5-PKI与CA

公钥基础设施(PKI)和CA主要内容ØPKI概论ØPKI/CA的理论基础ØPKI/CA体系架构ØPKI/CA标准与协议Ø国内外发展现状和前景ØPKI/CA的应用PKI概述ü什么是PKIüPKI的性能要求ü为什么需要PKIüPKI的发展历程üPKI的功能什么是PKIüPKI是publickeyinfrastracture缩写ü即公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。PKI概述ü什么是PKIüPKI的性能要求ü为什么需要PKIüPKI的发展历程üPKI实现的安全功能PKI的性能要求ü透明性和易用性ü可扩展性ü互操作性ü多用性ü支持多平台PKI概述ü什么是PKIüPKI的性能要求ü为什么需要PKIüPKI的发展历程üPKI实现的安全功能为什么需要PKI为什么需要PKI假冒AliceBob假冒：指非法用户假冒合法用户身份获取敏感信息为什么需要PKI截取AliceBob截取：指非法用户截获通信网络的数据为什么需要PKI篡改AliceBob篡改：指非法用户改动所截获的信息和数据为什么需要PKI否认?Alice否认：通信的单方或多方事后否认曾经参与某次活动PKI概述ü什么是PKIüPKI的性能要求ü为什么需要PKIüPKI的发展历程üPKI实现的安全功能PKI/CA发展历程Ø1976年，提出RSA算法Ø20世纪80年代，美国学者提出了PKI的概念Ø为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会Ø1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念Ø1999年，PKI论坛成立Ø2000年4月，美国国防部宣布要采用PKI安全倡议方案。Ø2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础······PKI/CA发展历程Ø亚洲PKI论坛成立于2001年6月13日，包括日本、韩国、新加坡、中国、中国香港、中国台北和马来西亚。Ø亚洲PKI论坛以促进亚太地区国家、区域间的PKI共用、PKI在电子商务中的推广应用为宗旨；以促进亚太地区实现跨边界、无局限的电子商务、促进成员间的合作，协调跨边界事宜及寻求解决办法、服务于所有成员方的共同利益为首要目标。论坛的主要活动包括：●召开信息交流会，促进PKI制度及技术的跨国界协调；●推动确定课题所需的调查、验证实验以及工作组活动；●有效地协调与其他地区各类电子商务活动的合作；●参与PKI技术标准化和成员间互操作活动；●研讨电子交易的相关法律、法规。Ø论坛还呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。Ø论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：）PKI/CA发展历程Ø中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织Ø是国家授权与国外有关PKI机构和组织沟通的窗口；Ø中国PKI论坛现任亚洲PKI论坛副主席；Ø中国PKI论坛目前挂靠在国家信息中心；Ø其网址为发展历程Ø1996-1998年，国内开始电子商务认证方面的研究，尤其中国电信派专家专门去美国学习SET认证安全体系Ø1997年1月，科技部下达任务，中国国际电子商务中心（外经贸委）开始对认证系统进行研究开发Ø1998年11月，湖南CA中心开始试运行Ø1998年10月，国富安认证中心开始试运行Ø1999年第一季，上海CA中心开始试运行Ø1999年8月，湖南CA通过国密办鉴定，测评中心认证Ø1999年10月7日，《商用密码管理条例》颁布Ø1999年-2001年，中国电子口岸执法系统完成Ø1999年8月-2000年，CFCA开始招标并完成PKI概述ü什么是PKIüPKI的性能要求ü为什么需要PKIüPKI的发展历程üPKI实现的安全功能PKI实现的安全功能1.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?l认证1.1我是Rick.1.2口令是1234.l授权l保密性l完整性l防抵赖2.我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3.我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.l认证¾我不认识你!--你是谁？¾我怎么相信你就是你?--要是别人冒充你怎么办?l授权¾我能干什么?--我有什么权利?¾你能干这个,不能干那个.l保密性¾我与你说话时,别人能不能偷听?l完整性¾收到的传真不太清楚?¾传送过程过程中别人篡改过没有?l防抵赖¾我收到货后,不想付款,想抵赖,怎么样?¾我将钱寄给你后,你不给发货,想抵赖,如何?PKI实现的安全功能练习题1、PKI是一种利用____技术为网上安全通信提供一整套安全的基础平台A、认证B、公钥C、通讯2、PKI实现的安全功能有哪些3、PKI系统所有的安全操作都是通过____来实现的A、网络认证B、数字证书C、安全协议D、密码技术ØPKI概论ØPKI/CA的理论基础ØPKI/CA体系架构ØPKI/CA标准与协议Ø国内外发展现状和前景ØPKI/CA的应用主要内容PKI理论基础Ø密码学Ø数字证书数字证书Ø什么是数字证书Ø证书验证Ø数字证书的使用Ø数字证书的存储ØX.509数字证书Ø数字证书生命周期什么是数字证书Ø数字证书(DigitalID)又叫“网络身份证”、“数字身份证”；Ø由认证中心发放并经认证中心数字签名的；Ø包含公开密钥拥有者以及公开密钥相关信息的一种电子文件；Ø可以用来证明数字证书持有者的真实身份。