第八次课 pki公钥基础设施.pptVIP

第八次课：PKI公钥基础设施 上节课回顾 认证技术概述 消息认证 用户身份认证 数字签名 目录 PKI概述 PKI的概念； PKI的发展历程； PKI实现的安全功能； 认证类型和模式 PKI的组成 PKI的标准 PKI的服务 PKI的应用 花旗银行案例 假冒 截取 3.1 PKI概述 篡改 3.1 PKI概述 否认 随着网络技术和信息技术的发展，电子商务已逐渐被人们接受，加密和认证等技术能够解决消息的机密性、完整性、认证性及不可否认性等安全需求，于此同时，还需要一个良好的管理方法和模式。 事实证明，一定要有一个共同的安全基础设施来提供一致的安全特性。像电力供应基础设施等其他基础设施一样，安全基础设施也具有通用性和实用性。 目前通用的办法是建立公钥基础设施来保证信息的安全传输。 像插座一样，我们只需要将各种电器设备的电源插在插座上，就能够获得设备运行所需要的电压和电流，而不必了解电源是何如产生的。 从理论上讲，只需要PKI具有友好的接口，那么普通用户就只需要知道如何接入PKI就能够获得安全服务，而不需要理解PKI是如何实现安全服务的。 PKI的核心问题就是解决网络空间中的信任问题，确定网络空间各行为主体身份的唯一性和真实性，其价值在于使用户能够方便、可靠地使用加密、数字签名等安全服务。 PKI概述 什么是PKI PKI概述 1976年，提出RSA算法 20世纪80年代，美国学者提出了PKI的概念 为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会 1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念 1999年，PKI论坛成立，并制定了X.500系列标准 2000年4月，美国国防部宣布要采用PKI安全倡议方案。 2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础 。 PKI概述 论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。 论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：） PKI概述 3.1 PKI概述-PKI实现的安全功能 认证 PKI实现的安全功能 PKI概述 三种认证类型 你有什么凭证 认物不认人 如：身份证、听课证、护照、彩票、电影票 你知道什么 认信息不认人 如：口令、用户名、暗号、密钥 你有什么生物特征 只认人 如：长相、声音、指纹、虹膜 PKI概述 两类认证模式 两方认证 预先注册，比较确认 如：电话购票、彩票中奖 三方认证 第三方确认 如：机场安检、支票购物 PKI的组成 一个完整的PKI系统的基本构成部件： 权威认证机构(CA) 数字证书库 证书作废系统 密钥备份和恢复系统 应用接口API 认证机构（CA） PKI的管理机构，又称认证机构，证书授权中心，是承担网上认证服务，能签发数字签名并能够确认用户身份和受大家信任的第三方认证机构，其主要任务是受理证书的申请，签发，对数字证书的管理。 CA证书的签发机构可以看成是一个国家的护照签发中心。它是护照持有者的一种纸质身份证明，任何信任该国护照签发中心的其他国家也会信任该国护照签发中心所签发的护照。 数字证书库 证书库存放了经CA签发的证书和已撤销证书的列表，网上交易的用户可以使用应用程序，从证书库中得到交易对象的证书、验证其证书的真伪、或查询其证书的状态。 证书库的功能如下： （1）存储证书 （2）提供证书 （3）确认证书状态 证书作废系统： 证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。 密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制.用来对密钥的恢复 应用程序接口（API） PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。 PKI/CA标准与协议 PKI/CA标准与协议 基础标准/协议 ASN.1(Abstract Syntax Notation One)抽象语法描述，是描述在网络上传输信息格式的标准方法。 PKI/CA标准与协议 基础标准/协议 PKCS系