网络安全理论与技术13—PKI技术探索.pptx

7.1 PKI概述 7.2 证书权威（CA） 7.3 数字证书和CRL 7.4 信任模型 主要内容 第7章 PKI技术 1 导论 在网络通信中，需要确定通信双方的身份，这就需要身份认证技术。 在信息安全的众多解决方案中，一般都要用到非对称密码技术，也就是说要用到公/私钥对。在双方甚至多方的通信过程中，通信的一方要使用其他通信方的公钥。 关键的问题是如何确定通信方公钥的真实性，也就是说，如何将公钥与一个实体绑定在一起？ 这就需要公钥基础设施PKI。PKI通过一个可信的第三方对实体进行身份认证，并向其签发证书，将该实体与一个公钥绑定在一起。 电子商务是21世纪的主要经济增长方式，互联网上的交易或者信息传输，存在安全问题： 3 4 思考：在李四用张三的公钥验证张三的数字签名的时候，有一个关键问题必须要解决。李四怎样得到张三的公钥？李四又怎样才能确定这个公钥的确是张三的，而不是王五冒充的呢？ 当面告诉 直接用U盘复制 打电话 如果张三和李四不认识，从未联系过，并且相隔万里，怎么办？ 最简单的办法是是张三在发送文件和签名的同时，将自己的公钥传给李四。但却存在被掉包的风险。 5 7.1 PKI概述 公开密钥调包风险 6 解决方法： 我们需要一个可信任的第三方，它负责验证所有人的身份，包括某些计算机设备的身份。它一定要信誉良好，它验证过的人和设备，我们就可以相信。 这个第三方现在称为CA（Certificate Authority证书权威），CA首先认真检查所有人的身份，然后给他们颁发证书，当然这是数字证书。证书包括持有人的信息和他的公钥，还可以有其他更复杂的信息。关键的一点是证书不可被篡改，这由数字签名技术来保证。 基于数字证书进行身份认证的过程 使用CA私钥签名，其他人无法伪造 CA以及其他相关的软件、硬件、协议、安全策略、设备等构成了一个安全平台，在此之上，我们可以进行安全的通信，这个平台就被称为PKI。 8 7.1.2 PKI的概念、目的、实体构成和服务 9 10 PKI的理论基础 公钥密码学解决的核心问题是密钥分发。 以CA认证机构为核心 以数字证书为工具来提供安全服务功能。 11 12 一个简化的PKI实体构成图 建立和定义了信息安全方面的指导方针 13 举例说明PKI的运作过程： 李四需要证书，他要先选择一个合适的CA,CA是营利机构，而且影响力和信誉度也是不太一样的。李四可以先去他选定的CA的网址，输入有关信息。公/私钥对可以委托CA生成，也可以在李四的计算机上生成。 李四到CA的办公地点或代理机构提交他的相关证件验证身份，信誉好的CA的验证过程很严格。缴纳有关费用后，李四就可以得到证书了。 有了证书，李四就可以和张三安全地通信了。 在证书使用过程中，如果不小心私钥泄密了，李四可以请CA将证书撤销。 证书有一个有效期，过期后要申请新的证书。 实际的过程是非常复杂的。 14 PKI技术额标准化是PKI技术推广的关键。目前，制定PKI相关标准（也包括有关的密码标准）的主要有3个组织： （1）美国RSA公司：RSA公司的研究机构是RSA实验室，RSA实验室制订了很多规范，以成为事实上的国际标准。这些规范成为PKCS。 （2）因特网工程任务组：是互联网标准化的主要力量，它制定的标准都以RFC（Request For Comments请求评议，包含了关于Internet的几乎所有重要的文字资料）的形式出现。 （3）国际电信联盟（International Telecommunication Union，ITU）是电信界最权威的标准制订机构。 15 7.2 证书权威(CA) 第7章 PKI技术 Network and Information Security 16 CA是PKI的核心，CA负责产生、分配并管理PKI结构下的所有用户（包括各种计算机设备甚至是某个应用程序）的证书，把用户的公钥和用户的身份信息捆绑在一起，在网上验证用户的身份。CA还要负责用户证书的撤销列表登记和证书撤销列表的发布。 概括地说，CA的基本功能有证书发放、证书更新和撤销。CA的核心功能就是发放和管理数字证书。 17 功能具体描述如下： (1) 接收最终用户数字证书的申请。 (2) 确定是否接受最终用户数字证书的申请——证书的审批。 (3) 向申请者颁发或者拒绝颁发数字证书——证书的发放。 (4) 接收、处理最终用户的数字证书更新请求——证书的更新。 (5) 接收最终用户数字证书的查询、撤销。 (6) 产生和发布证书撤销列表(CRL)。 (7) 数字证书的归档。 (8) 密钥归档。 (9) 历史数据归档。 第7章 PKI技术 Network and Information Security 18 简化的CA构成图 第7