第3章 PKIPMI技术及应用.pptVIP

第3章 PKI/PMI技术及应用 3.1 PKI概述 3.2 认证机构 3.3 证书及管理 3.4 PMI技术 3.1 PKI概述 PKI 的概念 PKI的组成 PKI的概念 PKI（公钥基础设施）是在公开密钥的理论和技术基础上发展起来的安全技术，它是一个为用户提供数据加密、数字签名等安全应用中所需要的密钥和证书的综合基础平台。 通过PKI提供的平台，用户可以实现如身份鉴别（认证）、数据保密性、数据完整性、不可否认性及时间戳服务等安全服务。 PKI 的技术基础： 一是加密机制，确保信息的机密性； 二是公开密钥体制，确保信息的不可抵赖性及信息发布者的身份证明。 PKI机制的主要思想是通过含有用户身份及公钥信息的文件（称为数字证书）对某些行为进行授权，从而解决网络环境中的信任问题，确定网络环境中行为主体（包括个人和组织）身份的唯一性、真实性和合法性，建立一个安全可信的应用环境。 PKI的组成 一个典型的PKI组成如图3-1所示，其中包括PKI策略、软硬件系统、认证机构CA、注册机构RA、证书发布系统和PKI应用等。 1． PKI安全策略，包括： CA的创建和运作方式。 证书的申请、发行、接收和废除方式。 密钥的产生、申请、存储和使用方式。 2. 认证机构（CA） 认证机构（Certificate Authority，CA）也称为“认证中心”，它是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和废除证书等。 3． 注册机构（RA） 注册机构（Registered Authority，RA）提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。RA主要完成收集用户信息和确认用户身份的功能。 4．证书发布系统 证书发布系统负责证书的发放。目前一般要求证书发布系统可以Web方式与Internet用户交互，用于处理在线证书业务，方便用户对证书进行申请、下载、查询、注销、恢复等操作。 5． PKI应用 PKI的应用非常广泛，包括在Web服务器和浏览器之间的通信、电子邮件、电子数据交换（EDI）、在Internet上的信用卡交易和虚拟私有网（VPN）等。同时，随着以Internet为主的计算机网络的发展，新的PKI的应用也在不断出现和发展。 3.2 认证机构（CA） PKI系统的关键是如何实现对密钥的安全管理。公开密钥机制涉及公钥和私钥，私钥由用户自己保存，而公钥在一定范围内是公开的，需要通过网络来传输。所以，公开密钥体制的密钥管理主要是对公钥的管理，目前较好的解决方法是采用大家共同信任的认证机构（CA）。 CA是一个具有权威性、可信赖性和公正的第三方信任机构，它主要负责参与网上安全活动的实体所需的数字证书的发放与管理，并为持有数字证书的实体提供一个可信的公证。 CA的主要职能包括： 制订并发布本地CA策略。 产生、发布和管理下属成员证书。 对下属各成员进行身份认证和鉴别。 接收和认证对它所签发的证书的撤销申请。 产生和发布证书废除列表（CRL）。 保存证书信息、CRL信息、审计信息和它所制订的策略等。 3.3 证书及管理 PKI采用数字证书管理公钥，通过第三方的可信任机构CA把用户的公钥和用户的其他标识信息捆绑在一起，在Internet或Intranet上验证用户的身份。 3.3.1证书的概念 数字证书也称为数字标识（Digital Certificate，或Digital ID），它是一个用来标识和证明证书持有者身份的数字信息文件。 比较专业的数字证书定义是：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 3.3.2 数字证书的格式 目前有X.509、WTLS（WAP）和PGP等多种数字证书，但应用最为广泛的是X.509。 X.509证书的通用格式如图3-8所示，其功能描述见教材P64。 3.3.3 证书申请和发放 证书的申请一般有两种方式：在线申请和离线申请。 在线申请就是用户登录认证机构的相关网站下载申请表格，然后按要求填写内容。或通过浏览器、电子邮件等在线方式来申请证书，这种方式一般用于申请普通用户证书。例：“3.5 实验操作1 数字证书的应用” 离线方式一般通过人工的方式直接到认证机构证书受理点办理证书申请手续，通过审核后获取证书，这种方式一般用于比较重要的场合，如网上银行的在线支付证书等。 3.3.4 证书撤销 在证书的有效期内，由于私钥丢失或证书持有者解除了与某一组织或单位的关系时，该用户所使用的数字证书需要撤销。 证书的撤销操作由CA完成，当CA接收到用户撤销证书的申请时，立即执行证书撤销操作，同时通知用户证书的撤销情况。 对于已撤销的证书，CA一般可通过两种方式发布： 一种是利用周期性发布机