03 公钥基础设施PKI与数字证书lecture.ppt

引例：

电子商务的安全问题如何解决？

自从有了电子商务，安全问题就像幽灵一样如影随形而来。目前各类网银被盗案件经常出现在各大网站和报纸上。

例如长沙的杨某使用交通银行的网银服务，其100万存款一夜之间不翼而飞，最后发现是一名只有16岁的中学生黑客侵入某银行的网络系统窃取的。而导致此事件的主要原因是，杨某从银行拿到一个未装数字证书的空白智能电子钥匙。更著名的案例则是美国花旗银行被黑客入侵，窃取了上千万美金，举世为之震惊。

上述种种，使得人们对电子商务的安全忧心忡忡。连财大气粗的花旗银行都不能确保自己网络系统的安全，更何况是普通的企业和个人？在电子商务安全还不能得到充分保障的情况下，怎么可以放心地把自己的银行账号放到网上？怎么知道网络那一端的交易对象不是一家骗子公司呢？

最后发现，这些案件使电子商务出现信任危机。主要原因是，用户对于身份认证技术的原理不明白，而银行对数字证书的发放管理和服务不规范、不到位，加之政策法规的未普及。

资料来源：新浪网./,2013.8.13,作者略有删改。3.1公钥基础设施概述

3.1.1PKI的基本概念

公钥基础设施（PKI）是利用公钥密码理论和技术建立的提供安全服务的基础设施，PKI的简单定义是指一系列基础服务，这些基础服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用。

PKI以公钥加密技术为基本技术手段来实现安全性。

PKI最初主要应用于INTERNET环境，由于其技术上的明显优势，PKI在电子商务和电子政务领域得到了广泛应用。3.1.2PKI的基本组成

一个完整的PKI应用系统至少应具有以下部分：认证中心CA（certificateauthority）、数字证书库（certificaterepoositiry，CR）、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分。其中，认证中心和数字证书库是PKI的核心。

1．认证中心CA

CA的主要职责包括：

（1）验证并标识证书申请者的身份。

（2）确保ＣＡ用于签名证书的非对称密钥的质量和安全性。

（3）管理证书信息资料。2．数字证书与证书库

数字证书是一个经ＣＡ数字签名的、包含证书申请者个人信息及其公开密钥的文件。数字证书的作用类似于现实生活中的身份证，由权威机构颁发。

3．密钥备份及恢复系统

密钥备份及恢复是密钥管理的主要内容，密钥的备份与恢复必须由可信的机构来完成，CA可以充当这一角色。

4．证书更新与证书作废处理系统

证书更新一般由ＰＫＩ系统自动完成，不需要用户干预。

证书作废处理系统是ＰＫＩ的一个必备的组件。

作废证书有如下三种策略：作废一个或多个主体的证书；作废由某一对密钥签发的所有证书；作废由某ＣＡ签发的所有证书。

5．证书应用管理系统

证书应用管理系统面向具体的应用，完成对某一确定证书的应用和管理任务

6．PKI应用系统接口

一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信度，同时降低管理维护成本，确保安全网络环境的完整性和易用性。3.1.3PKI的基本服务

1．认证性服务

2．完整性服务

（1）数字签名技术。

（2）报文检验码。

3．保密性服务

4．不可否认性服务3.1.4PKl的相关标准

从历史上看，PKI自身的标准大致可以分为两代。

第一代PKI标准主要包括国际电信联盟的ITU2TX.509、美国RSA公司的PKCS系列、IETF组织的X.509标准系列、无线应用协议论坛的WPKI标准等。

2001年，由Microsoft、Versign和WebMethods三家公司共同发布的XML密钥管理规范XKMS，被称为第二代PKI标准。它通过向PKI提供XML接口使用户从繁琐的配置中解脱出来，开创了一种新的信任服务。

值得一提的是，我国的GB/T20518-2006《信息安全技术公钥基础设施数字证书格式》、GB/T20519-2006《信息安全技术公钥基础设施特定权限管理中心技术规范》和GB/T20520-2006《信息安全技术公钥基础设施时间戳规范》三项信息安全国家标准，作为公钥基础设施的关键基础标准，已于2007年2月1日正式实施。3.1.4PKl的相关标准伴随着PKI技术的不断完善与发展、应用的日益普及，为了更好地为社会提供优质服务，水平参差不齐的PKI产品迫切需要解决互联互通问题，而且PKI产品自身的安全性也受到越来越多的生产厂商和用户的关注，这都要求专门的第三方制定相应的标准规范对其安全性能进行测评认定。因此，PKI标准化成为必然