电子商务安全(第2版) 课件 第4章-公钥基础设施与应用-1

安全基础设施的概念公钥基础设施公钥基础设施的意义公钥基础设施基础什么是基础设施？基础设施是指为社会生产和居民生活提供公共服务的物质工程设施，是一个公共的服务系统。什么是安全基础设施？安全基础设施为整体应用提供安全的基本框架，可以被组织中任何需要安全的应用和对象使用。安全基础设施的概念安全基础设施的特点：普适的便于使用的有效的安全的对用户透明的统一的安全基础设施的概念安全基础设施的概念公钥基础设施公钥基础设施的意义公钥基础设施基础实例：公钥基础设施(PKI，PublicKeyInfrastructure)PKI的主要目的是用来发行“身份证明书”，相互通信的时候，如果能相互确认身份证明书，那么我们就知道自己是在跟对的人通信。数字证书数字证书是经证书认证中心CA数字签名，并且包含公开密钥拥有者信息及公开密钥的文件。类似于实际生活中的身份证。数字证书数字证书将公钥的值与持有相应私钥的主体（个人、设备和服务）的身份绑定在一起。通过在证书上签名，CA可以核实证书上公钥相应的私钥是否为证书所指定的主体所拥有。数字证书的格式数字证书的格式一般采用X.509国际标准证书信息版本标识序列号扩展信息扩展信息数字证书的格式数字证书的格式一般采用X.509国际标准证书颁发者信息颁发者颁发者唯一标识签名的算法标识符数字证书的格式数字证书的格式一般采用X.509国际标准证书持有者信息主体主体公钥证书所有者的唯一标识符数字证书的存放可以直接从网上下载，也可以通过其他方式存放。一种方式是使用IC卡存放用户证书。另一种方式是将用户证书直接存放在磁盘或终端上。PKI的构成（1）证书作废处理系统。如果当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。（2）认证机构。简称CA，是PKI的核心部分，是数字证书的签发机构，是PKI应用中权威的、可信任的、公正的第三方。（3）证书库。用于存储数字证书和公钥。（4）密钥备份及恢复系统。当用户证书生成时，加密密钥即被CA备份存储。当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。（5）PKI应用接口系统。为外界提供使用PKI安全服务的入口。数字证书的撤销同日常生活中的各种证件一样，证书在CA为其签署的有效期内也可能作废。原因可能是以下几种情况：证书过期；密钥泄露；用户提前申请停止使用；证书被冻结或挂起。数字证书的撤销证书撤销列表（CRL）证书撤销列表（CRL）CRL包含的主要内容如下：CRL的版本号。签名算法。证书签发机构名。此次签发时间。下次签发时间。用户公钥信息。签名算法。CRL颁发者数字签名。CRL扩展域和条目扩展域。PKI的构成（1）证书作废处理系统。如果当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。（2）认证机构。简称CA，是PKI的核心部分，是数字证书的签发机构，是PKI应用中权威的、可信任的、公正的第三方。（3）证书库。用于存储数字证书和公钥。（4）密钥备份及恢复系统。当用户证书生成时，加密密钥即被CA备份存储。当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。（5）PKI应用接口系统。为外界提供使用PKI安全服务的入口。什么是认证机构？自己做的身份证明书是不能拿来作为证明的，就像生活中，如果公民身份证可以私人合法制作的话，那么身份证也就没啥可信度了。网络世界中，我们需要一个信得过的发证机关来发行身份证明书，同时自己要好好保管自己的身份证明书，就像派出所给你发了公民身份证，自己要好好保管一样。认证机构（CA）是PKI应用中权威的、可信任的、公正的第三方机构，是体系信任的源头。CA是电子商务体系的核心环节，是电子交易信赖的基础。CA专门负责数字证书的发放与管理，确保网上信息的安全。认证机构（CA）的构成CA服务器证书下载中心目录服务器OCSP在线证书状态协议服务器密钥管理中心证书注册机构(RA)认证机构（CA）的职责CA的主要职责包括：证书颁发、证书更新、证书废除、证书和CRL的公布、证书状态的在线查询、证书认证和制定政策等。CA的政策包含以下几方面私钥的保护CRL的更新频率密钥对的产生方式CA服务器的安全维护审计与日志检查通告服务思考题为什么CA也要有自己的数字证书?如果PKI系统只包括了CA，没有RA等组件，能否为PKIUser提供安全服务?为什么?思考题为什么CA也要有自己的数字证书?如果PKI系统只包括了CA，没有RA等组件，能否为PKIUser提供安全服务?为什么?因为CA发布订户的公钥，也有数据完整性、非否认、真实性的安全要求。如果只是CA，也是可以的，就是任务太集中。“拿什么去信任你？我的证明书”PKI的构成（1）证书作废处理系统。如果当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。（2）认证机构。简称CA，是PKI的核心部分，是数字证书的签发机构，是PKI应用中权威的、可信任的、公正的第三方。（3）证书库。用于存储数字证书和公钥。（4）密钥备份及恢复系统。当用户证书生成时，加密密钥即被CA备份存储。当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。（5）PKI应用接口系统。为外界提供使用PKI安全服务的入口。证书库PKI的世界里，身份证明书，被叫做“证书”。发行“证明书”的机关叫做“认证机构”。还有一个就是统一管理证明书的证书“证书库”。这三个东西加起来，就是PKI的主要构成要素。证书库证书库是PKI系统的数据存储中心和发布中心，用于发布所有通过认证中心认可的X.509证书和证书撤消列表其实是文件系统，在网络上将证书存放在一起。可以通过下载来获取。或者，因为某些原因，证书直接分发，从而省去了证书库这个环节。PKI的构成（1）证书作废处理系统。如果当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。（2）认证机构。简称CA，是PKI的核心部分，是数字证书的签发机构，是PKI应用中权威的、可信任的、公正的第三方。（3）证书库。用于存储数字证书和公钥。（4）密钥备份及恢复系统。当用户证书生成时，加密密钥即被CA备份存储。当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。（5）PKI应用接口系统。为外界提供使用PKI安全服务的入口。密钥备份及恢复实际中存在很多用户丢失密钥的情况，这些情况通常为：遗失或忘记口令。存储介质的破坏。密钥的备份和恢复也是密钥管理中的重要一环。密钥更新理论上有密码算法和确定密钥长度被破译的可能，密钥需要定期更换。更换内容包括用户登记更新、密钥更新。PKI的构成（1）证书作废处理系统。如果当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。（2）认证机构。简称CA，是PKI的核心部分，是数字证书的签发机构，是PKI应用中权威的、可信任的、公正的第三方。（3）证书库。用于存储数字证书和公钥。（4）密钥备份及恢复系统。当用户证书生成时，加密密钥即被CA备份存储。当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。（5）PKI应用接口系统。为外界提供使用PKI安全服务的入口。PKI应用接口系统PKI应用接口系统需要实现以下功能：证书的验证工作；提供统一的密钥备份与恢复支持；确保用户的签名私钥始终只在用户本人的控制之下，阻止备份签名私钥的行为；根据安全策略自动为用户更换密钥；向应用提供历史密钥的安全管理服务；为所有应用访问公用证书库提供支持；为所有应用提供统一的证书作废处理服务；完成交叉证书的验证工作，为所用应用提供统一模式的交叉验证支持；支持多种密钥存放介质，包括IC卡、PC卡、安全文件等。PKI应用接口系统应该是跨平台的。一个有效的PKI系统必须是安全、透明的总结：PKI的任务安全生成密钥初始身份确认颁发、更