信息安全第讲认证.pptVIP

第3讲 信息认证技术与应用 孙旭 主讲 成都理工大学信息工程学院 六、PKI 基本知识 主要内容 PKI 是什么? PKI 是什么? 为什么需要PKI? 为什么需要PKI? 主要内容 PKI组成部分 PKI组成部分 　证书签发机构（CA） 　证书注册机构（RA） 　证书库 　密钥备份及恢复系统 　证书废除处理系统 　应用系统接口 证书签发机构（CA） CA（Certification Authority）是PKI的核心 CA对任何一个主体的公钥进行公证 CA通过签发证书将主体与公钥进行捆绑 证书注册机构（RA） RA（Registration Authority）是CA的组成部分 RA是CA面对用户的窗口，它负责接收用户的证书申请、审核用户的身份 RA也负责向用户发放证书 证书库 证书库是证书的集中存放地，用户可以从此处获得其他用户的证书 构造证书库可以采用X.500、LDAP、WWW、FTP、数据库等 密钥备份及恢复系统 如果用户的解密私钥丢失，则密文无法解密，造成数据丢失 密钥的备份与恢复应由可信机构来完成 密钥的备份与恢复只能针对解密私钥，签名私钥不能备份 证书废除处理系统 证书在有效期之内由于某些原因可能需要废除 废除证书一般是将证书列入证书黑名单（CRL）来完成 CRL一般存放在目录系统中 PKI应用系统接口 PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务 一个完整的PKI必须提供良好的应用接口，使得各种应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性 PKI的功能 PKI的性能要求 透明性和易用性 可扩展性 互操作性 支持多应用 支持多平台 PKI的运营考虑 　物理安全 　系统安全 　数据安全 　流程安全 　人员安全 PKI的应用 主要内容 PKI标准化 在密码和安全技术普遍用于实际通信的过程中，标准化是一项非常重要的工作。 标准化可以实现规定的安全水平，具有兼容性，在保障安全的互连互通中起关键作用。 标准化有利于降低成本、训练操作人员和技术的推广使用。 ITU-T X.509 X.509 国际标准：idt ISO/IEC9594-8:1998 ITU-T Rcc.X.509:1997 X.509是PKI的雏形，PKI在X.509标准的基础上发展起来的。 已经达到标准化的最高水平，非常稳定 X.509标准有三个版本，版本2和版本3是对版本1的扩展，目前常用的是版本3 PKIX系列文档 概貌 – RFC2459（描述证书和证书撤销列表）, RFC3280 运作协议 – RFC2559（描述LDAPv2）, RFC2560, RFC2585(描述FTP/HTTP操作协议), etc. 管理协议 – RFC2510（描述证书管理协议CMP）, RFC2511, RFC2797, etc. 策略概要– RFC2527 时间戳、数据验证和数据认证服务 – RFC3029, RFC3161 处于IETF标准化的第一阶段：proposed standrad PKCS系列标准 其他标准化活动 U.S.FPKI(美国联邦公开密钥基础设施) MISPC GOC PKI（加拿大政府公开密钥基础设施） SET（secure electronic transaction） IPSEC SSL/TLS 小结 七、PKI 关键技术 主要内容 什么是证书 数字证书的作用 数字证书的结构 数字证书的结构 证书的版本号：0表示X.509 V1 证书标准；1表示X.509 V2 证书标准；2表示X.509 V3 证书标准，CPCA所签发的证书此项全为2。 证书序列号：签发机构分配给证书的一个唯一标识号，同一机构签发的证书不会有相同的序列号。 签名算法：包含算法标识和算法参数，标明证书签发机构用来对证书内容进行签名的算法。 证书签发机构名：签发机构的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名。 证书有效期：包含两个日期，一个是证书开始生效的日期，一个是证书有效的截止日期。当前日期在证书有效期之内时，证书的有效性验证才能通过。 证书用户名：证书所有者的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名，还可包含email地址。 证书用户公钥信息：包含用户公钥算法和公钥的值。 证书扩展域：证书的扩展部份，可根据具体需求进行扩展，填写相应的扩展值。 签名算法：同证书内容中的签名算法。 签名值：证书签发机构对证书内容的签名值。 数字证书的结构 数字证书的存储标准 主要内容 CA的作用 CA的层次结构 CA提供的服务 CA的安全措施 保证CA系统的物理通道的安全 操作员权限控制 岗位职责明确 建立安全分散和牵制机制 身份认证 任何与CA中心的通讯都采用