公钥基础设施(PKI).pptVIP

公钥基础设施（PKI） 安达通，VPN通信专家 安达通，VPN通信专家 密码体系 密钥密码体系 （对称密钥密码体系） 加密解密用同一个密钥 如：DES 3DES 加密解密用不同的密钥 有一对密钥，如：RSA 公钥密码体系 （非对称密钥密码体系） 甲方发送公文给乙方 明文 MAC 数字签名 密文 数字签名 MAC1 明文 明文 明文 MAC 数字签名 明文 密文 数字签名 Hash运算 甲方用自己的签名私钥对 MAC加密形成数字签名 甲方用乙方的加密公钥 加密明文形成密文 发送 乙方用自己的解密密钥 解开密文 乙方用甲方的签名公钥 解开数字签名 乙方对收到的明文运行Hash 运算，得到结果MAC1 MAC1和MAC进行比较，如果相同 这说明公文在发送途中未被修改 公钥密码体系加密解密及数字签名流程图 证书管理服务 辅助服务 证书存档 证书生成 策略生成 /批准 证书废除/悬 挂 证书发布 注册 数据存档 公证鉴别 密钥托管 密钥恢复 目录服务 可靠投递 时间戳 破译密文 其它 密钥托管服务 加密 服务 共享密钥 生成 密钥对 生成 共享密钥 分发 数字签名 生成 数字签名 验证 PKI功能结构 大型开放网络环境下构筑我国PKI安全平台 ? 认证机关CA? 证书库? 密钥备份及恢复系统 证书作废?处理系统 PKI应用接口系统? PKI体系的基本结构 密钥管理中心KM KM/CA系统是建立在 PKI 核心基础上的安全数字证书服务系统，其核心部分KM中心与CA中心分别负责密钥管理及证书管理。根据国家相关规定分开独力管理的KM与CA双中心的建立与应用为Internet 网络上基于证书的电子商务应用奠定了坚实的安全基础，提供了完善的安全保障。 KM/CA系统特性 双证书/双密钥对的应用解决了密钥托管问题，保证了不可抵赖性； 通过LDAP目录服务对证书库、CRL库进行管理； 时间戳服务，提供时间证据，显示数据的存在性和有效性； 使用方便、灵活、易携带、支持USB接口的证书载体DiSA提供证书及密钥的存储、发放及管理，彻底实现零客户端的证书应用； KM/CA系统 KM/CA系统特性 KM/CA中心结构图 CA （Certificate Authority）是证书的签发机构,它是PKI的核心。?证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中,?必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。? 认证机关  ??1、验证并标识证书申请者的身份；? ???2、确保CA用于签名证书的非对称密钥的质量；? ???3、确保整个签证过程的安全性,确保签名私钥的安全性；? ???4、证书材料信息（包括公钥证书序列号、CA标识等）的管理；? ???5、确定并检查证书的有效期限；? ???6、确保证书主体标识的唯一性,防止重名；? ???7、发布并维护作废证书表；? ???8、对整个证书签发过程做日志记录；? ???9、向申请人发通知。? ???? ????其中最为重要的是CA自己的一对密钥的管理，它必须确保其高度的机密性,防止他方伪造证书。CA的公钥在网上公开,整个网络系统必须保证完整性。 C?A机构的职责  ? 证书库是证书的集中存放地,它与网上白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。? 构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。 证书库? ? 证书作废处理系统是PKI的一个重要组件。同日常生活中的各种证件一样,证书在CA为其签署的有效期以内也可能需要作废,例如,A公司的职员a?辞职离开公司,这就需要终止a证书的生命期。为实现这一点,PKI必须提供作废证书的一系列机制。作废证书有如下三种策略:? 1、作废一个或多个主体的证书；? 2、作废由某一对密钥签发的所有证书；? 3、作废由某CA签发的所有证书。? 作废证书一般通过将证书列入作废证书表（CRL）来完成。通常，系统中由CA负责创建并维护一张及时更新的CRL,而由用户在验证证书时负责检查该证书是否在C?RL之列。CRL一般存放在目录系统中。? 证书的作废处理必须在安全及可验证的