PKICA讲解PPT

Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd河南信安电子认证中心PKI/CA基础培训运维部：郭勤松2012/3/7河南信安电子认证中心Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCopyright©2009-2011HenanProvinceInformationDevelopmentCo.,LtdPKI构成体系要素和框架3加密技术和数字证书4数字证书业务应用典型案例5PKI/CA应用方向及市场应用2你的互联网应用安全吗？1Copyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd河南信安电子认证中心一、你的互联网应用安全吗？基于电子认证体系的业务应用模式河南信安电子认证中心Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCopyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd我们为什么需要电子认证Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd你每天都在互联网上做什么？个人业务应用网上聊天电子邮件传输网上购物网络游戏网上缴费网络查询…………企业业务应用网上转账支付业务银行业务办理账务对账网上日常处理企业信息查询业务信息查询和办理…………Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd互联网上的潜在危机Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCopyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd1.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?认证1.1我是Rick.1.2口令是1234.授权保密性完整性防抵赖2.我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3.我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.如何保障互联网上的安全Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCopyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd互联网上的安全构成要素认证我不认识你!--你是谁？我怎么相信你就是你?--要是别人冒充你怎么办?授权我能干什么?--我有什么权利?你能干这个,不能干那个.保密性我与你说话时,别人能不能偷听?完整性收到的传真不太清楚?传送过程过程中别人篡改过没有?防抵赖我收到货后,不想付款,想抵赖,怎么样?我将钱寄给你后,你不给发货,想抵赖,怎么办?Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCopyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd安全认证的都能做些什么？认证贯穿每一天：早晨、白天、晚上父母/亲戚/朋友对自己的认证新东方学校上课对学生的认证机场安检对个人的认证电话购火车票，现场取票时认证彩票中奖后领奖时认证移动、电信公司对固话用户的认证设备及产品标识及维护审核标记认证…………Copyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd河南信安电子认证中心二、PKI/CA应用方向及市场应用基于电子认证体系的业务应用模式Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd电子商务、电子政务的安全支柱Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdPKI与现实世界对比加密私钥与数字签名应用授权数字证书JohnHancock保密性身份鉴证访问控制授权完整性抗抵赖DigitalSignatureCopyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdPKI-电子商务、电子政务的信任基础IP骨干网络（公网）PKI骨干网络浏览器E-mail服务器防火墙目录VPN网上办公电子贸易网上报税供应链管理网上招投标Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd应用方向：证券:行情查询/股票买卖/成交回报/新股认购/银证转帐银行:余额查询/明细查询/转帐/银证转帐/代交费用电信:话费缴纳/话费查询/充值服务移动:话费缴纳/话费查询/充值卡购买水电:水费缴纳/电费缴纳/电费购买燃气:煤气费缴纳餐饮:纯净水购买/快餐预定ISP:上网费缴纳/上网时长购买IP电话:IP费缴纳/IP时长购买彩票:彩票购买/中奖查询铁路:车票预定/车票购买/时刻查询航空:机票预定/机票购买/时刻查询…………总之，一切需要实名制验证的业务系统应用，都需要使用数字证书实现！！！