当前位置:文档之家 › 第3 4章 PKI与身份认证

第3 4章 PKI与身份认证

  • 格式:ppt
  • 大小:3.35 MB
  • 文档页数:67

下载文档原格式

  / 67

合集下载

第3章 PKI认证技术及应用

第3章 PKI认证技术及应用
AU
③ EPKB[ IDA| |N1] A ⑥ EPKA [ N1 | | N2] ⑦ B
EPKB[ N2 ]
公钥管理机构分配公钥
PKI认证技术及应用 第三章 PKI认证技术及应用 步骤如下: 步骤如下: 用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B (1)用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B 当前公钥的请求。 当前公钥的请求。 Request | |Time1 公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥 秘钥SK (2)公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥SKAU来 加密,因此A能用管理机构的公开钥解密,并使A相信这个消息来自于公钥 加密,因此A能用管理机构的公开钥解密,并使A 管理机构。该消息由以下几部分组成: 管理机构。该消息由以下几部分组成: 可以用之将发往B的消息加密。 B的公钥PKB,A可以用之将发往B的消息加密。 的公钥PK 的请求,验证A A的请求,验证A的请求在发往管理机构使没有更改 最初的时戳,使A确信管理机构发来的不是旧消息。 最初的时戳, 确信管理机构发来的不是旧消息。 的公开钥将消息加密后发向B 这个消息中有两个数据项, (3)A用B的公开钥将消息加密后发向B,这个消息中有两个数据项,一个 的身份IDA 另一个是一次性随机数N1 用来唯一的标识本次通信。 IDA, N1, 是A的身份IDA,另一个是一次性随机数N1,用来唯一的标识本次通信。 E PKB [ ID A | |N1 ] )(5 以相同的方式从公钥管理机构获得A的公开钥。至此, (4)(5)B以相同的方式从公钥管理机构获得A的公开钥。至此,A和B都 已经得到了对方的公开钥,可以安全保密的通信。 已经得到了对方的公开钥,可以安全保密的通信。
PKI认证技术及应用 第三章 PKI认证技术及应用

pki身份认证流程

pki身份认证流程

pki身份认证流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。

文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!1. 证书申请:用户向认证机构(CA)提交证书申请,包括个人或组织的身份信息。

电子商务安全课后选择题答案及复习资料 唐四薪

电子商务安全课后选择题答案及复习资料 唐四薪

电子商务安全课后选择题答案及复习资料唐四薪一、课后选择题答案第一章电子商务安全的概述1.关于电子商务安全,下列说法中错误的是D决定电子商务安全级别的最重要因素是技术 2.网上交易中订货数量发生改变,则破坏了安全需求中的()。

C/完整性; 3.()原则保证只有发送方和接收方才能访问消息内容。

D.访问控制; 4.电子商务安全中涉及的3种因素,没有()。

C设备5.在PDRR模型中,()是静态防护转为动态的关键,是动态响应的依据。

B检测;6.在电子商务交易中,消费者面临的威胁不包括()D非授权访问;7.B截获C伪造A篡改D中断第二章密码学基础1.棋盘密码属于()A单表替代密码;2.()攻击不能修改信息内容;A.被动;3.在RSA中,若两个质数p=7,q=13,则欧拉函数的值为()B。

72 解p-1=6.q-1=12;4.RSA算法理论基础()。

B大数分解;5.数字信封技术克服了()。

D公钥密码技术加密速度慢6.生成数字信封,我们用()加密()。

D接收方公钥、一次性会话秘钥7.如果发送方用自己的私钥加密信息,则可以实现()。

D鉴别 8.如果A和B安全通信,则B 不需要知道()A。

A的私钥 9.通常使用()验证消息的完整性。

A。

消息摘要10.两个不同的消息摘要具有相同散列值,称为()B。

冲突11.()可以保证信息的完整性和用户身份的确定性》C。

数字签名 12.与对称秘钥加密技术相比,公钥加密技术特点()。

D可以实现数字签名第三章认证技术1.确定用户的身份称为()。

A,身份认证2.下列技术不能对付重放攻击的是()。

A.线路加密3.D重放攻击;第四章数字证书和PKI1.关于认证机构CA,下列说法错误的是()。

B、CA有着严格的层次,其中根CA要求在线并且实时保护。

2.密钥交换最终方案是()。

C.数字证书3.CA用()签发数字证书。

D自己的私钥4.以下设施常处于在线状态的是()B。

OCSP C.RA5.数字证书将用户的共要与其()联系在一起。

第3_章_身份认证(12周)_11_15

第3_章_身份认证(12周)_11_15


3.3 公钥基础设施(PKI)


