网络安全技术及应用(第三章).pptVIP

第三章 公钥基础设施PKI 本章学习重点掌握内容： PKI的组成 数字证书格式 数字证书管理 信任模型 第三章 公钥基础设施PKI 3.1 概述 3.2 PKI组成 3.3 数字证书及管理 3.4密钥管理 3.5 信任模型 3.6 PKI的应用 3.1 概述 3.1.1 什么是 PKI PKI就是这样一个平台，以数字证书和公钥技术为基础，提供网络安全所需要的真实性、保密性、完整性和不可否认性等基础服务。 PKI 是Public Key Infrastructure 的缩写，通常译作公钥基础设施。 PKI将个人、组织、设备的标识身份信息与各自的公钥捆绑在一起，其主要目的是通过自动管理密钥和证书，为用户建立一个安全、可信的网络运行环境 3.1.2 为什么需要PKI Internet最大的特点是它的开放性、广泛性和自发性 网络安全服务包含了信息的真实性、完整性、机密性和不可否认性等 为了防范用户身份（包括人和设备）的假冒、数据的截取和篡改以及行为的否认等安全漏洞，需一种技术或体制来实现对用户身份的认证， 3.1.3 PKI 的发展与应用 自20世纪90年代初期以来，逐步得到许多国家政府和企业的广泛重视，PKI技术由理论研究进入到商业化应用阶段。 IETF、ISO等机构陆续颁布了X.509、PKIX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等PKI应用相关标准，RSA、VeriSign、Entrust、Baltimore等企业纷纷推出自己的PKI产品和服务。 全国相继成立了多家PKI认证中心和PKI产品开发商. 3.2 PKI组成 3.2.1 PKI 系统结构 一个典型的PKI系统包括PKI策略、软硬件系统、认证中心（CA Certification Authorities）、注册机构（RA Registration Authority）、证书签发系统和PKI应用等几个基本部分组成 。PKI系统结构如图所示。 3.2.1 PKI 系统结构 3.2.1 PKI 系统结构 PKI策略 PKI策略是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档，它建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。 PKI策略的内容一般包括：认证政策的制定、遵循的技术规范、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架、认证规则、运作制度的规定、所涉及的法律关系，以及技术的实现。 3.2.1 PKI 系统结构 软硬件系统 软硬件系统是PKI系统运行所需硬件和软件的集合，主要包括认证服务器、目录服务器、PKI平台等。 认证中心 认证中心是PKI的信任基础，它负责管理密钥和数字证书的整个生命周期。 注册机构 注册机构是PKI信任体系的重要组成部分，是用户（个人或团体）和认证中心之间的一个接口。 3.2.1 PKI 系统结构 证书签发系统 证书签发系统负责证书的发放，例如可以通过用户自己或通过目录服务器进行发放。目录服务器可以是一个组织中现有的，也可以是由PKI方案提供的。 PKI应用 PKI的应用非常广泛，包括在Web服务器和浏览器之间的通信、电子邮件、电子数据交换（EDI）、在因特网上的信用卡交易和虚拟专用网（VPN）等方面。 PKI应用程序接口系统 一个完整的PKI必须提供良好的应用接口系统（API），以便各种应用都能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境可信，降低管理和维护的成本。 3.2 PKI组成 3.2.2 认证中心 PKI系统通常采用可信第三方充当认证中心CA，来确认公钥拥有者的真正身份 CA是PKI 体系的核心。CA的主要功能有 : 证书审批：接收并验证最终用户数字证书的申请，确定是否接收最终用户数字证书的申请。 证书签发：向申请者颁发、拒绝颁发数字证书。 证书更新：接收、处理最终用户的数字证书更新请求。 3.2.2 认证中心 证书查询：接收用户对数字证书的查询；提供目录服务，可以查询用户证书的相关信息。 证书撤销：产生和发布证书吊销列表，验证证书状态；或提供在线证书查询服务OCSP（Online Certificate Status Protocol），验证证书状态。 证书归档：数字证书归档及历史数据归档。 各级CA管理：下级认证机构证书及账户管理；认证中心及其下级CA密钥的管理； 3.2 PKI组成 3.2.3 注册中心 RA是PKI信任体系的重要组成部分，是用户（个人或团体）和CA之间的一个接口，是认证机构信任范围的一种延伸。RA接受用户的注册申请，获取并认证用户的身份，主要完成收集用户信息和确认用户身份的功能。 RA可以认为是CA的代表处、办事处，负责证书申请者的信