PKI介绍幻灯片.pptVIP

PKI客户端技术概述 常见支持的标准接口标准 CSP PKCS#11 国内CA还有各自的一套发证和应用接口 上海CA接口 上海格尔CA接口 吉大CA接口等等 国密还有一套接口 智能卡密码服务设备接口 PKI客户端构架 IE Outlook 管理工具 ActiveX CSP PKCS#11 Fire fox Vendor API 管理工具 PC/SC CCID HID UMS 串口 国密接口 国密智能卡接口 借鉴了CSP的容器概念的一组接口 函数比较多接近70个 国密可信计算函数接口 国密VPN接口 国密加密机接口 PKI的应用例子 远程身份认证（证书应用） SSL VPN IPSec VPN，多应用于端到端 SSL VPN，多应用于点到端 邮件签名加密 S/MIME Outlook USBKEY介绍 关于USBKEY的几个术语： 有驱 指PC机上需要安装驱动才能正常识别出设备 无驱无软 指PC机上已预装设备驱动，并且设备自带应用软件 无驱有软 指PC机上已预装设备驱动，设备自身不带应用软件，需要从别的途径安装 PKI的应用例子 智能卡的核心技术体系 COS 底层驱动（PC/SC、CCID、HID、UMS等） CSP、PKCS#11 管理工具 发证接口等 几种常见的USB协议 HID 无驱，用户应用简单方便 采用CTRL和INT传输数据 可以尝试采用控制传输来提高通信速率 UMS 即U盘协议，可虚拟光盘，实现无软无驱 CCID 国际市场 PC/SC 微软牵头搞的一套函数接口标准 设备商需要编写对应的驱动 驱动安装后，可以通过调用一组微软的标准函数访问设备 CCID CCID是USB组织定义的一个USB协议，用于智能卡设备 微软提供了一套CCID的驱动，并在VISTA以后的系统中预装 微软的CCID驱动可以理解为微软实现的一个符合PC/SC标准的驱动程序 PKI介绍 王小妹 主要内容 PKI基本概念 PKI体系介绍 PKI客户端技术 身份认证终端介绍 PKI基本概念 1.最终用户：最终用户是使用PKI进行安全通信的用户，也是证书颁发机构（CA）的最终使用者。 2.依托主体：依托主体是指需要验证一个最终用户证书真实性的一类人，通常是与证书主体进行通信的其他用户。 3.公钥证书：公钥证书是一个防篡改的数据集合，它可以证实一个公钥与某一个最终用户之间的绑定关系，由CA颁发，由证书服务器生成，并由注册机构提交给证书库。 4.证书吊销列表：证书吊销列表（CRL）是一个带有时间戳并且经过CA数字签名的已吊销证书的列表。当证书过期或者私钥泄露时，CA为用户颁发新的证书并把原来的证书上传到CRL。 5.注册机构：注册机构（RA）作为CA和最终用户之间的中间实体，负责控制注册过程中、证书传递过程中及密钥和证书生命周期过程中最终实体和PKI间的交换。 PKI基本概念 6.证书颁发机构：证书颁发机构（CA）作为可信第三方，颁发含有用户名称、公钥以及其他的身份信息的证书，并负责证书在发行后证书生命周期中所有方面的管理。 7.证书服务器：证书服务器是负责根据注册过程中提供的信息生成证书的机器或者服务。 8.证书库：证书库是CA或者RA代替CA发布证书的地方。 9.密钥备份恢复服务器：密钥备份恢复服务器为CA提供了在创建私钥时备份和在以后恢复私钥的一种简单方式。当用户私钥丢失后，用户通过RA向CA报告私钥泄露中止事件，并要求恢复原私钥以解密未读信息。 证书结构 X.509v3证书的基本格式和内容如下表 PKI体系介绍 PKI背景 PKI产业链 PKI理论基础 PKI应用概述 PKI的背景 PKI(Pubic Key Infrastructure) 公钥基础设施：一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范 PKI的基础技术 加解密、数字签名、数据完整性机制、数字信封等 PKI在中国的发展 2000年，RSA专利失效，PKI蓬勃发展 2005年国内电子签名法实施，极大促进了PKI产业的发展 PKI产业链 认证终端应用商 芯片供应商 CA服务器制造商 CA运营商 集团用户 提供芯片、算法支持 提供应用解决方案 提供服务器解决方案 提供日常运营服务 日常使用 PKI理论基础 数据的性质 正确性（Correct） 数据是完整的，没有缺损。摘要算法。 合法性（Legal） 数据是未经篡改的。签名算法。 有效性(Valid) 数据在有效期内或者某个区域内使用。证书。 机密性(Confidential) 数据是加密的。加密算法。 不可否认性 数据有签名。签名算法。 PKI理论基础 系统的安全性体现在三个方面： 算法、协议、行为 算法保证数据的私密性等 协议防止数据为无关者截获并非法使用 行为是用户在使用过程中的习惯等