pki技术详解资料.pptVIP

机关 企业 个人 服务器 Certificate Holder 证书持有者（Certificate Holders） Internet/intranet 证书应用系统 Web Server 证书应用系统 Certificate Holder Certificate Holder SecureEmail 安全Web访问 Internet/intranet 一个新用户申请证书 获取用户的身份信息 进行证书废止检查 检查证书的有效期 校验数字证书 解密数据 证书下载到用户本地 审核通过的注册请求发送给CA 证书同时要被发布出去 应用程序通过证书： RA系统审核用户身份 发送注册信息给RA CA为用户签发证书下载凭证... RA将证书下载凭证发放给用户 PKI系统如何工作 CA RA Applications and other users Directory 提交证书申请请求 证书/密钥的存储 存储信息 用户的证书 用户的私钥 CA根证书 存储设备 硬盘 软盘 IC卡 Others，如：USB Key 第6章 PKI涉及到的法律问题 数字签名的法律状况 PKI的法律框架 许可权，角色与责任，私有PKI(企业PKI) 密码管理政策与法规(不同的密码管理政策) PKI涉及到的法律问题 国内外PKI相关法律建设状况 联合国 《电子商务示范法》 《电子签章统一规则草案》 美国 欧盟 亚州 我国 国务院常务会议已于2004年3月24日提请审议《中华人民共和国电子签名法(草案)》的议案 第7章 PKI技术标准 技术标准 ITU-T X.509及相关标准 ITU-T X.509 Edition 1 ITU-T X.509 Edition 2 ITU-T X.509 Edition 3 ITU-T X.509 Edition 4 X.500 X.680-X.690 PKIX 证书和CRL 操作协议 管理协议 CP/CPS 时间戳和数据认证服务 第8章 PKI应用 PKI应用－Web安全 SSL：由Netscape公司研究制定，该协议向基于TCP／IP的客户及服务器应用程序提供了客户端和服务器的鉴别、信息机密性及完整性等安全措施。 SSL主要提供三方面的服务 认证用户和服务器 加密数据以隐藏被传送的数据 维护数据的完整性 PKI应用－SSL/TLS 由Netscape，IETF TLS工作组开发 SSL/TLS在源和目的实体间建立了一条安全通道(在传输层之上)，提供基于证书的认证、信息完整性和数据保密性 SSL体系结构：SSL协议栈 IP TCP SSL记录协议 SSL握手 协议 SSL修改 密文协议 SSL告警 协议 HTTP 协议 PKI应用－安全电子邮件 电子邮件传输过程 PGP S/MIME PKI应用－S/MIME PGP PGP, Phil Zimmerman, 1991 PGP的操作描述、加密密钥和密钥环、公开密钥管理 RFC2440， S/MIME RFC822 - MIME - S/MIME v2, v3 S/MIME的功能 S/MIME证书的处理 S/MIME增强的安全服务 Signed receipt，Security Label和Security mailing list. PKI应用－SET 1996年2月，IBM, Microsoft, Netscape, RSA, Terisa和VeriSign开发了SET v1(针对MasterCard和Visa安全标准的需要而出现的 SET是开放的、设计用来保护Internet上信用卡交易的加密和安全规范 从本质上，SET提供了三种服务： 在交易涉及的各方之间提供安全的通信信道 通过使用X.509 v3数字证书来提供信任。 保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用 交易过程：购买请求、支付认可和支付获取 PKI应用－VPN VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec等网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。 IPSec VPN、SSL VPN PKI应用－IPSec IP层的安全包括了3个功能域：鉴别、机密性和密钥管理 IPSec的重要概念 鉴别报头(AH), 封装安全有效负载(ESP), 传输模式, 隧道模式, 安全关连(SA), 安全关连组(SA Bundle), ISAKMP. IPSec，IPv6将使互联网(尤其是网络安全)发生巨大变化 PKI应用－IPSec IPSec安全服务 IPSec密钥管理 人工，自动，ISAKMP/Oakley AH ESP(只加密) ESP(加密并鉴别) 访问控制 * * * 无连接完整性 * * 数据源