公开密钥基础设施(pki)技术研究与应用.ppt

公开密钥基础设施（PKI）技术研究与应用,信息安全国家重点实验室,汇报提纲,PKI介绍PKI的问题我们的成果存在的问题,什么是公开密钥基础设施(PKI),PKI是硬件、软件、策略和人组成的系统，当完全并且正确的实施后，能够提供一整套的信息安全保障，这些保障对保护敏感的通信和交易是非常重要的PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施,PKI的引入,PKI的基本部件,PKI的引入,PKI技术是电子政务的基础,1996年，联邦PKI指导委员会成立(FPKISC)2000年12月，会员包括了27个联邦机构中的113人1995年底加拿大政府通信和信息服务部提供PKI服务1998年4月，加拿大部门间PKI工作组成立2000年12月18日美国IDC预测所有发达国家，许多发展中国家,PKI的引入,PKI技术中的问题,非常严重的互操作问题应用的初期，技术和标准仍在发展昂贵：开发、维护、培训概念和技术本身的复杂,PKI的问题,互操作问题,总的原因：标准不清楚，不完全，理解错误“符合标准”的产品可能会被替代和更换X.509 V3,extension 使用问题桥CA解决问题，有许多问题需要解决目录的互操作问题（协议，信息组织和安排）API(应用程序编程接口)的互操作问题,PKI的问题,PKI仍限于示范工程或特殊应用,很小的示范工程专利系统：14个法律单位+1独立发明人+1公司,1032个证书National Institutes of Health：500个证书联邦PKI开发FBAC实验环境中演示，(Immature Solution)ACES,in the early phases on implementation2000年11月，7个定单，2个机构免费证书,PKI的问题,开发与维护PKI仍旧比较昂贵,开发，配置，维护，现有系统的改造DOD:2000到2005年，$700,000,000仅进行PKI开发；$170,000,000改造一些应用系统使适合PKI600 out of 9000-10000$200一个证书,PKI的问题,安全策略制定的困难,隐私保护维护保证（信用）级别加密密钥恢复长时间数据（证据）保护,PKI的问题,成功的PKI需要全范围的培训,概念和模型比较复杂管理员必须正确配置PKI系统用户必须会保护他的私钥验证证书，拒绝？无效？不匹配？使用PKI的应用系统也需要培训,PKI的问题,PKI需要什么（PKI中的问题）,高安全性的保障一个合理科学的组件结构一个合理简单的应用结构一个科学简单的运行结构一种简单的实现,PKI的问题,完成的工作,完成PKI体系建模工作攻击容忍的高安全CA系统的建模、设计与实现完成了PKI实体的建模与设计实验室PKI最小互操作规范开发PKI中需要全部组建开发了两个PKI的应用事例，即VPN和验证开关设计设计了自主产权的基础系统一套动态口令的认证系统，交付公司推广参加国家相关的活动，对PKI进行了推广宣传工作,我们的成果,主要成果,一套完善自主产权的PKI系统申请发明专利6个发表文章56篇出版著作8本（包括译）2000万技术转让合同，示范工程以南宁（国家级）高新区名义报广西科技厅,完成体系建模工作,PKI组件模型PKI应用模型实现模型,RAA,TAA,LoisPKI系统结构,PAC,RAA,RAA,CA,Repository,Query Server,F2F RA,Cl RA,VPN RA,DBA,TA,DBA,Web RA,我们的成果,SKLOIS PKI运行模型,安全操作员,实体管理员,应用,实体,实体,实体,实体,实体,电子目录,我们的成果,PKI实施模型,私钥与公钥,PKI实体,身份标识,策略,PKI证书,PKI证书,PKI证书,我们的成果,CA（入侵容忍）,RAA,Key Center,Combiner,Share Sever,Combiner,Share Sever,Share Sever,Share Sever,Share Sever,资料库,RA,DBA,离线部件,在线部件,我们的成果,资料仓库(入侵容忍的Repository),CA,查询服务器,Oracle,SQL Server,证书查询者,Internet,我们的成果,入侵容忍技术,当部分系统被敌人占领的时候当部分内部职员背叛的时候当部分系统被病毒或木马支配的时候秘密是否被泄露工作是否能够继续,两层结构,RA Agency,Share Server1,Key Distributer,Combiner1,Share Server2,Share Server3,Share Server4,Share Server5,Share Server6,Repository Agent,Combiner2,广播信道B1,广播信道B2,广播信道B3,Combiner3,解决的问题,Combiner的方程求解问题k=10，t=3时，方程个数120个，变量11个Combiner 与Share Server的合谋攻击问题Combiner的安全条件与证明Combiner的安全条件搜索算法Combiner的数量问题效率问题,与国际上典型方案的比较,原理简单，安全性容易证明通用性强，对参数无任何限制操作透明，自治的管理和调整容错容余，不需额外的设置，在线更换高效率=1，Stanford=t,CertCo=t,IBM=2t,完成全部PKI系统,从Web RA到CA到资料库IIS服务器证书（科技部国家重点实验室网站）全面兼容包括IE、Outlook Express的签名、加密,安全PKI应用VPN与验证开关,自主产权的基础系统,自主产权的PKI专用Web系统承受攻击TCP/IP协议接口子系统密钥保护卡证书查看系统/客户应用系统Oracle与SQL数据库接口系统,存在的问题,示范工程问题：资金与政府的支持政策问题：密码政策/地方保护低端产品宣传与推广,谢谢,Thanks,