公钥基础建设-PKIPPT课件.ppt

讲义VII 公钥基础建设 PKI 因特网安全 理论与实作JohnK Zao PhDSMIEEE国立交通大学2011 06 01 2020 3 25 可编辑 2 问题与公钥密码系统 在哪里 怎么样可以找到 个单位的公钥 应该怎么做才能够确认一把公钥真的是属于某人 怎样使用一把给定的公钥算是合理的 例如 签署支票 签署合约 什么时候公钥会永久失效 你要怎么保护相对应的私钥 当私钥遗失的时候会发生什么事情 解法使用公钥证书和公钥基础建设 PKI 2020 3 25 可编辑 3 公钥证书 证书是在公钥和一个主体 例如 个人 员工 教职员 公司 机构 授权管理机构 之间建立一个连结关系经由一个授权管理机构所签署过的证书 可以保证连结关系和主体身分是完整未经窜改的证书中包含有一个序号 用来协助侦测未经授权或假造的证书当证书将过期时会有特别的规定指示在怎样的政策下 证书是受到承认的 以及政策它用的政策是什么提供其它关于主体或证书的使用的有用信息 2020 3 25 可编辑 4 X 509公钥证书 2020 3 25 可编辑 5 证书的功能 建立身分用在识别主体身分 认证身分 也许是一个 匿名的 身分指定授权管理机构通常又称之为 证书归属 详细说明哪个 授权管理机构 授权给这个相对应密钥的持有者在许多的情况下 没有办法直接识别主体保密机密信息只有用来加密对称式钥匙 让主体可以读取机密的信息为了让其它的团体能取得主体的公钥 证书必须具有能立即被访问的能力 2020 3 25 可编辑 6 公钥基础建设 PKI 用公钥和所定义的信赖关系 让散布的应用能够用秘密的方式运作主要构成组件凭证授权管理信赖关系发布机制管理协议 2020 3 25 可编辑 7 证书授权管理机构 CAs 传统授权管理机构来源的概念 例如 经理 教职员 官员 负责产生凭证和更新过期的凭证设定凭证产生与使用的政策撤销凭证建立用来产生 更新 和撤销凭证的运作政策和程序 2020 3 25 可编辑 8 谁能够提供CA的服务 政府机关邮局雇主医院 HMOs财务机构零售商出版商 娱乐服务提供者因特网服务提供者 2020 3 25 可编辑 9 信赖关系 其设计是让CAs彼此相互授权让经过特定CA验证的因特网也能够验证由其它的CAs所产生的证书让CAs能够产生证书 以提供给终端因特网或其它的CAs使用基本信赖关系的设计是阶层架构式的在阶层架构中的 根 CA是全部的团体的信赖基础验证一个凭证意味着要创造一条回到根CA的路径简化管理关系信赖关系的管理取决于一个组织的运作需求 2020 3 25 可编辑 10 信赖阶层架构 2020 3 25 可编辑 11 典型的CA系统模式 因特网 注册授权管理机构 加密模块 证书授权管理机构 局端 防火墙 2020 3 25 可编辑 12 在线和离线CA架构 网页服务器 2020 3 25 可编辑 13 证书管理 证书注册证书更新证书撤销证书散布证书归档程序审核 2020 3 25 可编辑 14 潜在的CA攻击 被动的 主动的在线窃听使用者 RA路径RA CA路径CA RA员工泄密计算机系统攻击操作系统入侵防火墙与局端入侵CA软件 数据库窜改加密模块攻击简单的实体破坏模块窃取 置换包围攻击 暴风雪 温度 时间点分析 错误差异分析 2020 3 25 可编辑 15 潜在的CA系统攻击点 因特网 注册授权管理机构 加密模块 凭证授权管理机构 局端 防火墙 2020 3 25 可编辑 16 CA安全需求 CA私钥的保护加密可以预防大范围的攻击提供CA各式各样状况的支持CA金钥回复的支持凭证发布要求的验证使用者 组织身分验证凭证的语法以预防特定的CA或RA规则 基本凭证域和延伸凭证域 验证凭证撤销的要求 定时发布资料撤销 CRLs OCSP 在CA技术中并没有强制执行 2020 3 25 可编辑 17 CA保护 服务 实体安全运作安全员工安全程序安全操作系统和应用安全网络安全加密模块安全 2020 3 25 可编辑 18 CA保护