第四章PKI3.pptVIP

PKI/CA应用 PKI相关应用 安全的Web浏览 安全的电子邮件 虚拟专网（VPN） 访问控制（长期授权、短期授权） 安全的软件下载 一、安全的Web浏览PKI技术和SSL协议 来自Web的风险 窃听 信用卡号码被窃取 个人安全信息被窃取 伪装 假冒真正的服务器 假冒真正的用户 软件下载风险 软件来源 软件被病毒或其他恶意代码篡改 网上浏览的安全问题 Web安全的解决方法——SSL SSL（Secure Socket Layer即安全套接层）协议是Netscape Communication公司推出，工作于传输层上的一种基于非称和对非称密钥技术的一种协议，用于浏览器和Web服务器之间的安全连接。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。 ?SSL 以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标： (1)机密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。 ( 2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,可以避免服务器和客户机之间的信息受到破坏。 (3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。 作为Internet上最有效的应用，电子邮件凭借其易用、低成本和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长，商业机构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息，这就引出了一些安全方面的问题，包括：消息和附件可以在不为通信双方所知的情况下被读取、篡改或截掉；发信人的身份无法确认。 安全的电子邮箱（满足特征） 没有人能偷看到我信件的内容 (加密) 被人可以截取我的信，但是他无法阅读 没有人可以篡改我的信件 (签名) 他可以篡改我的信件，但是我会知道 没有人可以冒充我的身份给别人发信(签名) 这封信的确是他发出的，他不可以抵赖（签名） 使用简单 常用邮件应用程序都紧密支持 OutLook Express,OutLook Netscape Messenger Foxmail 其它 对邮件加密、签名 加密签名后的邮件 电子邮件的安全需求也是机密、完整、认证和不可否认，而这些都可以利用PKI技术来获得。目前发展很快的安全电子邮件协议是S/MIME?(The?Secure?Multipurpose?Internet?Mail?Extension)，这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。 VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（尤其是IPSec）和建立在PKI上的加密与签名技术来获得机密性保护。基于PKI技术的IPSec协议现在已经成为架构VPN的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。 国外PKI/CA体系发展状况 我国PKI体系的发展 自从1998年国内第一家以实体形式运营的上海CA中心(SHECA)成立以来，PKI技术在我国的商业银行、政府采购以及网上购物中得到广泛应用。 目前，国内已经有了70多家的电子认证服务机构，并已经发出去上百万张数字证书。 国内的CA机构分为区域型、行业型、商业型和企业型四类，这四种CA机构已有70余家，大部分省市建立了区域CA，部分部委建立了行业CA。 国内PKI建设的基本情况 行业性CA 金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、 中国海关CA、中国银行CA、中国工商银行CA、中国建设 银行CA、招商银行CA、国家计委电子政务CA、南海自然 人CA（NPCA） 区域性CA 协卡认证体系（上海CA、北京CA、天津CA） 网证通体系（广东CA、海南CA、湖北CA、重庆CA） 独立的CA认证中心 – 山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙 江邮政CA、黑龙江政府CA、山东CA、深圳CA 、吉林省政 府CA、福建泉州市商业银行网上银行CA、天威诚信CA 国内CA认证中心：运营商 广东省电子商务认证中心 黑龙江邮政局电子邮政安全认证 中心 海南省电子商务认证中心 湖北省电子商务认证中心 北京国富安电子商务安全认证中心 重庆数字证书认证中心 东北证券交易系统 山西省电子商务安全认证中心 天津市CA中心(TJCA) 国内CA认证中心：集成商 吉大正元（) 天威诚信（)（主要是运营商） 德达创新（） 信安世纪（） 国富安（） 其它厂商： – 总参56所、上海格尔、深圳维豪、上海CA、诺方、 海南格方、杭州核心、广州网证通、中邮科技、航 天长峰国