PKI(Public Key Infrastructure)就是利用公钥 密码理论和技术建立的提供安全服务的基础 设施 PKI是一种标准的密钥管理平台,它能够为 所有网络应用透明地提供采用加密和数据签 名等密码服务所必须的密钥和证书管理。
3.3 公钥基础设施(PKI)

美国是最早(1996)推动PKI建设的国家。 1998年中国的电信行业建立了我国第一个行 业CA,此后金融、工商、外贸、海关和一些 省市也建立了自己的行业CA或地方CA。
3.3.2 PKI提供的服务



信息的机密性(Confidentiality):保证信息不泄露或不暴 露给那些未授权掌握这一信息的实体,保证通信双方的信 息保密,在信息交换过程中没有被窃听的危险,或者即使 窃听了也无法得到原文的真实含义。 信息的完整性(Integrity):防止信息在传输过程中被非 法的第三方恶意篡改或者其他传输中的信息失真。 身份认证(Authentication):为对付假冒攻击而提供对 某个实体身份的真实性认证,实现有效鉴别通讯双方的身 份。 信息的不可否认性(Non-Repudiation):文件传输一旦 完成,发送方不能够否认他发送的信息,接收方也不能否 认他所收到的信息。

PKI的安全策略:建立和定义一个组织信息安全
的指导方针,同时也定义密码系统使用的处理方法 和原则

PKI应用接口系统:是PKI内部服务与用户之间
的桥梁。
(二) PKI运作流程

初始化阶段
终端实体注册申请(在线或离线) 注册机构审核 证书创建和签发 证书获取

使用阶段 撤销管理阶段
(二) PKI运作流程—初始化

网络安全技术(4—7章)第4章PKI公钥基础设施原理概要

网络安全技术(4—7章)第4章PKI公钥基础设施原理概要

3. 注册机构(RA) RA提供用户和CA之间的一个 接口。RA负责受理证书申请、注销与相关数据 审核,并将审核通过之数据传送至证书管理中 心,进行证书签发、注销等作业。
4. 证书发布系统 根据PKI环境的结构,证书的 发布可以有多种途径,比如,可以通过用户自 己,或是通过目录服务。目录服务器可以是一 个组织中现存的,也可以是PKI方案中提供的。
4.1 PKI/CA模型
PKI(Public Key Infrastructure)公钥 基础设施。
PKI中最基础的元素就是数字证书要包括:签发这些证书的证 书机构CA (Certificate Authority ),登 记这些证书的注册机构RA(Register, Authority),存储和发布这些证书的电子 目录,用户终端系统。
PKI是由CA(可能是一个单一层次结构)、策略和技术标 准、必要的法律组成;
PKI是用于产生、发布和管理密钥与证书等安全凭证的基础 设施。
PKI的功能:身份认证、机密性、完整性和不可否认服务。 1)身份认证: 随着网络的扩大和用户的增加,事前协商秘密
会变得非常复杂,特别是在电子政务中,经常会有新聘用和 退休的情况。另外,在大规模网络中,两两进行协商几乎是 不可能的,透过一个密钥管理中心来协调也会有很大的困难, 而且当网络规模巨大时,密钥管理中心甚至有可能成为网络 通信的瓶颈。PKI通过证书进行认证,认证时对方知道是你, 却无法确认。在这里,证书是一个可信的第三方证明,通过 它,通信双方可以安全地进行互相认证而不用担心对方会假 冒。 2)机密性: 通过加密证书,通信双方可以协商一个秘密,而 这个秘密可以作为通信加密的密钥。在需要通信时,可以在 认证的基础上协商一个密钥。在大规模网络中,特别是在电 子政务中,密钥恢复也是密钥管理的一个重要方面,政府决 不希望加密系统被贩毒分子窃取使用。当政府的个别职员背 叛或利用加密系统进行反政府活动时,政府可以通过法定的 手续解密其通信内容,保护政府的合法权益。PKI通过良好 的密钥恢复能力,提供可信的、可管理的密钥恢复机制。 PKI的普及应用能够保证在全社会范围内提供全面的密钥恢 复与管理能力,保证网上活动的健康发展。

