网络安全概述_06PKI认证分析.ppt

PKI认证（二） PKI体系 一、PKI背景 1、PKI 2、PKI功能 3、PKI基础 4、PKI由来 5、PKI发展 1、何谓PKI PKI，Public Key Infrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。 PKI正在快速地演进中，从不同的角度出发，有不同的定义. PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施. 2、PKI由来 公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案：引入证书(certificate) 通过证书把公钥和身份关联起来 3、PKI功能（1） 认证：采用数字签名技术，签名作用于相应的数据之上 被认证的数据 —— 数据源认证服务 用户发送的远程请求 —— 身份认证服务 远程设备生成的challenge信息 —— 身份认证 完整性：PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性 MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5 保密性：用公钥分发随机密钥，然后用随机密钥对数据加密 不可否认： 发送方的不可否认 —— 数字签名 接受方的不可否认 —— 收条 + 数字签名 3、PKI功能（2） 在提供前面四项服务功能的同时，还必须考虑 性能 尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作 除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验 在线和离线模型 签名的验证可以在离线情况下完成 用公钥实现保密性也可以在离线情况下完成 离线模式的问题：无法获得最新的证书注销信息 证书中所支持算法的通用性 在提供实际的服务之前，必须协商到一致的算法 个体命名 如何命名一个安全个体，取决于CA的命名登记管理工作 4、PKI组成 PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。 PKI的构件，PKI的安全策略 5、PKI发展 标准化进展：IETF PKIX、SPKI Workgroup；NIST，DOT (Department of the Treasury)；TOG (The Open Group)；and others (include WAPForum, etc) 产品与工程：From Pilot Projects to Practices, Various Vendors and Products PKI应用：MS Outlook/Netscape Messenger (S/MIME), IE/Navigator (SSL/TLS), PGP 二、PKI相关概念 1、公钥证书 2、证书作废列表（CRL） 3、策略管理机构（PMA） 4、认证机构（CA） 5、注册机构（RA） 6、证书管理机构（CMA） 7、证书存档(Repository) 8、署名用户（Subscriber） 9、依赖方(Relying party) 10、最终用户（End User） 1、公钥证书 由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。 2、证书作废列表（CRL） 作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。 CRL数据格式 CRL改进机制 一个CA的撤销信息通过多个CRL发布 重定向CRL 增量CRL：在基本CRL基础上，实施增加部分撤销信息 间接CRL：一个CA中发布来自多个CA的撤销西向你 3、策略管理机构（PMA） 监督证书策略的产生和更新，管理PKI证书策略。 4、认证机构（CA）（1） 互联网定义：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。 国防部定义：一个授权产生，签名，发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。 联邦政府定义：被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。 4、认证机构（CA）（2） CA是PKI的核心，CA负责产生、分配并管理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书 5、注册机构（RA）（1） 互