PKI-组成及数字证书

PKI组成及数字证书1、什么是ＰＫＩ？2、PKI解决什么问题3、ＰＫＩ和数字证书是什么关系？4、数字证书由哪些部分组成？5、数字证书有哪些格式？PublicKeyInfrastructure-公钥基础设施PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。PKI技术采用证书管理公钥，通过第三方的可信任机构--认证中心CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。一、什么是ＰＫＩ？PKI最主要的任务：是确立可信赖的数字身份数字身份可以被用来和密码机制相结合，提供像认证、授权、数字签名和验证服务。创建可信赖的身份的问题？证实所创建身份的准确性提供身份证明机制的合理性…认证机构CAＰＫＩ作用：保证信息的安全传输，解决应用安全的问题PKI技术原理数字证书的身份认证公钥（证书）公开发布，私钥个人保存；公私钥算法的不可逆认证中心（CA）：负责签发、管理和作废证书等操作。注册中心（RA）：建立证书持有者和证书之间的联系。证书库：存储证书和证书作废表（CRL）.证书验证软件：验证证书合法性、有效性，如客户端验证程序、OCSP证书持有者（CertificateHolderorEE）、人、设备、软件等等安全策略：设定企业最高层次的安全策略和安全方针，也包括密码系统的使用过程和原则。密钥恢复服务KMC时间服务时间服务器签名服务签名验证服务器PKI组成DigitalSignature加密私钥与数字签名应用授权数字证书二、PKI要解决的问题保密性身份鉴证授权完整性抗抵赖物理世界信息世界身份管理1——身份认证使用PKI技术认证身份技术相对成熟应用发展迅速新的发展：易用性：Roaming无线设备：WPKI身份管理2——授权与访问控制使用PKI技术确定和传递属性与权限AA/ACSAML/XACMLSSOLiberty/Passport应用的复杂性和关联性有待进一步发展访问安全使用PKI技术构筑安全的访问通道Web：SSL/TLSIPSecVPN：安全的网络互联SSLVPN：远程访问无线应用：WAP/WTLS与身份管理的结合内容安全1使用PKI技术对应用层数据进行保护邮件应用：S/MIME网上交易：电子表单桌面：文件/目录/应用软件内容安全2PKI技术与XML技术的结合，保护XML应用数据的安全XMLSignatureXMLEncryptionWS-SecurityXKMS新的应用模式，与安全紧密结合应用正在起步，标准有待完善避免弄巧成拙桌面应用PKI应用－CA/RA产品PKICA/RAPKI（PublicKeyInfrastructure）建立用户与用户，用户与系统间的信任关系鉴别用户/系统身份的权威机构数字证书作用：证明实体身份的合法性负责：生产和管理数字证书CA/RA产品架构认证机构CA注册机构RA密钥管理中心(KMC)发布系统（LDAP）CA/RA数据库证书操作密钥运算证书信息存储证书操作信息存储证书&CRL发布CA/RA产品说明KMC产品KMC（密钥管理中心），通过对加密证书密钥对和CA密钥的规范化管理，为数据加密和密钥恢复提供了一套可信赖的安全保障。CA产品它通过对数字证书策略/功能的定义，制定了证书类型基本规范，并提供证书分发操作的核心产品。RA产品RA是证书操作的注册和管理中心，定义了整个证书的操作和管理流程。CA/RA产品说明LDAP产品用于证书的分发和存储数据库产品存储与证书相关的用户信息/日志信息等三、PKI和数字证书关系数字证书是PKI的组成部分四、数字证书由哪些部分组成一张数字证书是…一个包含标示信息的文件CA的名称(Issuer)Bob的名字(Subject)Bob的公钥有效期签过名的使用了他们的私钥保证真实性和完整性被信赖的第三方数字证书书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件五、证书格式X.509v1证书X.509v2证书X.509v3证书versionversionversionserialNumberserialNumberserialNumbersignatureissuerissuervalidityvalidityvaliditysubjectsubjectsubjectsubjectPublicKeyInfosubjectPublicKeyInfosubjectPublicKeyInfoissuerUniqueIdentifierissuerUniqueIdentifiersubjectUniqueIdentifiersubjectUniqueIdentifierextensionsX509的主要内容ITU（国际电联）提供框架：Public-KeyInfrastructure(PKI)PrivilegeManagementInfrastructure(PMI)框架包括：基础设施模型证书和CRL的语法定义目录Schema定义信任路径处理过程X509的主要内容定义基于目录服务的使用框架X.509是X.500标准系列的一部分，在PKI的发展中，X.509起到了无可比拟的作用.X.509定义并标准化了一个通用的、灵活的证书格式.X.509的实用性来源于它为X.509v3和X.509v2CRL定义的强有力的扩展机制.X.509数字证书（属性）一些标准的X.509v3扩展项Keyinformation（密钥信息）AuthoritykeyidentifierSubjectkeyidentifierKeyusagenon-repudation,certificatesigning,CRLsigning,digitalsignature,symmetrickeyencryptionforkeytransfer,dataencryption,Diffie-Hellmankeyagreement.Privatekeyusageperiod一些标准的X.509v3扩展项Policyinformation（策略信息）CertificatepoliciesPolicymappingUserandCAattributes（用户和CA属性）SubjectalternativenameIssueralternativenameCertificationpathconstraints（证书认证路径限制PKCS标准PKCS=PublicKeyCryptographyStandardsRSA牵头;Apple,Microsoft,DEC,Lotus,SUN和MIT目的：保证密码系统直接的兼容性PKCS#1：RSA密码系统标准PKCS#2：合并到PKCS#1中PKCS#3：Diffie-Hellman密钥协商标准PKCS#4：合并到PKCS#1中PKCS#5：基于口令的密码系统标准PKCS标准PKCS#6：扩展的数字证书语法标准PKCS#7：密码系统报文语法标准PKCS#8：私钥信息语法标准PKCS#9：挑选的属性类型PKCS#10：证书请求语法标准PKCS#11：密码系统TOKEN接口标准PKCS#12：个人信息交换语法标准PKCS#13：椭圆曲线密码系统标准PKCS#14：伪随机数的产生PKCS#15：密码系统TOKEN信息格式标准证书验证证书验证包括确定以下内容：1）一个可信CA已经在证书上签名，即CA的数字签名被验证是正确的。注意这可能包括证书路径处理；2）证书有良好的完整性，即证书上的数字签名与签名者的公钥和单独计算出来的证书杂凑值相一致；3）证书处在有效期内（由证书里的“NotValidBefore”和“NotValidAfter”两个参数来限定有效期）；4）证书没有被撤销；5）证书的使用方式与任何声明的策略和使用限制相一致