8-第4章-PKI和PMI认证技术

8-第4章-PKI和PMI认证技术
4.2.3 PKI相关标准
在PKI技术框架中,许多方面都经过严格的定义,如用户的注册流程、数字证书的格式、CRL的格式、证书的申请格式以及数字签名格式等。几个重要的协议国际电信联盟ITU X.509协议;PKCS(Public Key Cryptography Standard)系列标准;PKIX(Public Key Infrastructure for X.509)系列标准;
第四章
PKI和PMI认证技术
do
something
什么是PKI(1/3)
PKI(Public Key Infrastructure, 公钥基础设施)是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施,PKI技术采用证书管理公钥,通过第三方的可信任机构——认证中心(Certificate Authority, CA)——把用户的公钥和用户的标识信息捆绑在一起,在Internet上验证用户的身份,提供安全可靠的信息处理。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
4.2.1 系统的功能(3/3)
(6) 证书认证在进行网上交易双方的身份认证时,交易双方互相提供自己的证书和数字签名,由CA来对证书进行有效性和真实性的认证。在实际中,一个CA很难得到所有用户的信任并接受它所发行的所有公钥用户的证书,而且这个CA也很难对有关的所有潜在注册用户有足够全面的了解,这就需要多个CA。在多个CA系统中,令由特定CA发放证书的所有用户组成一个域。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信,需要解决跨域的公钥安全认证和递送。建立一个可信任的证书链或证书通路。高层CA称做根CA,它向低层CA发放公钥证书。

第3章_身份认证技术和PK

身份认证
内容提要

认证系统概述 认证的形式 认证人的身份 安全握手协议 Kerberos 公钥基础设施PKI
认证系统概述

认证是一种可靠的验证某人(某物)身份的 过程。 在人与人之间的交互过程中,有大量身份认 证的例子,认识你的人通过你的长相或声音 识别你,一个警察可能通过证件的相片识别 你 网络中呢?


认证的形式(计算机之间)
1.基于口令的认证
这种认证不是基于你认识谁,而是基于你
知道的东西

面临的最大问题是窃听 其他问题
离线和在线口令猜测 存储用户口令
认证的形式
2.基于地址的认证

基于地址的认证并不是通过网络发送口令实 现的,而是假设可以根据收到的数据包的源 地址判断数据源的身份
的通信进行。
通过一个不安全的通道交换公钥
要求离线检验收到的公钥,如:通过电话向发送
方确认
认证人的身份

三个方面:
你所知道的内容 你所拥有的东西 你是谁
口令

在线口令猜测、离线口令猜测
应该使用多长的密钥——32个字符!!!

侦听
一次一密

粗心的用户 木马 非用于登录的口令
认证令牌

认证令牌是一个用户随身携带的设备,用户 使用这一设备来实施认证
磁条卡
有PIN值保护的内存卡
公钥如何分配?
公钥基础设施PKI

PKI是一种遵循标准的利用公钥理论和技术 建立的提供安全服务的基础设施。 主要任务:确立可信任的数字身份


PKI在网络中已被广泛采用。PKI可以作为安 全服务的框架,如加密、认证、抗抵性等。
公钥分配

PKI与身份认证教学课件


PKI的目的
所有提供公钥加密和数字签名服务的系统, 都可归结为PKI系统的一部分 通过自动管理密钥和证书,为用户建立起一 个安全的网络运行环境,使用户可以在多种 应用环境下方便的使用加密和数字签名技术 ,从而保证网上数据的机密性、完整性、有 效性。

