆弱性口令 口令是系统和个人信息安全的口令是系统和个人信息安全的口令是系统和个人信息安全的口令是系统和个人信息安全的第一道防线第一道防线第一道防线第一道防线。但是，口令是。但是，口令是。但是，口令是。但是，口令是较弱较弱较弱较弱的安全机制。从责任的角度来看，用户和系统管理员都对口令的失密负的安全机制。从责任的角度来看，用户和系统管理员都对口令的失密负的安全机制。从责任的角度来看，用户和系统管理员都对口令的失密负的安全机制。从责任的角度来看，用户和系统管理员都对口令的失密负有责任，或者说系统管理员和用户两方面都有可能造成口令失密。有责任，或者说系统管理员和用户两方面都有可能造成口令失密。有责任，或者说系统管理员和用户两方面都有可能造成口令失密。有责任，或者说系统管理员和用户两方面都有可能造成口令失密。脆弱性口令脆弱性口令脆弱性口令脆弱性口令也就是常说的弱口令，易于被破解。弱口令一般具有也就是常说的弱口令，易于被破解。弱口令一般具有也就是常说的弱口令，易于被破解。弱口令一般具有也就是常说的弱口令，易于被破解。弱口令一般具有下列特征：下列特征：下列特征：下列特征：（1 1）系统默认口令。）系统默认口令。）系统默认口令。）系统默认口令。（2 2）口令与个人信息相关。）口令与个人信息相关。）口令与个人信息相关。）口令与个人信息相关。（3 3）口令为字典中的词语。）口令为字典中的词语。）口令为字典中的词语。）口令为字典中的词语。（4 4）过短的口令（口令长度小于或等于）过短的口令（口令长度小于或等于）过短的口令（口令长度小于或等于）过短的口令（口令长度小于或等于6 6位）。位）。位）。位）。（5 5）永久性口令。）永久性口令。）永久性口令。）永久性口令。现在学习的是第10页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别5.2.1 5.2.1 5.2.1 5.2.1 身份识别与鉴别的概念身份识别与鉴别的概念身份识别与鉴别的概念身份识别与鉴别的概念 身份识别身份识别身份识别身份识别是指用户向系统出示自己身份证明的过程；是指用户向系统出示自己身份证明的过程；是指用户向系统出示自己身份证明的过程；是指用户向系统出示自己身份证明的过程；身份鉴身份鉴身份鉴身份鉴别别别别是系统核查用户的身份证明的过程，实质上是查明用户是否是系统核查用户的身份证明的过程，实质上是查明用户是否是系统核查用户的身份证明的过程，实质上是查明用户是否是系统核查用户的身份证明的过程，实质上是查明用户是否具有他所请求资源的存储和使用权。人们通常把这两项工作统具有他所请求资源的存储和使用权。人们通常把这两项工作统具有他所请求资源的存储和使用权。人们通常把这两项工作统具有他所请求资源的存储和使用权。人们通常把这两项工作统称为称为称为称为身份鉴别身份鉴别身份鉴别身份鉴别，也称为，也称为，也称为，也称为身份认证身份认证身份认证身份认证。信息技术领域的身份鉴别通常是通过。信息技术领域的身份鉴别通常是通过。信息技术领域的身份鉴别通常是通过。信息技术领域的身份鉴别通常是通过将一个证据与实体身份绑定来实现的。将一个证据与实体身份绑定来实现的。将一个证据与实体身份绑定来实现的。将一个证据与实体身份绑定来实现的。现在学习的是第11页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别1 1 1 1身份鉴别的任务身份鉴别的任务身份鉴别的任务身份鉴别的任务 计算机系统中的身份鉴别技术一般涉及两方面的内容，即计算机系统中的身份鉴别技术一般涉及两方面的内容，即计算机系统中的身份鉴别技术一般涉及两方面的内容，即计算机系统中的身份鉴别技术一般涉及两方面的内容，即识别和验证识别和验证识别和验证识别和验证。识别信息识别信息识别信息识别信息一般是一般是一般是一般是非秘密非秘密非秘密非秘密的，而的，而的，而的，而验证信息验证信息验证信息验证信息必须是必须是必须是必须是秘密的秘密的秘密的秘密的。所谓。所谓。所谓。