公鑰基礎(chǔ)設(shè)施PKI案例

1、會(huì)計(jì)學(xué)1公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI案例案例第1頁(yè)/共57頁(yè)了解公鑰基礎(chǔ)設(shè)施和密鑰管理的基本概念； 了解數(shù)字證書的概念、功能和分類； 了解數(shù)字證書（X509證書）的內(nèi)容和格式； 掌握數(shù)字證書中的密鑰管理功能； 理解數(shù)字證書的注冊(cè)生成、頒發(fā)、驗(yàn)證、使用和存放的流程； 理解公鑰基礎(chǔ)設(shè)施的基本框架； 了解公鑰基礎(chǔ)設(shè)施的國(guó)內(nèi)外發(fā)展?fàn)顩r。知識(shí)目標(biāo)知識(shí)目標(biāo)第2頁(yè)/共57頁(yè)初步掌握數(shù)字證書的注冊(cè)生成、頒發(fā)、驗(yàn)證、使用和存放的流程。技能目標(biāo)技能目標(biāo)第3頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述一、一、 公鑰基礎(chǔ)設(shè)施和密鑰管理公鑰基礎(chǔ)設(shè)施和密鑰管理公鑰基礎(chǔ)設(shè)施（public key infra

2、structure，PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它可以為各種網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。密鑰管理，是一門綜合性的技術(shù)，涉及密鑰的產(chǎn)生、檢驗(yàn)、分配、傳遞、保管、使用、銷毀的全過(guò)程，還與密鑰的行政管理制度以及人員的素質(zhì)密切相關(guān)。第4頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述密鑰管理體制主要有3種：一是適用于封閉網(wǎng)技術(shù)，以傳統(tǒng)的密鑰管理中心為代表的密鑰管理中心（KMI）機(jī)制；二是適用于開放網(wǎng)的PKI機(jī)制；三是適用于規(guī)模化專用網(wǎng)的SPK/SDKSPK第5頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述二、二、 PK

3、I的基本概念和所要處理的問(wèn)題的基本概念和所要處理的問(wèn)題PKI是一套利用非對(duì)稱密碼（公鑰密碼）技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，它規(guī)定了該安全基礎(chǔ)平臺(tái)應(yīng)遵循的標(biāo)準(zhǔn)。第6頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對(duì)稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。因此，用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行電子商務(wù)和電子政務(wù)應(yīng)用。第7頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI必須處理以下幾個(gè)問(wèn)題：密鑰的安全生成密鑰的安全歸檔和恢復(fù)信任關(guān)系的建立和管理簽名和時(shí)

4、間戳的產(chǎn)生證書及相關(guān)信息的發(fā)布證書的頒發(fā)、更新和終止初始身份的確認(rèn)證書的有效性檢查第8頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI有以下幾個(gè)基本的組成部分。公鑰證書證書管理機(jī)構(gòu)署名用戶證書存檔注冊(cè)機(jī)構(gòu)策略管理機(jī)構(gòu)證書吊銷列表認(rèn)證機(jī)構(gòu)三、三、 PKI的組成的組成終端用戶依賴方第9頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述四、四、 PKI的功能的功能為了達(dá)到處理以上問(wèn)題的目的，可以確定PKI系統(tǒng)具有以下服務(wù)功能。存儲(chǔ)、恢復(fù)證書和黑名單發(fā)布簽發(fā)證書注銷證書密鑰生命周期管理基于政策的證書路徑驗(yàn)證用戶登記第10頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述

5、五、五、 PKI模式的主要流程模式的主要流程PKI模式的主要流程如圖6-1所示。第11頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書一、一、 數(shù)字證書概述數(shù)字證書概述（一）（一） 數(shù)字證書簡(jiǎn)介數(shù)字證書簡(jiǎn)介數(shù)字證書又稱公鑰證書，是由可信賴的權(quán)威機(jī)構(gòu)（CA）簽發(fā)的、標(biāo)志身份信息的一系列數(shù)據(jù)。它是用來(lái)在電子商務(wù)活動(dòng)中證實(shí)申請(qǐng)者的身份的唯一電子文件。數(shù)字證書采用公鑰密碼體制，利用一對(duì)匹配的密鑰對(duì)（公鑰和私鑰）來(lái)進(jìn)行加密和解密。第12頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書第13頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書（二）（二） 數(shù)字證書的功能數(shù)字證書的功能數(shù)字簽名身份認(rèn)證文件加密第

