PKICA數(shù)字證書、SSL信息安全密碼技術

1、PKI原理與應用PKI目錄PKI的相關理論的相關理論PKI 是一種利用公鑰加密技術為用戶提供安全通信的技術。PKI的組成的組成PKI由認證機構、注冊機構、證書庫、密鑰備份及恢復系統(tǒng)、證書撤銷處理系統(tǒng)、PKI應用接口系統(tǒng)組成CA及證書及證書公開密鑰系統(tǒng)需要一個值得信賴而且獨立的第三方機構充當認證中心來確認公鑰擁有人的真正身份。PKI的應用的應用S/MIME SSL SETPKIApplications and other users1PKI的的相關理論相關理論PKIPKI的相關理論Public Key Infrastructure又稱“ 公鑰基礎設施 ”，是一種遵循既定標準的密鑰管理平臺,它能夠

2、為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說， PKI 是一種利用公鑰加密技術為用戶提供安全通信的技術。包括加密、數(shù)字簽名(公鑰數(shù)字簽名)、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等基礎技術。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。PKIPKI系統(tǒng)如何工作一個新用戶申請證書發(fā)送注冊信息給RARARA系統(tǒng)審核用戶身份RA將證書下載憑證發(fā)放給用戶審核通過的注冊請求發(fā)送給CACA為用戶簽發(fā)證書下載憑證CA提交證書下載申請請求證書下載到用戶本地證書同時要被發(fā)布出去Applications and other users12345678PKIPKI

3、系統(tǒng)如何工作Applications and other users應用程序通過證書：獲取用戶的身份信息進行證書廢止檢查檢查證書的有效期校驗數(shù)字證書解密數(shù)據(jù) 使用數(shù)字證書的用戶之間通過CA（一個可信的第三方）來建立信任關系PKI加密Applications and other users加密使用密碼算法對數(shù)據(jù)做變換，使得只有密碼才能恢復數(shù)據(jù)原貌。對稱密碼算法 加密與解密的密鑰相同 加密方式： DES/3DES和AES等非對稱密碼算法加密使用的公鑰與私鑰不同 公鑰就是在信息團體內(nèi)公開私鑰是用戶自己保存加密方式： 算法有RSA/DSA等PKI對稱加密Applications and other u

4、sers發(fā)送方接收方明文對稱密鑰加密密文密文對稱密鑰解密明文傳送加密和解密用的密鑰相同PKI非對稱加密Applications and other users發(fā)送方接收方明文接收方的公鑰加密密文密文接收方的私鑰解密明文傳送接收方的密鑰對接收方的密鑰對公鑰私鑰多個用戶加密的信息只能由一個用戶解讀 PKI非對稱加密（Cont.）Applications and other users發(fā)送方接收方明文接收方的公鑰加密密文密文接收方的私鑰解密明文傳送接收方的密鑰對接收方的密鑰對公鑰私鑰一個用戶加密的信息，多個用戶解讀 PKIApplications and other users2PKI的組的組成成P

5、KIPKI的組成的組成Applications and other users認證機構注冊機構證書庫密鑰備份及恢復系統(tǒng)證書撤銷處理系統(tǒng)PKI應用接口系統(tǒng)PKI注冊機構及認證機構Applications and other usersRA是CA的證書發(fā)放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發(fā)放等工作；同時，對發(fā)放的證書完成相應的管理功能。RA系統(tǒng)是整個CA中心得以正常運營不可缺少的一部分。注冊機構RA認證中心CACA負責管理PKI結構下所有用戶的證書，把用戶的公鑰和用戶的其他信息捆綁在一起 在網(wǎng)上驗證用戶的身份，CA還要負責用戶證書的黑名單登記和黑名單發(fā)布。PKIPKI的信任模

6、型根CACA1CA2CA3終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶PKIPKI的信任模型CA1CA2CA3終端用戶終端用戶終端用戶終端用戶PKIPKI的信任模型CA1CA2CA11終端用戶橋CACA12CA12CA12終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶終端用戶PKI證書庫證書庫是一種網(wǎng)上公共信息庫，用于證書的發(fā)布和集中存放，用戶可以從此處獲得其他用戶的證書和公鑰。證書庫是CA所簽發(fā)的證書和CRL的集中存放地。系統(tǒng)必須確保證書庫的完整性，防止偽造、篡改證書和CRL。證書主體的身份信息主體的公鑰CA名稱其他附加信息CA簽名 簽字PKI密鑰備份及恢復系統(tǒng)Applications

7、 and other users初始化階段頒發(fā)階段(1)終端實體注冊;(2)密鑰對產(chǎn)生;(3)證書創(chuàng)建;(4)證書分發(fā);(5)證書備份；若注冊時說明該密鑰對用于數(shù)據(jù)加密，CA即對該用戶的密鑰和證書進行備份；(1)證書檢索；證書檢索；(2)證書驗證；證書驗證；(3)密鑰恢復，不能正常解讀加密文件時，從密鑰恢復，不能正常解讀加密文件時，從CA中恢復中恢復;(4)密鑰更新，當一個合法的密鑰對將要過期密鑰更新，當一個合法的密鑰對將要過期時，新的密鑰對產(chǎn)生并頒發(fā)。時，新的密鑰對產(chǎn)生并頒發(fā)。PKI證書撤銷處理系統(tǒng)Applications and other users證書撤銷證書注銷列表(Certific

