电子政务PKI部署.ppt

电子政务PKI部署 电子政务PKI部署 PKI定义与作用PKI PublicKeyInfrastructure 公钥基础设施 是一种遵循既定标准的密钥管理平台 它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系 PKI定义与作用 PKI是提供公钥加密和数字签名服务的系统 目的是为了自动管理密钥和证书 保证网上数字信息传输的机密性 真实性 完整性和不可否认性 PKI基于非对称公钥体制 采用数字证书管理机制 可以为透明地为网上应用提供上述各种安全服务 极大地保证了网上应用的安全性 PKI组成与功能 PKI系统可划分为四个功能区域 即核心安全区 审核管理区 在线服务区 本地审核受理点 LRA 区 PKI功能结构 PKI系统功能采用三级架构 PKI的安全机制 安全平台能够提供智能化的信任与有效授权服务 其中 信任服务主要是解决在茫茫网海中如何确认 你是你 我是我 他是他 的问题 授权服务主要是解决在网络中 每个实体能干什么 的问题 例如 张三发送一个合约给李四 李四可要求张三进行数字签名 签名后的合约不仅李四可以验证其完整性 其他人也可以验证该合约确实是张三签发的 而所有的人 包括李四 都没有模仿张三签署这个合约的能力 保密文件特性 1 防假冒 通过数字签名进行身份认证 例如 某用户自己申请了证书 私钥 获得了数字标识 可以实现向别人发送 数字签名 的邮件 别人就可以判断相关邮件确实是该用户发送的 2 保密性 只有收件人才能解密查看 3 完整性 保证邮件没有被中途篡改 4 不可否认性 发件人的数字证书中的 私钥 只有发件人唯一拥有 发件人利用其数字证书在传送前对电子邮件进行数字签名 发件人就无法否认发送过这个电子邮件 数字证书与加密 数字证书应集成加密与签名的双重安全措施 以确保电子文件的真实性和保密性 对于企业或组织内部的邮件用户无需到Internet上申请 可以由管理员统一发放和管理证书 正常情况下用户自己的证书中含有 私人密钥 和 公用密钥 私钥 只有用户自己拥有 而 公钥 是发放给大家的 别人拿到的用户的证书只含有 公钥 数字证书与S MIME 非对称加密 对称加密使用相同的密钥加密和解密数据 它的主要困难是密钥必须在保密通信涉及双方之间传递 1976年 WhitfieldDiffie和MartinHellman发明了一个叫做非对称 Asymmetric 或公共密钥 Public key 加密方法 作为对称加密的替换 通过公钥密码算法 通常是RSA算法 能生成一对密钥A和B 用密钥A加密的信息 只能由密钥B才能解密 同样用密钥B加密的信息 也只有由密钥A才能解密 为了应用 密钥的主人要把这对密钥中的一条 密钥A 公开出去 交给其他人 而把另一条 密钥B 留给自己保存 习惯上把公开出去的密钥叫做公钥 而留给自己保存的密钥叫做私钥 构造证书的最常见格式是X 509v3 由ITU发布 X 509v3证书包含的信息 版本 序列号 签名算法 发出者姓名 合法性期限 主题名称 主题公共密钥数据 发出者唯一标识符 主题唯一标识符和扩展 最后提供的信息是证书的数字签名 由发出者创建 邮件数字签名过程 当用户向外发送邮件时 他首先使用一种单向分解函数从邮件中得到固定长度的分解值 该值与邮件的内容相关 称为该邮件的指纹 然后使用自己的私钥对指纹进行加密 接受者能使用他