公开金钥基础结构与凭证服务microsoft.pptVIP

公開金鑰基礎結構與憑證服務 羅英嘉 2007年5月 何謂 PKI PKI 是一種利用數位憑證和公開金鑰技術或標準的整合性安全性服務與架構。 PKI整合公開金鑰密碼學、軟體和網路服務等技術，主要目的是用來提升保障網路通訊和電子交易的安全性。 為何需要 PKI 資訊環境下需要更多層面和更高安全性的交易機制。 需要比傳統密碼系統更嚴謹的驗證機制 需要提供不可否認機制 PKI 提供了分送公開金鑰的實務技術 PKI 目的 提供安全性的網路傳送機制： 私密性(Confidentiality) 完整性(Integrity) 資料來源辨識與身份驗證 (Authentication) 不可否認性(Non-repudiation) PKI 的組成模組 資訊安全政策 註冊管理中心 (Registration Authority，RA) 註冊管理中心負責受理憑證申請、廢止與相關資料審核，並將審核通過之資料傳送至憑證管理中心，進行憑證簽發、廢止等作業。 憑證管理中心 (Certificate Authority，CA) 負責憑證簽發(Certificate Issuance)、憑證廢止(Certificate Revocation)、憑證管理等核心工作，並將所簽發之憑證及憑證廢止清冊公佈於目錄伺服器以備外界查詢或下載。 目錄服務(Directory Service) 目錄服務除提供外界目錄查詢服務，如憑證及憑證廢止清冊之公佈，並提供憑證廢止訊息、新版、舊版憑證實作準則之查詢及憑證相關軟體下載等服務。 PKI應用程式 公開金鑰加密原理 公開金鑰驗證原理 憑證管理中心(Certification Authority) 為了使公開金鑰密碼系統得以順利運作，必需設法緊密結合並證明某一把公開金鑰確實為某人或某單位所擁有，讓他人無法假冒、偽造。解決方法是模仿印鑑證明的方式，由可信賴的第三者或機構(Trusted Third Parity)來當作公鑰授權單位，以簽發公鑰電子憑證的方式來證明公鑰的效力。 CA就是一個用來提供發行、撤銷管理憑證的服務單位。 可由政府、商業機構(如verisign、Thawte Consulting)或組織內自行架設以提供各項憑證相關的服務。 憑證 (Certificates) 數位憑證是一份經由CA 私密金鑰簽章的電子文件。 用來證明公開金鑰和特定的個人或單位(擁有者)的連繫關係。 標準：ITU-T X.509格式 憑證內容包括使用者名稱、公開金鑰、發證者(issuer)、生效和到期日期、擁有者….等資訊。 憑證內容 X.509數位憑證格式 X.509數位憑證乃以ASN.1符號表示法 (Abstract Syntax Notation 1)定義，詳細記載了組成該數位憑證的二進位資料。 ASN.1可以用多種方式加以編碼，現今標準多為使用簡單的DER (Distinguished Encoding Rules)，可以產生二進位數位憑證，BASE64產生文字模式編碼格式。 數位憑證的編碼內容 數位憑證通常以Base64編碼，產生出如下所列的ASCII內容文件： 憑證管理中心發行憑證 規劃 PKI 環境之流程 PKI服務的企業需求評估 憑證政策(CP)與憑證作業準則(CPS)的制訂 決定 CA 之階層架構 制訂憑證之申請、核發、更新及撤銷流程 制訂CA 管理維護計畫 PKI 服務的企需求評估 PKI 應用的環境與範圍 企業內部、外部或企業間的合作環境 企業應用的安全性範圍 建構PKI 服務的成本利益分析 短、長期的成本 優點、缺點評估 平衡取捨 PKI 環境對企業運作的衝擊 憑證作業準則(Certification Practice Statement) CPS是一個包含「安全政策需要如何支援與實作」運作程序的詳細文件 CPS包括： 定義CA如何建構與運作 憑證如何發行、取得和收回 金鑰如何產生、註冊、檢定、維護、儲存 如何讓使用者能夠正常運用 CA 階層架構之考量 CA多層架構的類型 Windows PKI 主要元件 憑證服務 (Certificate Service) PKI的核心服務，允許企業扮演自己的CA，自行發行和管理憑證。 Active Directory 提供PKI的存放及發佈服務 PKI enabled 應用程式 Microsoft Internet Explorer、IIS、Microsoft Outlook、Microsoft Outlook Express、Microsoft Money…. Windows Server 2003憑證服務特性 提供二種架構類型：獨立CA與企業CA 支援金鑰還原(Key recovery) 支援自動註冊 (User auto-enrollment) 支援高安全性的加密技術：3DES