数字证书业务应用方向Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd基于数字证书的各类业务应用体系结构：Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd电子商务平台价值：接入平台---门户系统,品牌价值认证平台---用户身份自动认证和自动识别,提供个性化的贴身服务信息平台---信息发布平台,使服务商投资少,见效快,周期短应用平台---提供应用服务平台,使服务商投资少,见效快,周期短PKI发展趋势：规范化--电子签名合法化--政府管理规范化市场化--面向社会服务性CA中心将重组（目前30多家）--国内CA厂商和CA中心将走向重组--行政CA中心面临技术维护和经营管理的双重困难服务化--认证服务快速增长--服务性CA中心是市场主角企业化--企业内部管理需要CA认证数字证书的价值及趋势Copyright©2009-2011HenanProvinceInformationDevelopmentCo.,Ltd河南信安电子认证中心三、PKI构成体系要素和框架基于电子认证体系的业务应用模式Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCopyright©2009-2011HenanProvinceInformationDevelopmentCo.,LtdPKI的构成框架公钥基础设施PKI(publickeyinfrastructure)是利用公共密钥理论和技术建立的提供安全服务的基础设施。目标是通过对密钥和证书的管理，建立及维护一个可信赖的网络环境。完整的PKI系统包含技术、运营、和法律三个部分。Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd加密技术数字证书数字证书认证中心(CA)PKI体系加密技术构成整个PKI系统的基石，是一切安全应用实现保障;PKI体系形成整个安全体系构架的纲领总称;数字证书认证中心(CA)实现认证体系功能的机构和认证业务系统;数字证书构成PKI体系的基本元素;PKI系统元素间的关系PKI的核心是CA中心PKI的基本元素是数字证书PKI的应用表现为证书的应用Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdPKI中的不可否认机制在电子商务中，不可否认机制被定义为一种通信属性，它保护通信的一方不受另一方谎称通信没有发生而导致的损害。三种不可否认机制：来源的不可否认机制•主要解决某一方是否生成了特定消息、生成的时间如何等问题送递的不可否认机制•主要解决某一方是否收到了特定的数据消息、收到的时间如何等问题提交的不可否认机制•主要解决某一方是否传送或提交了特定数据消息，提交的时间如何等问题•与送递不可否认机制的区别？–涉及传递信息的第三方保护接收者保护发送者保护发送者Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd不可否认机制所涉及的活动不可否认的请求•服务请求者：通信活动中主要的一方，或代表某一方利益的人记录的生成•不可否认记录：发生争议时能充当证据的信息•记录生成者记录的分发记录的核实•由服务请求者核实记录的保存•由服务请求者或可信第三方保存Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd不可否认机制中可信第三方的作用及实现不可否认机制的作用：公钥认证身份确认时间戳记录保存送递中介争议解决不可否认机制的实现：一、来源不可否认机制的实现•由发送方进行数字签名•由可信任的第三方进行数字签名•由可信任的第三方对摘要进行数字签名•内嵌可信任的第三方二、送递不可否认机制的实现•由接收方发送数字签名回执•利用可信任的送递代理•生成分段送递报告三、提交不可否认机制的实现Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdPKI的组成－认证过程CARA终端用户目录服务申请与审核证书归档证书终止证书注销证书发布证书生成EE–终端用户—终端用户或应用程序CA–认证中心—控制认证策略—产生证书—管理证书注销列表—更新目录服务器—保护CA签名密钥RA–注册机构—鉴别用户身份—分配用户角色与职责—与终端用户交流DS–目录服务—公布终端用户的信息Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,LtdCA中心-PKI的核心CA(CertificationAuthority)数字证书认证中心提供网络身份认证服务，负责签发和管理数字证书的机构；具有权威性和公正性的第三方信任机构；作用类似于颁发证件的公司—如公安机关，护照办理机构；如同电厂对于电力基础设施一样，CA是PKI基础设施的核心；Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd数字证书业务系统基本组成密钥管理系统（KM）数字证书认证系统（CA）身份认证系统（RA）硬件加密机在线认证服务系统（OCSP）信息发布系统（证书CRL）时间戳服务系统策略管理机构标准时间源校时系统最终用户Copyright©2009-2012HenanProvinceInformationDevelopmentCo.,Ltd数字证书--建设PKI的基石数字证书的定义：数字证书是由国家认可的、具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。数字证书包含有公开密钥拥有者的信息、公开密钥、签名算法和CA的数字签名。数字证书的存储：可以分为USBKey证书、普通磁盘证书、P12磁盘证书等；USBKey证书是将证书存储于专有USBKey（一个带智能运算芯片、形状类似于U盘的硬件设