PKI系统架构解读.ppt

1、第七章公钥基础设施体系结构、信息安全服务早期信息安全主要通过物理和管理手段实现，或者通过简单的密码技术来保证。随着网络技术的发展，需要更完善的系统来保护存储在计算机中的文件和其他信息，包括在网络中传输的数据信息。20世纪80年代，信息安全技术取得了长足的进步。计算机网络安全研究和开发只关注以下安全服务，其中包括信息安全设施所需的各种功能。保密：确保计算机系统中的信息和传输的信息只能由阅读它的一方授权。完整性完整性：确保只有授权方才能在权限范围内对计算机系统中的有价值内容和传输信息执行操作，包括修改、状态更改、删除、创建、延迟或重放。可用性：意味着确保信息和信息系统可以随时向授权者提供服务，而不

2、会出现未经授权者滥用但拒绝向授权者提供服务的情况。非否认：要求发送者和接收者都不能拒绝传输。身份认证：是确认实体是由其声明的，用于认证个人或实体的身份，并为身份的真实性提供保证。它通常可以通过证书颁发机构和证书来实现。密码学与信息安全、信息隐私、信息对称加密的完整性、数字签名信息的来源认证、数字签名信息的非信誉、数字签名时间戳、信息安全技术和公钥基础设施，没有单一的机制可以提供上述子服务。网络环境下的安全服务需要依靠密码技术、身份认证技术、防火墙、防病毒、灾难备份、安全审计、入侵检测等安全机制。在应用层加密信息的算法或识别消息来源的协议已经被研究了很多年。然而，在传统的基于对称密钥的加密技术中

3、，密钥分配问题并没有得到很好的解决。对于电子商务、安全电子邮件、电子政务等新的安全应用，传统的基于共享密钥的认证协议不能很好地解决通信主体的身份认证问题。针对上述问题，经过多年的研究，世界各国已经初步形成了一套完整的互联网安全解决方案，即目前广泛使用的公钥基础设施技术。公钥基础设施技术使用证书来管理公钥，并将用户的公钥与其他身份信息(如姓名、电子邮件、身份证号等)绑定在一起。)通过第三方的证书颁发机构。通过互联网的认证中心组织，很好地解决了密钥分配和管理问题，传输的数据通过数字证书进行加密和认证，从而保证了信息传输的保密性、真实性、完整性和不可否认性。目前，公钥基础设施的安全认证系统已经受到各

4、界人士的普遍关注。国外一些大型网络安全公司也推出了PKI产品，如美国的IBM、委托、加拿大的SUN、孙等。它为用户之间的内部信息交互提供了安全性。什么是公钥基础设施？公钥基础设施是一种通用的安全基础设施，它使用公钥概念和技术来实现和提供安全服务。它可以为所有网络应用程序提供加密服务(如加密和数字签名)所需的密钥和证书管理。信任管理从根本上说，公钥基础设施是表达和管理信任关系的工具；数字社会和电子社会的基础之一，在数字社会中，实体之间建立信任关系的关键是能够确定彼此的身份；公钥基础设施的性能要求、透明性和易用性、可扩展性、互操作性、多平台支持、公钥基础设施/证书颁发机构的发展历史，1976年，R

5、SA算法被提出，20世纪80年代，美国学者提出了公钥基础设施的概念，为了促进公钥基础设施在联邦政府中的应用，1996年成立了联邦公钥基础设施指导委员会。维萨、万事达卡、国际商用机器公司、网景公司、微软公司和几家银行引入了SET协议，并引入了CA和证书的概念。1999年，公钥基础设施论坛成立。2000年4月，美国国防部宣布将采用公钥基础设施安全倡议。2001年6月13日，一个在亚洲和大洋洲推广公钥基础设施的国际组织成立。该国际组织的名称为“亚洲公钥基础设施论坛”，旨在促进亚洲公钥基础设施标准化，为实现全球电子商务奠定基础。论坛呼吁加强亚洲国家和地区与美国公钥基础设施论坛、欧洲公钥基础设施等公钥基

6、础设施组织的联系，推动国际公钥基础设施互操作系统的建设和发展。论坛下设四个特别工作组，即技术兼容组、商业应用组、立法组和国际合作组。亚洲公钥基础设施论坛成立于2001年6月13日，成员包括日本、韩国、新加坡、中国、香港、中国台北和马来西亚。国家计委批准的中国公钥基础设施论坛成立的非营利性跨行业中介机构公钥基础设施/证书颁发机构的发展历史，是国家授权与国外相关公钥基础设施机构和组织沟通的窗口；中国公钥基础设施论坛现任亚洲公钥基础设施论坛副主席；中国公钥基础设施论坛目前隶属于国家信息中心；该网站是PKI/CA的发展史，从1996年到1998年，国内开始对电子商务认证进行研究，特别是中国电信派专家到

