PKI基本知识汇总.pptVIP

证书签发机构CA CA（Certificate Authority）是PKI的核心 CA对任何一个主体的公钥进行公证 CA通过签发证书将主体与公钥进行捆绑 证书注册机构（RA） RA（Registration Authority)是CA的组成部本 RA是CA面向用户的窗口，它负责接收用户的证书申请，审核用户的身份 RA也负责向用户发放证书 证书库 证书库是证书的集中存放地，用户可以从此处获取其他用户的证书 构造证书库可以采用X.500、LDAP、Web服务器、FTP服务器、数据库等。 密钥备份及恢复系统 如果用户的解密私钥丢失，则密文无法解密，造成数据丢失 密钥的备份与恢复应由可信机构来完成 密钥的备份与恢复只能针对解密私钥，签名私钥不能备份。 证书废除处理系统 证书在有效期之内由于某些原因可能需要废除 用户身份的改变 对密钥的怀疑（丢失或泄露） 用户工作的变动 认为CA证书已泄露等 废除证书一般是把证书列入证书撤销列表中（CRL）来实现 PKI应用系统接口 PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务 一个完整的PKI必须提供良好的应用接口，使得各种应用能够以安全、一致、可信的方式与PKI进行交互，确保所建立起来的网络环境的可信性。 PKI的功能 签发证书 签发证书撤销列表 密钥备份与恢复功能 证书、密钥对的自动更新 加密、签名密钥的分割 密钥历史的管理 交叉认证 PKI的性能要求 透明性和易用性 可扩展性 互操作性 支持多应用 支持多平台 PKI的运营考虑 物理安全 系统安全 数据安全 流程安全 人员安全 PKI的一般结构 PKI的标准化 在密码和安全技术普遍用于实际通信的过程中，标准化是一项非常重要的工作 标准化可以实现规定的安全水平，具有兼容性，在保障安全的互连互通中起到关键作用 标准化有利于降低成本、训练操作人员和技术的推广使用 ITU-T X.509 PKIX文档（RFC） PKCS系列标准 ITU-T X.509 X.509 国际标准：idt ISO/IEC9594-8：1998 ITU-T Rcc.X.509:1997 X.509是PKI的雏形，PKI是在X.509标准的基础上发展起来的 已经达到标准化的最高水平，非常稳定 X.509标准有三个版本，版本2和版本3是对版本1的扩展，目前常用的是版本3 PKCS系列标准 小结 PKI是一个用公钥技术来提供和实施安全服务的具有普适性的安全基础设施 PKI的主要任务是管理密钥和证书 PKI由CA、RA、证书库、密钥备份与恢复系统、证书废除系统、应用接口组成 PKI标准化文档包括X.509、PKIX、PKCS等。 PKI关键技术 数字证书 证书认证中心 证书撤销机制 PKI信任模型 什么是证书 数字证书是数字证书颁发机构CA在检验确认申请用户的身份后向用户颁发的。 数字证书包括 用户基本数据信息 用户公钥 CA对证书的签名，保证证书的真实性 证书的作用 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。 数字证书的结构 数字证书的结构 数字证书的存储标准 X.509标准 最基本的证书存储标准格式 PKCS#7标准 用来传输签名数据的标准格式 PKCS#12标准 用来传输证书和私钥的标准格式 CA的作用 认证中心（CA）作为权威的、可信赖的、公众的第三方机构，专门负责为各种认证需求提供数字证书服务。 CA提供的服务 颁发证书 废除证书 更新证书 验证证书 管理密钥 CA的安全措施 保证CA系统的物理通道的安全 操作员权限控制 岗位职责明确 建立安全分散和牵制机制 身份认证 任何与CA中心的通迅都采用加密机制 定期对所有涉及安全的事物进行审查 颁发证书 用户到认证中心（CA）的业务受理点申请证书 认证中心审核用户的身份 认证中心为审核通过的用户签发证书 认证中心将证书灌制到证书介质中，发放给用户 证书介质 磁盘 用户将磁盘中的证书复制到自己的PC机上，当用户使用自己的PC机享受电子商务服务时，直接读入即可。 IC卡 只有正确输入IC卡口令后才能将卡中的私钥和证书读出来。 USB电子钥匙 使得用户的私钥不出卡，所有的运算均在硬件内完成，从根本上保证了用户的私钥的安全。 废除证书 证书的废除是指证书在到达它的使用有效期之前将不再使用 废除证书的原因 证书用户身份信息的变更 CA签名私钥的泄漏 证书对应私钥的泄漏 证书本身遭到损坏 其他原因 废除证书 用户到认证中心的业务受理点申请废除证书 认证中心审核用户的身份 认证中心定期签发证书黑名单（CRL） 认证中心将更新的CRL在线发布，供用户查询和下载 证书黑名单（CRL） CRL是由