公钥基础设施PKI 1.ppt

第三章 公钥基础设施(PKI) 目录 3.1 PKI概述 3.2 数字证书 3.3 PKI 证书管理体系 3.4 PKI提供的服务 3.5 PKI的应用 3.1 PKI概述 什么是PKI 3.1 PKI概述 1976年，提出RSA算法 20世纪80年代，美国学者提出了PKI的概念 为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会 1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念 1999年，PKI论坛成立，并制定了X.500系列标准 2000年4月，美国国防部宣布要采用PKI安全倡议方案。 2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础 ? ? ? ? ? ? 3.1 PKI概述 论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。 论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：） 3.1 PKI概述 3.1 PKI概述 为什么需要PKI-互联网困境 3.1 PKI概述 假冒 3.1 PKI概述 截取 3.1 PKI概述 篡改 3.1 PKI概述 否认 3.1 PKI概述-PKI实现的安全功能 认证 PKI实现的安全功能 3.1 PKI概述 三种认证类型 你有什么凭证 认物不认人 如：身份证、听课证、护照、彩票、电影票 你知道什么 认信息不认人 如：口令、用户名、暗号、密钥 你有什么生物特征 只认人 如：长相、声音、指纹、虹膜 3.1 PKI概述 两类认证模式 两方认证 预先注册，比较确认 如：电话购票、彩票中奖 三方认证 第三方确认 如：机场安检、支票购物 3.1 PKI概述 网络认证方式 基于口令 基于对称密钥 基于非对称密钥 基于人体特征(指纹，掌纹，DNA，虹膜等，成本很高、精度不够） 3.1 PKI概述 公钥技术 如何提供数字签名功能 如何实现抗抵赖服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案：引入证书(certificate) 通过证书把公钥和身份关联起来 3.1 PKI概述 用于加密的密钥对 3.1 PKI概述 3.1 PKI概述 一个完整的PKI应该包括 认证机构(CA) 证书库 证书注销 密钥备份和恢复 自动密钥更新 密钥历史档案 交叉认证 支持抗抵赖性 时间戳 客户端软件 3.2 数字证书 证书(certificate)，有时候简称为cert PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途 签名证书和加密证书分开 最常用的证书格式为X.509 v3 3.2 数字证书 X.509数字证书 X.509, ITU-T Recommendation: Information Technology – Open System Interconnection – The Directory: Authentication Framework X.509是X.500标准系列的一部分，在PKI的发展中，X.509起到了非常重要的作用. X.509定义并标准化了一个通用的、灵活的证书格式. X.509的实用性来源于它为X.509 v3和X.509 v2 CRL定义的强有力的扩展机制. 3.2 数字证书 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 3.2 数字证书 个体的公钥信息 算法 参数 密钥 签发人唯一标识符 个体唯一标识符 扩展域 签名 3.2 数字证书 3.2 数字证书 3.3 PKI 证书管理体系 PKI基本组件 RA(Registration Authority) 把用户的身份和它的密钥绑定起来——建立信任关系 CA(Certificate Authority) 发证 证书库/目录 保存证书，供公开访问 安全政策 CP, CPS 3.3 PKI 证书管理体系 3.3 PKI 证书管理体系 CA(Certificate Authority) 职责 接受用户的请求 (由RA负责对用户的身份信息进行验证) 用自己的私钥签发证书 提供证书查询 接受证书注销请求 提供证书注销表 3.3 PKI 证书管理体系 各个组件和功能示意图 3.3 PK