NISE安全技术工程师培训.ppt

，NISE安全技术工程师培训-介绍加密应用程序之一PKI和CA、PKI/CA、PKI介绍PKI/CA体系结构PKI/CA标准和协议国内外开发现状和前景PKI/CA应用程序、PKI概述、PKI的性能要求PKI的开发历史PKI功能PKI是publickeyinfrastracture的缩写，它是一个网络安全基础架构，使用公钥概念和技术实现和提供安全服务的特定普遍适用性。PKI概述，PKI的性能要求是什么，PKI的开发历史记录为什么需要PKI实现的安全功能，PKI的性能要求，透明性和易用性可扩展性多用途支持多平台，PKI概述，PKI的性能要求是什么，PKI的性能要求为什么需要PKI的开发历史记录PKI的功能，为什么需要PKI 需要PKI的原因，截取，Alice，Bob，截取：非法用户截取通信网络，需要PKI的原因，操纵，Alice，Bob，篡改：更改非法用户截取的信息和数据，需要PKI的原因，拒绝？Alice，夫人：PKI概述，否认在通信的单方面或多次事后参与了什么活动，PKI的性能要求是什么，PKI的开发历史PKI的功能，PKI/CA开发历史，1976年，RSA算法提案，1980年代美国学者提出了PKI的概念，以促进PKI在联邦政府内的应用，1996年联邦PKI2001年6月13日，亚洲和大洋洲建立了推动PKI进程的国际组织。该国际组织成立了“亚洲PKI论坛”，旨在促进亚洲地区PKI标准化，为全球电子商务奠定基础，加强PKI/ca开发过程、论坛与亚洲国家和美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作系统的建立和发展。论坛下面是4个特别工作组：技术兼容组、业务应用组、立法组和国际合作组。(网站：www.asia-PKI)，亚洲PKI论坛成立于2001年6月13日，包括日本、韩国、新加坡、中国、香港、中国台北、马来西亚。，PKI/CA开发过程，中国PKI论坛经国家计划委员会批准成立的非营利部门间中介组织，是国家批准与海外相关PKI机构和组织进行通信的窗口；中国PKI论坛现任亚洲PKI论坛副主席；中国PKI论坛目前挂在国家信息中心。该网站于1996-1998年开始了PKI/CA开发过程，国内电子商务认证研究，特别是中国电信专家赴美国学习SET认证安全系统，1997年1月科学技术部任务，中国国际电子商务中心(对外贸易委员会)开始了对认证系统的研究与开发，1998年11月，湖南CA中心1998年10月国富认证中心试点运营开始于1999年第一季度，上海CA中心试点运营开始于1999年8月，湖南CA，国家秘密认证，评估中心认证1999年10月7日，商用密码管理条例发布于1999 -2001年，中国电子港执法系统完成于1999年8月-2000年、Rick、Mary、internet/intranet、应用程序系统、1.2如何确认你就是你？认证，1.1南里克。1.2密码为1234。授权，机密性，完整性，不可否认，2 .我能做什么呢？2.你可以做这个，你不能做那个。3.你怎么能让别人听不到他们？3.有身高吗？5 .偷了机密文件，不承认。5 .有你的证据。4 .如何保证不能篡改？4 .别怕，我有数字签名。认证我不认识你！-你是谁？你怎么相信你是你？-如果别人假装你怎么办？你许可我能做什么？-我的权利是什么？你可以做这个，不能。机密性我告诉你的时候别人能偷听吗？完整性收到的传真不清楚吗？在传输过程中，别人操作过吗？防夫人我收到东西后，不想付款，想否认吗？我给你寄了钱后，你不发货，想抵赖，怎么办？PKI安全功能、PKI/CA、PKI简介PKI/CA的理论基础PKI/CA体系结构PKI/CA标准和协议国内外发展现状和前景PKI/CA应用程序、PKI理论基础、加密(略)目录服务数字证书、目录服务目录服务是调节网络行为和管理网络的重要手段。X.500是国际标准化组织(ISO)批准的目录服务系统标准。轻量目录访问协议(LDAP)使用X.500目录访问协议和数字证书认证数字证书的存储X.509数字证书数字证书生命周期、数字证书是什么，数字证书(DigitalID)也称为网络ID、数字id认证中心颁发，认证中心数字签名；包含公钥所有者和公钥相关信息的电子文件。可用于证明数字证书持有者的实际身份。PKI系统最基本的元素。证书是一个机构颁发给安全对象的证据，因此证书的权威是该机构的权威、证书验证、单向验证a生成随机数ra。a是消息，M=(Ta、Ra、Ib、d)，默认Ta是a的时间标记，Ib是b的凭据，d是任意数据信息。数据可以用b的公钥Eb加密。a将(Ca，Da(M)发送到b。其中Ca是a的证书，Da是a的私钥。b确认Ca并获取a的公钥。使用B Ea解密Da(M)将证明a的签名和发布的信息的完整性。b检查m中的IB。检查B m zhongta，确保消息刚刚发送。b检查上一个数据库中m的Ra，确保它不是消息播放。(可选)，证书验证，双向验证：b生成其他随机数，Rb；b是消息，Mm=(Tb、Rb、Ia、Ra、d)，默认Ta是b的时间标记，Ia是a的凭据，d是任意数据信息。Ra是在a的第一阶段生成的随机数，数据可以使用a的公钥Eb加密。b将Db(Mm)发送到a。用A Ea解密Db(Mm)，以验证b的签名和消息的完整性。在A Mm上验证Ia。检查A Mm中的Tb，确保消息刚刚发送。检查A m中的Rb以确保不是播放消息。(可选)，认证机构(CA)创建的X.509数字证书；保存在X.500目录中。