PKI安全应用

北京数字证书认证中心2007年10月1Confidential2012年6月PKI安全应用北京数字证书认证中心2007年10月22目录1.国家相关法律和政策规定2.PKI基础应用及相关安全协议3.BJCA的PKI安全应用产品线4.PKI安全应用实例北京数字证书认证中心2007年10月33PKI安全应用的法律保障（一）•“可靠的电子签名与手写签名或者盖章具有同等的法律效力”——《中华人民共和国电子签名法》第十四条•确立数据电文和电子签名的法律效力•规范电子签名规则•明确了可靠电子签名的要求•确定了可信第三方——电子认证机构的责任、条件和基本服务北京数字证书认证中心2007年10月44如何实现可靠电子签名？具有法律效力的可靠电子签名实现方法可归纳为：-合法可信第三方签发证书-可靠的PKI技术-符合规定的签名设备工信部根据《电子签名法》的行政许可授权，颁布了《电子认证服务管理办法》北京数字证书认证中心等30家CA中心已获得电子认证服务资质，可依法开展电子认证服务PKI安全应用的法律保障（二）北京数字证书认证中心2007年10月55关于PKI安全应用的相关国家政策《电子认证服务管理办法》（中华人民共和国工业和信息化部令第1号）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）《关于进一步加强互联网管理工作的意见》（中办、国办发[2004]32号）《关于网络信任体系建设的若干意见》（国办发[2006]11号）《电子政务电子认证体系建设总体规划》（国密局联[2007]2号文件）《国家信息化领导小组关于我国电子政务建设指导意见》（中办发[2002]17号）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）北京数字证书认证中心2007年10月662PKI基础应用及相关安全协议北京数字证书认证中心2007年10月77客户端1、用户以HTTPS方式访问服务器2、服务器返回给服务器数字证书3、客户端随机生成会话密钥,客户端使用服务器端公钥加密会话密钥,发送给服务器4、服务器使用自己的私钥解密会话密钥,转入加密模式.5、使用ssl握手阶段生成的会话密钥加密数据传输服务器端PKI基础应用-数据加密传输北京数字证书认证中心2007年10月88明文AliceBobA的私钥HiBobAliceA的公钥摘要哈希函数gJ39vzamp4xOurjj9rRr%9$数字签名HiBobAlice明文Ourjj9rRr%9$数字签名HiBobAlice明文gJ39vzamp4x新摘要哈希函数gJ39vzamp4x=？相同12345671、没有篡改2、是Alice发送的PKI基础应用-数字签名北京数字证书认证中心2007年10月99发送者接收者接收者的公钥加密随机产生的SM1/SM4密钥加密信息原文传送加密的信息、密钥及电子签名电子签名(已加密的摘要)用公钥加密后的DES密钥用散列算法计算摘要摘要加密摘要发送者的私钥加密信息解密摘要发送者的公钥接收者的私钥解密随机产生的SM1/SM4密钥解密信息原文用散列算法计算新摘要摘要新摘要检验两结果是否一致PKI基础应用-数字信封北京数字证书认证中心2007年10月10101.客户端接口程序通过Hash算法对原文计算出数字摘要；2.客户端将数字摘要通过网络发送给时间戳服务器；3.时间戳服务器读取标准时间，利用时间戳服务器证书对应的私钥对数字摘要和可信时间进行签名，产生时间戳；4.时间戳通过网络传回客户端，客户端验证通过后进行存储，此后，时间戳和原文绑定在一起可以证明某个时间的有效证据。客户端时间戳服务器私钥|||||||||Hash原文数字摘要|||||||||可信时间||||||||||||||||||||||||||||||||||||||||时间戳时间戳1234数字摘要PKI基础应用-时间戳服务北京数字证书认证中心2007年10月1111由Netscape，IETFTLS工作组开发SSL/TLS在源和目的实体间建立了一条安全通道(在传输层之上)，提供基于证书的认证、信息完整性和数据保密性SSL体系结构：SSL协议栈IPTCPSSL记录协议SSL握手协议SSL修改密文协议SSL告警协议HTTP协议安全协议-SSL/TLS北京数字证书认证中心2007年10月1212SecureElectronicTransaction，被称之为安全电子交易协议安全协议–SET协议•1996年2月，IBM,Microsoft,Netscape,RSA,Terisa和VeriSign开发了SETv1(针对MasterCard和Visa安全标准的需要而出现的•SET是开放的、设计用来保护Internet上信用卡交易的加密和安全规范•从本质上，SET提供了三种服务：–在交易涉及的各方之间提供安全的通信信道–通过使用X.509v3数字证书来提供信任。–保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用•交易过程：购买请求、支付认可和支付获取北京数字证书认证中心2007年10月1313S/MIME(安全的多功能Internet电子邮件扩充SecureMultipurposeInternetMailExtensions)S/MIME是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议,如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。微软从Outlook97就开始支持S/MIME协议。安全协议–S/MIME协议北京数字证书认证中心2007年10月1414RFC3161(TSP,TimeStampProtocol)数字时间戳服务（DTS：digita1timestampservice）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。