PKICA數(shù)字證書(shū)、SSL信息安全密碼技術(shù)

1、PKI原理與應(yīng)用PKI目錄PKI的相關(guān)理論的相關(guān)理論P(yáng)KI 是一種利用公鑰加密技術(shù)為用戶提供安全通信的技術(shù)。PKI的組成的組成PKI由認(rèn)證機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)撤銷(xiāo)處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)組成CA及證書(shū)及證書(shū)公開(kāi)密鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方機(jī)構(gòu)充當(dāng)認(rèn)證中心來(lái)確認(rèn)公鑰擁有人的真正身份。PKI的應(yīng)用的應(yīng)用S/MIME SSL SETPKIApplications and other users1PKI的的相關(guān)理論相關(guān)理論P(yáng)KIPKI的相關(guān)理論P(yáng)ublic Key Infrastructure又稱“ 公鑰基礎(chǔ)設(shè)施 ”，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠

2、為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。簡(jiǎn)單來(lái)說(shuō)， PKI 是一種利用公鑰加密技術(shù)為用戶提供安全通信的技術(shù)。包括加密、數(shù)字簽名(公鑰數(shù)字簽名)、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等基礎(chǔ)技術(shù)。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKIPKI系統(tǒng)如何工作一個(gè)新用戶申請(qǐng)證書(shū)發(fā)送注冊(cè)信息給RARARA系統(tǒng)審核用戶身份RA將證書(shū)下載憑證發(fā)放給用戶審核通過(guò)的注冊(cè)請(qǐng)求發(fā)送給CACA為用戶簽發(fā)證書(shū)下載憑證CA提交證書(shū)下載申請(qǐng)請(qǐng)求證書(shū)下載到用戶本地證書(shū)同時(shí)要被發(fā)布出去Applications and other users12345678PKIPKI

3、系統(tǒng)如何工作Applications and other users應(yīng)用程序通過(guò)證書(shū)：獲取用戶的身份信息進(jìn)行證書(shū)廢止檢查檢查證書(shū)的有效期校驗(yàn)數(shù)字證書(shū)解密數(shù)據(jù) 使用數(shù)字證書(shū)的用戶之間通過(guò)CA（一個(gè)可信的第三方）來(lái)建立信任關(guān)系PKI加密Applications and other users加密使用密碼算法對(duì)數(shù)據(jù)做變換，使得只有密碼才能恢復(fù)數(shù)據(jù)原貌。對(duì)稱密碼算法 加密與解密的密鑰相同 加密方式： DES/3DES和AES等非對(duì)稱密碼算法加密使用的公鑰與私鑰不同 公鑰就是在信息團(tuán)體內(nèi)公開(kāi)私鑰是用戶自己保存加密方式： 算法有RSA/DSA等PKI對(duì)稱加密Applications and other u

4、sers發(fā)送方接收方明文對(duì)稱密鑰加密密文密文對(duì)稱密鑰解密明文傳送加密和解密用的密鑰相同PKI非對(duì)稱加密Applications and other users發(fā)送方接收方明文接收方的公鑰加密密文密文接收方的私鑰解密明文傳送接收方的密鑰對(duì)接收方的密鑰對(duì)公鑰私鑰多個(gè)用戶加密的信息只能由一個(gè)用戶解讀 PKI非對(duì)稱加密（Cont.）Applications and other users發(fā)送方接收方明文接收方的公鑰加密密文密文接收方的私鑰解密明文傳送接收方的密鑰對(duì)接收方的密鑰對(duì)公鑰私鑰一個(gè)用戶加密的信息，多個(gè)用戶解讀 PKIApplications and other users2PKI的組的組成成P

5、KIPKI的組成的組成Applications and other users認(rèn)證機(jī)構(gòu)注冊(cè)機(jī)構(gòu)證書(shū)庫(kù)密鑰備份及恢復(fù)系統(tǒng)證書(shū)撤銷(xiāo)處理系統(tǒng)PKI應(yīng)用接口系統(tǒng)PKI注冊(cè)機(jī)構(gòu)及認(rèn)證機(jī)構(gòu)Applications and other usersRA是CA的證書(shū)發(fā)放、管理的延伸。它負(fù)責(zé)證書(shū)申請(qǐng)者的信息錄入、審核以及證書(shū)發(fā)放等工作；同時(shí)，對(duì)發(fā)放的證書(shū)完成相應(yīng)的管理功能。RA系統(tǒng)是整個(gè)CA中心得以正常運(yùn)營(yíng)不可缺少的一部分。注冊(cè)機(jī)構(gòu)RA認(rèn)證中心CACA負(fù)責(zé)管理PKI結(jié)構(gòu)下所有用戶的證書(shū)，把用戶的公鑰和用戶的其他信息捆綁在一起 在網(wǎng)上驗(yàn)證用戶的身份，CA還要負(fù)責(zé)用戶證書(shū)的黑名單登記和黑名單發(fā)布。PKIPKI的信任模