Ø是PKI体系中最基本的元素；Ø证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性证书验证单向验证tA产生一个随机数Ra；tA构造一条消息，M=(Ta,Ra,Ib,d),基中Ta是A的时间标记，Ib是B的身份证明，d为任意的一条数据信息；数据可用B的公钥Eb加密；tA将(Ca,Da(M))发送给B，其中Ca为A的证书，Da为A的私钥;tB确认Ca并得到A的公钥Ea；tB用Ea去解密Da(M)，既证明了A的签名又证明了所签发信息的完整性；tB检查M中的Ib；tB检查M中Ta以证实消息是刚发来的；tB对照旧数据库检查M中的Ra以确保不是消息重放。(可选项)证书验证双向验证：ØB产生另一个随机数，Rb;ØB构造一条消息，Mm=(Tb,Rb,Ia,Ra,d),基中Ta是B的时间标记，Ia是A的身份证明，d为任意的一条数据信息；Ra是A在第一步产生的随机数，数据可用A的公钥Ea加密；ØB将Db(Mm)发送给A；ØA用Eb解密Db(Mm),以确认B的签名和消息的完整性；ØA检查Mm中的Ia;tA检查Mm中Tb以证实消息是刚发来的；tA检查M中的Rb以确保不是消息重放。(可选项)X.509数字证书Ø由证书权威机构(CA)创建；Ø存放于X.500的目录中；Ø有不同版本，每一版本必须包含：①版本号；②序列号；③签名算法标识符；④认证机构；⑤有效期限：证书开始生效期和证书失效日期⑥主题信息；⑦认证机构的数字签名；⑧公钥信息；X.509数字证书分类从证书的基本用途来看：Ø签名证书签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；Ø加密证书加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。X.509数字证书分类从证书的应用来看，数字证书可分为：Ø个人证书Ø服务器证书Ø网关证书ØVPN证书ØWAP证书Ø。。。证书的生命周期CARA终端用户目录服务申请与审核证书归档证书终止证书注销证书发布证书生成主要内容ØPKI概论ØPKI/CA的理论基础ØPKI/CA体系架构ØPKI/CA标准与协议Ø国内外发展现状和前景ØPKI/CA的应用PKI的体系构成认证中心CA认证中心认证中心CACAPKI的应用PKI的应用PKI策略PKI策略注册机构RA注册机构注册机构RARA证书发布系统证书发布系统证书发布系统软硬件系统软硬件系统PKI策略Ø是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档；Ø建议和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。Ø两种类型：--CertificatePolicy,证书策略，用于管理证书的使用--CPS（CertificatePracticeStatements）PKI的体系构成(一)return软硬件系统Ø是PKI系统运行所需的所有软、硬件的集合，主要包括认证服务器、目录服务器、PKI平台等。PKI的体系构成(二)return认证中心CA是负责管理密钥和数字证书的整个生命周期。Ø接收并验证最终用户数字证书的申请；Ø证书审批，确定是否接受最终用户数字证书的申请；Ø证书签发，向申请颁发、拒绝颁发数字证书；Ø证书更新，接收、处理最终用户的数字证书更新请求；Ø接收最终用户数字证书的查询、撤销；Ø产生和发布证书废止列表(CRL)，验证证书状态；Ø提供OCSP在线证书查询服务，验证证书状态；Ø提供目录服务，可以查询用户证书的相关信息；Ø下级认证机构证书及帐户管理；Ø数字证书归档；Ø认证中心CA及其下属密钥的管理；Ø历史数据归档；PKI的体系构成(三)return注册机构RAØ是用户（个人/团体）和认证中心CA之间的一个接口。接受用户的注册申请，获取并认证用户的身份，完成收集用户信息和确认用户身份。Ø自身密钥的管理，包括密钥的更新、保存、使用、销毁等；Ø审核用户信息；Ø登记黑名单；Ø对业务受理点的LRA的全面管理；Ø接收并处理来自受理点的各种请求；PKI的体系构成(四)return证书签发系统Ø负责证书的发放。PKI的体系构成(五)returnPKI应用ØWeb服务器和浏览器之间的通讯Ø电子邮件Ø电子数据交换（EDI）Ø互联网上的信用卡交易Ø虚拟专用网（VPN）PKI的体系构成(六)returnPKI应用接口系统(API)Ø良好的应用接口系统使得各种应用能够以安全、一致、可信的方式与PKI交互，确保所建立的网络环境的可信性，降低管理和维护的成本。PKI的体系构成(七)returnPKI运作大致包括：ØPKI的策划包括信任模式、技术标准的选择；PKI系统、信息系统、网络系统架构的规划；整体安全架构的规划；设备选型；PKI功能与应用方式的确定；认证策略、安全策略、运营策略的制定；相关规章、法规体系的规划；物理场地选址；人员规划等。ØPKI实施包括场地建设；PKI系统、信息系统、网络系统建设；安全设施建设；相关规章、法规的制定；PKI功能与应用的实现；人员配置；人员培训等。ØPKI运营包括PKI及相关设施的管理与维护；PKI功能与应用的执行；相关规章、法规的执行；运营审计与评估；人员管理等。PKI的构建Ø自建模式(In-houseModel)是指用户购买整套的PKI软件和所需的硬件设备，按照PKI的构建要求自行建立起一套完整的服务体系。Ø托管模式是指用户利用现有的可信第三方—认证中心CA提供的PKI服务，用户只需配置并全权管理一套集成的PKI平台即可建立起一套完整的服务体系，对内对外提供全部的PKI服务。PKI构建模式的比较Ø成本比较(建设、风险、培训、维护)Ø建设周期比较Ø投入与产出比较Ø系统性能比较Ø服务比较典型CA系统体系结构Ø多层次结构，优点Ø管理层次分明，便于集中管理、政策制订和实施Ø提高CA中心的总体性能、减少瓶颈Ø有充分的灵活性和可扩展性Ø有利于保证CA中心的证书验证效率CA信任关系当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？Ø信任难以度量，总是与风险联系在一起可信CAØ如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型Ø基于层次结构的信任模型Ø交叉认证Ø