PKI课件.pptVIP

PKI 公开密钥设施Public key infrastructure 第三方信任 安全问题 认证 我不认识你! -- 你是谁？ 我怎么相信你就是你? -- 要是别人冒充你怎么办? 授权 我能干什么? -- 我有什么权利?--你能干这个,不能干那个. 必威体育官网网址性 我与你说话时,别人能不能偷听? 完整性 收到的传真不太清楚? -传送过程过程中别人篡改过没有? 防抵赖 我收到货后,不想付款,想抵赖,怎么样? 我将钱寄给你后,你不给发货,想抵赖,如何? 利用公开密钥理论和技术建立的提供安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。 作用定义和建立身份认证和授权规则，然后分发、交换这些规则，并在网络之间解释和管理这些规则。 二、PKI的组成 PKI的核心--认证中心CA（Certificate Authority） 互联网定义：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。 国防部定义：一个授权产生，签名，发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。 联邦政府定义：被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。 认证中心CA CA是PKI的核心，CA负责产生、分配并管理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。 概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。 注册机构RA（Registration Authority） 互联网定义：一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CRL以及证书管理中。RA在当地可设置分支机构LRA。 PKIX用语：一个可选PKI实体与CA分开，RA的功能随情况而不同，但是可以包括身份认证和用户名分配，密钥生成和密钥对归档，密码模件分发及作废报告管理。 国防部定义：对CA负责当地用户身份（标识）识别的人。 注册机构RA RA是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。 发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。在RA的下层还可以有多个业务受理点（RS）。 注册机构（RA） CA、RA和业务受理点之间的逻辑结构如下图所示： 业务受理点 受理点的功能是： （1）管理所辖受理点用户资料 （2）受理用户证书业务 （3）审核用户身份 （4）向受理中心或RA中心申请签发证书 （5）将RA中心或受理中心制作的证书介质分发给用户 LDAP (Lightweight Directory Access Protocol) 目录服务器 LDAP目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。 三、PKI的核心--认证中心（CA） 提供网络身份认证服务，负责签发和管理数字证书的机构 具有权威性和公正性的第三方信任机构 作用类似于颁发证件的公司— 如护照办理机构 CA是PKI基础设施的核心 PKI的基石—数字证书 公开密钥发放 数字证书的格式 数字证书的功能 1. 文件加密；通过使用数字证书来对信息进行加密来保证文件的必威体育官网网址性，采用基于公钥密码体制的数字证书能很好解决网络文件的加密通信； 2. 数字签名；数字证书可以用来实现数字签名，以防止他人篡改文件，保证文件的正确性、完整性、可靠性和不可抵赖性； 3. 身份认证；利用数字证书实现身份认证可以解决网络上的身份验证，能很好的保障电子商务活动中的交易安全问题。 数字证书类型 证书存放 私钥存放在哪里？ 存放在“软件”或“硬件”电子令牌（token）中 软件电子令牌 = 安全的磁碟档 存在硬盘上 存在磁盘上（可携带） 硬件电子令牌 = 一种分离的实体磁性媒体 智能卡（Smart cards） Smart cards 于1967年由德国工程师 Dethloff 和 Grottrupp 发明，1982年取得专利 将私钥保存于可携带的媒体上，提高了密钥的安全性 智能卡 尺寸大约和信用卡一样 智能卡是一种单一体积电脑芯片，其中包括： 一个选择性中央处理单元（CPU），通常是8位的 Motorola 6805 或 Intel 8051 存储器：只读存储器（ROM）、非易变性存储器（NVM）、及少量的随机存取存储器