所谓“识别识别识别识别”，就，就，就，就是要明确访问者是谁，即识别访问者的身份，且必须对系统中的每个合法用是要明确访问者是谁，即识别访问者的身份，且必须对系统中的每个合法用是要明确访问者是谁，即识别访问者的身份，且必须对系统中的每个合法用是要明确访问者是谁，即识别访问者的身份，且必须对系统中的每个合法用户都有识别能力。所谓户都有识别能力。所谓户都有识别能力。所谓户都有识别能力。所谓“验证验证验证验证”，是指在访问者声明自己的身份（向系，是指在访问者声明自己的身份（向系，是指在访问者声明自己的身份（向系，是指在访问者声明自己的身份（向系统输入它的标识符）后，系统必须对它所声明的身份进行验证，以防统输入它的标识符）后，系统必须对它所声明的身份进行验证，以防统输入它的标识符）后，系统必须对它所声明的身份进行验证，以防统输入它的标识符）后，系统必须对它所声明的身份进行验证，以防假冒，实际上就是证实用户的身份。假冒，实际上就是证实用户的身份。假冒，实际上就是证实用户的身份。假冒，实际上就是证实用户的身份。现在学习的是第12页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别5.2.2 5.2.2 5.2.2 5.2.2 身份鉴别的过程身份鉴别的过程身份鉴别的过程身份鉴别的过程 用户认证系统主要是通过数字认证技术确认用户的身份，从而提供相应的用户认证系统主要是通过数字认证技术确认用户的身份，从而提供相应的用户认证系统主要是通过数字认证技术确认用户的身份，从而提供相应的用户认证系统主要是通过数字认证技术确认用户的身份，从而提供相应的服务。决定身份真实性的身份鉴别过程包括如下服务。决定身份真实性的身份鉴别过程包括如下服务。决定身份真实性的身份鉴别过程包括如下服务。决定身份真实性的身份鉴别过程包括如下两个步骤：两个步骤：两个步骤：两个步骤：（1 1）为实体赋予身份，并绑定身份，决定身份的表现方式为实体赋予身份，并绑定身份，决定身份的表现方式为实体赋予身份，并绑定身份，决定身份的表现方式为实体赋予身份，并绑定身份，决定身份的表现方式 身份的赋予身份的赋予身份的赋予身份的赋予必须由具有更高优先权的实体进行。这些被充分信任必须由具有更高优先权的实体进行。这些被充分信任必须由具有更高优先权的实体进行。这些被充分信任必须由具有更高优先权的实体进行。这些被充分信任的实体可通过类似于驾照检查或指纹验证等办法，来确定实体的真实的实体可通过类似于驾照检查或指纹验证等办法，来确定实体的真实的实体可通过类似于驾照检查或指纹验证等办法，来确定实体的真实的实体可通过类似于驾照检查或指纹验证等办法，来确定实体的真实性，随后赋予真实实体相应的身份信息。性，随后赋予真实实体相应的身份信息。性，随后赋予真实实体相应的身份信息。性，随后赋予真实实体相应的身份信息。（2 2）通信与鉴别通信与鉴别通信与鉴别通信与鉴别 对实体的访问请求，必须鉴别其身份。认证的基本模式可分为对实体的访问请求，必须鉴别其身份。认证的基本模式可分为对实体的访问请求，必须鉴别其身份。认证的基本模式可分为对实体的访问请求，必须鉴别其身份。认证的基本模式可分为3 3类：类：类：类：用户到主机。用户到主机。用户到主机。用户到主机。点对点认证。点对点认证。点对点认证。点对点认证。第三方的认证：由充分信任的第三方提供认证信息。第三方的认证：由充分信任的第三方提供认证信息。第三方的认证：由充分信任的第三方提供认证信息。第三方的认证：由充分信任的第三方提供认证信息。现在学习的是第13页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别5.2.3 5.2.3 5.2.3 5.2.3 生物身份认证生物身份认证生物身份认证生物身份认证 生物特征生物特征生物特征生物特征身份鉴别技术是通过计算机收集人体所固有的身份鉴别技术是通过计算机收集人体所固有的身份鉴别技术是通过计算机收集人体所固有的身份鉴别技术是通过计算机收集人体所固有的生理生理生理生理或或或或行行行行为特征为特征为特征为特征并进行处理，由此进行个人身份鉴定的技术。