PKI的理论基础
公钥密码理论
公钥密钥学(Public

密码学发展历程




密而不宣扮演主要角色 第一次世界大战前,文献中涉及很少,但跟其 他学科一样在发展 1918年,二十世纪最有影响的密码分析文章之 一William F. Friedman的专题论文《重合 指数及其在密码学中的应用》作为私立的“河 岸(Riverbank)实验室”的一份研究报告问世 同年,加州奥克兰的Edward H.Hebern申请了第 一个转轮机专利,这种装置在差不多50年里被 指定为美军的主要密码设备
密码学发展历程



从1949年到1967年,密码学文献近乎空白 在1967年,David Kahn的《破译者》,它没有任 何新的技术思想,但却对以往的密码学历史作了 相当完整的记述,包括提及政府仍然认为是秘密 的一些事情 大约在同一时期,早期为空军研制敌我识别装置 的Horst Feistel在位于纽约约克镇高地的IBM Watson实验室里花费了毕生精力致力于密码学的 研究。在那里他开始着手美国数据加密标准(DES )的研究 70年代后期和80年代初,当公众在密码学方面的 兴趣显示出来时,国家安全局(NSA)即美国官方 密码机构曾多次试图平息它
密码攻击
被动攻击:非授权者采用电磁侦听、声音 窃听、搭线窃听等方法直接得到未加密的 明文或加密后的密文。 解决方法:使用密码算法进行加密 主动攻击:非授权者采用删除、更改、增 添、伪造等手段主动向系统注入假消息。 解决方法:使用鉴别与认证机制

第三章PKI基本结构

第三章PKI基本结构PKI (Public Key Infrastructure,公钥基础设施) 是一种用于建立和管理公钥加密体系的框架,它涉及到数字证书的颁发和管理,以及密钥的生成和分发。

PKI是信息安全中一个核心的概念,它为互联网上的各种安全服务提供了保证。

PKI基本结构主要由以下几个部分组成:认证机构(CA)、注册机构(RA)、证书存储库以及密钥对生成机制。

首先,PKI中的核心是认证机构(CA)。

认证机构负责颁发数字证书,验证用户的身份,并将用户的公钥与其身份信息进行绑定,并将这些信息加密成数字证书。

认证机构是整个PKI体系的信任中心,用户可以通过认证机构来验证其他用户的身份信息的真实性和完整性。

其次,PKI中的注册机构(RA)是认证机构的一部分,它是认证机构的代理,负责验证用户的身份信息。

当一个用户希望获得数字证书时,他需要通过注册机构进行身份验证,然后注册机构将验证结果传递给认证机构。

注册机构的存在可以帮助认证机构降低工作量,提高效率。

然后,PKI中的证书存储库是用于存储和管理数字证书的地方。

证书存储库可以是一个集中化的数据库或者一个分布式的系统。

用户可以通过证书存储库来查找和验证其他用户的数字证书。

最后,PKI中使用的密钥对生成机制用于生成用户的公钥和私钥。

用户在申请数字证书之前,需要生成一个密钥对,并将私钥保密,同时将公钥发送给认证机构进行验证和注册。

PKI的基本工作流程如下:首先,用户向认证机构申请数字证书,需要提供其身份信息和公钥。

然后,认证机构通过验证用户的身份信息,将用户的身份信息与公钥进行绑定,并将这些信息加密成数字证书。

注册机构可以协助认证机构进行身份验证。

最后,认证机构将数字证书发送给用户,并将其存储在证书存储库中。

当其他用户需要验证用户的身份时,可以通过证书存储库查找并验证用户的数字证书。

PKI的基本结构提供了一个安全的框架,用于建立和管理公钥加密体系。

它可以保证数字证书的真实性和完整性,确保用户的身份和通信信息的安全。

身份认证标准 pki标准

身份认证标准 pki标准
PKI(Public Key Infrastructure,公钥基础设施)是一种用于管理数字证书、公钥和私钥的体系结构,它提供了身份认证标准的框架。