6、14頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書（三）（三） 數(shù)字證書的分類數(shù)字證書的分類按申請(qǐng)者的不同，數(shù)字證書可分為以下幾種。安全郵件數(shù)字證書企業(yè)數(shù)字證書服務(wù)器數(shù)字證書代碼簽名證書Web站點(diǎn)數(shù)字證書個(gè)人數(shù)字證書第15頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書二、二、 數(shù)字證書的內(nèi)容和格式數(shù)字證書的內(nèi)容和格式X.509證書包括以下內(nèi)容6. 主體名稱7. 主體的公鑰信息8. 頒發(fā)者唯一標(biāo)識(shí)符9. 主體唯一標(biāo)識(shí)符10. 擴(kuò)展域1. 版本2. 序列號(hào)3. 證書中的簽名算法4. 頒發(fā)者的名稱5. 證書的有效期第16頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書第17頁(yè)/共57頁(yè)第二節(jié)第二

7、節(jié) PKI數(shù)字證書數(shù)字證書第18頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書三、三、 數(shù)字證書的管理數(shù)字證書的管理（一）（一） 密鑰管理密鑰管理數(shù)字證書中的密鑰管理功能包括如下內(nèi)容：提供密鑰生成和分發(fā)服務(wù)更新管理實(shí)施密鑰撤銷其他密鑰的生成和管理以及密碼運(yùn)算功能提供密鑰托管和密鑰恢復(fù)服務(wù)確定客戶密鑰的生存周期第19頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書（二）（二） 數(shù)字證書的管理方法數(shù)字證書的管理方法證書的驗(yàn)證證書的頒發(fā)證書的使用證書的存放證書的注冊(cè)和生成12345第20頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書1.證書的注冊(cè)和生成數(shù)字證書的生成過(guò)程通常采用兩種模式：集中生成

8、模式分布式生成模式第21頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書2. 證書的頒發(fā)在證書的分布式生成模型中，數(shù)字證書頒發(fā)過(guò)程如下：用戶利用下載的客戶端軟件系統(tǒng)產(chǎn)生了自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給CA。CA在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)。然后，CA將發(fā)送給用戶一個(gè)數(shù)字證書，該證書內(nèi)附有用戶和他的密鑰等信息，同時(shí)還附有對(duì)CA公共密鑰加以確認(rèn)的數(shù)字證書。當(dāng)用戶想證明其公鑰的合法性時(shí)，就可以提供這一數(shù)字證書。第22頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書3. 證書的驗(yàn)證驗(yàn)證時(shí)，如果通信雙方使用相同的CA，事情就很簡(jiǎn)單，甲只需驗(yàn)證乙證書

9、上CA的簽名即可；如果通信雙方使用不同的CA，問(wèn)題就復(fù)雜了，甲必須從CA的樹型結(jié)構(gòu)底部開始，從底層CA往上層CA查詢，一直追蹤到同一個(gè)CA為止，找出共同信任的CA。第23頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書4. 證書的使用持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實(shí)性、完整性和不可否認(rèn)性，需要對(duì)要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，其傳送過(guò)程如下：第24頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書甲準(zhǔn)備好要傳送的數(shù)字信息，并且對(duì)數(shù)字信息進(jìn)行哈希運(yùn)算，得到一個(gè)信息摘要；然后用自己的私鑰對(duì)信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上；這樣隨機(jī)產(chǎn)生一個(gè)加密密鑰，并用

10、此密鑰對(duì)要發(fā)送的信息進(jìn)行加密；最后，甲用乙的公鑰對(duì)隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的密鑰同密文一起傳給乙。第25頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書乙收到甲傳送過(guò)來(lái)的密文和使用過(guò)的密鑰，先用自己的私鑰對(duì)加密的密鑰進(jìn)行解密，得到會(huì)話密鑰；乙用密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，并將密鑰拋棄。然后，乙用甲的公鑰對(duì)甲的數(shù)字簽名進(jìn)行解密，得到信息摘要；乙用相同的哈希算法對(duì)收到的明文再進(jìn)行一次哈希運(yùn)算，得到一個(gè)新的信息摘要。最后，乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說(shuō)明收到的信息沒有被修改過(guò)。第26頁(yè)/共57頁(yè)第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書5. 證書的

