1、,PKI技术基础,PKI技术的引入,如何保证网络上的通讯安全?,使用LAN/Internet . . . 发送邮件 分发软件 发送敏感的或私有的数据 进行应用系统访问 但人们担心的是 . . . 如何确认某人的身份? 如何知道我连接的是一个可信的站点? 怎样才能保证我的通讯安全? 怎样确定电子信息是否被篡改? 如何证明某人确实给我发过电子邮件?,Internet上没人知道你是一只狗,常用的安全防护手段,基于口令验证防火墙入侵检测漏洞扫描安全审计防病毒,我们将找到答案 ,什么是 PKI ?,Public Key Infrastructure (PKI) . . . . . 是硬件、软件、人员、策
2、略 和操作规程的总和,它们要完成创建、管理、 保存、发放和废止证书的功能PKI 基于公开密钥加密算法来保证网络通讯安全,网络通讯的四个安全要素,?,Claims,未发出,未收到,机密性,完整性,身份认证,不可抵赖,拦截,篡改,伪造,通讯是否安全?,发出的信息被篡改过吗?,我在与谁通讯?,是否发出/收到信息?,如何解决电子通讯中的安全要素,密码技术 (加密 & 解密) 对称加密 共享 密钥 非对称加密 公共/私有 密钥对密码技术的特殊应用: 数字签名 数字证书,Digital Certificate,密码技术的基本概念,加密是把明文信息转化为密文的过程 解密是把密文信息还原成明文的过程 加密 /
3、 解密 的过程需要: 一个加密算法和一把密钥 两种加密的类型: 对称加密和非对称加密,对称加密算法,在两个通讯者之间需要一把共享的密钥,非对称加密算法,没有共享的密钥。两把密钥同时产生;一把为公钥,另一把为私钥;因此也被称为一对密钥。,加密,To: The Bank From: Tom Jones Date: 31 Dec 99Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883LKS9UI29as9eea
4、sdofi qw9vijhas9djerhp7goe. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非对称 加密算法,非对称加密算法,To: The Bank From: Tom Jones Date: 31 Dec 99Please transfer One Million Dollars from account 1234567 to account 7654321, TomJones,* *ql3*UY #00873/JDI c4(DH: IWB(883LKS9UI29as9eeasdofi qw9vijhas9djerhp7goe
5、. (*Y23kwbvlqkwcyw83 zqw-_89237xGyjdc Biskdue di794,非对称 加密算法,解密,没有共享的密钥。两把密钥同时产生;一把为公钥,另一把为私钥;因此也被称为一对密钥。,什么是数字证书?,一个 数字证书 是 . . . 一个包含用户身份信息的文件 CA的名称 (颁发机构) Bob的名称 (对象) Bob的公钥 数字签名 由可信的第三方进行签名 Certification Authority 使用CA的私钥 保证信息的真实性和完整性 遵守X.509标准,数字证书 VS 身份证,姓名:王明 序列号:484865 签发者:XXXCA发布时间:2002-01-
6、01 有效时间:2002-12-31 Email: 公钥:38ighwejb 私钥: 42qdyeipv ,姓名:王明 编号:110104197312061536 签发者:北京市公安局海淀分局 发布时间:2000-04-05 有效期:20年 住址:北京市海淀区中科院南路6号,身份认证身份认证是鉴别资源的访问者的合法性的基础手段 通常的认证方式:用户名+口令 用户名+口令方式的脆弱性安全隐患口令破解技术的发展管理因素,PKI技术的典型应用,安全隐患密码容易被无意中泄漏; 黑客和木马工具层出不穷,密码很容易被窃取; 由于密码长度有限,设置密码时没有进行强密码限制,导致密码可能被猜测、穷举、破译;
