信息安全概述第4章2.pptVIP

第4章 PKI公钥基础设施原理 一、PKI标准化 X.509：是ISO和CCITT/ITU-T的X.500标准系列中的一部分，已达到标准化的最高水平，相当稳定。 PKIX：IETF负责制定、标准化PKI及X.509研究的工作组。 X.500：ISO/ITU-T中有关目录的标准族。 LDAP（Lightweight Directory Access Protocol）：是轻量级目录访问协议，是X.500的一个子集。 ANSI X9F：美国国家标准协会（ANSI）X9委员会（负责金融服务）开发的金融服务工业标准。 ISO TC68：第8工作组，隶属于ISO中第68技术委员会下属的第2子委员会（记作ISO TC68/SC2/WG8，简称TC68），从事公钥技术的标准化，主要服务于金融业。 S/MIME：（Multipart Internet Mail Extensions）Email的加密规范增加了PKI概念，如证书格式、证书整理及证书撤消。 SET：安全电子交易,保证电子交易的安全性。 PKI标准化主要内容 基本安全算法 各种公钥通信安全协议、对称DES算法、非对称RSA算法、散列函数及数字签名标准（DSS）等 公钥基础设施 ASN.1规范、CA证书格式、Internet X.509 PKI标准、PKIX的主要内容、SET安全协议标准等 E-mail安全 安全电子邮件标准、加密报文语法、协议、报文规范、增强安全服务等 Web安全 S/HTTP协议及安全套接层协议SSL标准 中国PKI现状 中国的CA中心建设从1998年底开始。第一个电信行业CA-----CTCA 2001年成立中国PKI论坛 () 三类CA中心 行业性CA中心 中国金融认证中心(CFCA, http:) 金融：建行、招商、中行、工行、农行、交行 区域性CA中心 北京、上海、广东、山东、湖北、安徽CA中心（) 商业性CA中心 企业创办的认证机构 到04年已建成CA中心近80个，发放电子证书超过500万张。问题是各自采用的技术不能互连互通。 CFCA情况(03年)： 已发证书近十一万（80%B2B、20%B2C） 已建RA28个（银行12、证券16），RA已稳定 目录查询系统已稳定 CFCA/PKI典型应用： 网上银行（B2B、B2C） 网上证券 网上税务 银联卡网上应用 国内有关PKI法规方面的建设： 国务院信息化办公室制定国家PKI总体框架。 国务院信息化办公室制定PKI建设的国家准入办法。 国内关于电子签章法的立法： 2000年人大第一号提案 2002年信息产业部《电子签章法规》 2003年国务院法制办立法项目:名称《电子签章法》 目的：确立电子签章与手工签名、图章同等法律效力。 范围：适应电子商务和电子政务。 原则：技术中立、可操作性、政府最小干预原则。 认证机构：国家有关单位批准建立的第三方机构。具有权威性、可信赖性、公正性。 证书：第三方机构所签发，是权威电子文档。 2004年8月28日十届全国人大常委会第十一次会议２８日表决通过电子签名法，该法首次赋予电子签名与文本签名具有同等法律效力，并明确电子认证服务市场准入制度，保障电子交易安全。 该法自2005年４月１日起施行。 面临的问题 缺少相关法律支持 缺乏统一的行业技术标准 与国外CA的交叉认证问题 相关应用软件开发较少 解决措施 出台相关法规和统一技术标准 建立CA联盟，实现交叉认证 建设相应的应用系统，拓展市场 二、安全电子交易协议-SET 安全电子交易协议SET（Secure Electronic Transaction）是由Visa和Master Card所开发的，为了在Internet上进行在线交易时，保证信用卡支付的安全性而设计的开放规范，已得到IBM、HP、Microsoft等大公司的支持，已成为事实标准，并获得IETF标准认可。 SET协议用以支持BtoC（Business to Consumer） 这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。提供消费者、商家和银行之间的认证，确保网上交易数据的保密性、完整性和不可抵赖性。 SET采用公钥密码体制. 商业支付系统的安全需求 提供支付和订购信息的机密性。 采用加密。 保证所有传输数据的完整性。 采用数字签名。 提供持卡人的身份认证。 采用数字签名和证书。 提供商家能否接受信用卡交易的认证。 采用数字签名和证书。 确保采用最好的安全系统和技术来保护电子商务交易中的所有合法参与者的利益。 所产生的协议要既不依赖于传输安全机制，又不妨碍它们的使用。 促进并鼓励软件与网络提供商之间的互操作。 SET协议和格式是独立于硬件平台、操作系统和WEB软件。 SET的主要特征 信息的机密性 对持卡人的帐户信息