并进行处理，由此进行个人身份鉴定的技术。并进行处理，由此进行个人身份鉴定的技术。并进行处理，由此进行个人身份鉴定的技术。并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可利用的生物并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可利用的生物并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可利用的生物并非所有的生物特征都可用于个人的身份鉴别。身份鉴别可利用的生物特征必须满足以下几个条件：特征必须满足以下几个条件：特征必须满足以下几个条件：特征必须满足以下几个条件：普遍性普遍性普遍性普遍性：即每个人都必须具备这种特征。：即每个人都必须具备这种特征。：即每个人都必须具备这种特征。：即每个人都必须具备这种特征。唯一性唯一性唯一性唯一性：即任何两个人的特征是不一样的。：即任何两个人的特征是不一样的。：即任何两个人的特征是不一样的。：即任何两个人的特征是不一样的。可测量性可测量性可测量性可测量性：即特征可测量。：即特征可测量。：即特征可测量。：即特征可测量。稳定性稳定性稳定性稳定性：即特征在一段时间内不改变。：即特征在一段时间内不改变。：即特征在一段时间内不改变。：即特征在一段时间内不改变。现在学习的是第14页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别1 1 1 1基于生理特征的识别技术基于生理特征的识别技术基于生理特征的识别技术基于生理特征的识别技术 （1 1）指纹识别）指纹识别）指纹识别）指纹识别 指纹是指手指末梢乳突纹凸起形成的纹线图案，其稳定性、唯一性早已获得公指纹是指手指末梢乳突纹凸起形成的纹线图案，其稳定性、唯一性早已获得公指纹是指手指末梢乳突纹凸起形成的纹线图案，其稳定性、唯一性早已获得公指纹是指手指末梢乳突纹凸起形成的纹线图案，其稳定性、唯一性早已获得公认。目前指纹识别技术主要是利用指纹纹线所提供的认。目前指纹识别技术主要是利用指纹纹线所提供的认。目前指纹识别技术主要是利用指纹纹线所提供的认。目前指纹识别技术主要是利用指纹纹线所提供的细节特征（即纹线的起、细节特征（即纹线的起、细节特征（即纹线的起、细节特征（即纹线的起、终点、中断处、分叉点、汇合点、转折点终点、中断处、分叉点、汇合点、转折点终点、中断处、分叉点、汇合点、转折点终点、中断处、分叉点、汇合点、转折点）的位置、类型、数目和方向）的位置、类型、数目和方向）的位置、类型、数目和方向）的位置、类型、数目和方向的比对来鉴别身份。的比对来鉴别身份。的比对来鉴别身份。的比对来鉴别身份。（2）虹膜识别）虹膜识别 虹膜是指位于瞳孔和巩膜间的环状区域，每个人虹虹膜是指位于瞳孔和巩膜间的环状区域，每个人虹膜上的纹理、血管、膜上的纹理、血管、斑点斑点等细微特征各不相同，且一生中几乎不发生变化。等细微特征各不相同，且一生中几乎不发生变化。（3）视网膜识别）视网膜识别 人体的血管纹路也是具有独特性的。人的视网膜上人体的血管纹路也是具有独特性的。人的视网膜上血管的图样血管的图样可以利可以利用光学方法透过人眼晶体来测定。用光学方法透过人眼晶体来测定。现在学习的是第15页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别 （4 4）面部识别）面部识别）面部识别）面部识别 面部识别技术通过对面部特征和它们之间的关系（面部识别技术通过对面部特征和它们之间的关系（面部识别技术通过对面部特征和它们之间的关系（面部识别技术通过对面部特征和它们之间的关系（眼睛、鼻子和嘴眼睛、鼻子和嘴眼睛、鼻子和嘴眼睛、鼻子和嘴的位置以及它们之间的相对位置的位置以及它们之间的相对位置的位置以及它们之间的相对位置的位置以及它们之间的相对位置）来进行识别。）来进行识别。）来进行识别。）来进行识别。