6、型根CACA1CA2CA3終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶PKIPKI的信任模型CA1CA2CA3終端用戶終端用戶終端用戶終端用戶PKIPKI的信任模型CA1CA2CA11終端用戶橋CACA12CA12CA12終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶PKI證書(shū)庫(kù)證書(shū)庫(kù)是一種網(wǎng)上公共信息庫(kù)，用于證書(shū)的發(fā)布和集中存放，用戶可以從此處獲得其他用戶的證書(shū)和公鑰。證書(shū)庫(kù)是CA所簽發(fā)的證書(shū)和CRL的集中存放地。系統(tǒng)必須確保證書(shū)庫(kù)的完整性，防止偽造、篡改證書(shū)和CRL。證書(shū)主體的身份信息主體的公鑰CA名稱其他附加信息CA簽名 簽字PKI密鑰備份及恢復(fù)系統(tǒng)Applications

7、 and other users初始化階段頒發(fā)階段(1)終端實(shí)體注冊(cè);(2)密鑰對(duì)產(chǎn)生;(3)證書(shū)創(chuàng)建;(4)證書(shū)分發(fā);(5)證書(shū)備份；若注冊(cè)時(shí)說(shuō)明該密鑰對(duì)用于數(shù)據(jù)加密，CA即對(duì)該用戶的密鑰和證書(shū)進(jìn)行備份；(1)證書(shū)檢索；證書(shū)檢索；(2)證書(shū)驗(yàn)證；證書(shū)驗(yàn)證；(3)密鑰恢復(fù)，不能正常解讀加密文件時(shí)，從密鑰恢復(fù)，不能正常解讀加密文件時(shí)，從CA中恢復(fù)中恢復(fù);(4)密鑰更新，當(dāng)一個(gè)合法的密鑰對(duì)將要過(guò)期密鑰更新，當(dāng)一個(gè)合法的密鑰對(duì)將要過(guò)期時(shí)，新的密鑰對(duì)產(chǎn)生并頒發(fā)。時(shí)，新的密鑰對(duì)產(chǎn)生并頒發(fā)。PKI證書(shū)撤銷(xiāo)處理系統(tǒng)Applications and other users證書(shū)撤銷(xiāo)證書(shū)注銷(xiāo)列表(Certific

8、ate Revocation List)存儲(chǔ)在目錄服務(wù)器上，用于記錄尚未過(guò)期但已聲明作廢的用戶證書(shū)序列號(hào)，供證書(shū)使用者在認(rèn)證對(duì)方證書(shū)查詢使用。證書(shū)撤銷(xiāo)原因密鑰泄漏和證書(shū)所有者狀態(tài)改變。PKI必須提供一種允許用戶檢查證書(shū)的撤銷(xiāo)狀態(tài)的機(jī)制，X.509允許以下三種情況：1、證書(shū)不可撤銷(xiāo)、證書(shū)不可撤銷(xiāo)2、頒發(fā)證書(shū)的機(jī)構(gòu)撤銷(xiāo)該證書(shū)、頒發(fā)證書(shū)的機(jī)構(gòu)撤銷(xiāo)該證書(shū)3、頒發(fā)證書(shū)的機(jī)構(gòu)授予其他機(jī)構(gòu)權(quán)限并由其他機(jī)構(gòu)撤銷(xiāo)該證書(shū)。、頒發(fā)證書(shū)的機(jī)構(gòu)授予其他機(jī)構(gòu)權(quán)限并由其他機(jī)構(gòu)撤銷(xiāo)該證書(shū)。PKIPKI應(yīng)用接口系統(tǒng)組成Applications and other users透明性PKI必須盡可能地向上層應(yīng)用屏蔽密碼實(shí)現(xiàn)服務(wù)的實(shí)

9、現(xiàn)細(xì)節(jié)，向用戶屏蔽負(fù)責(zé)的安全解決方案?？蓴U(kuò)展性滿足系統(tǒng)不斷發(fā)展的需要，證書(shū)庫(kù)和CRL有良好的可擴(kuò)展性。支持多種用戶提供文件傳送、文件存儲(chǔ)、電子郵件、電子表單、WEB應(yīng)用等的安全服務(wù)?；ゲ僮餍圆煌髽I(yè)、不同單位的PKI實(shí)現(xiàn)的可能是不同的，必須支持多環(huán)境、多操作系統(tǒng)的PKI的互操作性。PKIApplications and other users3CA及及證書(shū)證書(shū)PKICA證書(shū)Applications and other usersCertification Authority第三方認(rèn)證機(jī)構(gòu)。功能有頒發(fā)證書(shū)、查詢證書(shū)、吊銷(xiāo)證書(shū)、歸檔證書(shū)。企業(yè)根CA、企業(yè)從屬CA還有獨(dú)立根CA、獨(dú)立從屬CA。PKI

