公钥基础建设-PKI课件.pptxVIP

讲义 VII：公钥基础建设(PKI) 因特网安全：理论与实作 John K. Zao, PhD SMIEEE 国立交通大学 2011/06/01 Fall 2005 Internet Security - PKI 2 问题与公钥密码系统 在哪里怎么样可以找到ㄧ个单位的公钥？ 应该怎么做才能够确认一把公钥真的是属于某人？ 怎样使用一把给定的公钥算是合理的？(例如，签署支票，签署合约) 什么时候公钥会永久失效？ 你要怎么保护相对应的私钥？ 当私钥遗失的时候会发生什么事情？ 解法 使用公钥证书和公钥基础建设 (PKI) Fall 2005 Internet Security - PKI 3 公钥证书 证书是在公钥和一个主体(例如，个人，员工，教职员，公司，机构，授权管理机构)之间建立一个连结关系 经由一个授权管理机构 所签署过的证书，可以保证连结关系和主体身分是完整未经窜改的 证书中包含有一个序号，用来协助侦测未经授权或假造的证书 当证书将过期时会有特别的规定 指示在怎样的政策下，证书是受到承认的，以及政策它用的政策是什么 提供其它关于主体或证书的使用的有用信息 Fall 2005 Internet Security - PKI 4 X.509 公钥证书 Fall 2005 Internet Security - PKI 5 证书的功能 建立身分 用在识别主体身分 (认证身分) 也许是一个“匿名的”身分 指定授权管理机构 通常又称之为“证书归属” 详细说明哪个 “授权管理机构” 授权给这个相对应密钥的持有者 在许多的情况下，没有办法直接识别主体 保密机密信息 只有用来加密对称式钥匙，让主体可以读取机密的信息 为了让其它的团体能取得主体的公钥，证书必须具有能立即被访问的能力 Fall 2005 Internet Security - PKI 6 公钥基础建设 (PKI) 用公钥和所定义的信赖关系，让散布的应用能够用秘密的方式运作 主要构成组件 凭证授权管理 信赖关系 发布机制 管理协议 Fall 2005 Internet Security - PKI 7 证书授权管理机构 (CAs) 传统授权管理机构来源的概念 (例如，经理，教职员，官员) 负责产生凭证和更新过期的凭证 设定凭证产生与使用的政策 撤销凭证 建立用来产生、更新、和撤销凭证的运作政策和程序 Fall 2005 Internet Security - PKI 8 谁能够提供CA的服务？ 政府机关 邮局 雇主 医院，HMOs 财务机构 零售商 出版商，娱乐服务提供者 因特网服务提供者 Fall 2005 Internet Security - PKI 9 信赖关系 其设计是让 CAs 彼此相互授权 让经过特定 CA 验证的因特网也能够验证由其它的 CAs 所产生的证书 让 CAs 能够产生证书，以提供给终端因特网或其它的 CAs 使用 基本信赖关系的设计是阶层架构式的 在阶层架构中的“根” CA 是全部的团体的信赖基础 验证一个凭证意味着要创造一条回到根 CA 的路径 简化管理关系 信赖关系的管理取决于一个组织的运作需求 Fall 2005 Internet Security - PKI 10 信赖阶层架构 Fall 2005 Internet Security - PKI 11 典型的CA系统模式 因特网 注册 授权管理机构 加密 模块 证书 授权管理机构 局端 防火墙 Fall 2005 Internet Security - PKI 12 在线和离线CA 架构 网页 服务器 Fall 2005 Internet Security - PKI 13 证书管理 证书注册 证书更新 证书撤销 证书散布 证书归档 程序审核 Fall 2005 Internet Security - PKI 14 潜在的CA攻击 被动的/主动的在线窃听 使用者-RA 路径 RA-CA 路径 CA/RA 员工泄密 计算机系统攻击 操作系统入侵 防火墙与局端入侵 CA 软件/ 数据库窜改 加密模块攻击 简单的实体破坏 模块窃取/置换 包围攻击(暴风雪，温度，时间点分析，错误差异分析，…) Fall 2005 Internet Security - PKI 15 潜在的CA系统攻击点 因特网 注册 授权管理机构 加密 模块 凭证 授权管理机构 局端 防火墙 Fall 2005 Internet Security - PKI 16 CA 安全需求 CA 私钥的保护 加密可以预防大范围的攻击 提供 CA 各式各样状况的支持 CA 金钥回复的支持 凭证发布要求的验证 使用者/组织身分 验证凭证的语法以预防特定的 CA 或 RA 规则 (基本凭证域和延伸凭证域) 验证凭证撤销的要求* 定时发布资料撤销