11、存放數(shù)字證書可以存放在計(jì)算機(jī)的硬盤、隨身軟盤、IC卡或CUP卡中。第27頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架在PKI的基本框架中，具體包括管理實(shí)體、端實(shí)體和證書庫(kù)三類實(shí)體。管理實(shí)體端實(shí)體證書庫(kù)第28頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架一、一、 管理實(shí)體管理實(shí)體管理實(shí)體包括CA和RA，同時(shí)管理實(shí)體是PKI的核心，是PKI服務(wù)的提供者。CA是PKI框架中唯一能夠發(fā)布和撤銷證書的實(shí)體，維護(hù)證書的生命周期；RA負(fù)責(zé)處理用戶請(qǐng)求，在驗(yàn)證了請(qǐng)求的有效性后，代替用戶向CA提交。第29頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架CA主要由以下3個(gè)部分組成：證書申請(qǐng)受理和審核機(jī)構(gòu)認(rèn)證

12、中心服務(wù)器注冊(cè)服務(wù)器第30頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架認(rèn)證中心的核心功能就是發(fā)放和管理數(shù)字證書，其具體描述如下：（1） 接收、驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)。（2） 確定是否接受最終用戶數(shù)字證書的申請(qǐng)。（3） 向申請(qǐng)者頒發(fā)或拒絕頒發(fā)數(shù)字證書。（4） 接收、處理最終用戶的數(shù)字證書更新請(qǐng)求。（5） 接收最終用戶數(shù)字證書的查詢、撤銷請(qǐng)求。（6） 產(chǎn)生和發(fā)布證書吊銷列表。（7） 數(shù)字證書的歸檔。（8） 密鑰歸檔。（9） 歷史數(shù)據(jù)歸檔。第31頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架二、二、 端實(shí)體端實(shí)體1. 證書持有者證書請(qǐng)求私鑰的簽名和解密證書撤銷請(qǐng)求向其他用戶傳送證書安裝存儲(chǔ)

13、證書密鑰更新請(qǐng)求生成密鑰對(duì)安裝和存儲(chǔ)私有密鑰第32頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架2. 證書信任方證書信任方可以實(shí)現(xiàn)的功能如下：核實(shí)證書接收證書檢查身份和數(shù)字簽名保密通信證書請(qǐng)求12345第33頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架三、三、 證書庫(kù)證書庫(kù)證書庫(kù)是一個(gè)分布式數(shù)據(jù)庫(kù)，采用數(shù)據(jù)庫(kù)鏡像技術(shù)，將CA所簽發(fā)的與本組織有關(guān)的證書和證書吊銷列表存放到本地，以減少向總目錄查詢的次數(shù)，提高證書的查詢效率。第34頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架第35頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況一、一、 美國(guó)的美國(guó)的PKI體系結(jié)構(gòu)與發(fā)展體系

14、結(jié)構(gòu)與發(fā)展第36頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況第37頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況二、二、 我國(guó)我國(guó)PKI的體系結(jié)構(gòu)的體系結(jié)構(gòu)我國(guó)的PKI體系由國(guó)家PKI協(xié)調(diào)管理委員會(huì)、國(guó)家電子政務(wù)PKI體系、國(guó)家公共PKI體系和國(guó)外PKI四部分組成，如圖6-6所示。第38頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況下面主要介紹國(guó)家電子政務(wù)PKI體系以及國(guó)家公共PKI體系。國(guó)家公共PKI體系國(guó)家電子政務(wù)PKI體系與國(guó)家公共PKI體系的聯(lián)系國(guó)家電子政務(wù)PKI體系第39頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展

15、狀況況1. 國(guó)家電子政務(wù)PKI體系第40頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況2. 國(guó)家公共PKI體系第41頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況3. 國(guó)家電子政務(wù)PKI體系與國(guó)家公共PKI體系的聯(lián)系第42頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況三、三、 我國(guó)我國(guó)PKI建設(shè)面臨的問(wèn)題和發(fā)展前景建設(shè)面臨的問(wèn)題和發(fā)展前景我國(guó)的PKI建設(shè)主要存在兩個(gè)方面的問(wèn)題：技術(shù)難題和管理問(wèn)題。而這兩方面的問(wèn)題又并非獨(dú)立存在。究其原因，一方面是我國(guó)的CA技術(shù)并不成熟，雖然使用X-509標(biāo)準(zhǔn)，但是在傳輸、認(rèn)證的方面仍有很多細(xì)節(jié)需要統(tǒng)一；另一

