第8章 公钥基础设施及其应用

2020年5月22日星期五,第八章公钥基础设施及其应用,第1页,第八章公钥基础设施及其应用内容提要,公钥基础设施概述PKI系统的常用信任模型PKI管理机构认证中心PKI核心产品数字证书中国PKI战略发展与应用国际PKI发展现状Windows2000的PKI/CA结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第2页,本章要点,PKI的基础技术是加密和认证；PKI的核心机构是认证中心（CA）；CA的核心元素是数字证书。PKI的特性、基本组成、四个常用信任模型。CA的五个主要功能和四大基本组成。数字证书的基本类型、基本功能和管理过程等。中国PKI体系建设现状、总体框架构想、基本目标和指导思想、当前建设的主要工作。亚洲、美国、加拿大、欧洲PKI体系现状分析。Windows2000的PKI/CA服务。,2020年5月22日星期五,第八章公钥基础设施及其应用,第3页,公钥基础设施概述,1.1PKI基本概念1.2PKI功能与特性1.3PKI的基本组成1.4PKI加密/签名原理,2020年5月22日星期五,第八章公钥基础设施及其应用,第4页,1.1PKI基本概念,PKI是PublicKeyInfrastructure的缩写，意为公钥基础设施，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，为组织机构建立和维护一个可信赖的系统环境，透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障，满足各种应用系统的安全需求。PKI是一种遵循既定标准的密钥管理平台,能够为电子商务、电子政务、网上银行和网上证券等所有网络应用提供一整套安全基础平台，它是创建、颁发、管理、撤销公钥证书所涉及到的所有软件、硬件的集合体。加密技术和认证技术是PKI的基础技术，PKI的核心机构是认证中心，数字证书是PKI最关键的产品和服务。,2020年5月22日星期五,第八章公钥基础设施及其应用,第5页,1.2PKI功能与特性,PKI要求具有如下性能：可扩展性。能满足电子商务不断发展的需要。方便用户。保证其安全和经济性。支持与远程参与者通行无阻。支持多政策。透明性和易用性。互操作性。简单的风险管理。支持多平台。支持多应用。,2020年5月22日星期五,第八章公钥基础设施及其应用,第6页,1.3PKI的基本组成,权威认证机构(CA)数字证书库密钥备份及恢复系统证书作废系统应用接口（API）,2020年5月22日星期五,第八章公钥基础设施及其应用,第7页,1.4PKI加密/签名原理,一、PKI加密密钥对的使用原理发送方欲将加密数据发送给接收方，首先要获取接收方的公开的公钥，并用此公钥加密要发送的数据，即可发送；接收方在收到数据后，只需使用自己的私钥即可将数据解密。此过程中，假如发送的数据被非法截获，由于私钥并未上网传输，非法用户将无法将数据解密，更无法对文件做任何修改，从而确保了文件的机密性和完整性。二、PKI签名密钥对的使用原理此过程与加密过程相对应。接收方收到数据后，使用私钥对其签名并通过网络传输给发送方，发送方用公钥解开签名，由于私钥具有唯一性，可证实此签名信息确实为由接收方发出。此过程中，任何人都没有私钥，因此无法伪造接收方的签名或对其作任何形式的篡改，从而达到数据真实性和不可抵赖性的要求。,2020年5月22日星期五,第八章公钥基础设施及其应用,第8页,第八章公钥基础设施及其应用内容提要,公钥基础设施概述PKI系统的常用信任模型PKI管理机构认证中心PKI核心产品数字证书中国PKI战略发展与应用国际PKI发展现状Windows2000的PKI/CA结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第9页,PKI系统的常用信任模型,2.1认证机构的严格层次结构模型2.2分布式信任结构模型2.3Web模型2.4以用户为中心的信任模型,2020年5月22日星期五,第八章公钥基础设施及其应用,第10页,信任模型主要阐述了以下几个问题：一个PKI用户能够信任的证书是怎样被确定的？这种信任是怎样被建立的？在一定的环境下，这种信任如何被控制？,2020年5月22日星期五,第八章公钥基础设施及其应用,第11页,2.1认证机构的严格层次结构模型,根CA认证直接连接在它下面的CA。每个CA都认证零个或多个直接连接在它下面的CA。倒数第二层的CA认证终端实体。,2020年5月22日星期五,第八章公钥基础设施及其应用,第12页,2.2分布式信任结构模型,与在PKI系统中的所有实体都信任唯一一个CA的严格层次结构相反，分布式信任结构把信任分散在两个或多个CA上。也就是说，A把CA1作为他的信任锚，而B可以把CA2做为他的信任锚。