1、PKI体系与CA技术概述,主要内容,PKI定义 基础设施 基本安全需求 安全基础设施 公钥基础设施PKI,公钥基础设施PKI,Public Key Infrastructure 保障大型开放式网络环境下网络和信息系统安全的可行、有效的措施 用非对称密码学原理和技术实现并提供安全服务、具有通用性的安全基础设施 遵循标准的、利用公钥技术为电子商务、电子政务的开展提供一整套安全的基础设施,基础设施,普适性基础,在大环境中起基本框架的作用 电力基础设施 网络基础设施 实现“应用支撑”的功能 具有通用性和实用性,基础设施的特性,具有易于使用和众所周知的接口 提供的服务可以预测且有效 应用设备无需了解基础
2、设施如何提供服务,基本安全需求,鉴别(identification) 认证(authentication) 授权(authorization) 完整性(integrity) 机密性(confidentiality) 反拒认(non-repudiation),转帐,请往123公司的帐号22511转款5000万元。2004,8,8abc公司Mary,安全基础设施,基础设施,提供基础服务 为整体应用系统提供安全基本框架 可被应用系统中任何需要安全的应用和对象使用 接口要求统一、标准、便于使用 适用于多种环境 通用性和实用性,安全基础设施作用,增强应用程序的数据和资源的安全 保证与其他数据和资源交换中
3、的安全,安全基础设施提供的服务,安全登录 将本地成功登陆的结果安全传递给远程的应用程序 避免口令在不安全的网络中传输 安全单点登录 终端用户透明 全面的安全性 保证数目不受限制的应用程序无缝协调工作,安全访问和传输数据 保证大范围的组织实体和设备采用统一的方式使用、理解和处理密钥,公钥基础设施PKI,公钥体制 PKI系统主要组成 PKI应用系统构成 PKI协议 PKI应用领域,公钥体制,公私密钥对 两个密钥同时生成 一个密钥加密的密文只能用另外一个密钥解密 一个公开,一个秘密保存 用途 数字签名 私钥签名,公钥验证 私钥不能备份,公钥需要存档 加密信息 公钥加密,私钥解密 私钥需要备份,存档,
4、基于公钥的安全通信机制,公钥加密通信数据 私钥在通信对方用户手中 采用证书管理公钥:公钥证书 公钥证书是用户的公钥和用户的其他标识信息(名字、身份证号等)的结合 第三方的可信任机构颁发证书 第三方的可信任机构核实用户身份 第三方的可信任机构对公钥证书数字签名,PKI系统主要组成,认证机构CA(Certificate Authority) 证书的签发机构 证书库 证书的集中存放地,提供公众查询 密钥备份和恢复系统 备份用户的解密密钥,以便在丢失后恢复 证书撤销处理系统 根据需要作废证书 PKI应用程序接口 为各种应用提供访问PKI的方式,PKI协议,X.509 证书(X.509v3) 证书注销列
5、表CRL (X.509v2) CA/RA (Registry Authority)操作协议 CA管理协议 CA政策制定,PKI应用系统构成,认证中心CA 颁发和撤销证书 X.500目录服务器 发布证书列表以及撤销的证书列表 具有高强度密码算法(SSL)的安全WWW服务器 Web(安全通信平台) 自开发的安全应用系统,认证机构CA,权威的、可信任的、公正的第三方机构 认证中心 PKI的核心 数字证书的签发机构 证书的产生、管理、存档、发放、以及作废管理,CA的任务,验证并标识证书申请者的身份 审批、发放、更新、验证证书 证书资料信息的管理(公钥证书序列号、CA标识) 产生和发布撤销证书列表 证书
6、的归档 密钥归档 历史数据归档,CA的职责,确保CA用于签名证书的非对称密钥的质量 确保整个签证过程的安全性,确保签名私钥的安全性 确保证书主体标识的唯一性,防止重名,CA的密钥,是整个证书机制的得以运行的基础 CA私钥由CA保管,必须确保CA私钥的高度机密性 CA公钥在网上公开,必须保证CA公钥的完整性,认证中心的组成,注册服务器 方便用户在网上提出证书申请 证书申请受理和审核机构 接受客户证书申请并审核 认证中心服务器 证书的生成、发放实体,同时管理证书以及证书的撤销,证书,公钥体制的一种密钥管理媒介 权威性的电子文档,网络身份证 证明主体身份及其公钥的合法性 含有主体的身份和公钥 用CA
7、的私钥签名,证书主体公钥的产生方式,主体用户自己生成密钥对 将公钥传送给CA 要保证公钥的可验证性和完整性 CA替用户生成密钥对 将私钥传递给用户 要保证私钥的机密性、可验证性和完整性,证书的签发,离线方式 面对面发放 申请人申请RA将申请信息给CA CA产生参照号和认证码给RARA通过可靠途径将参照码和认证号给用户用户用参照码和认证号在RA面对面取证书到软盘或者IC卡 在线方式 通过internet在目录服务器上下载 申请人填写信息 CA产生参照号和认证码给RA RA打印参照码和认证号当面给申请人申请人回到自己的PC机,登录网站,通过浏览器安装Root CA证书申请人在网页上填入参照号和授权码,下载自己的证书,证书的撤销,证书废止原因 私钥泄密 从属变更 终止使用 CA出现问题 撤销证书原因 CA知道证书细节不真实 证书持有者没有履行职责和登记人协议 证书持有者死亡、违反电子交易规则或者犯罪,PKI应用领域,电子邮件签名 认证web站点 验证事务处理,
