信息安全第5讲PKI.ppt

;　　　　 5.1 PKI概述5.1.1 PKI基本概念　　 PKI（Public Key Infrastructure）是公钥基础设施的简称，是一种遵循标准的，利用公钥密码技术为诸如电子商务、电子政务、网上银行和网上证券等网络应用提供可靠的安全服务的基础设施（平台）。  PKI是一系列基于公钥加密技术之上，用来创建、管理、存储、颁发和作废证书的软件、硬件、人员、策略和过程的集合。;5.1.2 PKI的发展史 美国作为最早提出PKI概念的国家，于1996年成立了美国联邦PKI筹委会，其PKI技术在世界上处于领先地位，与PKI相关的绝大部分标准都由美国制定。 我国的PKI技术从1998年开始起步，由于政府和各有关部门近年来对PKI产业的发展给予了高度重视，因此2001年PKI技术被列为“十五”863计划信息安全主题重大项目，并于同年10月成立了国家863计划信息安全基础设施研究中心。各个地方、行业和国家行政主管部门纷纷上马建设CA认证机构，提供PKI/CA解决方案的厂商比比皆是。 ;;5.1.3 PKI提供的基本服务;  ?认证 →采用数字签名技术，签名作用于相应的数据之上  ●被认证的数据——数据源认证服务  ●用户发送的远程请求——身份认证服务 ●远程设备生成的challenge信息——身份认证  ?完整性  →PKI采用了两种技术  ●数字签名技术：既可以是实体认证，也可以是数据完整性 ● MAC（消息认证码）：DES-CBC-MAC或HMAC-MD5;　 　 ?必威体育官网网址性 →用公钥分发随机密钥，然后用随机数密钥对数据加密 ?不可否认 →发送方的不可否认——数字签名 →接受方的不可否认——收条+数字签名;5.1.4 PKI的应用考虑在提供前面四项服务的同时，还必须考虑　 ?性能 →尽量少用公钥加解密操作，在实用中，往往结合对称加密技 术，避免对大量数据加解密操作 → 除非需要数据来源认证才使用数字签名技术，否则就使用 MAC或HMAC实现数据完整性校验 ?在线和离线模型 → 签名的验证可以在离线情况下完成 →用公钥实现必威体育官网网址性也可以在离线情况下完成 →离线模式问题：无法获取必威体育精装版的证书注销信息;　　 ?证书中所支持算法的通用性 →在提供实际的服务之前，必须协商到一致的算法 ?个体命名 →如何命名一个安全个体，取决于CA的命名登记管理工作;5.1.5 PKI的组成 完整的PKI系统必须具有权威认证机构(CA)、证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大部分来构建。 ;1. 认证机构CA　　CA即数字证书的申请及签发机构，CA必须具备权威性的特征，它是PKI的核心，也是PKI的信任基础，它管理公钥的整个生命周期。 CA的功能有证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。  CA主要由注册服务器、注册机构和认证中心服务器3部分组成。 2.证书库 证书库就是证书的集中存放地，包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等;信息进行存储和管理，并提供一定的查询功能。一般来说，为了获得及时的服务，证书库的访问和查询操作时间必须尽量的短，证书和证书撤销信息必须尽量小，这样才能减少总共要消耗的网络带宽。 3.密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则密文数据将无法被解密，造成数据的丢失。为了避免这种情况的出现，PKI应该提供备份与恢复解秘密钥的机制。密钥的备份与恢复应该由可信的机构来完成，认证中心(CA)可以充当这一角色。4.证书作废处理系统 ; 证书作废处理系统是PKI