PKICA数字证书SSL信息安全密码技术课件.ppt

《PKICA数字证书SSL信息安全密码技术课件.ppt》由会员分享，可在线阅读，更多相关《PKICA数字证书SSL信息安全密码技术课件.ppt（45页珍藏版）》请在三一办公上搜索。

1、,PKI原理与应用,PKI原理与应用,PKI,目录,PKI的相关理论,PKI 是一种利用公钥加密技术为用户提供安全通信的技术。,PKI的组成,PKI由认证机构、注册机构、证书库、密钥备份及恢复系统、证书撤销处理系统、PKI应用接口系统组成,CA及证书,公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心来确认公钥拥有人的真正身份。,PKI的应用,S/MIME SSL SET,PKI目录PKI的相关理论PKI 是一种利用公钥加密技术为用,PKI,Applications and other users,1,PKI的相关理论,PKIApplications and other user,P

2、KI,PKI的相关理论,Public Key Infrastructure,又称“ 公钥基础设施 ”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。,简单来说， PKI 是一种利用公钥加密技术为用户提供安全通信的技术。包括加密、数字签名(公钥数字签名)、数据完整性机制、数字信封、双重数字签名等基础技术。,PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。,PKIPKI的相关理论Public Key Infrastr,PKI,PKI系统如何工作,一个新用户申请证书,发送注册信息给RA,RA,RA系统审核用户身份,RA将

3、证书下载凭证发放给用户,审核通过的注册请求发送给CA,CA为用户签发证书下载凭证,CA,提交证书下载申请请求,证书下载到用户本地,证书同时要被发布出去,Applications and other users,1,2,3,4,5,6,7,8,PKIPKI系统如何工作一个新用户申请证书发送注册信息给RA,PKI,PKI系统如何工作,Applications and other users,应用程序通过证书：,获取用户的身份信息进行证书废止检查检查证书的有效期校验数字证书解密数据,使用数字证书的用户之间通过CA（一个可信的第三方）来建立信任关系,PKIPKI系统如何工作Applications a

4、nd o,PKI,加密,Applications and other users,加密,使用密码算法对数据做变换，使得只有密码才能恢复数据原貌。,对称密码算法, 加密与解密的密钥相同 加密方式： DES/3DES和AES等,非对称密码算法,加密使用的公钥与私钥不同 公钥就是在信息团体内公开私钥是用户自己保存加密方式： 算法有RSA/DSA等,PKI加密Applications and other us,PKI,对称加密,Applications and other users,发送方,接收方,明文,对称密钥加密,密文,密文,对称密钥解密,明文,传送,加密和解密用的密钥相同,PKI对称加密App

5、lications and other,PKI,非对称加密,Applications and other users,发送方,接收方,明文,接收方的公钥加密,密文,密文,接收方的私钥解密,明文,传送,接收方的密钥对,公钥,私钥,多个用户加密的信息只能由一个用户解读,PKI非对称加密Applications and other,PKI,非对称加密（Cont.）,Applications and other users,发送方,接收方,明文,接收方的公钥加密,密文,密文,接收方的私钥解密,明文,传送,接收方的密钥对,公钥,私钥,一个用户加密的信息，多个用户解读,PKI非对称加密（Cont.）App

6、lications an,PKI,Applications and other users,2,PKI的组成,PKIApplications and other user,PKI,PKI的组成,Applications and other users,认证机构,注册机构,证书库,密钥备份及恢复系统,证书撤销处理系统,PKI应用接口系统,PKIPKI的组成Applications and othe,PKI,注册机构及认证机构,Applications and other users,RA是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的

7、管理功能。RA系统是整个CA中心得以正常运营不可缺少的一部分。,注册机构RA,认证中心CA,CA负责管理PKI结构下所有用户的证书，把用户的公钥和用户的其他信息捆绑在一起 在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。,PKI注册机构及认证机构Applications and o,PKI,PKI的信任模型,根CA,CA1,CA2,CA3,终端用户,终端用户,终端用户,终端用户,终端用户,终端用户,PKIPKI的信任模型根CACA1CA2CA3终端终端终端终,PKI,PKI的信任模型,CA1,CA2,CA3,终端用户,终端用户,终端用户,终端用户,PKIPKI的信任模型CA

8、1CA2CA3终端终端终端终端,PKI,PKI的信任模型,CA1,CA2,CA11,终端用户,桥CA,CA12,CA12,CA12,终端用户,终端用户,终端用户,终端用户,终端用户,终端用户,终端用户,PKIPKI的信任模型CA1CA2CA11终端桥CACA12,PKI,证书库,证书库是一种网上公共信息库，用于证书的发布和集中存放，用户可以从此处获得其他用户的证书和公钥。,证书库是CA所签发的证书和CRL的集中存放地。系统必须确保证书库的完整性，防止伪造、篡改证书和CRL。,证书,主体的身份信息,主体的公钥,CA名称,其他附加信息,CA签名,签字,PKI证书库证书库是一种网上公共信息库，用于证