因为这些CA都作为信任锚，因此相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA（CA1是包括A在内的严格层次结构的根，CA2是包括B在内的严格层次结构的根）。,2020年5月22日星期五,第八章公钥基础设施及其应用,第13页,2.3Web模型,在这种模型中，许多CA的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信任的CA。,2020年5月22日星期五,第八章公钥基础设施及其应用,第14页,2.4以用户为中心的信任模型,在以用户为中心的信任模型中，每个用户自己决定信任哪些证书。通常，用户的最初信任对象包括用户的朋友、家人或同事，但是否信任某证书则被许多因素所左右。著名的安全软件PGP最能说明以用户为中心的信任模型。在PGP中，一个用户通过担当CA（签署其他实体的公钥）并使其公钥被其他人所认证来建立或参加所谓的“信任网”。,2020年5月22日星期五,第八章公钥基础设施及其应用,第15页,第八章公钥基础设施及其应用内容提要,公钥基础设施概述PKI系统的常用信任模型PKI管理机构认证中心PKI核心产品数字证书中国PKI战略发展与应用国际PKI发展现状Windows2000的PKI/CA结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第16页,PKI管理机构认证中心,3.1CA/RA简介3.2CA的功能3.3CA的组成3.4CA体系结构3.5CA应用实例,2020年5月22日星期五,第八章公钥基础设施及其应用,第17页,3.1CA/RA简介,CA是PKI的核心执行机构，是PKI的主要组成实体。CA是电子商务和网上银行等应用中所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构，负责为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；用户拥有自己的公钥/私钥对。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。,2020年5月22日星期五,第八章公钥基础设施及其应用,第18页,3.2CA的功能,一、证书的颁发二、证书的更新三、证书的查询四、证书的作废五、证书的归档,2020年5月22日星期五,第八章公钥基础设施及其应用,第19页,3.3CA的组成,2020年5月22日星期五,第八章公钥基础设施及其应用,第20页,3.4CA体系结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第21页,第八章公钥基础设施及其应用内容提要,公钥基础设施概述PKI系统的常用信任模型PKI管理机构认证中心PKI核心产品数字证书中国PKI战略发展与应用国际PKI发展现状Windows2000的PKI/CA结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第22页,PKI核心产品数字证书,4.1数字证书概念4.2X.509证书类型4.3数字证书功能4.4证书格式4.5证书管理,2020年5月22日星期五,第八章公钥基础设施及其应用,第23页,4.1数字证书概念,数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。,2020年5月22日星期五,第八章公钥基础设施及其应用,第24页,图84身份证和证书的比较,2020年5月22日星期五,第八章公钥基础设施及其应用,第25页,4.2X.509证书类型,一、个人数字证书二、机构数字证书三、个人签名证书四、机构签名证书五、设备数字证书,2020年5月22日星期五,第八章公钥基础设施及其应用,第26页,4.3数字证书功能,一、信息的保密性二、交易者身份的确定性三、不可否认性四、不可修改性,2020年5月22日星期五,第八章公钥基础设施及其应用,第27页,4.4证书格式,一个标准的X.509数字证书包含以下一些内容：版本号：标示证书的版本(v1,v2,或是v3)；序列号：由证书颁发者分配的本证书的唯一标识符；签名算法：签名算法标识符(对OID加上相关参数组成)，；颁发者：证书颁发者的可识别名(DN)，这是必须说明的；有效期：证书有效的时间段，本字段由”NotValidBefore”和”NotValidAfter”两项组成；主体：证书拥有者的可识别名，此字段必须是非空的，除非使用了其它的名字形式；主体公钥信息：主体的公钥(以及算法标识符)这是必须说明的；颁发者唯一标识符：证书颁发者的唯一标识符；主体唯一标识符：证书拥有者的唯一标识符；扩展：可选的标准和专用扩展(仅在版本3中使用)。