8、ate Revocation List)存儲在目錄服務器上，用于記錄尚未過期但已聲明作廢的用戶證書序列號，供證書使用者在認證對方證書查詢使用。證書撤銷原因密鑰泄漏和證書所有者狀態(tài)改變。PKI必須提供一種允許用戶檢查證書的撤銷狀態(tài)的機制，X.509允許以下三種情況：1、證書不可撤銷、證書不可撤銷2、頒發(fā)證書的機構撤銷該證書、頒發(fā)證書的機構撤銷該證書3、頒發(fā)證書的機構授予其他機構權限并由其他機構撤銷該證書。、頒發(fā)證書的機構授予其他機構權限并由其他機構撤銷該證書。PKIPKI應用接口系統(tǒng)組成Applications and other users透明性PKI必須盡可能地向上層應用屏蔽密碼實現(xiàn)服務的實

9、現(xiàn)細節(jié)，向用戶屏蔽負責的安全解決方案?？蓴U展性滿足系統(tǒng)不斷發(fā)展的需要，證書庫和CRL有良好的可擴展性。支持多種用戶提供文件傳送、文件存儲、電子郵件、電子表單、WEB應用等的安全服務?；ゲ僮餍圆煌髽I(yè)、不同單位的PKI實現(xiàn)的可能是不同的，必須支持多環(huán)境、多操作系統(tǒng)的PKI的互操作性。PKIApplications and other users3CA及及證書證書PKICA證書Applications and other usersCertification Authority第三方認證機構。功能有頒發(fā)證書、查詢證書、吊銷證書、歸檔證書。企業(yè)根CA、企業(yè)從屬CA還有獨立根CA、獨立從屬CA。PKI

10、CA系統(tǒng)的主要功能Applications and other users對證書進行管理，包括頒發(fā)、廢除、更新、驗證證書和管理密鑰。 頒發(fā)證書 密鑰管理 證書驗證 廢除證書 證書更新PKI證書Applications and other users加密信息的發(fā)送者需要認定公鑰確實是接收者的，如果他用第三者的公鑰去加密，他希望的接收者無法解密該信息，而擁有對應私鑰的第三者卻可以做到。公開密鑰系統(tǒng)需要一個值得信賴而且獨立的第三方機構充當認證中心來確認公鑰擁有人的真正身份。PKICA系統(tǒng)的主要功能Applications and other users 過期 更新安裝證書證書使用廢止申請簽發(fā)證書公鑰

11、/私鑰生成證書撤銷審核證書申請證書證書的生命周期PKI證書的應用場景Applications and other users用途安全電子郵件軟件代碼簽名安全網(wǎng)絡通信安全網(wǎng)站智能卡登錄IPSec 客戶端驗證文件加密系統(tǒng)描述確保電子郵件消息的完整性、原始性和機密性使用數(shù)字簽名，確保分布式軟件的完整性 為 Web 服務器和客戶端之間的通信提供身份驗證和加密 驗證對安全網(wǎng)站的訪問驗證使用智能卡登錄的用戶為兩臺使用 IPSec 的主機之間的通信提供身份驗證 保護 EFS 文件加密密鑰PKI證書申請過程（cont.）Applications and other users CA 接收一個認證請求 驗證信息

12、 使用私鑰把數(shù)字簽名發(fā)送給申請者 頒發(fā)數(shù)字簽名作為安全證書來使用PKIApplications and other users4PKI的應的應用用PKI以PKI為基礎的安全應用基于S/MIME的安全電子郵件基于SSL（安全套接字層）的網(wǎng)絡安全服務基于SET的電子交易系統(tǒng)用于認證的智能卡軟件的代碼簽名認證虛擬專用網(wǎng)的安全認證PKISSL概述Applications and other users1. SSL（Secure Sockets Layer）:安全套接字協(xié)議層安全套接字協(xié)議層 2. 功能：功能：身份驗證身份驗證 確保用戶的信息是傳送到正確的網(wǎng)站，讓網(wǎng)站來確定用戶身份。加密加密 將用戶與網(wǎng)

13、站之間所傳送的信息加密。保證信息完整保證信息完整 讓網(wǎng)站與用戶雙方，確認所收到的信息是對方發(fā)送過來的，在其傳送過程中沒有被攔截與篡改過。3. SSL的工作方式：的工作方式：https:/網(wǎng)站名稱或網(wǎng)站名稱或IP地址地址PKISSL的工作原理Applications and other users客戶端客戶端IIS服務器https:/傳送網(wǎng)站的證書（內(nèi)含公鑰）雙方協(xié)商安全等級由客戶端建立工作階段密鑰，然后利用網(wǎng)站的公鑰將其加密后傳給網(wǎng)站網(wǎng)站利用其私鑰將會話密鑰解密雙方開始利用會話密鑰將所要傳送的數(shù)據(jù)加、解密PKISSL實例Applications and other users建行網(wǎng)銀盾證書安裝證書安裝過程PKISSL實例Applications and other usersPKISSL實例Applications and other users證書信息PKISSL實例Applications and other usersPKISSL實例Applications and other usersPKISSL實例Applications and other usersPKISSL實例Applications and other usersPKISSL實例Applications and other usersPKISSL實例Applications