公钥基础设施PKI课件.ppt
《公钥基础设施PKI课件.ppt》由会员分享,可在线阅读,更多相关《公钥基础设施PKI课件.ppt(52页珍藏版)》请在三一办公上搜索。
1、2023/3/16,1,第三章 公钥基础设施PKI,本章学习重点掌握内容:PKI的组成数字证书格式数字证书管理信任模型,2023/3/16,2,第三章 公钥基础设施PKI,3.1 概述3.2 PKI组成3.3 数字证书及管理3.4密钥管理3.5 信任模型 3.6 PKI的应用,2023/3/16,3,3.1 概述,3.1.1 什么是 PKIPKI就是这样一个平台,以数字证书和公钥技术为基础,提供网络安全所需要的真实性、保密性、完整性和不可否认性等基础服务。PKI 是Public Key Infrastructure 的缩写,通常译作公钥基础设施。PKI将个人、组织、设备的标识身份信息与各自的公
2、钥捆绑在一起,其主要目的是通过自动管理密钥和证书,为用户建立一个安全、可信的网络运行环境,2023/3/16,4,3.1.2 为什么需要PKI,Internet最大的特点是它的开放性、广泛性和自发性 网络安全服务包含了信息的真实性、完整性、机密性和不可否认性等 为了防范用户身份(包括人和设备)的假冒、数据的截取和篡改以及行为的否认等安全漏洞,需一种技术或体制来实现对用户身份的认证,,2023/3/16,5,3.1.3 PKI 的发展与应用,自20世纪90年代初期以来,逐步得到许多国家政府和企业的广泛重视,PKI技术由理论研究进入到商业化应用阶段。IETF、ISO等机构陆续颁布了X.509、PK
3、IX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等PKI应用相关标准,RSA、VeriSign、Entrust、Baltimore等企业纷纷推出自己的PKI产品和服务。全国相继成立了多家PKI认证中心和PKI产品开发商.,2023/3/16,6,3.2 PKI组成,3.2.1 PKI 系统结构 一个典型的PKI系统包括PKI策略、软硬件系统、认证中心(CA Certification Authorities)、注册机构(RA Registration Authority)、证书签发系统和PKI应用等几个基本部分组成。PKI系统结构如图所示。,2023/3/16,7,3.2.1
4、 PKI 系统结构,PKI应用,证书签发系统,注册机构 RA,认证中心CA,软硬件系统,PKI策略,PKI 系统结构,2023/3/16,8,3.2.1 PKI 系统结构,PKI策略PKI策略是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档,它建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。PKI策略的内容一般包括:认证政策的制定、遵循的技术规范、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架、认证规则、运作制度的规定、所涉及的法律关系,以及技术的实现。,2023/3/16,9,3.2.1 PKI 系统结构,软硬
5、件系统软硬件系统是PKI系统运行所需硬件和软件的集合,主要包括认证服务器、目录服务器、PKI平台等。认证中心认证中心是PKI的信任基础,它负责管理密钥和数字证书的整个生命周期。注册机构注册机构是PKI信任体系的重要组成部分,是用户(个人或团体)和认证中心之间的一个接口。,2023/3/16,10,3.2.1 PKI 系统结构,证书签发系统证书签发系统负责证书的发放,例如可以通过用户自己或通过目录服务器进行发放。目录服务器可以是一个组织中现有的,也可以是由PKI方案提供的。PKI应用PKI的应用非常广泛,包括在Web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在因特网上的信用卡交
6、易和虚拟专用网(VPN)等方面。PKI应用程序接口系统一个完整的PKI必须提供良好的应用接口系统(API),以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境可信,降低管理和维护的成本。,2023/3/16,11,3.2 PKI组成,3.2.2 认证中心PKI系统通常采用可信第三方充当认证中心CA,来确认公钥拥有者的真正身份 CA是PKI 体系的核心。CA的主要功能有:证书审批:接收并验证最终用户数字证书的申请,确定是否接收最终用户数字证书的申请。证书签发:向申请者颁发、拒绝颁发数字证书。证书更新:接收、处理最终用户的数字证书更新请求。,2023/3/16,12,
7、3.2.2 认证中心,证书查询:接收用户对数字证书的查询;提供目录服务,可以查询用户证书的相关信息。证书撤销:产生和发布证书吊销列表,验证证书状态;或提供在线证书查询服务OCSP(Online Certificate Status Protocol),验证证书状态。证书归档:数字证书归档及历史数据归档。各级CA管理:下级认证机构证书及账户管理;认证中心及其下级CA密钥的管理;,2023/3/16,13,3.2 PKI组成,3.2.3 注册中心RA是PKI信任体系的重要组成部分,是用户(个人或团体)和CA之间的一个接口,是认证机构信任范围的一种延伸。RA接受用户的注册申请,获取并认证用户的身份,