（5 5）手形识别）手形识别）手形识别）手形识别 手形识别技术主要是利用手形识别技术主要是利用手形识别技术主要是利用手形识别技术主要是利用手掌、手指及手指各关节的长、宽、厚等三维手掌、手指及手指各关节的长、宽、厚等三维手掌、手指及手指各关节的长、宽、厚等三维手掌、手指及手指各关节的长、宽、厚等三维尺寸和连接特征尺寸和连接特征尺寸和连接特征尺寸和连接特征来进行身份鉴别。来进行身份鉴别。来进行身份鉴别。来进行身份鉴别。（6 6）红外温谱图）红外温谱图）红外温谱图）红外温谱图 人的身体各个部位都在向外散发热量，而每个人的生物特征都不同，人的身体各个部位都在向外散发热量，而每个人的生物特征都不同，人的身体各个部位都在向外散发热量，而每个人的生物特征都不同，人的身体各个部位都在向外散发热量，而每个人的生物特征都不同，从而导致其发热强度不同。从而导致其发热强度不同。从而导致其发热强度不同。从而导致其发热强度不同。（7 7）语音识别）语音识别）语音识别）语音识别 语音识别利用说话者语音识别利用说话者语音识别利用说话者语音识别利用说话者发声频率和幅值发声频率和幅值发声频率和幅值发声频率和幅值的不同来辨识身份。的不同来辨识身份。的不同来辨识身份。的不同来辨识身份。语音识别大体分两类：一是语音识别大体分两类：一是语音识别大体分两类：一是语音识别大体分两类：一是依赖特定文字依赖特定文字依赖特定文字依赖特定文字识别；另一种是不识别；另一种是不识别；另一种是不识别；另一种是不依赖特定文字依赖特定文字依赖特定文字依赖特定文字识别，即说话者可随意说任何词语，由系统找出说话者发音中具有共性的特征进识别，即说话者可随意说任何词语，由系统找出说话者发音中具有共性的特征进识别，即说话者可随意说任何词语，由系统找出说话者发音中具有共性的特征进识别，即说话者可随意说任何词语，由系统找出说话者发音中具有共性的特征进行识别。行识别。行识别。行识别。现在学习的是第16页，共49页5.2 5.2 身份识别与鉴别身份识别与鉴别 （8 8）味纹识别）味纹识别）味纹识别）味纹识别 人的身体是一种人的身体是一种人的身体是一种人的身体是一种味源味源味源味源，人类的气味虽然会受到饮食、情绪、，人类的气味虽然会受到饮食、情绪、，人类的气味虽然会受到饮食、情绪、，人类的气味虽然会受到饮食、情绪、环境、时间等因素的影响和干扰，其成分和含量会发生一定的变化，环境、时间等因素的影响和干扰，其成分和含量会发生一定的变化，环境、时间等因素的影响和干扰，其成分和含量会发生一定的变化，环境、时间等因素的影响和干扰，其成分和含量会发生一定的变化，但作为由基因决定的那一部分气味但作为由基因决定的那一部分气味但作为由基因决定的那一部分气味但作为由基因决定的那一部分气味味纹却始终存在，而且终生味纹却始终存在，而且终生味纹却始终存在，而且终生味纹却始终存在，而且终生不变，可以作为识别任何一个人的标记。不变，可以作为识别任何一个人的标记。不变，可以作为识别任何一个人的标记。不变，可以作为识别任何一个人的标记。（9 9）基因）基因）基因）基因DNADNA识别识别识别识别 脱氧核糖核酸脱氧核糖核酸脱氧核糖核酸脱氧核糖核酸DNADNA存在于一切有核的动（植）物中，生物的全存在于一切有核的动（植）物中，生物的全存在于一切有核的动（植）物中，生物的全存在于一切有核的动（植）物中，生物的全部遗传信息都储存在部遗传信息都储存在部遗传信息都储存在部遗传信息都储存在DNADNA分子里。分子里。分子里。分子里。由于不同的人体细胞中具有不同由于不同的人体细胞中具有不同由于不同的人体细胞中具有不同由于不同的人体细胞中具有不同的的的的DNADNA分子结构分子结构分子结构分子结构，且在整个人类范围内具有唯一性和永久性，因此除，且在整个人类范围内具有唯一性和永久性，因此除，且在整个人类范围内具有唯一性和永久性，因此除，且在整个人类范围内具有唯一性和永久性，因此除了对双胞胎个体的鉴别可能失去它应有的功能外，这种方法具有绝对了对双胞胎个体的鉴别可能失去它应有的功能外，这种方法具有绝对了对双胞胎个体的鉴别可能失去它应有的功能外，这种方法具有绝对了对双胞胎个体的鉴别可能失去它应有的功能外，这种方法具有绝对的权威性和准确性。