《信息安全導(dǎo)論》 課件 第5章 公鑰密碼基礎(chǔ)設(shè)施

第五章公鑰密碼基礎(chǔ)設(shè)施1PKI數(shù)字證書管理2PKI體系結(jié)構(gòu)1了解PKI的原理和體系結(jié)構(gòu)2理解PKE的信任模型主要內(nèi)容學(xué)習(xí)目標(biāo)3信任模型Certmgr.msc1.數(shù)字證書的生命周期44證書從產(chǎn)生到撤銷具有一定的生命周期2.注冊和頒發(fā)證書3.數(shù)字證書的使用驗證證書3.數(shù)字證書的使用8指CA需要臨時限制證書的使用，但又不需要撤銷證書。1）證書的掛起2）證書的撤銷CA簽發(fā)的證書捆綁了用戶的身份和公鑰，在生命周期里都是有效的。由于用戶身份的改變、對密鑰的懷疑（丟失或泄露）、用戶工作的變動、認為CA證書已泄露等。必須存在一種機制撤銷這種認可，將該證書作廢。4.證書的掛起與撤銷102）證書的撤銷證書吊銷列表(CertificateRevocationList，CRL)是結(jié)構(gòu)化數(shù)據(jù)文件。包含證書頒發(fā)機構(gòu)(CA)已經(jīng)吊銷的證書的序列號及其吊銷日期、吊銷列表失效時間和下一次更新時間，以及采用的簽名算法等。4.證書的掛起與撤銷112）證書的撤銷證書吊銷列表最短的有效期為一個小時，一般為1天，甚至一個月不等由各個證書頒發(fā)機構(gòu)在設(shè)置其證書頒發(fā)系統(tǒng)時設(shè)置4.證書的掛起與撤銷122）證書的撤銷針對CRL發(fā)布撤銷列表有時間間隔的問題，提出了證書狀態(tài)在線查詢協(xié)議（OnlineCertificateStatusProtocol）4.證書的掛起與撤銷哪些證書的序列號應(yīng)該出現(xiàn)在CRL上（）有效期內(nèi)的正常證書過期的證書尚未生效的證書私鑰泄露的、有效期內(nèi)的CA證書ABCD部分用戶丟失他們的私鑰，可能有如下的原因：（1）遺失加密私鑰的保護口令；（2）存放私鑰的媒體被損壞，如硬盤、軟盤或IC卡遭到破壞。通行的辦法是備份并能恢復(fù)私鑰。5.密鑰的備份與恢復(fù)在證書的生命周期中，每個用戶在享受PKI服務(wù)期間會使用很多不同的密鑰或證書。如果沒有密鑰的歷史檔案管理，用戶無法查詢或恢復(fù)以前的密鑰或證書加密信息，因此必須對密鑰歷史檔案進行管理。6.數(shù)字證書的檔案管理密鑰文檔管理1616證書從產(chǎn)生到撤銷具有一定的生命周期證書生命的周期張三李四張三和李四如何通過PKI進行身份的驗證？張三李四張三注冊授權(quán)中心RA①發(fā)起注冊請求李四張三注冊授權(quán)中心RA①發(fā)起注冊請求認證授權(quán)中心CA②轉(zhuǎn)發(fā)用戶請求李四張三注冊授權(quán)中心RA①發(fā)起注冊請求認證授權(quán)中心CA②轉(zhuǎn)發(fā)用戶請求數(shù)字證書庫③產(chǎn)生、存儲張三的數(shù)字證書李四張三注冊授權(quán)中心RA①發(fā)起注冊請求認證授權(quán)中心CA②轉(zhuǎn)發(fā)用戶請求數(shù)字證書庫③產(chǎn)生、存儲張三的數(shù)字證書李四④請求李四的數(shù)字證書張三注冊授權(quán)中心RA①發(fā)起注冊請求認證授權(quán)中心CA②轉(zhuǎn)發(fā)用戶請求數(shù)字證書庫③產(chǎn)生、存儲張三的數(shù)字證書李四④請求李四的數(shù)字證書⑤發(fā)送李四的數(shù)字證書⑥使用李四證書中的公鑰加密會話密鑰張三注冊授權(quán)中心RA①發(fā)起注冊請求認證授權(quán)中心CA②轉(zhuǎn)發(fā)用戶請求數(shù)字證書庫③產(chǎn)生、存儲張三的數(shù)字證書李四④請求李四的數(shù)字證書⑤發(fā)送李四的數(shù)字證書⑥使用李四證書中的公鑰加密會話密鑰⑦李四查看張三證書PKI的重要組成部分包括注冊授權(quán)中心RA（RegistrationAuthority）、認證授權(quán)中心CA（CertificateAuthority，也稱為證書頒發(fā)機構(gòu)）和數(shù)字證書庫。1）數(shù)字證書（也稱作公鑰證書）。是由權(quán)威的第三方認證授權(quán)中心CA頒發(fā)的，用于標(biāo)識用戶身份的文件。2）注冊授權(quán)中心RA是負責(zé)證書注冊任務(wù)的可信機構(gòu)（或服務(wù)器）。3）認證授權(quán)中心CA是PKI中存儲、管理、發(fā)布數(shù)字證書的可信機構(gòu)（或服務(wù)器）。4）數(shù)字證書庫是存儲數(shù)字證書的部分。26CA負責(zé)管理密鑰和數(shù)字證書的整個生命周期，屬于可信任的第三方，其作用類似頒發(fā)身份證的機構(gòu)。CA可以具有層次結(jié)構(gòu)，除直接管理一些具體的證書之外，還管理一些下級CA，同時又接受上級CA的管理，是PKI系統(tǒng)的最核心部件。1.認證中心CA主要功能包括：（1）頒發(fā)證書，用數(shù)字簽名綁定用戶或系統(tǒng)的識別號和公鑰。（2）提供目錄服務(wù)，可以查詢用戶證書相關(guān)信息。（3）產(chǎn)生和發(fā)布證書撤銷列表(CRL)，驗證證書狀態(tài)。（4）下級認證機構(gòu)證書及帳戶管理（5）數(shù)字證書歸檔（6）歷史數(shù)據(jù)歸檔健壯的數(shù)據(jù)