9、书的发布和集中,PKI,密钥备份及恢复系统,Applications and other users,初始化阶段,颁发阶段,(1)终端实体注册;(2)密钥对产生;(3)证书创建;(4)证书分发;(5)证书备份；若注册时说明该密钥对用于数据加密，CA即对该用户的密钥和证书进行备份；,(1)证书检索；(2)证书验证；(3)密钥恢复，不能正常解读加密文件时，从CA中恢复;(4)密钥更新，当一个合法的密钥对将要过期时，新的密钥对产生并颁发。,PKI密钥备份及恢复系统Applications and o,PKI,证书撤销处理系统,Applications and other users,证书撤销,证书注

10、销列表(Certificate Revocation List),存储在目录服务器上，用于记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书查询使用。,证书撤销原因,密钥泄漏和证书所有者状态改变。PKI必须提供一种允许用户检查证书的撤销状态的机制，X.509允许以下三种情况：,1、证书不可撤销2、颁发证书的机构撤销该证书3、颁发证书的机构授予其他机构权限并由其他机构撤销该证书。,PKI证书撤销处理系统Applications and ot,PKI,PKI应用接口系统组成,Applications and other users,透明性,PKI必须尽可能地向上层应用屏蔽密码实现

11、服务的实现细节，向用户屏蔽负责的安全解决方案。,可扩展性,满足系统不断发展的需要，证书库和CRL有良好的可扩展性。,支持多种用户,提供文件传送、文件存储、电子邮件、电子表单、WEB应用等的安全服务。,互操作性,不同企业、不同单位的PKI实现的可能是不同的，必须支持多环境、多操作系统的PKI的互操作性。,PKIPKI应用接口系统组成Applications and,PKI,Applications and other users,3,CA及证书,PKIApplications and other user,PKI,CA证书,Applications and other users,Certifi

12、cation Authority,第三方认证机构。功能有颁发证书、查询证书、吊销证书、归档证书。企业根CA、企业从属CA还有独立根CA、独立从属CA。,PKICA证书Applications and other,PKI,CA系统的主要功能,Applications and other users,对证书进行管理，包括颁发、废除、更新、验证证书和管理密钥。,颁发证书,密钥管理,证书验证,废除证书,证书更新,PKICA系统的主要功能Applications and o,PKI,证书,Applications and other users,加密信息的发送者需要认定公钥确实是接收者的，如果他用第三者

13、的公钥去加密，他希望的接收者无法解密该信息，而拥有对应私钥的第三者却可以做到。公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心来确认公钥拥有人的真正身份。,PKI证书Applications and other us,PKI,CA系统的主要功能,Applications and other users,过期 更新,安装证书,证书使用,废止申请,签发证书,公钥/私钥生成,证书撤销,审核证书,申请证书,证书的生命周期,PKICA系统的主要功能Applications and o,PKI,证书的应用场景,Applications and other users,用途安全电子邮件软件代码签

14、名安全网络通信安全网站智能卡登录IPSec 客户端验证文件加密系统,描述确保电子邮件消息的完整性、原始性和机密性使用数字签名，确保分布式软件的完整性 为 Web 服务器和客户端之间的通信提供身份验证和加密 验证对安全网站的访问验证使用智能卡登录的用户为两台使用 IPSec 的主机之间的通信提供身份验证 保护 EFS 文件加密密钥,PKI证书的应用场景Applications and oth,PKI,证书申请过程（cont.）,Applications and other users, CA 接收一个认证请求, 验证信息, 使用私钥把数字签名发送给申请者, 颁发数字签名作为安全证书来使用,PKI

15、证书申请过程（cont.）Applications a,PKI,Applications and other users,4,PKI的应用,PKIApplications and other user,PKI,以PKI为基础的安全应用,基于S/MIME的安全电子邮件,基于SSL（安全套接字层）的网络安全服务,基于SET的电子交易系统,用于认证的智能卡,软件的代码签名认证,虚拟专用网的安全认证,PKI以PKI为基础的安全应用基于S/MIME的安全电子邮件,PKI,SSL概述,Applications and other users,1. SSL（Secure Sockets Layer）:安全套

16、接字协议层 2. 功能：身份验证 确保用户的信息是传送到正确的网站，让网站来确定用户身份。加密 将用户与网站之间所传送的信息加密。保证信息完整 让网站与用户双方，确认所收到的信息是对方发送过来的，在其传送过程中没有被拦截与篡改过。3. SSL的工作方式：https:/网站名称或IP地址,PKISSL概述Applications and other,PKI,SSL的工作原理,Applications and other users,客户端,IIS服务器,https:/,传送网站的证书（内含公钥）,双方协商安全等级,由客户端建立工作阶段密钥，然后利用网站的公钥将其加密后传给网站,网站利用其私钥将会

17、话密钥解密,双方开始利用会话密钥将所要传送的数据加、解密,PKISSL的工作原理Applications and ot,PKI,SSL实例,Applications and other users,建行网银盾证书安装,证书安装过程,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,证书信息,PKISSL实例Applications and other,PKI,SSL实

18、例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and o

19、ther users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,SSL实例,Applications and other users,PKISSL实例Applications and other,PKI,总结,Applications and other users,PKI,实例演示,相关理论,S/MIME,SSL,CA,SET,PKI总结Applications and other us,PKI,Applications and other users,谢谢,PKIApplications and other user,