PKI标准是一系列规范和协议,用于确保在网络通信中的身份认证、数据完整性和保密性。

首先,我们来看PKI标准在身份认证中的作用。

PKI利用数字证书来验证个体或实体的身份。

数字证书包含了公钥、持有者信息以及数字签名等内容,通过这些信息可以验证证书的真实性和持有者的身份。

PKI标准确保了数字证书的颁发、验证和管理的一致性和安全性,从而实现了有效的身份认证。

其次,PKI标准还涉及到密钥管理和加密算法的选择。

在PKI 体系中,公钥和私钥的生成、分发、存储和注销都需要遵循一定的标准和流程。

此外,PKI标准还规定了应该采用哪些加密算法以及密钥长度等安全参数,以确保数据的机密性和完整性。

除此之外,PKI标准也涉及到数字签名的使用。

数字签名是PKI 体系中用于验证数据完整性和真实性的重要手段,PKI标准规定了数字签名算法、证书撤销列表(CRL)的管理等方面的要求,以保证
数字签名的有效性和安全性。

总的来说,PKI标准在身份认证中扮演着至关重要的角色,它
涵盖了数字证书的颁发、验证和管理,密钥管理和加密算法的选择,以及数字签名的使用等方面,确保了网络通信中的安全和可靠性。

在实际应用中,遵循PKI标准能够有效地保护用户的身份信息和数
据安全,是构建安全可信网络环境的重要基础。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
中国的PKI建设(3)
应用领域
◦ 网上支付
2006年3月,支付宝公司推出国内支付领域首张数字证书 年 月
◦ 电子病历
截至2007年12月,广西医科大学第一附属医院 个临床病区采 年 月 广西医科大学第一附属医院36个临床病区采 截至 用电子病历, 万份电子病历使用电子签名 用电子病历,5万份电子病历使用电子签名 2007年,广东中山市人民医院1300余名医护人员制作了证书 年 广东中山市人民医院 余名医护人员制作了证书
9
PKI模式 模式
PKI是一个完整系统 PKI是一个完整系统
维持一个可靠的网络环境 提供 非对称式加密算法 数字签名 可向许多不同类型的应用提供服务
PKI意味着 PKI意味着
密钥管理 证书管理
10
PKI作用 作用
认证:采用数字签名技术, 认证:采用数字签名技术,签名作用于相应的数据之上 数字签名技术 ◦ 被认证的数据 —— 数据源认证服务 ◦ 用户发送的远程请求 —— 身份认证服务 ◦ 远程设备生成的challenge信息 —— 身份认证 远程设备生成的challenge信息 challenge 完整性:PKI采用了两种技术 完整性:PKI采用了两种技术 ◦ 数字签名:既可以是实体认证,也可以是数据完整性 数字签名:既可以是实体认证, ◦ MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5 MAC(消息认证码) DES-CBC-MAC或者HMAC消息认证码 或者HMAC 保密性:用公钥分发随机密钥,然后用随机密钥对数据加密 保密性:用公钥分发随机密钥, 不可否认: 不可否认: ◦ 发送方的不可否认 —— 数字签名 其他:性能问题、 其他:性能问题、使用方式问题等
14
PKI关键技术 关键技术
数字证书 证书认证中心(CA) 证书认证中心( ) 证书废除机制 CA信任模式 信任模式
15
数字证书
什么是数字证书 ◦ 一段包括用户身份信息、用户公钥信息以及身份验证机构数 一段包括用户身份信息、 字签名的数据 ◦ 一个经证书认证中心(CA)签名的包括公钥拥有者信息及 一个经证书认证中心(CA) 公钥信息的文件 数字证书的作用 ◦ 网络通信的身份证明,解决相互间信任问题 网络通信的身份证明, ◦ 用户公钥信息用于数据加密,保证数据保密性、用户身份的 用户公钥信息用于数据加密,保证数据保密性、 不可抵赖性