,2020年5月22日星期五,第八章公钥基础设施及其应用,第28页,4.5证书管理,数字证书管理包含：证书颁发证书使用证书验证证书存放等过程。,2020年5月22日星期五,第八章公钥基础设施及其应用,第29页,第八章公钥基础设施及其应用内容提要,公钥基础设施概述PKI系统的常用信任模型PKI管理机构认证中心PKI核心产品数字证书中国PKI战略发展与应用国际PKI发展现状Windows2000的PKI/CA结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第30页,中国PKI战略发展与应用,5.1中国PKI体系建设现状5.2国家PKI基本目标及指导思想5.3国家PKI的体系框架5.4当前PKI建设主要工作,2020年5月22日星期五,第八章公钥基础设施及其应用,第31页,5.1中国PKI体系建设现状,优势：我国PKI已经奠定了技术基础，形成了一定规模，积累了运营、管理经验，探索了应用模式，并培育了一些专业人才。存在以下问题急需解决：目前属于服务于电子政务的国家级PKI体系尚未建立。各家的不同技术标准和管理规范并存。各CA基本处于互相分割状态，成为互不关联的信任孤岛，尚未形成完整的国家PKI体系。已建成的CA运营机构规模小，利用率低，产业有待重组，距离可商业化运作的规模还相差很远。已经建立的CA自身安全考虑不够。缺乏国家统一指导，政出多门，没有权威的管理部门。各种来源不同、层次不齐的技术供应厂商大量涌现，亟待研究具有我国自主知识产权的基础技术和标准体系。缺乏有力的法律支持,2020年5月22日星期五,第八章公钥基础设施及其应用,第32页,5.2国家PKI基本目标及指导思想,统一领导、统一规划、统一体制标准，由政府主管部门实行授权管理；坚持独立自主、自主研发的原则，积极支持民族产业和信息安全服务业；高度重视PKI体系自身安全的建设；在统筹规划下，充分发挥各行业、各地区的积极性，分工合作，积极探索与实验、稳步推进。,2020年5月22日星期五,第八章公钥基础设施及其应用,第33页,5.3国家PKI的体系框架,2020年5月22日星期五,第八章公钥基础设施及其应用,第34页,图8-7国家电子政务PKI体系框架,2020年5月22日星期五,第八章公钥基础设施及其应用,第35页,图8-8国家公共PKI体系,2020年5月22日星期五,第八章公钥基础设施及其应用,第36页,图8-9国家电子政务PKI体系与国家公共PKI体系联系,2020年5月22日星期五,第八章公钥基础设施及其应用,第37页,5.4当前PKI建设主要工作,拟开展以下述工作为主的PKI龙头工程：组建国家PKI管理协调委员会启动政务根CA(GRCA，简称政务根)的建设启动国家CA桥接中心标准体系建设制定统一的标准体系框架制定统一的业务规范制定PKI技术标准制定PKI建设中起关键作用的信息技术产品标准制定PKI的应用标准制定PKI的管理标准,2020年5月22日星期五,第八章公钥基础设施及其应用,第38页,第八章公钥基础设施及其应用内容提要,公钥基础设施概述PKI系统的常用信任模型PKI管理机构认证中心PKI核心产品数字证书中国PKI战略发展与应用国际PKI发展现状Windows2000的PKI/CA结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第39页,国际PKI发展现状,6.1亚洲PKI发展现状6.2西方各国PKI发展现状6.3国外著名PKI厂商、产品,2020年5月22日星期五,第八章公钥基础设施及其应用,第40页,6.1亚洲PKI发展现状,中国台北,2020年5月22日星期五,第八章公钥基础设施及其应用,第41页,图812香港CA许可机制,2020年5月22日星期五,第八章公钥基础设施及其应用,第42页,图814日本GPKI结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第43页,图817韩国PKI体系结构,2020年5月22日星期五,第八章公钥基础设施及其应用,第44页,图818联邦桥CA拓扑图,2020年5月22日星期五,第八章公钥基础设施及其应用,第45页,国外著名PKI厂商、产品：VeriSign：专业PKI公司，提供证书服务，并有OnSite产品，全球最大的安全公司之一，最初是从RSADSI分离出来的。目前在中国也有合资公司出现。Entrust：最著名的PKI公司之一，其PKI产品在北美市场居有绝对优势。中国的CFCA(即金融认证中心)的非SET证书CA部分即基于Entrust的产品与技术。Baltimore：最著名的PKI公司之一，总部位于爱尔兰，20世纪90年代后期转型做PKI，在欧洲PKI市场有相当大的影响力。其主打产品UnicertV3.5技术也相当