第7章 PKI系统架构.ppt

第7章PKI系统架构 信息安全服务 早期的信息安全是主要是通过物理和行政手段来实现的 或者是通过简单密码技术来保障 随着网络技术的发展 需要更加完善的系统来保护那些存储在计算机中文件和其他信息 包括网络中传输的数据信息 进入80年代 信息安全技术有了较大发展 计算机网络安全研究与发展只关注以下几种安全服务 这些服务包括了一个信息安全设施所需要的各种功能 保密性Confidentiality 确保在一个计算机系统中的信息和被传输的信息仅能被授权让读取的那方得到 完整性Integrity 确保仅是被授权的各方能够对计算机系统中有价值的内容和传输的信息进行权限范围之内的操作 这些操作包括修改 改变状态 删除 创建 时延或重放 可用性Availability 即保证信息和信息系统随时为授权者提供服务 而不出现非授权者滥用却对授权者拒绝服务的情况 不可否认性non repudiation 要求无论发送方还是接收方都不能抵赖所进行的传输 鉴别Authentication 就是确认实体是它所声明的 用于对人或实体的身份进行鉴别 为身份的真实性提供保证 一般可通过认证机构CA和证书来实现 密码学与信息安全 信息的私密性 Privacy 对称加密信息的完整性 Integrity 数字签名信息的源发鉴别 Authentication 数字签名信息的防抵赖性 Non Reputation 数字签名 时间戳 信息安全技术与PKI 不存在单一的机制能够提供上述列出的儿种服务 网络环境下的安全服务需要依靠密码技术 身份认证技术 防火墙 防病毒 灾难备份 安全审计 入侵检测等安全机制综合应用起来实现 在应用层上对信息进行加密的算法或对消息来源进行鉴别的协议已有多年的研究 但在传统的基于对称密钥的加密技术中 密钥的分发的问题一直没有得到很好的解决 并对电子商务 安全电子邮件 电子政务等新的安全应用 传统技术基于共享密钥的鉴别协议对通信主体的身份认证也没有很好的解决 针对上述问题 世界各国经过多年的研究 初步形成一套完整的Internet安全解决方案 即目前被广泛采用的PKI技术 PKI技术采用证书管理公钥 通过第三方的可信任机构 认证中心CA CertificateAuthority 把用户的公钥和用户的其他标识信息 如名称 E mail 身份证号等 捆绑在一起 通过Internet的CA机构 较好的解决了密钥分发和管理问题 并通过数字证书 对传输的数据进行加密和鉴别 保证了信息传输的机密性 真实性 完整性和不可否认性 目前 PKI的安全认证体系得到了各界人士的普通关注 国外的一些大的网络安全公司也都推出了PKI的产品 如美国的IBM 加拿大的Entrust SUN等 为用户之间的内部信息交互提供了安全保障 什么是PKI 公钥基础设施 PublicKeyInfrastructure PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施 它能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理 信任管理从根本上讲 PKI是表示和管理信任关系的工具 数字化 电子化社会的基础之一在数字化社会中 实体间建立信任关系的关键是能彼此确定对方的身份 PKI的性能要求 透明性和易用性可扩展性互操作性多用性支持多平台 PKI CA发展历程 1976年 提出RSA算法20世纪80年代 美国学者提出了PKI的概念为了推进PKI在联邦政府范围内的应用 1996年就成立了联邦PKI指导委员会1996年 以Visa MastCard IBM Netscape MS 数家银行推出SET协议 推出CA和证书概念1999年 PKI论坛成立2000年4月 美国国防部宣布要采用PKI安全倡议方案 2001年6月13日 在亚洲和大洋洲推动PKI进程的国际组织宣告成立 该国际组织的名称为 亚洲PKI论坛 其宗旨是在亚洲地区推动PKI标准化 为实现全球范围的电子商务奠定基础 PKI CA发展历程 论坛呼吁加强亚洲国家和地区与美国PKI论坛 欧洲EESSI等PKI组织的联系 促进国际间PKI互操作体系的建设与发展 论坛下设四个专项工作组 分别是技术兼容组 商务应用组 立法组和国际合作组 网址 www asia pkiforum org 亚洲PKI论坛成立于2001年6月13日 包括日本 韩国 新加坡 中国 中国香港 中国台北和马来西亚 PKI CA发展历程 中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织是国家授权与国外有关PKI机构和组织沟通的窗口 