PKI CA数字证书、SSL信息安全密码技术

1、PKI原理与应用PKI目录PKI的相关理论的相关理论PKI 是一种利用公钥加密技术为用户提供安全通信的技术。PKI的组成的组成PKI由认证机构、注册机构、证书库、密钥备份及恢复系统、证书撤销处理系统、PKI应用接口系统组成CA及证书及证书公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心来确认公钥拥有人的真正身份。PKI的应用的应用S/MIME SSL SETPKIApplications and other users1PKI的的相关理论相关理论PKIPKI的相关理论Public Key Infrastructure又称“ 公钥基础设施 ”，是一种遵循既定标准的密钥管理平台,它能够

2、为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说， PKI 是一种利用公钥加密技术为用户提供安全通信的技术。包括加密、数字签名(公钥数字签名)、数据完整性机制、数字信封、双重数字签名等基础技术。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKIPKI系统如何工作一个新用户申请证书发送注册信息给RARARA系统审核用户身份RA将证书下载凭证发放给用户审核通过的注册请求发送给CACA为用户签发证书下载凭证CA提交证书下载申请请求证书下载到用户本地证书同时要被发布出去Applications and other users12345678PKIPKI

3、系统如何工作Applications and other users应用程序通过证书：获取用户的身份信息进行证书废止检查检查证书的有效期校验数字证书解密数据 使用数字证书的用户之间通过CA（一个可信的第三方）来建立信任关系PKI加密Applications and other users加密使用密码算法对数据做变换，使得只有密码才能恢复数据原貌。对称密码算法 加密与解密的密钥相同 加密方式： DES/3DES和AES等非对称密码算法加密使用的公钥与私钥不同 公钥就是在信息团体内公开私钥是用户自己保存加密方式： 算法有RSA/DSA等PKI对称加密Applications and other u

4、sers发送方接收方明文对称密钥加密密文密文对称密钥解密明文传送加密和解密用的密钥相同PKI非对称加密Applications and other users发送方接收方明文接收方的公钥加密密文密文接收方的私钥解密明文传送接收方的密钥对接收方的密钥对公钥私钥多个用户加密的信息只能由一个用户解读 PKI非对称加密（Cont.）Applications and other users发送方接收方明文接收方的公钥加密密文密文接收方的私钥解密明文传送接收方的密钥对接收方的密钥对公钥私钥一个用户加密的信息，多个用户解读 PKIApplications and other users2PKI的组的组成成P

5、KIPKI的组成的组成Applications and other users认证机构注册机构证书库密钥备份及恢复系统证书撤销处理系统PKI应用接口系统PKI注册机构及认证机构Applications and other usersRA是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。RA系统是整个CA中心得以正常运营不可缺少的一部分。注册机构RA认证中心CACA负责管理PKI结构下所有用户的证书，把用户的公钥和用户的其他信息捆绑在一起 在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。PKIPKI的信任模

6、型根CACA1CA2CA3终端用户终端用户终端用户终端用户终端用户终端用户PKIPKI的信任模型CA1CA2CA3终端用户终端用户终端用户终端用户PKIPKI的信任模型CA1CA2CA11终端用户桥CACA12CA12CA12终端用户终端用户终端用户终端用户终端用户终端用户终端用户PKI证书库证书库是一种网上公共信息库，用于证书的发布和集中存放，用户可以从此处获得其他用户的证书和公钥。证书库是CA所签发的证书和CRL的集中存放地。系统必须确保证书库的完整性，防止伪造、篡改证书和CRL。证书主体的身份信息主体的公钥CA名称其他附加信息CA签名 签字PKI密钥备份及恢复系统Applications

7、 and other users初始化阶段颁发阶段(1)终端实体注册;(2)密钥对产生;(3)证书创建;(4)证书分发;(5)证书备份；若注册时说明该密钥对用于数据加密，CA即对该用户的密钥和证书进行备份；(1)证书检索；证书检索；(2)证书验证；证书验证；(3)密钥恢复，不能正常解读加密文件时，从密钥恢复，不能正常解读加密文件时，从CA中恢复中恢复;(4)密钥更新，当一个合法的密钥对将要过期密钥更新，当一个合法的密钥对将要过期时，新的密钥对产生并颁发。时，新的密钥对产生并颁发。PKI证书撤销处理系统Applications and other users证书撤销证书注销列表(Certific

