《PKI基本知识》PPT课件.ppt

《《PKI基本知识》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《PKI基本知识》PPT课件.ppt（55页珍藏版）》请在三一办公上搜索。

1、PKI基本知识,什么是PKIPKI的作用PKI的组成部分相关技术标准,数字证书与认证中心CA,PKIPublic Key Infrastructure公钥基础设施。属于安全基础设施，是一个用公钥技术来实施和提供安全服务的具有普适性的安全基础设施。,PKI是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。基础：公钥密码学动作：创建、管理、存储、分布和作废证书包含：软件、硬件、人员、策略和过程目的：表示和管理信任关系作用：PKI能为网络用户建立安全通信信任机制,PKI基础技术：数据加解密Hash摘要数字签名,为什么需要PKI,开放的互联网存在种种

2、潜在的欺诈机会在互联网通信网络中需要建立并维护一种令人可以信任的环境和机制信息的机密性信息的完整性信息的真实性不可抵赖性,为什么需要PKI,PKI的组成部分,证书签发机构（CA）证书注册机构（RA）证书库密钥备份及恢复系统证书废除处理系统应用系统接口,证书签发机构CA,CA（Certificate Authority）是PKI的核心CA对任何一个主体的公钥进行公证CA通过签发证书将主体与公钥进行捆绑,证书注册机构（RA）,RA（Registration Authority)是CA的组成部本RA是CA面向用户的窗口，它负责接收用户的证书申请，审核用户的身份RA也负责向用户发放证书,证书库,证书库

3、是证书的集中存放地，用户可以从此处获取其他用户的证书构造证书库可以采用X.500、LDAP、Web服务器、FTP服务器、数据库等。,密钥备份及恢复系统,如果用户的解密私钥丢失，则密文无法解密，造成数据丢失密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对解密私钥，签名私钥不能备份。,证书废除处理系统,证书在有效期之内由于某些原因可能需要废除用户身份的改变对密钥的怀疑（丢失或泄露）用户工作的变动认为CA证书已泄露等废除证书一般是把证书列入证书撤销列表中（CRL）来实现,PKI应用系统接口,PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务一个完整的PKI必须提供良好的应用接口，

4、使得各种应用能够以安全、一致、可信的方式与PKI进行交互，确保所建立起来的网络环境的可信性。,PKI的功能,签发证书签发证书撤销列表密钥备份与恢复功能证书、密钥对的自动更新加密、签名密钥的分割密钥历史的管理交叉认证,PKI的性能要求,透明性和易用性可扩展性互操作性支持多应用支持多平台,PKI的运营考虑,物理安全系统安全数据安全流程安全人员安全,PKI的一般结构,PKI的标准化,在密码和安全技术普遍用于实际通信的过程中，标准化是一项非常重要的工作标准化可以实现规定的安全水平，具有兼容性，在保障安全的互连互通中起到关键作用标准化有利于降低成本、训练操作人员和技术的推广使用ITU-T X.509PK

5、IX文档（RFC）PKCS系列标准,ITU-T X.509,X.509国际标准：idt ISO/IEC9594-8：1998 ITU-T Rcc.X.509:1997X.509是PKI的雏形，PKI是在X.509标准的基础上发展起来的已经达到标准化的最高水平，非常稳定X.509标准有三个版本，版本2和版本3是对版本1的扩展，目前常用的是版本3,PKCS系列标准,小结,PKI是一个用公钥技术来提供和实施安全服务的具有普适性的安全基础设施PKI的主要任务是管理密钥和证书PKI由CA、RA、证书库、密钥备份与恢复系统、证书废除系统、应用接口组成PKI标准化文档包括X.509、PKIX、PKCS等。,

6、PKI关键技术,数字证书证书认证中心证书撤销机制PKI信任模型,什么是证书,数字证书是数字证书颁发机构CA在检验确认申请用户的身份后向用户颁发的。数字证书包括用户基本数据信息用户公钥CA对证书的签名，保证证书的真实性,证书的作用,数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。,数字证书的结构,数字证书的结构,数字证书的存储标准,X.509标准最基本的证书存储标准格式PKCS#7标准用来传输签名数据的标准格式PKCS#12标准用来传输证书和私钥的标准格式,CA的作用,认证中心（CA）

