第4章 公钥基础设施与应用.ppt

第4章 公钥基础设施与应用;第四章 公钥基础设施与应用;4.1 PKI基础; 安全基础设施能够让应用程序增强自己的数据和资源的安全，以及与其他数据和资源交换中的安全。 为用户提供友好的接入点。 具有易于使用、众所周知的界面。 基础设施提供的服务可预测且有效。 应用设备无需了解基础设施如何提供服务。 确保应用系统中实体和设备采用统一方式处理密钥，保证各部分之间协调工作，安全通信。;4.1.2 PKI的概念;4.1.2 PKI的概念;PKI解决如下问题： 安全生成密钥 实现通信中各实体的身份认证 颁发，更新和终止证书 证书的验证和分发 密钥的存档和恢复 产生签名和时间戳 建立和管理信任关系 ;PKI系统的组成部分;认证机构：简称CA，PKI的核心部分。数字证书的签发机构。 证书库：存储数字证书和公钥，用户从中获得证书和公钥。 密钥备份及恢复系统：当密钥丢失时，PKI可提供密钥的自动恢复功能。 证书作废处理系统：当用户身份改变或密钥破坏时，此系统提供密钥撤销功能。 PKI应用接口：为外界提供使用PKI安全服务的入口。;PKI的现状;中国PKI（2002）;1、通过PKI可以构建一个可管、可控、安全的互联网络 传统的互联网是一个无中心的、不可控的、没有QoS保证的、“尽力而为” (Best-effort)的网络。 采取了“口令字”等措施，但很容易被猜破，难以对抗有组织的集团性攻击。 PKI的技术标准，通过认证机制，建立证书服务系统，通过证书绑定每个网络实体的公钥，使网络的每个实体均可识别，从而有效地解决了网络上“你是谁”的问题，把宽带互联网在一定的安全域内变成了一个可控、可管、安全的网络。;2、通过PKI可以在互联网中构建一个完整的授权 服务体系 PKI通过对数字证书进行扩展，在公钥证书的基础上，给特定的网络实体签发属性证书，用以表征实体的角色和属性的权力，从而解决了在大规模的网络应用中“你能干什么”的授权问题。 这一特点对实施电子政务和电子商务十分有利。 用PKI可以方便地构建授权服务系统，在需要保守秘密时，可以利用私钥的惟一性，保证有权限的人才能做某件事。;3、PKI可以建设一个普适性好、安全性高的统一平台 PKI可以对物理层、网络层和应用层进行系统的安全结构设计，构建统一的安全域。 采用了基于扩展XML标准的元素级细粒度安全机制，可以在元素级实现签名和加密等功能。 PKI通过Java技术提供了可跨平台移植的应用系统代码，通过XML技术提供了可跨平台交换和移植的业务数据，有利于多种应用系统的整合。;4.2 数字证书;实体拥有的公钥和起身份信息的一致性是PKI得以实施的基础。;数字证书的格式遵循X.509标准。 X.509是由国际电信联盟（ITU-T）制定的数字证书标准。 X.509定义了（但不仅限于）公钥证书、证书吊销清单、属性证书和证书路径验证算法等证书标准。 证书的文件扩展包括：.cer,.crt,.P7B,.P7C,.PFX,.P12 ;证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；?证书的发行机构名称，命名规则一般采用X.500格式；?证书的有效期，通用的证书一般采用UTC时间格式;?证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；?证书发行者对证书的签名。? ;证书序列号;基于PKI的安全架构的模型 ;数字证书颁发过程一般为： 用户首先产生自己的密钥对，并将公共密钥及部 分个人身份信息传送给认证中心。 认证中心在核实身份后，将执行一些必要的步 骤，以确信请求确实由用户发送而来。 认证中心将发给用户一个数字证书，该证书内包 含用户的个人信息和他的公钥信息，同时还附有 认证中心的签名信息。 用户就可以使用自己的数字证书进行相关的各种 活动。;数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。  目前的数字证书类型主要包括： 个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。;自签名证书(Selfsigned Certificate)：让可信的权威机构创建一个包含自己身份信息和公钥的证书，然后对其签名。;4.2 数字证书;; 网上申请数字证书;;;4.2 数字证书; 用makecert生成数字证书 ;;4.2.3 证书撤销列表;CRL产生步骤： CA管理员核实证书撤销事由。 CA管理员撤销相关证书，建立与CA中心连接。 CA公布被废除的证书的序列号，将证书放入作废证书数据库。 将作废证书序列号放入CRL中。 系统通过LDAP发送新的