CISP-2-PKI_CA技术

信息安全技术PKI/CA技术中国信息安全产品测评认证中心（CNITSEC）技术cnitsecPKI/CA发展历程PKI/CA体系结构PKI/CA标准与协议PKI/CA应用前景和市场前景国外PKI/CA现状和展望中国PKI/CA现状和展望PKI/CA优缺点探讨内容安排PKI/CA发展历程cnitsecPKI/CA发展历程源动力电子商务－对认证的需求cnitsecPKI/CA发展历程安全要素1.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?认证1.1我是Rick.1.2口令是1234.授权保密性完整性防抵赖2.我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3.我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.cnitsecPKI/CA发展历程安全要素认证我不认识你!--你是谁？我怎么相信你就是你?--要是别人冒充你怎么办?授权我能干什么?--我有什么权利?你能干这个,不能干那个.保密性我与你说话时,别人能不能偷听?完整性收到的传真不太清楚?传送过程过程中别人篡改过没有?防抵赖我收到货后,不想付款,想抵赖,怎么样?我将钱寄给你后,你不给发货,想抵赖,如何?cnitsecPKI/CA发展历程认证使用无所不在认证贯穿每一天：早晨、白天、晚上父母/亲戚/朋友对自己的认证新东方学校上课对学生的认证机场安检对个人的认证电话购火车票，现场取票时认证彩票中奖后领奖时认证电信公司对固话用户的认证移动公司对手机用户的认证cnitsecPKI/CA发展历程认证使用无所不在应用层传输层网络层数据链路层与物理层认证访问控制数据的完整性数据的保密性抗抵赖审计可用性身份及权限认证主机、路由器等源发认证相邻节点间的认证用户授权与访问控制应用层安全通信协议，如SSL数字签名第三方公证应用层代理或网关电路层防火墙（如SOCKs）防火墙和入侵检测传输层安全通信协议主机或路由器间IPSec等协议点到点加密机点到点加密机主机和服务的审计记录分析流量分析入侵记录网络结构设计，路由系统安全，基础服务安全，网络管理应用系统的容错容灾、服务管理cnitsecPKI/CA发展历程三种认证类型你有什么•认物不认人•身份证、听课证、护照、彩票你知道什么•认信息不认人•口令、用户名、暗号、密钥你是什么•只认人•长相、声音、指纹、虹膜cnitsecPKI/CA发展历程两类认证模式两方认证•预先注册，比较确认•如：电话购买火车票、彩票中奖cnitsecPKI/CA发展历程两类认证模式三方认证•第三方确认•机场安检•钞票购物支票购物cnitsecPKI/CA发展历程网络认证方法基于口令基于对称密钥基于非对称密钥基于人体特征cnitsecPKI/CA发展历程认证技术Internet/IntranetRickMary认证技术--口令方式口令是1234用户口令库1.口令需要预先分发给用户/注册(不安全)2.口令容易泄漏,且很难发现4.别人使用该口令冒充时,很难发现5.传输的数据很难保密3.口令改变不安全6.用户不承认自己的越轨行为时无法审计7.用户口令库管理的安全性cnitsecPKI/CA发展历程认证技术Internet/IntranetRickMary认证技术我有密钥用户密钥库1.密钥需要预先分发给用户/注册(不安全)2.密钥容易泄漏,且很难发现4.别人使用该密钥冒充时,很难发现3.密钥更新不安全5.用户不承认自己的越轨行为时无法审计--口令方式--对称密钥6.用户密钥库管理的安全性cnitsecPKI/CA发展历程认证技术Internet/IntranetRickMary认证技术我有私钥用户公钥库1.公钥需要预先分发给用户/注册(不安全/安全?)2.私钥用户保存,需要安全手段?3.密钥更新不安全--口令方式--公开密钥--对称密钥4.用户公钥库管理的安全性?非PKI方式PKI/CA方式cnitsecPKI/CA发展历程时间历程1976年，提出RSA算法20世纪80年代，美国学者提出了PKI的概念为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念1999年，PKI论坛成立2000年4月，美国国防部宣布要采用PKI安全倡议方案。2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础cnitsecPKI/CA发展历程亚洲PKI论坛成立于2001年6月13日包括日本、韩国、新加坡、中国、中国香港、中国台北和马来西亚。亚洲PKI论坛以促进亚太地区国家、区域间的PKI共用、PKI在电子商务中的推广应用为宗旨；以促进亚太地区实现跨边界、无局限的电子商务、促进成员间的合作，协调跨边界事宜及寻求解决办法、服务于所有成员方的共同利益为首要目标。论坛的主要活动包括：●召开信息交流会，促进PKI制度及技术的跨国界协调；●推动确定课题所需的调查、验证实验以及工作组活动；●有效地协调与其他地区各类电子商务活动的合作；●参与PKI技术标准化和成员间互操作活动；●研讨电子交易的相关法律、法规。