10、CA系統(tǒng)的主要功能Applications and other users對(duì)證書(shū)進(jìn)行管理，包括頒發(fā)、廢除、更新、驗(yàn)證證書(shū)和管理密鑰。 頒發(fā)證書(shū) 密鑰管理 證書(shū)驗(yàn)證 廢除證書(shū) 證書(shū)更新PKI證書(shū)Applications and other users加密信息的發(fā)送者需要認(rèn)定公鑰確實(shí)是接收者的，如果他用第三者的公鑰去加密，他希望的接收者無(wú)法解密該信息，而擁有對(duì)應(yīng)私鑰的第三者卻可以做到。公開(kāi)密鑰系統(tǒng)需要一個(gè)值得信賴而且獨(dú)立的第三方機(jī)構(gòu)充當(dāng)認(rèn)證中心來(lái)確認(rèn)公鑰擁有人的真正身份。PKICA系統(tǒng)的主要功能Applications and other users 過(guò)期 更新安裝證書(shū)證書(shū)使用廢止申請(qǐng)簽發(fā)證書(shū)公鑰

11、/私鑰生成證書(shū)撤銷(xiāo)審核證書(shū)申請(qǐng)證書(shū)證書(shū)的生命周期PKI證書(shū)的應(yīng)用場(chǎng)景Applications and other users用途安全電子郵件軟件代碼簽名安全網(wǎng)絡(luò)通信安全網(wǎng)站智能卡登錄IPSec 客戶端驗(yàn)證文件加密系統(tǒng)描述確保電子郵件消息的完整性、原始性和機(jī)密性使用數(shù)字簽名，確保分布式軟件的完整性 為 Web 服務(wù)器和客戶端之間的通信提供身份驗(yàn)證和加密 驗(yàn)證對(duì)安全網(wǎng)站的訪問(wèn)驗(yàn)證使用智能卡登錄的用戶為兩臺(tái)使用 IPSec 的主機(jī)之間的通信提供身份驗(yàn)證 保護(hù) EFS 文件加密密鑰PKI證書(shū)申請(qǐng)過(guò)程（cont.）Applications and other users CA 接收一個(gè)認(rèn)證請(qǐng)求 驗(yàn)證信息

12、 使用私鑰把數(shù)字簽名發(fā)送給申請(qǐng)者 頒發(fā)數(shù)字簽名作為安全證書(shū)來(lái)使用PKIApplications and other users4PKI的應(yīng)的應(yīng)用用PKI以PKI為基礎(chǔ)的安全應(yīng)用基于S/MIME的安全電子郵件基于SSL（安全套接字層）的網(wǎng)絡(luò)安全服務(wù)基于SET的電子交易系統(tǒng)用于認(rèn)證的智能卡軟件的代碼簽名認(rèn)證虛擬專用網(wǎng)的安全認(rèn)證PKISSL概述Applications and other users1. SSL（Secure Sockets Layer）:安全套接字協(xié)議層安全套接字協(xié)議層 2. 功能：功能：身份驗(yàn)證身份驗(yàn)證 確保用戶的信息是傳送到正確的網(wǎng)站，讓網(wǎng)站來(lái)確定用戶身份。加密加密 將用戶與網(wǎng)

13、站之間所傳送的信息加密。保證信息完整保證信息完整 讓網(wǎng)站與用戶雙方，確認(rèn)所收到的信息是對(duì)方發(fā)送過(guò)來(lái)的，在其傳送過(guò)程中沒(méi)有被攔截與篡改過(guò)。3. SSL的工作方式：的工作方式：https:/網(wǎng)站名稱或網(wǎng)站名稱或IP地址地址PKISSL的工作原理Applications and other users客戶端客戶端IIS服務(wù)器https:/傳送網(wǎng)站的證書(shū)（內(nèi)含公鑰）雙方協(xié)商安全等級(jí)由客戶端建立工作階段密鑰，然后利用網(wǎng)站的公鑰將其加密后傳給網(wǎng)站網(wǎng)站利用其私鑰將會(huì)話密鑰解密雙方開(kāi)始利用會(huì)話密鑰將所要傳送的數(shù)據(jù)加、解密PKISSL實(shí)例Applications and other users建行網(wǎng)銀盾證書(shū)安裝證書(shū)安裝過(guò)程PKISSL實(shí)例Applications and other usersPKISSL實(shí)例Applications and other users證書(shū)信息PKISSL實(shí)例Applications and other usersPKISSL實(shí)例Applications and other usersPKISSL實(shí)例Applications and other usersPKISSL實(shí)例Applications and other usersPKISSL實(shí)例Applications and other usersPKISSL實(shí)例Applications