的权威性和准确性。的权威性和准确性。的权威性和准确性。现在学习的是第17页，共49页5.3 PKI5.3 PKI概述概述 公钥基础设施公钥基础设施公钥基础设施公钥基础设施PKIPKI，是基于，是基于，是基于，是基于公开密钥理论公开密钥理论公开密钥理论公开密钥理论和技术建立起来的安全和技术建立起来的安全和技术建立起来的安全和技术建立起来的安全体系，是提供信息安全服务具有普遍性的安全基础设施。该体系在体系，是提供信息安全服务具有普遍性的安全基础设施。该体系在体系，是提供信息安全服务具有普遍性的安全基础设施。该体系在体系，是提供信息安全服务具有普遍性的安全基础设施。该体系在统统统统一的安全认证标准和规范一的安全认证标准和规范一的安全认证标准和规范一的安全认证标准和规范基础上提供了基础上提供了基础上提供了基础上提供了在线身份认证在线身份认证在线身份认证在线身份认证，是，是，是，是CACA认证、认证、认证、认证、数字证书、数字签名以及相关的安全应用组件的数字证书、数字签名以及相关的安全应用组件的数字证书、数字签名以及相关的安全应用组件的数字证书、数字签名以及相关的安全应用组件的集合集合集合集合。PKIPKI的的的的核心核心核心核心是是是是解决信息网络空间中的解决信息网络空间中的解决信息网络空间中的解决信息网络空间中的信任问题信任问题信任问题信任问题，确定信息网络、信息空间中各种经，确定信息网络、信息空间中各种经，确定信息网络、信息空间中各种经，确定信息网络、信息空间中各种经济、军事和管理行为的主体（包括组织和个人）身份的唯一性、真济、军事和管理行为的主体（包括组织和个人）身份的唯一性、真济、军事和管理行为的主体（包括组织和个人）身份的唯一性、真济、军事和管理行为的主体（包括组织和个人）身份的唯一性、真实性和合法性，为组织机构建立和维护一个可信赖的系统环境，透实性和合法性，为组织机构建立和维护一个可信赖的系统环境，透实性和合法性，为组织机构建立和维护一个可信赖的系统环境，透实性和合法性，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。种必要的安全保障，满足各种应用系统的安全需求。种必要的安全保障，满足各种应用系统的安全需求。种必要的安全保障，满足各种应用系统的安全需求。现在学习的是第18页，共49页5.3 PKI5.3 PKI概述概述5.3.1 PKI5.3.1 PKI5.3.1 PKI5.3.1 PKI的概念、目的、实体构成和服务的概念、目的、实体构成和服务的概念、目的、实体构成和服务的概念、目的、实体构成和服务 1 1PKIPKI的概念的概念的概念的概念 （1 1）PKIPKI的的的的定义定义定义定义 PKIPKI是一个用是一个用是一个用是一个用公钥概念与技术公钥概念与技术公钥概念与技术公钥概念与技术来实施和提供安全服务的普遍适用来实施和提供安全服务的普遍适用来实施和提供安全服务的普遍适用来实施和提供安全服务的普遍适用的安全基础设施。的安全基础设施。的安全基础设施。的安全基础设施。PKIPKI是一个为是一个为是一个为是一个为综合数字信息系统综合数字信息系统综合数字信息系统综合数字信息系统提供广泛需要的提供广泛需要的提供广泛需要的提供广泛需要的加密和数字签名加密和数字签名加密和数字签名加密和数字签名服务的服务的服务的服务的基础设施基础设施基础设施基础设施，其主要职责是管理密钥和证书，建立和维护一，其主要职责是管理密钥和证书，建立和维护一，其主要职责是管理密钥和证书，建立和维护一，其主要职责是管理密钥和证书，建立和维护一个值得信任的网络环境。个值得信任的网络环境。个值得信任的网络环境。个值得信任的网络环境。PKIPKI能够为跨越各种领域的广泛应用提供加能够为跨越各种领域的广泛应用提供加能够为跨越各种领域的广泛应用提供加能够为跨越各种领域的广泛应用提供加密和数字签名服务。密和数字签名服务。密和数字签名服务。密和数字签名服务。