7、应用系统逐步丰富,如果用户密码多了就容易忘记。,用户名+口令的安全隐患,破解技术穷举法(蛮力猜测) 利用技术和管理漏洞 字典法破译 通过网络监听非法得到用户口令 采用缺省口令直接猜测,口令的破解技术,几种认证方式的比较,什么是 PKI ?,Public Key Infrastructure (PKI) . . . . . 是硬件、软件、人员、策略 和操作规程的总和,它们要完成创建、管理、 保存、发放和废止证书的功能PKI 基于公开密钥加密算法来保证网络通讯安全,国家的相关管理机构,国家保密局:涉及国家秘密的计算机信息系统集成资质证书 公安部:计算机信息系统安全专用产品销售许可证 国家信息安全测
8、评认证中心:信息安全认证产品型号证书 国家密码管理局:系统安全性审查 解放军信息安全测评认证中心:军用信息安全产品认证证书 国家信息产业部:CA运营执照,PKI系统的总体介绍,PKI系统总体结构,CA RA 证书受理点 密钥管理中心-KMC,Certification Authority - CA,基本证书业务 申请、发放、归档、废止、恢复、更新、查询等 CA管理 交叉认证、审计、统计 支持多级CA 支持逻辑CA 支持证书模板 支持双证书 支持汉字证书 支持密钥管理中心(KMC) 支持OCSP(在线证书状态查询),Registration Authority - RA,进行用户身份信息的审核,
9、确保其真实性; 本区域用户身份信息管理和维护; 数字证书的下载; 数字证书的发放和管理。,证书受理点 - RA 操作端,收集和管理申报材料和信息 录入身份信息 初步审核与提交身份信息 制作数字证书 发放数字证书,密钥管理中心 - KMC,密钥的生成 密钥的分发 密钥的备份 密钥的恢复 密钥的更新 密钥的归档 密钥查询 密钥销毁,End users,Face-to-face,D/B,D/B,D/B,D/B,Cross Certification,Directory Services,LDAPv3, DAP,End User Domain,PKI enabled applications,LDAP
10、,PKIX CMP, Cert,Signing Algorithms RSA, DSA, ECDSA,PKIX,PKCS#12、PKCS#11,PKI系统标准结构,SPKM,一个新用户申请证书,获取用户的身份信息进行证书废止检查检查证书的有效期校验数字证书解密数据,证书下载到用户本地,审核通过的注册请求发送给CA,证书同时要被发布出去,应用程序通过证书:,RA系统审核用户身份,发送注册信息给RA,CA为用户签发证书下载凭证.,RA将证书下载凭证发放给用户,PKI系统如何工作,使用数字证书的用户之间通过CA(一个可信的第三方)来建立信任关系,Applications and other user
11、s,Directory,提交证书申请请求,证书/密钥的存储,存储信息 用户的证书 用户的私钥 CA根证书存储设备 硬盘 软盘 IC卡 Others,如:USB Key,保证业务用户或者是系统服 务器的身份认证 保证业务数据的保密性保证业务操作的不可抵赖性保证数据的完整性结合业务逻辑方便的实现访 问控制,数字证书,数据加密,数据签名+数字时间戳,数据签名,数字证书扩展应用,建设PKI的必要性,PKI技术的应用介绍,常见的安全应用种类,常见的安全应用种类,安全WEB访问 身份认证 授权管理 数据加密 数据签名 安全EMAIL 数据加密 数据签名 安全回执 其它,应用介绍,通信双方能互相验证对方的身
12、份,确认对方确实是他所声明的身份,2 Hi 我是网上银行服务器。,1 我小王,你是网上银行服务器吗?,3 你真的是网上银行服务器吗?,4 你真的是小王吗?,应用介绍,应用介绍,PKI技术的市场前景,解读国际市场:2005年: 安全3A产品占安全软件的67.1% 达 95亿美金 加密类产品占安全软件的2.60% 达 3.64亿美金,PKI技术的市场前景,解读国际市场: 2005年: 亚太安全收入占世界的17.2%,达245亿美金 网络3约16亿美金年均增长32.4%,PKI技术的市场前景,解读国内市场: 中国的信息安全产业到2007年为止,预计年均增长率保持在30%以上,处于高速增长阶段,PKI技术的市场前景,解读国内市场: 3A产品的最低年增长率36%,年均38%以上。是信息安全产业的高速增长的引擎。,