7、美国研究SET认证安全系统。1997年1月，科技部下达任务，中国国际电子商务中心(对外贸易经济合作委员会)开始研究开发认证系统。1998年11月，湖南省认证中心开始试运行；1998年10月，郭芙市认证中心开始试运行；1999年第一季度，上海市认证中心开始试运行；1999年8月，湖南省认证中心通过国家秘密办公室的认证；1999年10月7日，评估中心通过认证；1999年至2001年，颁布了商业密码管理条例；1999年至2000年，中国电子口岸执法系统建成；1999年至2000年8月，中国电子口岸执法系统开始招标并完成；公钥基础设施(PKI)认证，1.1我是里克。1.2密码为1234，授权、保密、完

8、整、不可否认，2。我能怎么做呢？2.你可以做这个，但不能做那个。3.如何防止别人偷听？我有钥匙吗？5.我偷了机密文件，我不承认。5.我有你的犯罪证据。4.我如何保证它不会被篡改？别害怕，我有数字签名。我不认识你！-你是谁？我怎么能相信你就是你？-如果有人模仿你呢？授权我能做什么？-我有什么权利？你能做到，你不能做到。我跟你说话时，别人能偷听吗？完整性收到的传真不清楚？有人在传输过程中篡改过吗？收到货物后，我不想付款，想否认。怎么样？我给你钱后，你不发货，你想否认。怎么样？公钥基础设施实现的安全功能，7.3公钥基础设施及其组成部分，公钥基础设施政策是一份详细的文件，其中载有一些关于如何在实践中加

9、强和支持安全政策的操作程序；本文提出并定义了一个组织的信息安全指南，还定义了密码系统使用的处理方法和原则。有两种类型：-证书策略，证书策略，用于管理证书的使用-证书实践声明(CPS)，公钥基础设施架构(I)，返回，公钥基础设施架构(II)，软件和硬件系统是公钥基础设施系统所需的所有软件和硬件的集合，主要包括认证服务公钥基础设施的体系结构(3)为了确保用户身份和他持有的密钥之间的正确匹配，公钥系统需要一个可信任的第三方充当证书颁发机构，以确认公钥所有者的真实身份，并颁发和管理用户的数字证书。证书颁发机构负责管理密钥和数字证书的整个生命周期。接收并验证最终用户数字证书的应用；证书审批，确定是否接受

10、最终用户数字证书的申请；证书颁发、颁发和拒绝向应用程序颁发数字证书；证书更新，接收并处理终端用户的数字证书更新请求；接收最终用户的数字证书的查询和撤销；生成并发布证书吊销列表(CRL)，以验证证书状态；提供OSCP在线证书查询服务，验证证书状态；提供目录服务，可以查询用户证书的相关信息；下级认证机构的证书和账户管理；数字证书的归档；证书中心ca及其附属密钥的管理；归档历史数据；PKI体系结构(3)续，返回，PKI体系结构(4)，注册机构ra是用户(个人/团体)和证书中心ca之间的接口。接受用户的注册申请，获取并验证用户身份，完成用户信息收集并确认用户身份。自密钥管理，包括密钥更新、保存、使用和

11、销毁；审核用户信息。注册黑名单；在业务受理点全面管理上帝抵抗军；接收和处理来自接受点的各种请求。公钥基础设施的系统组成(5)证书颁发系统负责颁发证书。网络服务器和浏览器之间的通信公钥基础设施应用电子邮件电子数据交换(EDI)互联网信用卡交易虚拟专用网络(VPN)、公钥基础设施体系结构(VI)、返回、公钥基础设施应用接口系统(API)良好的应用接口系统使各种应用能够以安全、一致和可信的方式与公钥基础设施进行交互，从而确保已建立的网络环境的可信度并降低管理和维护成本。公钥基础设施的系统组成(7)、返回、公钥基础设施运行、公钥基础设施规划包括信任模式和技术标准的选择；公钥基础设施系统、信息系统和网络系统架构的规划；总体安全架构的规划；设备选择；公钥基础设施功能和应用模式的确定；制定认证策略、安全策略和操作策略；相关规章制度的规划；物理场地选择；人员规划等。公钥基础设施的实施包括网站建设；公钥基础设施系统、信息系统和网络系统的建设；安全设施建设；相关规章制度的制定；公钥基础设施功能和应用的实现；人员配备；人员培训等。公钥基础设施的运作包括公钥基础设施和相关设施的管理和维护；公钥基础设施功能和应用的实现；相关规章制度的执行情况；业务审计和评价；人事管理等。内部模式是指用户购买一套完整的公