数字时间戳技术就是数字签名技术一种变种的应用。在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件的摘要（digest）；（2）DTS收到文件的日期和时间；（3）DTS的数字签名。安全协议–时间戳北京数字证书认证中心2007年10月15153BJCA的PKI安全应用产品线北京数字证书认证中心2007年10月1616BJCA产品家族电子签章电子签名认证网关授权管理证书中间件CA系统客户端/介质可信电文移动PKIBJCA的产品家族：九个产品线认证数字身份管理数字签名PKI基础设施移动北京数字证书认证中心2007年10月1717规范统一的产品包装产品介质：采用USBKey作为介质。产品包装：包装盒、光盘、质保卡。软件：证书管理工具。3.1数字证书服务北京数字证书认证中心2007年10月18183.1数字证书服务-生命周期管理密钥恢复证书发放证书申请证书吊销证书解锁身份鉴证证书重签发证书更新证书信息目录查询在线证书状态查询时间戳服务证书吊销列表查询数字证书生命周期北京数字证书认证中心2007年10月19193.1数字证书服务模式•受理点模式•在线模式•受理点与在线相结合模式办理渠道•集中受理•分散受理受理方式北京数字证书认证中心2007年10月20203.2数字身份管理类产品北京数字证书认证中心2007年10月2121数字身份管理类产品数字身份管理产品是以数字证书作为认证凭证，以用户管理为核心，提供统一的用户管理、单点登录，实现针对网络资源和应用系统资源的全面资源访问控制的专用安全产品。统一认证管理系统网络实名接入网关北京数字证书认证中心2007年10月2222统一认证管理系统用户名输入用户名/口令登录口令对于管理员•针对多个应用系统，维护不同用户信息库，无论增/删/改，需要完成多次操作•同一用户，不同的访问权限管理，操作复杂，带来安全隐患对于应用系统•用户信息资源不共享，形成信息孤岛•用户、角色编码标准不统一，难以整合•多种认证方式，认证强度参差不齐，访问权限管理不统一，影响整个安全保障体系的建设管理员工作人员应用1应用2应用3对于用户•记忆多个应用系统的登录凭证•访问不同应用系统要重复认证，使用麻烦北京数字证书认证中心2007年10月2323主要功能用户管理•统一的数字身份管理•用户帐户生命周期管理授权管理•应用系统级粗粒度访问控制授权•系统功能调用级细粒度访问控制授权认证管理•提供不同安全等级的统一身份认证服务单点登录•一点登录，多点漫游审计管理•安全策略设定•安全审计、活跃度分析北京数字证书认证中心2007年10月2424网络实名接入网关不能基于用户真实身份进行业务系统接入控制：信息窃取或篡改、越权操作传统用户名口令登录方式：口令窃取、身份假冒互联网OA系统人力资源系统电子邮件综合系统财务系统内网用户单位内部业务系统外网用户外部人员通过互联网可以直接使用内部网络资源：恶意攻击、资源占用内部员工可随意访问互联网：网络病毒传播和扩散某机关单位北京数字证书认证中心2007年10月2525主要功能可信数字身份身份认证网络接入控制应用接入控制身份认证•支持用户名/口令及数字证书两种认证方式用户管理•对用户信息和用户账号进行统一管理接入控制•灵活配置准许接入的应用系统或网络资源，实现集中、统一的访问控制和管理•提供单一登录门户，实现单点登录日志管理•对终端用户的登录、认证和系统管理员的操作进行日志记录，以备查询审计之用北京数字证书认证中心2007年10月2626•在总部互联网出口部署的网络实名接入网关能够抵御来自互联网的入侵攻击，同时为出差员工提供安全接入，确保通信的保密性。•在各子单位出口部署网络实名接入网关，可以有效控制不同机构之间的越权访问。•网关提供统一管理平台，可以统一管理全网的网关设备，并提供详尽直观的报表，能够让管理员迅速了解到整个网络存在的安全风险和趋势，为决定如何制定安全策略提供依据。集团总公司出差员工网络实名接入网关InternetDMZ企业城域网网络实名接入网关分支机构2分支机构4分支机构1分支机构3网络实名接入网关网络实名接入网关网络实名接入网关员工1员工2典型应用——市级、区县级政府单位及大型企业北京数字证书认证中心2007年10月27273.3电子签名类产品北京数字证书认证中心2007年10月2828数字签名产品数字签名产品是面向各类电子数据提供基于数字证书的数字签名服务、并对签名数据验证其签名真实性和有效性的专用产品。可以广泛应用于网上审批、网上办公、网上银行、网上证券和网上支付等电子政务、电子商务和企业信息化中，为业务系统提供安全保护。数字签名验证服务器（DSVS）时间戳服务器（TSS）北京数字证书认证中心2007年10月2929主要功能数据签名功能-DSVS实现针对各类电子数据的数字签名功能，支持多种格式的数字签名。TSS实现对时间戳的签发功能。验证签名功能-DSVS实现对签名数据的的验证功能，验证签名真实性和有效性。TSS实现对时间戳的验证功能。日志管理功能-记录系统日志，以备查询审计使用。北京数字证书认证中心2007年10月3030典型应用—医疗信息化为了贯彻《电子签名法》和《电子病历基本规范》，保障医院信息化应用安全，医院可以依托BJCA提供的电子认证服务，为临床医护人员、医技、药剂工作者颁发数字证书，通过DSVS面向医院信息系统提供全在线的数字签名、验证服务，并通过TSS提供时间戳服务。北京数字证书认证中心2007年10月3131电子签章产品电子签章产品是将传统印章和电子签名技术完美结合的产品，以电子形式对电子文档签名并加盖签章，可有效确认文档来源、确保文档的完整性、防止对文档未经授权的篡改、确保签名行为的