PKIPKI是由是由是由是由认证机构、策略和技术标准、必要的法律认证机构、策略和技术标准、必要的法律认证机构、策略和技术标准、必要的法律认证机构、策略和技术标准、必要的法律组成。组成。组成。组成。现在学习的是第19页，共49页5.3 PKI5.3 PKI概述概述（2 2）PKIPKI原理原理原理原理 其其其其基本原理基本原理基本原理基本原理是：由一个密钥进行加密的信息内容，只能由与之配对是：由一个密钥进行加密的信息内容，只能由与之配对是：由一个密钥进行加密的信息内容，只能由与之配对是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构认证、发放和管理。权威机构认证、发放和管理。权威机构认证、发放和管理。权威机构认证、发放和管理。现在学习的是第20页，共49页5.3 PKI5.3 PKI概述概述（3 3）PKIPKI的的的的安全服务功能安全服务功能安全服务功能安全服务功能PKIPKI的主要功能是提供身份认证、机密性、完整性和不可否认性的主要功能是提供身份认证、机密性、完整性和不可否认性的主要功能是提供身份认证、机密性、完整性和不可否认性的主要功能是提供身份认证、机密性、完整性和不可否认性服务。服务。服务。服务。身份认证。信息的接收者应该能够确认信息的来源，使得身份认证。信息的接收者应该能够确认信息的来源，使得身份认证。信息的接收者应该能够确认信息的来源，使得身份认证。信息的接收者应该能够确认信息的来源，使得交易双方的身份不能被入侵者假冒或伪装。交易双方的身份不能被入侵者假冒或伪装。交易双方的身份不能被入侵者假冒或伪装。交易双方的身份不能被入侵者假冒或伪装。机密性。确保一个计算机系统中的信息和被传输的信息仅能被授机密性。确保一个计算机系统中的信息和被传输的信息仅能被授机密性。确保一个计算机系统中的信息和被传输的信息仅能被授机密性。确保一个计算机系统中的信息和被传输的信息仅能被授权读取的各方得到。权读取的各方得到。权读取的各方得到。权读取的各方得到。信息的完整性。信息的完整性就是防止非法篡改信息，例信息的完整性。信息的完整性就是防止非法篡改信息，例信息的完整性。信息的完整性就是防止非法篡改信息，例信息的完整性。信息的完整性就是防止非法篡改信息，例如修改、复制、插入和删除等。如修改、复制、插入和删除等。如修改、复制、插入和删除等。如修改、复制、插入和删除等。信息的不可否认性。不可否认用于从技术上保证实体对他们行为信息的不可否认性。不可否认用于从技术上保证实体对他们行为信息的不可否认性。不可否认用于从技术上保证实体对他们行为信息的不可否认性。不可否认用于从技术上保证实体对他们行为的诚实，即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。的诚实，即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。的诚实，即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。的诚实，即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。现在学习的是第21页，共49页5.3 PKI5.3 PKI概述概述 （4 4）PKIPKI的的的的特点特点特点特点 节省费用节省费用节省费用节省费用。在一个大型的应用系统中，实现统一的安全解决方案，。在一个大型的应用系统中，实现统一的安全解决方案，。在一个大型的应用系统中，实现统一的安全解决方案，。在一个大型的应用系统中，实现统一的安全解决方案，比实施多个有限的解决方案，费用要少得多。比实施多个有限的解决方案，费用要少得多。比实施多个有限的解决方案，费用要少得多。比实施多个有限的解决方案，费用要少得多。互操作性互操作性互操作性互操作性。在。在。在。在PKIPKI中，每个用户程序和设备都以相同的方式中，每个用户程序和设备都以相同的方式中，每个用户程序和设备都以相同的方式中，每个用户程序和设备都以相同的方式访问和使用安全服务功能。访问和使用安全服务功能。