公钥基础设施.pptxVIP

公钥基础设施包括硬件、软件、人员、策略和规程的集合 01PKI的发展相关标准安全服务PKI系统组成信任模型目基本信息公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。 PKI的发展 PKI的发展美国的PKI建设过程经历了1996年之前的无序、1996—2002年间以FBCA为核心的体系搭建、2003之后策略管理和体系建设并举的三个阶段。1996年以前，很多政府部门自建PKI系统，例如美国邮政服务部门、社会安全部门、美国国防部、能源部、美国商标与知识产权局等。1996年美国提出联邦桥接计划，2001年正式公布，计划最终建立一个覆盖美国80个机构、19个部的PKI以保护电子政府的通信安全。 ?美国联邦PKI体系主要由联邦的桥认证机构(Federal Bridge CA，FBCA)、首级认证机构(Principal CA，PCA)和次级认证机构(Subordinate CA，SCA)等组成。联邦PKI的体系结构中没有采用根CA，而采用了首级CA。 ?这是因为在美国，信任域的结构是多种多样的，美国联邦PKI体系结构可以支持分级（树状）维构、状结构和信任列表等。联邦的桥CA是联邦PKI体系中能核心组织，是不同信任域之间能桥梁，主要负责为不同信任域能首级CA颁发交叉认证的证书，建立各个信任域的担保等级与联邦CA的担保等级之间的映射关系，更新交叉认证证书，发布交叉认证证书注销黑名单。但是联邦的桥CA不要求一个机构在与另一个机构发生信任关系时必须述循联邦PKI所确定的这种映射关系，而是可以采用它认为合适的映射关系确定彼此之间的信任。 ?欧洲在PKI基础建设方面也成绩显著。已颁布了93/1999EC法规，强调技术中立、隐私权保护、国内与国外相互认证以及无歧视等原则。为了解决各国PKI之间的协同工作问题，它采取了一系列措施：积极资助相关研究所、大学和企业研究PKI相关技术；资助PKI互操作性相关技术研究，并建立CA络及其顶级CA。 PKI系统组成 PKI系统组成一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。 ?证书机构CA证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。 ?注册机构RA注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证中心(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。 相关标准 相关标准PKI的标准可分为两个部分：一类用于定义PKI，而另一类用于PKI的应用，下面主要介绍定义PKI的标准。ASN．1基本编码规则的规范——X．209(1988)。ASN．1是描述在络上传输信息格式的标准方法。它有两部分：第一部分(ISO 8824/ITU X．208)描述信息内的数据、数据类型及序列格式-也就是数据的语法；第二部分(ISO8825/ITU X．209)描述如何将各部分数据组成消息，也就是数据的基本编码规则。这两个协议除了在PKI体系中被应用外，还被广泛应用于通信和计算机的其他领域。目录服务系统标准——X．500(1993)。X．500是一套已经被国际标准化组织(ISO)接受的目录服务系统标准，它定义了一个机构如何在全局范围内共享其名字和与之相关的对象。X．500是层次性的．其中的管理域(机构、分支、部门和工作组)可以提供这些域内的用户和资源信息。在PKI体系中，X．500被用来标识一个实体。该实体可以是机构、组织、个人或一台服务器。X.500被认为是实现目录服务的最佳途径，但X.500的实现需要较大的投资，并且比其他方式速度慢；但其优势是具有信息模型、多功能和开放性。 ?IDAP轻量级目录访问协议一IDAP V3。LDAP规范(RFCl48