第3/4章 PKI/PMI技术及身份认证 3/4章 PKI/PMI技术及身份认证
一、PKI技术 技术 二、PMI技术 技术 三、身份认证技术
1
PKI就在我们身边
国防 电子商务(包括移动商务) 电子商务(包括移动商务)
电子支付,电子合同、数字签名 电子支付,电子合同、 在线访问军事资源、 在线访问军事资源、通信保密 文件保密、秘密分级管理、 、文件保密、秘密分级管理、 各部门通信协调。 各部门通信协调。
签名信息
17
数字证书的格式 X.509公钥证书是专为 公钥证书是专为Internet的应用环境制定的,但很多建 的应用环境制定的, 公钥证书是专为 的应用环境制定的 版的证书结构如图: 议都可以应用于企业环境 ,第3版的证书结构如图 第 版的证书结构如图
由授权CA签名 颁发者 由授权 签名(颁发者 签名 颁发者)
行业型
◦ ◦ ◦ ◦ 金融、 金融、电信和外经贸等行业建立的相关证书机构 国内十三家商业银行联合建设中国金融认证中心(CFCA) 国内十三家商业银行联合建设中国金融认证中心 中国电信组建的CTCA 中国电信组建的 由国家外经贸部建立的中国国际电子商务中心( 由国家外经贸部建立的中国国际电子商务中心(CIECC) )
版本号
序列号
签名
颁发者
有效期
主体
主体公钥信息 颁发者唯一标识 主体唯一标识符 扩展 符
证书的版本 标识符(例如 标识符 例如 版本3) ,版本
用于签证书 的算法识别 符和签名值
证书的有效 时间段
证书拥有者 的公钥(和算 的公钥 和算 法识别符) 法识别符)
颁发者的可 选唯一标识 符
主体的唯一 标识符
2007年11月7日,“亚洲 年 月 日 亚洲PKI联盟”(APKIC,Asia 联盟 , PKI Consortium)成立大会在中国西安召开。 )成立大会在中国西安召开。
5
中国的PKI建设(1)
区域型
◦ 上海 上海CA中心(SHECA);北京 中心( );北京 );天津 中心; 中心 );北京CA(BJCA);天津 ( );天津CA中心; 中心 福建CA中心,湖北 中心, );海南电子商务认证 福建 中心 湖北CA(简称 (简称HBECA);海南电子商务认证 ); 中心( );广东省电子商务认证中心 中心(HNECA);广东省电子商务认证中心 );
电子政务
电子公章、 电子公章、资源访问 控制、 控制、文件保密
登录授权 VPN
2
3
4
国内外PKI发展
二十世纪八十年代,美国学者提出了 二十世纪八十年代,美国学者提出了PKI(公开密钥基 ( 础设施) 础设施)的概念
◦ 1996年成立了联邦 年成立了联邦PKI指导委员会 年成立了联邦 指导委员会 ◦ 1999年,PKI论坛成立 年 论坛成立 ◦ 2000年4月,美国国防部宣布要采用PKI安全倡议方案 年 月 美国国防部宣布要采用 安全倡议方案
证书 作废 处理 系统
应用 接口
12
PKI组成 组成
1.CA . CA是PKI的核心,它是数字证书的签发机构。 是 的核心,它是数字证书的签发机构。 的核心 CA的功能有:证书发放、证书更新、证书撤销和证书验证。 的功能有: 的功能有 证书发放、证书更新、证书撤销和证书验证。 CA的核心功能就是发放和管理数字证书。 的核心功能就是发放和管理数字证书。 的核心功能就是发放和管理数字证书 CA主要由安全服务器、 CA服务器 、注册机构 主要由安全服务器、 主要由安全服务器 服务器 注册机构RA (Registry Authority,负责证书申请受理审核 、数据库服务器、LDAP ,负责证书申请受理审核)、数据库服务器、 目录服务器等部分组成。 目录服务器等部分组成。 2.证书库 . 证书库就是证书的集中存放地,包括LDAP(轻型目录访问协 证书库就是证书的集中存放地,包括 轻型目录访问协 目录服务器和普通数据库, 议)目录服务器和普通数据库,用于对用户申请、证书、密钥、 目录服务器和普通数据库 用于对用户申请、证书、密钥、 CRL(证书撤销列表 和日志等信息进行存储和管理,并提供一 证书撤销列表)和日志等信息进行存储和管理 证书撤销列表 和日志等信息进行存储和管理, 定的查询功能。 定的查询功能。 一般来说,为了获得及时的服务, 一般来说,为了获得及时的服务,证书库的访问和查询操作 时间必须尽量的短,证书和证书撤销信息必须尽量小, 时间必须尽量的短,证书和证书撤销信息必须尽量小,这样 才能减少总共要消耗的网络带宽。 才能减少总共要消耗的网络带宽。
