PKI系统架构教程分析.ppt

第7章 PKI系统架构 信息安全服务 早期的信息安全是主要是通过物理和行政手段来实现的，或者是通过简单密码技术来保障。随着网络技术的发展，需要更加完善的系统来保护那些存储在计算机中文件和其他信息，包括网络中传输的数据信息。进入80年代，信息安全技术有了较大发展，计算机网络安全研究与发展只关注以下几种安全服务，这些服务包括了一个信息安全设施所需要的各种功能。 保密性Confidentiality: 确保在一个计算机系统中的信息和被传输的信息仅能被授权让读取的那方得到。 完整性Integrity: 确保仅是被授权的各方能够对计算机系统中有价值的内容和传输的信息进行权限范围之内的操作，这些操作包括修改、改变状态、删除、创建、时延或重放。 可用性Availability: 即保证信息和信息系统随时为授权者提供服务，而不出现非授权者滥用却对授权者拒绝服务的情况。 不可否认性non-repudiation: 要求无论发送方还是接收方都不能抵赖所进行的传输。 鉴别Authentication: 就是确认实体是它所声明的，用于对人或实体的身份进行鉴别，为身份的真实性提供保证，一般可通过认证机构CA和证书来实现。 密码学与信息安全 信息的私密性(Privacy) 对称加密 信息的完整性(Integrity) 数字签名 信息的源发鉴别(Authentication) 数字签名 信息的防抵赖性(Non-Reputation) 数字签名　＋　时间戳 信息安全技术与PKI 不存在单一的机制能够提供上述列出的儿种服务，网络环境下的安全服务需要依靠密码技术、身份认证技术、防火墙、防病毒、灾难备份、安全审计、入侵检测等安全机制综合应用起来实现。 在应用层上对信息进行加密的算法或对消息来源进行鉴别的协议已有多年的研究。但在传统的基于对称密钥的加密技术中，密钥的分发的问题一直没有得到很好的解决。并对电子商务、安全电子邮件、电子政务等新的安全应用，传统技术基于共享密钥的鉴别协议对通信主体的身份认证也没有很好的解决。 针对上述问题，世界各国经过多年的研究，初步形成一套完整的Internet安全解决方案，即目前被广泛采用的PKI技术。PKI技术采用证书管理公钥，通过第三方的可信任机构—认证中心CA（Certificate Authority）把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起。通过Internet的CA机构，较好的解决了密钥分发和管理问题，并通过数字证书，对传输的数据进行加密和鉴别，保证了信息传输的机密性、真实性、完整性和不可否认性。 目前，PKI的安全认证体系得到了各界人士的普通关注。国外的一些大的网络安全公司也都推出了PKI的产品，如美国的IBM、加拿大的Entrust, SUN等，为用户之间的内部信息交互提供了安全保障。 什么是PKI 公钥基础设施（Public Key Infrastructure） PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。 它能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。 信任管理 从根本上讲，PKI是表示和管理信任关系的工具; 数字化、电子化社会的基础之一 在数字化社会中，实体间建立信任关系的关键是能彼此确定对方的身份； PKI的性能要求 透明性和易用性 可扩展性 互操作性 多用性 支持多平台 PKI/CA发展历程 1976年，提出RSA算法 20世纪80年代，美国学者提出了PKI的概念 为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会 1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念 1999年，PKI论坛成立 2000年4月，美国国防部宣布要采用PKI安全倡议方案。 2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础 ? ? ? ? ? ? PKI/CA发展历程 论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。 论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：） PKI/CA发展历程 中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织 是国家授权与国外有关PKI机构和组织沟通的窗口； 中国PKI论坛现任亚洲PKI论坛副主席； 中国PKI论坛目前挂靠在国家