7、作为权威的、可信赖的、公众的第三方机构，专门负责为各种认证需求提供数字证书服务。,CA提供的服务,颁发证书废除证书更新证书验证证书管理密钥,CA的安全措施,保证CA系统的物理通道的安全操作员权限控制岗位职责明确建立安全分散和牵制机制身份认证任何与CA中心的通迅都采用加密机制定期对所有涉及安全的事物进行审查,颁发证书,用户到认证中心（CA）的业务受理点申请证书认证中心审核用户的身份认证中心为审核通过的用户签发证书认证中心将证书灌制到证书介质中，发放给用户,证书介质,磁盘用户将磁盘中的证书复制到自己的PC机上，当用户使用自己的PC机享受电子商务服务时，直接读入即可。,IC卡只有正确输入IC卡口令后

8、才能将卡中的私钥和证书读出来。,USB电子钥匙使得用户的私钥不出卡，所有的运算均在硬件内完成，从根本上保证了用户的私钥的安全。,废除证书,证书的废除是指证书在到达它的使用有效期之前将不再使用,废除证书的原因证书用户身份信息的变更CA签名私钥的泄漏证书对应私钥的泄漏证书本身遭到损坏其他原因,废除证书,用户到认证中心的业务受理点申请废除证书认证中心审核用户的身份认证中心定期签发证书黑名单（CRL）认证中心将更新的CRL在线发布，供用户查询和下载,证书黑名单（CRL）,更新证书,用户证书更新证书快到期，更换密钥CA证书更新为保证平滑转移，需签发四份证书,管理密钥,密钥产生客户端、CA中心密钥存储客户

9、端、CA中心密钥分发加密传输,密钥备份与恢复,根据用户的需求，CA中心可以对用户的加密私钥进行备份，并确保密钥安全所有密钥的备份都采用密钥分享技术，并将备份信息分段保存在不同地方所有密钥的恢复必须满足一定条件（人数、信息分段的位置、特定的算法）才能完成,交叉认证,目前，建立一个单一全球性的PKI是不太可能实现的，一段时间内，会存在多个PKI域，进行独立的运行和操作。由于业务关系的改变或其他一些原因，不同的PKI的用户团体之间必须进行安全通信。在以前没有联系的PKI之间建立信任关系，就需要实现交叉认证。它能够让一个PKI团体的用户验证另一个PKI团体的用户证书，从而实现安全通信。,交叉认证的不同

10、形式,按CA所在的域来分：域内交叉认证：两个CA属于相同的域，不同的层次；域间交叉认证：两个CA属于不同的域；交叉认证可以是单项的，也可以是双向的。按认证的方向分：正向交叉证书：从CA1的观点来看，把它当作主体，而由其他CA来颁发证书；反向交叉证书：被CA1颁发的证书；,CA1与CA2交叉认证,例如：,例如：,证书链,为了获得对某一证书的信任，验证者必须验证关于每一个证书的三个方面，直到到达一个可信的根。,验证证书,第一步：验证真实性。证书是否为可信任的CA认证中心签发？,证书真实性的验证是基于证书链验证机制的。,验证证书,第二步：验证有效性。证书是否在证书的有效使用期之内？,证书有效性的验证

11、是通过比较当前时间与证书截止时间来进行的。,验证证书,第三步：验证可用性。证书是否已废除？,证书可用性的验证是通过证书撤销机制来实现的。,国内PKI发展现状,大陆PKI发展现状从1998年中国出现第一家CA认证中心开始，PKI/CA认证作为信息安全的基础设施之一，经历了一个快速发展的阶段各个地方、行业和国家行政主管部门纷纷上马建设CA机构，提供PKI/CA建设方案的厂商比比皆是，相关的国家部委及主管部门或者立项研究，或者出台有关管理草案和规划，在2000-2001年上半年起了一个热潮。,国内PKI发展现状,国内现状-服务提供商,创原世纪国创科技信安科技吉大正元天威诚信国瑞数码,著名的CA机构,

12、目前世界上最著名的CA认证中心是美国Verisign公司，发展到目前为止已经为超过2700万web站点提供了认证服务，其个人客户就更多了，世界500强的绝大多数企业的网上业务都用Verisign的认证服务。在中国近几年出现了很多CA认证中心，其中中国金融认证中心CFCA：银行建立的国家级权威金融认证机构是国内唯一一家能够全面支持电子商务安全网络支付业务与网络银行业务的第三方网上专业认证服务机构基于双密钥机制实现证书链以及跨行的身份认证客户：银行、证劵、银联等具备合格金融资信和支付能力金融机构,PKI的应用实例,CA系统实例在Web服务器和浏览器之间的通讯（SSL）在Internet上的信用卡交易（SET）Windows智能卡登录,案例研究,MCC公司电子邮件加密和智能卡解决方案为VPN进行基于证书的IPsec认证基于WEB的认证,