存在其他版本，并且每个版本必须包含版本号。序列号签名算法标识符；证书颁发机构有效期：证书开始有效期和证书到期日期主题信息；认证机构的数字签名；公钥信息，X.509数字证书分类(请参阅证书的默认用途):证书签名证书主要用于签名用户信息，以确保信息的不正当性。加密证书加密证书主要用于用户加密信息，以确保信息的可靠性和完整性。X.509数字证书分类，从证书应用的角度来看，数字证书可以分为个人证书服务器证书网关证书VPN证书WAP证书。即可从workspace页面中移除物件。即可从workspace页面中移除物件。证书生命周期，PKI/CA，PKI简介PKI/CA的理论基础PKI/CA体系结构PKI/CA标准和协议国内外开发现状和前景PKI/CA应用程序，PKI的系统配置，认证中心CA，PKI应用程序，PKI策略，PKI策略建议和定义有关组织信息安全的准则，并定义密码系统中使用的处理方法和原则。- CertificatePolicy、证书策略-certificate practices statements(CPS)、PKI系统配置(a)、return、PKI系统配置(2)，以及、return、认证中心CA是负责管理密钥和数字证书的整个生命周期。接收和确认最终用户数字证书请求；批准决定是否接受最终用户数字证书申请的证书；颁发证书，在申请中签发数字证书，拒绝；证书更新，接收、处理最终用户的数字证书更新请求；最终用户数字证书查询、撤销接收；生成和发布证书撤销列表(CRL)以检查证书状态：提供OSCP联机证书查找服务以检查证书状态。提供目录服务以查询有关用户证书的信息。子认证机构证书和帐户管理；管理数字证书存档认证中心CA及其子密钥；记录数据存档、PKI的系统配置(3)、return、PKI的系统配置(4)、注册机构RA是用户(个人/社区)和认证中心CA之间的接口。接受用户的注册申请，获取和认证用户的身份，收集用户信息并完成用户身份确认。自我密钥管理，包括密钥更新、存储、使用、销毁等；查看用户信息在黑名单注册业务接受点的LRA综合管理接收点接收和处理各种请求。return、PKI系统配置(5)，证书发放系统负责证书发放。return、PKI应用程序web服务器和浏览器之间的通信电子邮件电子数据交换(EDI)internet上的信用卡事务虚拟专用网(VPN)、基于PKI的系统配置(6)、return和PKI API(PKI)、PKI系统配置(7)、return、PKI操作、PKI的计划包括信任模式、技术标准选择、PKI系统、信息系统、网络系统体系结构计划；确定总体安全体系结构计划设备选择PKI功能和应用方法；制定认证战略、安全战略、运营战略；相关规定、监管体系规划；物理场地位置；人力计划等。PKI实施包括站点构建。建立PKI系统、信息系统、网络系统；制定安全设施建设相关规章、规章；实施PKI功能和应用程序；人员配置人员培训等。PKI运营包括管理和维护PKI及相关设施。运行PKI功能和应用程序；相关规章制度的执行情况；运营审计和评估；人员管理等。PKI部署、自我部署模型意味着用户购买完整的PKI软件集和所需的硬件设备，以根据PKI部署要求构建完整的服务体系。管理模式利用现有的可信第三方认证中心CA提供的PKI服务，用户只需配置和完全管理一组集成的PKI平台，即可构建内部提供所有PKI服务的完整服务方案。PKI部署模型比较，成本比较(实施、风险、培训、维护)部署周期比较输入和输出比较系统性能比较服务比较，典型的CA系统体系结构，多层体系结构，优势管理层，简化的集中管理，策略制定和实施提高CA中心的整体性能，减少瓶颈灵活性和可扩展性CACA信任关系，当查看一个安全对象在另一个安全对象上提供的证书时，是否信任此证书？信任很难衡量，总是与风险相关联。可信CA假定一个对象可以建立和维护正确的实体-公钥属性之间的绑定，则可以信任CA信任模型的基于层次的信任模型交叉认证对于运行用户驱动的信任模型、CA层次结构、CA的大型机构来说，可以信任CA。颁发证书的操作只能执行一个CA。CA层需要一个具有自签名证书根CA的CA层和其下CA的自签名层的叶节点中的CA用于签署安全实体的实体，需要受信任的根CA，不需要中间CA。该证书由ca的组织颁发，由从属CA在每个节点CA上维护此树，两种cert(1)forward certifiCAtes :其他CA发送的certs(2)reverse certifiCAtes :由其他CA发送的certs，假设实体a在层次结构树中向上查找b的证书b之一中包含颁发该证书的CA的信息，则可以配置证书链直到根证书验证过程。也就是说，从根证书开始，依次验证每个证书的签名。其中，根证书是自签名的，并使用自公钥进行验证，直到确认b的证书签名。如果所有签名验证都通过，则a可以信任所有证书正确，如果信任根CA，则b的证书和公钥问题。如何获取证书链？证书链的验证示例，相互验证，可以在两个不同的CA层之间建立信任关系单向相互验证的CA可以识别特定命名空间内其他CA颁发的所有证书双向相互验证相互验证可以分为域内相互验证(同一层内)域间相互验证(不同层间)的约束名称约束路径长度约束策略约束，证书中心方案分类， CA中的架构模型通常是分层的基于网络的混合、和层次结构方法根据层次结构目录名验证路径搜索策略，“正向传递”的每个用户可能具有返回根的验证路径。根是所有用户都熟悉的、可靠的，因此任何用户都可以提供验证路径，验证者也可以验证该路径。-缺点在全球范围内，