论坛还呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：）cnitsecPKI/CA发展历程中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织是国家授权与国外有关PKI机构和组织沟通的窗口中国PKI论坛现任亚洲PKI论坛副主席中国PKI论坛目前挂靠在国家信息中心其网址为发展历程国内时间历程1996~1998年，国内开始电子商务认证方面的研究，尤其中国电信派专家专门去美国学习SET认证安全体系1997年1月，科技部下达任务，中国国际电子商务中心（外经贸委）开始对认证系统进行研究开发1998年11月，湖南CA中心开始试运行1998年10月，国富安认证中心开始试运行1999年第一季，上海CA中心开始试运行1999年8月，湖南CA通过国密办鉴定，测评中心认证1999年10月7日，《商用密码管理条例》颁布1999年～2001年，中国电子口岸执法系统完成1999年8月~2000年，CFCA开始招标并完成cnitsecPKI/CA发展历程时间历程30多家CA认证中心：分两类行业性中国金融CA认证中心CFCA中国电信CA认证中心CTCA国际电子商务认证中心－外经贸委电子口岸执法系统安全认证中心中国邮政认证中心武警认证中心公安部认证中心工商局认证中心科技部设立PKI/CA研究中心cnitsecPKI/CA发展历程时间历程30多家CA认证中心地域性：20多个北京、上海、天津广东、海南山西、山东陕西、宁夏浙江、福建陕西、湖南、湖北吉林cnitsecPKI/CA发展历程时间历程发展情况2000年全国CA系统的投入达7亿元参与运营人员达2000多人但数字证书发放量却不到30万张业务收入不超过1500万元数字证书的市场还没有形成中国的CA系统的建设超前、发展过热2000年电子商务领域最大的泡沫就是CA系统。cnitsec内容安排PKI/CA发展历程PKI/CA体系结构PKI/CA标准与协议PKI/CA应用前景和市场前景国外PKI/CA现状和展望中国PKI/CA现状和展望PKI/CA优缺点探讨PKI/CA体系结构cnitsecPKI/CA体系结构什么是PKI?从字面上去理解PKI就是利用公共密钥理论和技术建立的提供安全服务的基础设施。所谓基础设施，就是在某个大环境下普遍适用的系统和准则。在现实生活中有一个大家熟悉的例子，这就是电力系统，它提供的服务是电能我们可以把电灯、电视、电吹风机等看成是电力系统这个基础设施的一些应用。公共密钥基础设施(PKI)则是希望从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题，为网络应用（如浏览器、电子邮件、电子交易）提供可靠的安全服务。cnitsecPKI/CA体系结构什么是PKI?从理论上去理解只要PKI具有友好的接口，那么普通用户就只需要知道如何接入PKI就能获得安全服务，完全无需理解PKI如何实现安全服务。正如电灯只要接通电源就能亮一样，它并不需要知道电力系统是如何将电能传送过来的。值得注意的是，虽然都是服务，但安全服务和电能服务在表现形式上却有很大的差别：通过电灯的亮与不亮，我们可以感觉到电能服务的存在与否；而安全服务却是隐藏在其他应用的后面，用户无法直观地感觉到它是否有效或起作用。因此，虽然并不需要精通密码理论，但如果我们理解了PKI为什么能够解决网上的安全问题？它的基本理论基础是什么？就会更有利于推动PKI的应用和发展cnitsecPKI/CA体系结构什么是PKI?从技术上去理解在公钥加密技术的基础上实现证书的产生,管理,存储,发放以及作废而必须的全部硬件,软件,人力资源,相关政策和操作程序以及为PKI体系中的成员提供的安全服务的全部简单地说，PKI的功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），为用户提供方便的直接或间接获取证书的途径，对证书发放环境的方便的访问途径，证书作废的直接或间接宣告途径，并进而利用数字证书及相关的各种服务（证书发布，黑名单发布，时戳服务等）实现通信中各实体的身份认证，完整性，不可否认性和保密性。cnitsecPKI/CA体系结构完整的PKI框架技术运营法律cnitsecPKI/CA体系结构PKI体系结构PKI体系结构cnitsecPKI/CA体系结构PKI体系结构PAA政策批准机构创建整个PKI系统的方针批准本PAA下属PCA的政策为下属PCA签发公钥证书建立整个PKI体系的安全政策并具有监测各PCA行为的责任cnitsecPKI/CA体系结构PKI体系结构PCA政策CA制定本PCA下的具体政策可以是PAA政策的扩充或细化，但不能与之相背离这些政策可能包括本PCA范围内密钥的产生，长度，证书的有效期规定，CRL的处理等并为下属CA签发公钥证书。cnitsecPKI/CA体系结构PKI体系结构CA不具备或具备有限的政策制定功能按照上级PCA制定的政策，担任具体的用户公钥证书的生成和发布，或CRL生成发布职能cnitsecPKI/CA体系结构PKI体系结构ORA进行证书申请者的身份认证向CA提交证书申请请求验证接收到的CA签发的证书并将之发放给证书申请者必要时，还协助证书作废过程cnitsecPKI/CA体系结构PKI对象模型－四类实体CARAEECert/CRL数据仓库证书获取CRL获取cnitsecPKI/CA体系结构PKI对象模型－四类实体证书数字身份证符合一定格式的电子文件用来识别电子证书持有者的真实身份cnitsecPKI/CA体系结构PKI对象模型－四类实体证书为什么能保证唯一性为什么能保证公开性cnitsecPKI/CA体系结构PKI操作行为－12种1.产生、验证和分发密钥由实际的PCA政策决定自己产生代理方产生－密钥管理中心混合方式：双密钥方式CA－PAA/PCA/CA：自己产生密钥对ORA：自己产生或代理方产生cnitsecPKI/CA体系结构PKI操作行