庫系統(tǒng)無縫的目錄接口CA硬件管理和運

行平臺安全的審計密鑰CA1.認證中心CA數(shù)字證書的頒發(fā)1）由權(quán)威的第三方認證授權(quán)中心CA頒發(fā)的，用于標(biāo)識用戶身份的文件。2）除了根證書，其他證書都要從上一級證明自己3）誰來證明根證書？

根證書自己證明自己，用戶選擇是否相信 CA需要足夠權(quán)威發(fā)布數(shù)字證書的權(quán)威機構(gòu)CA應(yīng)該具備什么條件？依法成立的合法組織具有與認證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員具有與提供認證阿服務(wù)相適應(yīng)的資金和經(jīng)營場所，具備為用戶提供認證服務(wù)和承擔(dān)鳳險、責(zé)任的能力具有符合國家變?nèi)珮?biāo)準的技技術(shù)、設(shè)備國家法律法規(guī)規(guī)定的其他條件發(fā)布數(shù)字證書的權(quán)威機構(gòu)CA應(yīng)該具備什么條件？注冊機構(gòu)RA是用戶（個人/團體）和認證中心CA之間的一個接口。接受用戶的注冊申請，獲取并認證用戶的身份，完成收集用戶信息和確認用戶身份，RA系統(tǒng)是整個CA中心得以正常運營不可缺少的一部分。RA通常提供下列功能：（1）接收和驗證新注冊用戶的注冊信息；（2）代表最終用戶生成密鑰；（3）接收和處理密鑰備份和恢復(fù)請求；（4）接收和處理證書撤銷請求。2.注冊機構(gòu)RAEVSSL，也稱EVSSL證書，英文全名為：ExtendedValidationSSLCertificate，就是全球領(lǐng)先的數(shù)字證書頒發(fā)機構(gòu)和主流的瀏覽器開發(fā)商共同制定的一個新的SSL證書嚴格身份驗證標(biāo)準。PKI提供的安全服務(wù)具體包括：1）可認證性。2）不可抵賴性。3）機密性。4）數(shù)據(jù)完整性。信任模型產(chǎn)生的目的就是為了對不同的CA和不同的環(huán)境之間的相互關(guān)系進行描述。目前主要有以下4種信任模型：1）層次模型（Hierarchical）。2）交叉模型（Bridge）。3）網(wǎng)狀模型（Mesh）。4）混合模型（Bybrid）。1.信任信任：X.509對信任這樣定義，如果一個實體假定另一個實體會嚴格并準確地像它期望的那樣行動，那么就稱它信任那個實體。信任域：指一個組織內(nèi)的實體在一組公共安全策略控制下，所信任的實體集合，即信任范圍。1.信任信任錨：PKI中信任的起點。根CAAliceBob1.信任信任關(guān)系：指一方給對方的公鑰或者雙方給互相的公鑰頒發(fā)證書時，兩者之間就建立了信任關(guān)系。根CAAliceBob1.信任信任路徑：在一個實體需要確定另一個實體身份時，它先確定信任錨，再由信任錨找出一條到達待確認實體的各個證書組成的路徑，也稱信任鏈。根CAAliceBob單CA信任模型

單CA信任模型是最基本的信任模型，也是目前許多組織或單位在Intranet中普遍使用的一種模型。2.信任模型層次信任模型

層次信任模型也稱為分級信任模型，它是一個以主、從CA關(guān)系建立的分級PKI結(jié)構(gòu)，具體結(jié)構(gòu)如圖所示。2.信任模型分布式信任模型分布式信任模型也稱為網(wǎng)狀信任模型，在這種模型中CA間存在著交叉認證。2.信任模型分布式信任模型2.信任模型橋CA信任模型橋CA信任模型也稱為中心輻射式信任模型，它被設(shè)計成用來克服層次信任模型和分布式信任模型的缺點，并連接不同的PKI系統(tǒng)。2.信任模型橋CA信任模型

2.信任模型Web信任模型Web信任模型構(gòu)建在Web瀏覽器的基礎(chǔ)上，瀏覽器廠商在瀏覽器中內(nèi)置了多個根CA，每個根CA相互間是平行的，瀏覽器用戶同時信任多個根CA并把這些根CA作為自己的信任錨。2.信任模型以用戶為中心的信任模型在以用戶為中心的信任模型中，每個用戶都直接決定信賴哪個證書和拒絕哪個證書。沒有可信的第三方作為CA，終端用戶就是自己的根CA。2.信任模型PKI的機制非常成熟，符合網(wǎng)絡(luò)服務(wù)和用戶的需求：1）PKI中的數(shù)字證書可以由用戶自主驗證，這種管理方式突破了過去安全驗證服務(wù)必須在線的限制，這也使得PKI的服務(wù)范圍不斷擴張，使得PKI成為服務(wù)廣大網(wǎng)絡(luò)用戶的基礎(chǔ)設(shè)施。2）PKI提供了證書的撤銷機制，有了這種意外情況下的補救措施，用戶不用擔(dān)心被竊后身份或角色被永遠作廢或被他人惡意盜用。3）PKI具有極強的互聯(lián)