16、方面是我國(guó)在CA管理的方面經(jīng)驗(yàn)不足，導(dǎo)致出現(xiàn)重復(fù)和交叉，造成資源的浪費(fèi)和交易過(guò)程的混亂。第43頁(yè)/共57頁(yè)第四節(jié)第四節(jié) PKI的國(guó)內(nèi)外發(fā)展?fàn)畹膰?guó)內(nèi)外發(fā)展?fàn)顩r況盡管當(dāng)前我國(guó)的PKI自身存在較多問(wèn)題，并同時(shí)面臨著非PKI認(rèn)證體系的挑戰(zhàn)（如IDShield 等，IDShield同樣是一種認(rèn)證系統(tǒng)），但是其發(fā)展前景被業(yè)界普遍看好。第44頁(yè)/共57頁(yè)本章小結(jié)本章小結(jié)本章首先介紹了公鑰基礎(chǔ)設(shè)施的基本概念、組成和功能。PKI中最重要的概念是數(shù)字證書。它是由可信賴的權(quán)威機(jī)構(gòu)（CA）簽發(fā)的，標(biāo)識(shí)身份信息的一系列數(shù)據(jù)。接著介紹了數(shù)字證書以及PKI的運(yùn)行模型。其中，數(shù)字證書有文件加密、數(shù)字簽名、身份認(rèn)證的功能。根據(jù)

17、申請(qǐng)者的不同，數(shù)字證書又可分為不同的種類。它遵循一定的格式，常見的為X509證書。在PKI的基本框架中，具體包括管理實(shí)體、端實(shí)體和證書庫(kù)三類實(shí)體。最后，本章還介紹了美國(guó)聯(lián)邦PKI的體系結(jié)構(gòu)和我國(guó)PKI的體系結(jié)構(gòu)與發(fā)展?fàn)顩r。第45頁(yè)/共57頁(yè)綜合訓(xùn)練綜合訓(xùn)練1. 簡(jiǎn)述公鑰基礎(chǔ)設(shè)施和密鑰管理的基本概念。2. 簡(jiǎn)述PKI的組成、功能和所能處理的問(wèn)題。3. 數(shù)字證書的功能有哪些？4. 數(shù)字證書（X509證書）的內(nèi)容和格式是什么？5. 簡(jiǎn)述PKI的運(yùn)行模型。6. PKI的實(shí)體對(duì)象有哪些？7. 典型的PKI應(yīng)用有哪些？第46頁(yè)/共57頁(yè)實(shí)訓(xùn)設(shè)計(jì)實(shí)訓(xùn)設(shè)計(jì)了解PKI證書的下載方法，掌握PKI證書的查看方法，進(jìn)

18、一步了解CA認(rèn)證。實(shí)訓(xùn)目標(biāo)實(shí)訓(xùn)目標(biāo)實(shí)訓(xùn)內(nèi)容實(shí)訓(xùn)內(nèi)容進(jìn)入特定的認(rèn)證機(jī)構(gòu)，完成PKI證書的下載和安裝。初步學(xué)習(xí)安裝初步學(xué)習(xí)安裝PKI證書證書第47頁(yè)/共57頁(yè)第48頁(yè)/共57頁(yè)人有了知識(shí)，就會(huì)具備各種分析能力，明辨是非的能力。所以我們要勤懇讀書，廣泛閱讀，古人說(shuō)“書中自有黃金屋?！蓖ㄟ^(guò)閱讀科技書籍，我們能豐富知識(shí)，培養(yǎng)邏輯思維能力；通過(guò)閱讀文學(xué)作品，我們能提高文學(xué)鑒賞水平，培養(yǎng)文學(xué)情趣；通過(guò)閱讀報(bào)刊，我們能增長(zhǎng)見識(shí)，擴(kuò)大自己的知識(shí)面。有許多書籍還能培養(yǎng)我們的道德情操，給我們巨大的精神力量，鼓舞我們前進(jìn)。第49頁(yè)/共57頁(yè)第50頁(yè)/共57頁(yè)初步掌握數(shù)字證書的注冊(cè)生成、頒發(fā)、驗(yàn)證、使用和存放的流程。技能目標(biāo)技能目標(biāo)第51頁(yè)/共57頁(yè)第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對(duì)稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。因此，用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行電子商務(wù)和電子政務(wù)應(yīng)用。第52頁(yè)/共57頁(yè)第三節(jié)第三節(jié) PKI基本框架基本框架CA主要由以下3個(gè)部分組成：證書申請(qǐng)受理和審核機(jī)構(gòu)認(rèn)證中心服務(wù)器注冊(cè)服務(wù)器第53頁(yè)/共57頁(yè)第三節(jié)第