第六章 公开密钥基础设施pki.pptVIP

第六章 公开密钥基础设施PKI 基础设施 中间人攻击： 公开密钥基础 基础设施：在某个大环境下普遍适用的系统和准则 希望从技术上解决网上身份认证、信息的保密性、信息的完整性和不可抵赖性等问题，为网络应用提供可靠的安全服务。 CA机构，又称证书授证中心，是PKI的核心，CA是受一个或多个用户信任，提供用户身份验证的第三方机构，承担公钥体系中共钥的合法性检验的责任 CTCA1999年8月3日通过中国密码管理委员会和信息产业部举行的联合鉴定 金融认证中心向用户发放证书 信任模式与PKI体系结构 信任定义：实体A认定实体B将严格地按照A所期望的那样行动，则A信任B，A是信任者，B是被信任者 证书划分 直接信任 第三方信任 第三方信任 是指在特定的范围内，即使通信双方以前并没有建立过关系，他们也可以毫无保留地信任对方。双方之所以相互信任，是因为他们和一个共同的第三方建立了信任关系，第三方为通信的双方提供信任担保。证书是指PKI用户已注册的以数字化形式存储的身份。数字证书是由大家共同信任的第三方——认证中心（CA）颁发的，CA有权利签发并废除证书并且对证书的真实性负责。 在PKI架构中，CA扮演的角色很像那些颁发证件的权威机构,如身份证的办理机构。建立CA的标准以及他们操作时所遵循的政策，是决定他们信任度的首要因素。 CA的数字签名 CA使用它的签名私钥对证书信息进行数字签名。CA的数字签名对证书提供安全和信任的两个元素： 证书上的有效的数字签名是证书完整性的保证， 由于CA是唯一有权使用它的签名私钥的实体，保证了只有CA能做这样的签名，CA不能否认它签名的证书（抗抵赖性） 直接信任 两个实体之间无须第三方介绍而直接建立起来的信任关系 PKI的结构体系 三种： 单个CA，分级（层次）结构的CA，网状结构的CA 单个CA的结构 单个CA的结构是最基本的PKI结构，PKI中的所有用户对此单个CA给予信任，它是PKI系统内单一的用户信任点，它为PKI中的所有用户提供PKI服务。 分级（层次）结构 一个以主从CA关系建立的PKI称为分级（层次）结构的PKI，在这种结构下，所有的用户都信任最高的根CA，上一层CA向下一层CA发放公钥证书。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信， 分级结构的PKI系统易于升级和增加新的认证域用户 网状结构 以对等CA关系建立的交叉认证扩展了CA域之间的第三方信任关系，这样的PKI系统称为网状结构的PKI 交叉认证的操作 两个域之间信任关系的建立，这通常是一个一次性操作，在双边交叉认证的情况下，每个CA签发一张“交叉证书”。 客户端软件验证由已经交叉认证的CA签发的用户证书的可信赖性，需要经常执行。 CTCA的结构体系 完整的PKI包括认证策略的指定，认证规则、运作制度的制定、所设计的各方法律关系内容以及技术的实现。 CA组成 接受用户证书受理者（RS） 证书发放的审核部门（RA） 证书发放的操作部门（CP） 记录证书作废的证书作废表（CRL） CA介绍 RA是证书发放的审核部门，负责对证书申请者进行资格审查 CP为证书发放的操作部门，负责为已授权的申请者制作、发放和管理证书， RS为证书受理者，用于接受用户的证书申请请求，转发给CP和RA进行响应的处理 CRL是证书作废表，其中记录尚未国旗但已经申明作废的用户证书序列好，供证书使用者在认证与之通信的对方是否作废时查询 业务受理点作为CA系统对外提供服务的一个窗口，为用户提供面对面的证书申请和发放服务，同时业务受理点可以担任用户证书发放的审核部门，当面审核用户提交的资料，决定是否为用户发放证书。 CA 功能有证书发放、证书更新、证书撤销、证书验证，核心功能是发放和管理数字证书 具体描述 签发自签名的根证书、审核和签发其他CA系统的交叉认证证书，向其他CA系统申请交叉认证证书、受理和审核各注册审批机构（RA）的申请，为RA机构签发证书、接收并处理各RA服务器的证书业务请求、证书的审批（确定是否接受用户数字证书的申请）、证书的发放（向申请者颁发或拒绝颁发数字证书）、证书的更新（接收并处理最终用户的数字证书更新的请求）、接收用户数字证书的撤销请求、产生和发布证书废止列表CRL、管理全系统的用户资料、管理全系统的证书资料、维护全系统的证书作废表、维护全系统的证书在线验证系统OCSP并提供数据查询、密钥备份、历史数据归档。 注册审批机构（RA） 是CA证书发放、管理的延伸，负责证书申请者的信息录入、审核以及证书发放等工作，同时，对发放的证书完成相应的管理功能。 RA的功能 受理用户证书业务、审核用户身份、向C中心申请签发证书，将证书和私钥写入IC卡后分发给受理点或用户、管理本地OCSP服务器并提供证书状态的实时查询，