第4章数字证书与公钥基础设施-USTCStaffFTPWWWServer-中国.PDFVIP

第4章 数字证书与公钥基础设施 中国科学技术大学 曾凡平 billzeng@ PKI 的背景 • 使用公钥密码体制的前提是通信双方确信拥有对 方的公钥。然而，通信双方很难直接获得对方的 公钥。考虑如下场景： – Bob和Alice生成各自的一对公/ 私钥，各自保存私钥， 借助网络把公钥发送给对方。 – Bob用Alice 的公钥加密一个文件并发送给Alice 。 – Alice用私钥解密文件，获得原始文件 • 问题：如果入侵者监视Bob和Alice 的网络通信信 道并用自己的公钥替换Alice 的公钥 ! …… • 解决方案：采用基于可信第三方的PKI 4.公钥基础设施 2 内容提要 • 公开密钥基础设施(PKI - Public Key Infrastructure) 是一个用非对称密码算法原理和技术实现并提供 安全服务的具有通用性的安全基础设施。 • PKI的主要目的是通过自动管理密钥和数字证书， 为用户建立一个安全的网络运行环境，使用户可 以在多种应用环境下采用加密和数字签名技术， 保证网上数据的机密性、完整性和不可抵赖性。 • 概括地说，PKI是创建、管理、存储、分发和撤销 基于公钥加密的数字证书所需要的一套硬件、软 件、策略和过程的集合。 4.公钥基础设施 3 主要内容 1. PKI 的基本概念 2. 数字证书 3. PKI体系结构—PKIX模型 4. PKI实例 参考： 《网络安全概论》第1版 – 刘建伟 毛剑 胡荣磊，电子工业出版社，2009 年07月。 第3章 数字证书与公钥基础设施 4.公钥基础设施 4 4.1 PKI 的基本概念 4.1.1 PKI 的定义 • PKI 是一种遵循标准的利用公钥理论和技术建立的提 供安全服务的基础设施。 • 所谓基础设施，就是在某个大型环境下普遍适用的基 础和准则，只要遵循相应的准则，不同实体即可方便 地使用基础设施所提供的服务。 • 公钥基础设施的目的是从技术上解决网上身份认证、 电子信息的完整性和不可抵赖性等安全问题，为网络 应用(如浏览器、电子邮件、电子交易)提供可靠的安 全服务。 PKI是遵循标准的密钥管理平台，能为所有 网络应用透明地提供采用加密和数字签名等密码服务 所需的密钥和证书管理。 4.公钥基础设施 5 PKI 的任务 • PKI 最主要的任务是确立可信任的数字身份，这些 身份可被用来和密码机制相结合，提供认证、授 权或数字签名验证等服务，而使用该类服务的用 户可在一定程度确信自己的行为未被误导。这一 可信的数字身份通过数字证书(也称公钥证书)来 实现。数字证书(如X.509证书)是用户身份与其所 持公钥的结合。 • 在实际应用中，PKI体系在安全、易用、灵活、经 济的同时，必须充分考虑互操作性和可扩展性。 • PKI体系的功能模块需有机结合；此外，安全应用 程序的开发者不必再关心复杂的数学模型和运算， 只需直接按照标准使用API 接口即可实现相应的安 全服务。 4.