8、ate Revocation List)存储在目录服务器上，用于记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书查询使用。证书撤销原因密钥泄漏和证书所有者状态改变。PKI必须提供一种允许用户检查证书的撤销状态的机制，X.509允许以下三种情况：1、证书不可撤销、证书不可撤销2、颁发证书的机构撤销该证书、颁发证书的机构撤销该证书3、颁发证书的机构授予其他机构权限并由其他机构撤销该证书。、颁发证书的机构授予其他机构权限并由其他机构撤销该证书。PKIPKI应用接口系统组成Applications and other users透明性PKI必须尽可能地向上层应用屏蔽密码实现服务的实

9、现细节，向用户屏蔽负责的安全解决方案。可扩展性满足系统不断发展的需要，证书库和CRL有良好的可扩展性。支持多种用户提供文件传送、文件存储、电子邮件、电子表单、WEB应用等的安全服务。互操作性不同企业、不同单位的PKI实现的可能是不同的，必须支持多环境、多操作系统的PKI的互操作性。PKIApplications and other users3CA及及证书证书PKICA证书Applications and other usersCertification Authority第三方认证机构。功能有颁发证书、查询证书、吊销证书、归档证书。企业根CA、企业从属CA还有独立根CA、独立从属CA。PKI

10、CA系统的主要功能Applications and other users对证书进行管理，包括颁发、废除、更新、验证证书和管理密钥。 颁发证书 密钥管理 证书验证 废除证书 证书更新PKI证书Applications and other users加密信息的发送者需要认定公钥确实是接收者的，如果他用第三者的公钥去加密，他希望的接收者无法解密该信息，而拥有对应私钥的第三者却可以做到。公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心来确认公钥拥有人的真正身份。PKICA系统的主要功能Applications and other users 过期 更新安装证书证书使用废止申请签发证书公钥

11、/私钥生成证书撤销审核证书申请证书证书的生命周期PKI证书的应用场景Applications and other users用途安全电子邮件软件代码签名安全网络通信安全网站智能卡登录IPSec 客户端验证文件加密系统描述确保电子邮件消息的完整性、原始性和机密性使用数字签名，确保分布式软件的完整性 为 Web 服务器和客户端之间的通信提供身份验证和加密 验证对安全网站的访问验证使用智能卡登录的用户为两台使用 IPSec 的主机之间的通信提供身份验证 保护 EFS 文件加密密钥PKI证书申请过程（cont.）Applications and other users CA 接收一个认证请求 验证信息

12、 使用私钥把数字签名发送给申请者 颁发数字签名作为安全证书来使用PKIApplications and other users4PKI的应的应用用PKI以PKI为基础的安全应用基于S/MIME的安全电子邮件基于SSL（安全套接字层）的网络安全服务基于SET的电子交易系统用于认证的智能卡软件的代码签名认证虚拟专用网的安全认证PKISSL概述Applications and other users1. SSL（Secure Sockets Layer）:安全套接字协议层安全套接字协议层 2. 功能：功能：身份验证身份验证 确保用户的信息是传送到正确的网站，让网站来确定用户身份。加密加密 将用户与网

13、站之间所传送的信息加密。保证信息完整保证信息完整 让网站与用户双方，确认所收到的信息是对方发送过来的，在其传送过程中没有被拦截与篡改过。3. SSL的工作方式：的工作方式：https:/网站名称或网站名称或IP地址地址PKISSL的工作原理Applications and other users客户端客户端IIS服务器https:/传送网站的证书（内含公钥）双方协商安全等级由客户端建立工作阶段密钥，然后利用网站的公钥将其加密后传给网站网站利用其私钥将会话密钥解密双方开始利用会话密钥将所要传送的数据加、解密PKISSL实例Applications and other users建行网银盾证书安装证书安装过程PKISSL实例Applications and other usersPKISSL实例Applications and other users证书信息PKISSL实例Applications and other usersPKISSL实例Applications and other usersPKISSL实例Applications and other usersPKISSL实例Applications and other usersPKISSL实例Applications and other usersPKISSL实例Applications