中国PKI论坛现任亚洲PKI论坛副主席 中国PKI论坛目前挂靠在国家信息中心 其网址为 PKI CA发展历程 1996 1998年 国内开始电子商务认证方面的研究 尤其中国电信派专家专门去美国学习SET认证安全体系1997年1月 科技部下达任务 中国国际电子商务中心 外经贸委 开始对认证系统进行研究开发1998年11月 湖南CA中心开始试运行1998年10月 国富安认证中心开始试运行1999年第一季 上海CA中心开始试运行1999年8月 湖南CA通过国密办鉴定 测评中心认证1999年10月7日 商用密码管理条例 颁布1999年 2001年 中国电子口岸执法系统完成1999年8月 2000年 CFCA开始招标并完成 PKI实现的安全功能 1 1你是谁 Rick Mary Internet Intranet 应用系统 1 2怎么确认你就是你 认证 1 1我是Rick 1 2口令是1234 授权 保密性 完整性 防抵赖 2 我能干什么 2 你能干这个 不能干那个 3 如何让别人无法偷听 3 我有密钥 5 我偷了机密文件 我不承认 5 我有你的罪证 4 如何保证不能被篡改 4 别怕 我有数字签名 认证我不认识你 你是谁 我怎么相信你就是你 要是别人冒充你怎么办 授权我能干什么 我有什么权利 你能干这个 不能干那个 保密性我与你说话时 别人能不能偷听 完整性收到的传真不太清楚 传送过程过程中别人篡改过没有 防抵赖我收到货后 不想付款 想抵赖 怎么样 我将钱寄给你后 你不给发货 想抵赖 如何 PKI实现的安全功能 7 3PKI及其构件 PKI策略是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档 建议和定义了一个组织信息安全方面的指导方针 同时也定义了密码系统使用的处理方法和原则 两种类型 CertificatePolicy 证书策略 用于管理证书的使用 CPS CertificatePracticeStatements PKI的体系构成 一 return PKI的体系构成 二 软硬件系统是PKI系统运行所需的所有软 硬件的集合 主要包括认证服务器 目录服务器 PKI平台等 return PKI的体系构成 三 认证中心CA为了确保用户的身份及他所持有密钥的正确匹配 公钥系统需要一个可信的第三方充当认证中心 CertificationAuthority CA 来确认公钥拥有者的真正身份 签发并管理用户的数字证书 认证中心CA是负责管理密钥和数字证书的整个生命周期 接收并验证最终用户数字证书的申请 证书审批 确定是否接受最终用户数字证书的申请 证书签发 向申请颁发 拒绝颁发数字证书 证书更新 接收 处理最终用户的数字证书更新请求 接收最终用户数字证书的查询 撤销 产生和发布证书废止列表 CRL 验证证书状态 提供OSCP在线证书查询服务 验证证书状态 提供目录服务 可以查询用户证书的相关信息 下级认证机构证书及帐户管理 数字证书归档 认证中心CA及其下属密钥的管理 历史数据归档 PKI的体系构成 三 续 return PKI的体系构成 四 注册机构RA是用户 个人 团体 和认证中心CA之间的一个接口 接受用户的注册申请 获取并认证用户的身份 完成收集用户信息和确认用户身份 自身密钥的管理 包括密钥的更新 保存 使用 销毁等 审核用户信息 登记黑名单 对业务受理点的LRA的全面管理 接收并处理来自受理点的各种请求 return PKI的体系构成 五 证书签发系统负责证书的发放 return PKI应用Web服务器和浏览器之间的通讯电子邮件电子数据交换 EDI 互联网上的信用卡交易虚拟专用网 VPN PKI的体系构成 六 return PKI应用接口系统 API 良好的应用接口系统使得各种应用能够以安全 一致 可信的方式与PKI交互 确保所建立的网络环境的可信性 降低管理和维护的成本 PKI的体系构成 七 return PKI运作 PKI的策划包括信任模式 技术标准的选择 PKI系统 信息系统 网络系统架构的规划 整体安全架构的规划 设备选型 PKI功能与应用方式的确定 认证策略 安全策略 运营策略的制定 相关规章 法规体系的规划 物理场地选址 人员规划等 PKI实施包括场地建设 PKI系统 信息系统 网络系统建设 安全设施建设 相关规章 法规的制定 PKI功能与应用的实现 人员配置 人员培训等 PKI运营包括PKI及相关设施的管理与维护 PKI功能与应用的执行 相关规章 法规的执行 运营审计与评估 人员管理等 PKI的构建 自建模式