PKI培训.ppt

四大安全要素的解决方法 加密机制： 对称加密 非对称加密 数字签名 哈希算法 如何使用这些安全机制来解决四大安全要素? 机密性 完整性 身份认证 不可抵赖性 什么是数字证书? 什么是数字证书? 什么是数字证书? 数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。 什么是数字证书? 理解数字证书是理解PKI系统的中心问题。一个网络用户的证书等于他的电子版的身份证。它由CA签发，获得证书的个人或组织可以用它来证明自己的身份或存取信息的权利。当CA签发证书时，它验证证书申请者的身份，? 一张数字证书是一个二进制文件，。它包含了证书持有者的名字、能够证明证书持有者身份的可靠信息还有证书持有者的公钥，这给出了证书持有者和他的公钥之间的对应关系。在证书中的公钥既可被他人用于加密也可用来验证持有者的数字签名。数字证书中也包含序列号、有效期、与证书相联系的权利和使用信息等。最后，数字证书中包含发证机关CA的信息。所有证书都用CA的私钥进行数字签名。 证书格式 证书格式版本(目前是X509V3、V4) 证书序列号 签名算法标识符 认证机构的X.500名字 有效期 主题X.500名字 主题公钥信息 发证者唯一标识符 主题唯一标识符 扩展域 认证机构的数字签名 PKI系统标准结构 Certification Authority - CA 发布本地CA策略 对下级机构进行认证和鉴别 产生和管理下属机构的证书 接收和认证RA证书请求 签发和管理证书、CRL 发布证书CRL 密钥安全生成及管理 交叉认证 Registration Authority - RA 进行用户身份信息的审核，确 保其真实性； 本区域用户身份信息管理和维护； 数字证书的下载； 数字证书的发放和管理 登记黑名单 密钥管理中心 - KMC 密钥的生成 密钥的分发 密钥的备份 密钥的恢复 密钥的更新 密钥的归档 密钥查询 密钥销毁 安全通道 证书/密钥的存储 通信流程(B-用户端 S-服务器端) STEP 1: B——〉S（发起对话，协商传送加密算法） 你好,S！我想和你进行安全对话，我的对称加密算法有DES,RC5，我的密钥交换算法有RSA和DH，摘要算法有MD5和SHA。 STEP2: S——〉B（发送服务器数字证书） 你好,B！那我们就使用DES－RSA－SHA这对组合进行通讯，为了证明我确实是S，现在发送我的数字证书给你，你可以验证我的身份。 STEP 3: B——〉S（传送本次对话的密钥） （检查S的数字证书是否正确，通过CA机构颁发的证书验证了S证书的真实有效性后。生成了利用S的公钥加密的本次对话的密钥发送给S） S, 我已经确认了你的身份，现在将我们本次通讯中使用的对称加密算法的密钥发送给你。 STEP4: S——〉B（获取密钥） （S用自己的私钥解密获取本次通讯的密钥）。 B, 我已经获取了密钥。我们可以开始通信了。 STEP5: S——B（进行通讯） 目录的定义和特点 LDAP标准简介 LDAP特性 独立性： LDAP既是一个X.500的访问协议，又是一个灵活的可以独立实现的目录系统。 基于Internet的协议：LDAP基于Internet协议，X.500基于OSI协议。 简单性：LDAP继承了X.500最好的特性，同时去掉了它的复杂性。 分布式：LDAP通过引用（Referral）机制实现分布式：X.500 DSA通过服务器之间的链操作实现分布式的访问 LDAP定义的模型 引用实例： 目录在CA中的应用 CA需要解决的两个问题： 1、证书生命周期管理问题：如何创建、维护和销毁证书 2、证书定位问题：如何快速找到对方的证书 目录在CA中的作用： 1、目录是整个证书生命周期的管理中心。 2、在目录中存储、管理证书(Certificate)和撤销列表(CRL) 3、通过目录服务提供有效的证书发布和查询功能 4、通过目录服务安全可靠地发布CRL,提供CRL查询服务 目录在CA中位置- 分布式部署 谢 谢 国家政务外网目录服务器 某省目录服务器 1、对某省信息提出查询请求 2、查询内容未在服务器中，但发现有ref引用Ref=ld