f第七周 密钥管理与pki第6章.pptxVIP

本章要点：→密钥管理的基本内容→密钥托管协议→PKIX体系→数字证书→信任模型→PMI体系与属性证书密钥的组织结构一个密钥系统可能有若干种不同的组成部分，可以将各个部分划分为一级密钥、二级密钥、……、n级密钥，组成一个n层密钥系统。 密钥的组织结构多层密钥系统的基本思想——用密钥保护密钥密钥分类：工作密钥：最底层的密钥，直接对数据进行加密和解密；密钥加密密钥：最底层上所有的密钥，对下一层密钥进行加密；主密钥：最高层的密钥，是密钥系统的核心。 密钥的组织结构例如三层密钥系统将用于数据加密的密钥称三级密钥，也称工作密钥；保护三级密钥的密钥称二级密钥，也称密钥加密密钥；保护二级密钥的密钥称一级密钥，也称主密钥。 因此，二级密钥相对于三级密钥来说，是加密密钥；相对于一级密钥来说，又是工作密钥。6.1密钥的结构与分配密钥管理概述管理系统目的： 密钥难以被非法窃取---交换、加密等 窃取了也可能无用------一次性密钥 密钥分配与交换透明----代理、自动密钥管理内容： 密钥产生 密钥装入 密钥存储 密钥备份 密钥分配 密钥更新 密钥吊销 密钥销毁密钥托管 出发点是政府机构希望在需要时可通过密钥托管技术解密一些特定信息，此外用户的密钥若丢失或损坏时也可通过密钥托管技术恢复出自己的密钥。 实现手段通常是把加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可以得到解密密钥。1993年4月，美国政府为了满足其电信安全、公众安全和国家安全的要求，提出了托管加密标准(escrowed encryption standard,EES)。 密钥托管密码体制的组成部分 为什么需要PKI证书机构 CA（Certificate Authority）是颁发数字证书的机构。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。我了解用户A我可以为他们的真实身份担保我了解用户B我可以为他们的真实身份担保CA可以担保我的网上业务对方的真实身份CA中心CA可以担保我的网上业务对方的真实身份??用户A用户BPKI就在我们身边国防在线访问军事资源、通信保密、文件保密、秘密分级管理、各部门通信协调。电子商务（包括移动商务）电子支付，电子合同、数字签名电子政务电子公章、资源访问控制、文件保密登录授权VPN中国的PKI建设获证机构和发证数量，逐年增加至2005年底，15家CA，发证总量236万至2006年底，21家CA，累计发证546万至2007年底，26家CA，初步统计发证约740多万上海CA累计发证突破90万（2007年7月）CFCA累计发证突破100万（2006年7月）山东CA已发放证书40多万张（2006年1月）……中国的PKI建设应用领域网上支付2006年3月，支付宝公司推出国内支付领域首张数字证书电子病历截至2007年12月，广西医科大学第一附属医院36个临床病区采用电子病历，5万份电子病历使用电子签名2007年，广东中山市人民医院1300余名医护人员制作了证书网上交易平台2007年，广东省开通网上药品采购平台，发放6000多张证书WG4工作国家标准（X509V4/V3版）的转化工作和信息安全有关专用术语国内外PKI/PMI标准现状的分析PKI/PMI标准体系基于X.509 v3的国内证书X509C证书格式规范PKI组件最小互操作规范X509在线证书状态查询协议X509 PKI证书管理协议介质接口标准AA标准CP/CPS标准PKI安全支撑平台技术规范PKI应用支撑平台技术规范基于PKI的数据共享可信时间戳标准PKI系统安全保护等级评估准则/技术要求概念PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。两者的区别主要在于 PKI：Public Key Infrastructure，公开密钥基础设施。证明用户是谁，并将用户的身份信息保存在用户的公钥证书(一般就直接简称为“数字证书”或“证书”)中PMI：Privilege Managerment Infrastructure，授权管理基础设施。证明这个用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在属性证书（又称管理证书）中。 概念公钥证书 由可信实体（CA）签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性PKI必须处理的问题好密钥的安全生成初始身份的确认证书的颁发、更