8、主要完成收集用户信息和确认用户身份的功能。RA可以认为是CA的代表处、办事处,负责证书申请者的信息录入、审核及证书发放等具体工作;同时,对发放的证书完成相应的管理功能。,2023/3/16,14,3.2.3 注册中心,RA的具体职能包括:自身密钥的管理,包括密钥的更新、保存、使用、销毁等。审核用户的信息。登记黑名单。业务受理点(LRA)的全面管理。接收并处理来自受理点的各种请求。,2023/3/16,15,3.2 PKI组成,3.2.4 最终实体 最终实体EE(End Entity,EE)是指PKI产品和服务的最终使用者,可以是个人、组织和设备。RA管理员、CA管理员、最终用户的角色关系如图所
9、示,2023/3/16,16,3.3 数字证书及管理,是由认证中心发放并经过认证中心签名的,包含证书拥有者及其公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。数字证书是PKI体系中最基本的元素,PKI系统的所有安全操作都是通过数字证书来实现的。数字证书采用公钥体制,即利用一对相互匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的专有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)以证书形式公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥(证书)对数据加密,而接收方则使用自己的私钥解密,这样的信息在传输和存放时就可以保证安
10、全性。,2023/3/16,17,3.3 数字证书及管理,3.3.1 证书格式数字证书的格式采用X.509国际标准。X.509证书格式的版本到目前为止共有3个版本,通常用v1、v2和v3表示。1988年:X.509协议标准的第一版,定义了v1版的证书格式和CRL(证书吊销列表)格式。1993年:X.509协议标准的第二版,定义了v2版的证书格式和修改了上一版的CRL格式。1997年:X.509协议标准的第三版,定义了v3版的证书格式(见表3-2)和v2版的CRL格式。2000年:X.509协议标准的第四版,证书格式版本未变,仍为v3,只是增加了新的扩展项,并且增加了对属性证书的描述。CRL的格
11、式未变,仍未v2。,2023/3/16,18,3.3.1 证书格式,X.509 v3数字证书字段名及说明,2023/3/16,19,3.3 数字证书及管理,3.3.2 证书的申请PKI 系统的证书申请、审核、制作、发布、发放、存储和使用的工作流程,见图所示,2023/3/16,20,3.3.2 证书的申请,证书的申请有离线申请方式和在线申请方式两种:离线申请方式用户持有关证件到注册中心RA进行书面申请。在线申请方式用户通过因特网,到认证中心的相关网站下载申请表格,按内容提示进行填写;也可以通过电子邮件和电话呼叫中心传递申请表格的信息,但有些信息仍需要人工录入,以便进行审核。,2023/3/16
12、,21,3.3 数字证书及管理,3.3.3 证书生成如果证书的申请被批准,CA就把证书请求转化为证书,用CA的私钥对证书进行签名,保证证书的完整性和权威性,将制作好的证书存储到证书库中,供CA进行证书的发放和发布。,2023/3/16,22,3.3 数字证书及管理,3.3.4 证书发布证书必须发布到以下两类实体:1、数字签名的验证实体。验证实体通过证书获得签名实体可信的公开密钥,验证消息发送方的数字签名,对消息发送实体进行身份认证;2、加密数据的解密实体。加密数据的实体通过证书获得对方公钥,对发送的数据进行加密,解密实体使用自己的私钥对信息进行解密。,2023/3/16,23,3.3.4 证书
13、发布,证书的发布方式有以下3种:离线发布证书制作完成后,通过email和软盘等存储介质的方式,离线分发给申请的用户。在小范围的用户群内使用得很好,该方式不适合企业级的应用。资料库发布将用户的证书信息和证书撤销信息,存储在用户可以方便访问的数据库中或其他形式的资料库中。例如:轻量级目录访问服务器 Web 服务器、FTP 服务器、等。协议发布 证书和证书撤销信息也可以作为其他信息通信交换协议的一部分。如通过S/MIME 安全电子邮件协议,TLS协议证书的交换。,2023/3/16,24,3.3 数字证书及管理,3.3.5 证书撤销证书由于某种原因需要作废,比如用户身份姓名的改变、私钥被窃或泄漏、用
14、户与所属企业关系变更等,PKI需要使用一种方法,通知其他用户不要再使用该用户的公钥证书,这种通知、警告机制被称为证书撤销。,2023/3/16,25,3.3.5 证书撤销,方法有两种:一种是利用周期性的发布机制,如使用证书撤销列表CRL(Certificate Revocation List)。另一种是在线查询机制,如使用在线证书状态协议 OCSP(Online Certificate Status Protocol)。,2023/3/16,26,3.3 数字证书及管理,3.3.6 证书更新证书更新包括两种情况:最终实体证书更新和CA证书更新。最终实体证书更新,有以下两种方式:执行人工密钥更新
15、 实现自动密钥更新,2023/3/16,27,3.3 数字证书及管理,3.3.7 证书归档 由于证书更新等原因,一段时间后,每个用户都会形成多个旧证书和至少一个当前证书,这一系列旧证书和相应的私钥,就组成了用户密钥和证书的历史档案,简称密钥历史档案,因此需要证书归档和管理,以备后用。,2023/3/16,28,3.3 数字证书及管理,3.3.8 用户证书存储 用户数字证书可以存储在计算机的硬盘、USB盘、IC卡和专用的USB Key盘中。证书申请者从认证中心处得到的数字证书和用户的私钥,通常保存在申请证书所用电脑硬盘的隐秘空间里,一般人无法获取,但可以通过程序导出,存储在USB盘或其它的计算机
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基础设施 PKI 课件
链接地址:https://www.31ppt.com/p-3697601.html