公钥基础设施PKI介绍1.pptVIP

公钥基础设施PKI介绍 1. PKI基本概念 2. PKI体系结构与功能操作 3. PKI体系的互通性与标准化 4. X.509标准 5. 认证机构CA系统 6. PKI的应用之一——安全电子交易协议-SET 1. PKI基本概念 什么是PKI呢？ 公钥基础设施（Public Key Infrastructure） PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。 为什么需要PKI？ 电子政务、电子商务对信息传输的安全需求 在收发双方建立信任关系，提供身份认证、数字签名、加密等安全服务 收发双方不需要共享密钥，通过公钥加密传输会话密钥 1. PKI基本概念 非对称密码体制 证书的结构 PKI的组成 认证机构CA 证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。 注册机构RA 注册功能也可以由CA直接实现，但随着用户的增加，多个RA可以分担CA的功能，增强可扩展性，应注意的是RA不容许颁发证书或CRL. 证书库 证书的集中存放地，提供公众查询，常用目录服务器提供服务，采用LDAP目录访问协议。 密钥备份及恢复系统 签名密钥对：签名私钥相当于日常生活中的印章效力，为保证其唯一性，签名私钥不作备份。签名密钥的生命期较长。 加密密钥对：加密密钥通常用于分发会话密钥，为防止密钥丢失时丢失数据，解密密钥应进行备份。这种密钥应频繁更换。 PKI的组成（续） 证书作废处理系统 证书由于某种原因需要作废，终止使用，这将通过证书作废列表（CRL）来完成。 自动密钥更新 无需用户干预，当证书失效日期到来时，启动更新过程，生成新的证书 密钥历史档案 由于密钥更新，每个用户都会拥有多个旧证书和至少一个当前证书，这一系列证书及相应私钥（除签名私钥）组成密钥历史档案。 PKI应用接口系统 是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。 交叉认证 多个PKI独立地运行，相互之间应建立信任关系 公钥基础设施PKI 1. PKI基本概念 2. PKI体系结构与功能操作 3. PKI体系的互通性与标准化 4. X.509标准 5. 认证机构CA系统 6. PKI的应用之一——安全电子交易协议-SET 2. PKI体系结构与功能 PKI体系结构 PKI功能操作 PKI的服务 2.1 PKI体系结构 2.1 PKI体系结构 2.1 PKI体系结构 2.1 PKI体系结构 信任模型 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 2.2 PKI功能操作 产生、验证和分发密钥 签名和认证 证书的获取 验证证书 保存证书 本地保存证书的获取 证书废止的申请 密钥的恢复 CRL的获取 密钥的更新 审计 存档 PKI服务 认证 实体鉴别,数据来源鉴别 完整性 哈希+数字签名技术,消息认证码 保密性 采用数字信封，传输会话密钥 不可否认性服务 数字签名 安全时间戳 公证服务 由CA充当第三方进行数据验证 公钥基础设施PKI 1 PKI基本概念 2. PKI体系结构与功能操作 3. PKI体系的互通性与标准化 4. X.509标准 5.认证机构CA系统 6. PKI的应用之一——安全电子交易协议-SET 3 PKI体系的互通性与标准化 国家公共PKI体系采用桥接信任模型： 国家桥接中心（NBCA）--- 地区中心（LBCA）--- 公众服务认证中心（SCA） PK