11
PKI组成 组成
PKI系统由认证中心 系统由认证中心CA(Certificate Authority)、证书库、密 系统由认证中心 、证书库、 钥备份及恢复系统、 钥备份及恢复系统、证书作废处理系统和应用接口等主要组成 部分, 部分,如图 PKI
认证 中心 CA
证 书 库
密钥 备份 和恢 复系 统
◦ 网上交易平台
2007年,广东省开通网上药品采购平台,发放6000多张证书 年 广东省开通网上药品采购平台,发放 多张证书
8
一、PKI技术 技术
PKI的概述 的概述
PKI (Public Key Infrastructure)是硬件、软件、策略和人组成的系统,当 ) 硬件、软件、策略和 组成的系统, 完全并且正确的实施后,能够提供一整套的信息安全保障, 完全并且正确的实施后,能够提供一整套的信息安全保障,这些保障对保护 敏感的通信和交易是非常重要的。 敏感的通信和交易是非常重要的。 PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运 的主要目的是通过自动管理密钥和证书, 是通过自动管理密钥和证书 行环境,使用户可以在多种应用环境下应用 提供的服务, 行环境,使用户可以在多种应用环境下应用PKI提供的服务,从而实现网上传 提供的服务 输数据的机密性、完整性、真实性和有效性要求。 输数据的机密性、完整性、真实性和有效性要求。 ◦ 普适性:只要遵循必要的原则,就能使用提供的服务。比如:网络基础设 普适性:只要遵循必要的原则,就能使用提供的服务。比如: 施、电力基础设施等。 电力基础设施等。 ◦ 安全服务:公钥密码的功能、密码的功能等。 安全服务:公钥密码的功能、密码的功能等。
16
相互关系示意图
公钥 私钥
证书序列号 xxxxx: 有效期: Nov.08,2001 - Nov.08,2008
用户名 组织名 部门
公钥: 公钥
ie86502hhd009dkias736ed55ewfg k98dszbcvcqm85k309nviidywtoof kkr2834kl
认证机构
Status:
2001年6月13日, “亚洲 年 月 日 亚洲PKI论坛”成立 论坛
◦ 2002年2月经国家计委批准,正式成立了“中国PKI论坛”筹备 年 月经国家计委批准,正式成立了“中国 论坛” 月经国家计委批准 论坛 工作组 ◦ 2002年7月2日到 日在北京召开了“亚洲 日到5日在北京召开了 论坛” 年 月 日到 日在北京召开了“亚洲PKI论坛”第二届年会 论坛
可选扩展
标识证书的 唯一整数
证书颁发者 的唯一识别 名
证书拥有者 的唯一识别 名
18
19Βιβλιοθήκη 证书的申请和撤销证书的申请有两种方式,一是在线申请,另外一个就是离 证书的申请有两种方式,一是在线申请,另外一个就是离 在线申请 线申请。 线申请。 在线申请就是通过浏览器或其他应用系统通过在线的方式 来申请证书,这种方式一般用于申请普通用户证书或测试 来申请证书, 证书。 证书。 离线方式一般通过人工的方式直接到证书机构证书受理点 去办理证书申请手续,通过审核后获取证书, 去办理证书申请手续,通过审核后获取证书,这种方式一 般用于比较重要的场合,如服务器证书和商家证书等。 般用于比较重要的场合,如服务器证书和商家证书等。