访问和使用安全服务功能。访问和使用安全服务功能。开放性开放性开放性开放性。任何先进技术的早期设计，都希望在将来能和其他系。任何先进技术的早期设计，都希望在将来能和其他系。任何先进技术的早期设计，都希望在将来能和其他系。任何先进技术的早期设计，都希望在将来能和其他系统间实现互操作。统间实现互操作。统间实现互操作。统间实现互操作。一致的解决方案一致的解决方案一致的解决方案一致的解决方案。一致解决方案在一个系统内更易于安装、。一致解决方案在一个系统内更易于安装、。一致解决方案在一个系统内更易于安装、。一致解决方案在一个系统内更易于安装、管理和维护，并且开销小。管理和维护，并且开销小。管理和维护，并且开销小。管理和维护，并且开销小。可验证性可验证性可验证性可验证性。PKIPKI在所有应用系统和设备之间所采用的交互处在所有应用系统和设备之间所采用的交互处在所有应用系统和设备之间所采用的交互处在所有应用系统和设备之间所采用的交互处理方式都是统一的，因此其操作和交互都可以被验证是否正确。理方式都是统一的，因此其操作和交互都可以被验证是否正确。理方式都是统一的，因此其操作和交互都可以被验证是否正确。理方式都是统一的，因此其操作和交互都可以被验证是否正确。可选择性可选择性可选择性可选择性。PKIPKI为管理员和用户提供了许多可选择性。为管理员和用户提供了许多可选择性。为管理员和用户提供了许多可选择性。为管理员和用户提供了许多可选择性。现在学习的是第22页，共49页 CACA是数字证书的是数字证书的签发机构签发机构，是，是PKIPKI的核心的核心，并且是，并且是PKIPKI应用中权威的、可信任的、公正的第三方机构。应用中权威的、可信任的、公正的第三方机构。RARA系统是系统是CACA证书发放、管理的延伸，具体负责证书证书发放、管理的延伸，具体负责证书申请者的信息录入、审核以及证书发放等工作，同申请者的信息录入、审核以及证书发放等工作，同时对发放的证书完成相应的管理功能；发放的数字时对发放的证书完成相应的管理功能；发放的数字证书可以存放于证书可以存放于ICIC卡、硬盘或软盘等介质中；卡、硬盘或软盘等介质中；RARA系系统是整个统是整个CACA得以正常运营不可缺少的一部分。得以正常运营不可缺少的一部分。现在学习的是第26页，共49页 证书的证书的更新方式有更新方式有3种种：更换一个或多个主题的证书；：更换一个或多个主题的证书；更换由某一对密钥签发的所有证书；更换某一个更换由某一对密钥签发的所有证书；更换某一个CA签发的所有证书。即使在用户正常使用证书的过程签发的所有证书。即使在用户正常使用证书的过程中，中，PKI也会自动不定时地到目录服务器中检查证书也会自动不定时地到目录服务器中检查证书的有效期，当有效期将满时，的有效期，当有效期将满时，CA会自动启动更新程会自动启动更新程序，将旧证书列入作废证书列表（俗称黑名单），序，将旧证书列入作废证书列表（俗称黑名单），同时生成一个新证书来代替原来的证书，并通知用同时生成一个新证书来代替原来的证书，并通知用户。户。现在学习的是第30页，共49页5.3 PKI5.3 PKI概述概述5.3.2 PKI5.3.2 PKI5.3.2 PKI5.3.2 PKI相关标准相关标准相关标准相关标准 1 1X.209X.209（19881988）ASN.1ASN.1基本编码规则基本编码规则基本编码规则基本编码规则 ASN.1ASN.1是描述在网络上传输信息格式的标准方法。它有两部分：是描述在网络上传输信息格式的标准方法。它有两部分：是描述在网络上传输信息格式的标准方法。它有两部分：是描述在网络上传输信息格式的标准方法。它有两部分：第一部分（第一部分（第一部分（第一部分（ISO 8824/ITU X.208ISO 8824/ITU X.208）描述信息内的数据、数据类型及序）描述信息内的数据、数据类型及序）描述信息内的数据、数据类型及序）描述信息内的数据、数据类型及序列格式，也就是数据的语法；第二部分（列格式，也就是数据的语法；第二部分（列格式，也就是数据的语法；第二部分（列