PKI技术 荆继武 第15讲 PKI API与PKI应用新.pptVIP

PKI技术 回顾 建设PKI的意义在于 有各种应用系统来使用PKI PKI为它们提供了安全服务 而不在于建设PKI系统本身 为了让应用系统更好地使用PKI，要： 为使用者提供指导 CP/CPS，前面已经说明 PKI要有友好的接口Interface PKI API Application Programming Interface 为了让PKI应用系统的开发者更好地访问PKI的功能，应该尽可能提供一致的、标准化的接口 利用API接口分开基础设施和应用系统功能 类似于标准尺寸的插座 2口插座、3口插座、空调插座等等 PKI API的一般要求 功能全面 能够满足应用程序对于PKI的访问要求 封装性 对调用者屏蔽PKI内部的实现细节 主流的编程语言 便于使用，C/C++/Java 接口友好 易于理解、参数简洁等 易于扩展 例如，扩展新的加密算法、新的HASH 理想的要求 制定统一的、完全一致的一种PKI API 方便PKI应用系统开发者 快速地移植、扩展 现实的情况 编程语言的多样性－C/C++/Java/C#/… 操作系统的多样性 密码算法的多样性 不同国家对于密码算法有着专门的严格管理制度 所以，很难有完全统一的PKI API PKI API 不能找到完全统一的PKI API接口标准 目前，也不存在这样的接口标准 我们选取了几种API接口，讲解其实现功能和基本架构 课程内容 介绍几种目前应用广泛的PKI API 了解之后，大家就应该有能力开发基于API的PKI应用系统 CryptoAPI PKCS#11 以及几种常见PKI应用系统的配置和使用 TLS/SSL/HTTPS IIS OpenSSL Windows CodeSign MS Outlook Express 应用系统对于PKI API的要求 从PKI应用系统看来，什么要素是由PKI引入的？ 也就是，PKI独有的 PKI Subscriber拥有的PKI数据要素就是： 证书 公私密钥对 PKI User拥有的PKI数据要素就是： 证书/CRL PKI API的2大类功能 所以，应用系统对API有2大类功能要求 公私密钥对管理 包括各种相关的加解密计算 证书管理 包括对撤销状态的处理，也就是对于CRL的管理 一般，CRL是普遍支持的（OCSP和CRT方式不像CRL那么普遍） 公私密钥对管理 至少应该支持1种公钥算法 通常是RSA 我们知道，公钥密码算法一般不单独使用 加密－支持对称加密算法 签名－支持HASH算法 密钥生成、存储、导入导出、删除 加解密计算、签名验证计算 HASH计算 证书功能 证书－申请、验证、安装、存储、删除 CRL－验证、安装、存储、删除 证书/CRL的解析 获得证书/CRL中的信息（如Subject DN、CP OID等） 证书/CRL获取 也就是访问资料库 但是一般不包括在PKI API中，因为PKI一般都是使用现成的资料库、可以使用其他的API 如HTTP、FTP、LDAP等 混合功能 密钥管理和证书管理的混合功能，例如 使用证书中的公钥来加密 利用密钥对来生成证书申请消息 PKI API的功能 各种PKI API都应该支持上述的3类功能 直接地单个函数支持 或者多个函数组合 除此之外，还有各种辅助功能。例如 ASN.1的编码函数，生成各种标准消息 如，PKCS#10格式、PKCS#7格式、OCSP查询请求格式等等 Base64编解码等等 应用接口API CryptoAPI Microsoft公司制定的 用于Windows操作系统 我们应用最多的OS PKCS#11 RSA公司制定的 用于各种操作系统 Linux/Windows/Unix等等 CryptoAPI 按照MS的定义，CryptoAPI是提供接口、供开发者开发基于Cryptography的安全功能 Cryptography密码算法 包括对称、非对称、HASH、MAC等等 按前面的说明，PKI API也应该支持对称密码算法、HASH算法的 PKI是基于Public Key Cryptography的基础设施 CryptoAPI也是一种PKI API CryptoAPI的内容 包括的内容 ASN.1的编解码 支持对于证书/CRL的编解码 加解密数据 对称和非对称都有 基于数字证书的认证 所以CryptoAPI符合我们的PKI API的定义 目前版本是2.0 CryptoAPI的特点 提供C/C++语言接口 基本能满足我们前面的要求 功能全面 封装性 主流的编程语言 接口友好 以上4点直接浏览函数列表就能够说明 易于扩展 后面有专门说明 CryptoAPI的重要特点 与操作系统紧密结合－Windows 此特点是很多其他的PKI API所没有的 如PKCS#11、CDSA等 只能在Windows上