《第7章pki系统架构.》由会员分享,可在线阅读,更多相关《第7章pki系统架构.(32页珍藏版)》请在金锄头文库上搜索。
1、第7章 PKI系统架构,信息安全服务,早期的信息安全是主要是通过物理和行政手段来实现的,或者是通过简单密码技术来保障。随着网络技术的发展,需要更加完善的系统来保护那些存储在计算机中文件和其他信息,包括网络中传输的数据信息。进入80年代,信息安全技术有了较大发展,计算机网络安全研究与发展只关注以下几种安全服务,这些服务包括了一个信息安全设施所需要的各种功能。,保密性Confidentiality: 确保在一个计算机系统中的信息和被传输的信息仅能被授权让读取的那方得到。 完整性Integrity: 确保仅是被授权的各方能够对计算机系统中有价值的内容和传输的信息进行权限范围之内的操作,这些操作包括修
2、改、改变状态、删除、创建、时延或重放。,可用性Availability: 即保证信息和信息系统随时为授权者提供服务,而不出现非授权者滥用却对授权者拒绝服务的情况。 不可否认性non-repudiation: 要求无论发送方还是接收方都不能抵赖所进行的传输。 鉴别Authentication: 就是确认实体是它所声明的,用于对人或实体的身份进行鉴别,为身份的真实性提供保证,一般可通过认证机构CA和证书来实现。,密码学与信息安全,信息的私密性(Privacy) 对称加密 信息的完整性(Integrity) 数字签名 信息的源发鉴别(Authentication) 数字签名 信息的防抵赖性(Non-
3、Reputation) 数字签名 时间戳,信息安全技术与PKI,不存在单一的机制能够提供上述列出的儿种服务,网络环境下的安全服务需要依靠密码技术、身份认证技术、防火墙、防病毒、灾难备份、安全审计、入侵检测等安全机制综合应用起来实现。 在应用层上对信息进行加密的算法或对消息来源进行鉴别的协议已有多年的研究。但在传统的基于对称密钥的加密技术中,密钥的分发的问题一直没有得到很好的解决。并对电子商务、安全电子邮件、电子政务等新的安全应用,传统技术基于共享密钥的鉴别协议对通信主体的身份认证也没有很好的解决。,针对上述问题,世界各国经过多年的研究,初步形成一套完整的Internet安全解决方案,即目前被广
4、泛采用的PKI技术。PKI技术采用证书管理公钥,通过第三方的可信任机构认证中心CA(Certificate Authority)把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起。通过Internet的CA机构,较好的解决了密钥分发和管理问题,并通过数字证书,对传输的数据进行加密和鉴别,保证了信息传输的机密性、真实性、完整性和不可否认性。 目前,PKI的安全认证体系得到了各界人士的普通关注。国外的一些大的网络安全公司也都推出了PKI的产品,如美国的IBM、加拿大的Entrust, SUN等,为用户之间的内部信息交互提供了安全保障。,什么是PKI,公钥基础设施(Pub
5、lic Key Infrastructure) PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。 它能够为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管理。,信任管理 从根本上讲,PKI是表示和管理信任关系的工具; 数字化、电子化社会的基础之一 在数字化社会中,实体间建立信任关系的关键是能彼此确定对方的身份;,PKI的性能要求,透明性和易用性 可扩展性 互操作性 多用性 支持多平台,PKI/CA发展历程,1976年,提出RSA算法 20世纪80年代,美国学者提出了PKI的概念 为了推进PKI在联邦政府范围内的应用,1996年就成立了联邦PKI指导委
6、员会 1996年,以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议,推出CA和证书概念 1999年,PKI论坛成立 2000年4月,美国国防部宣布要采用PKI安全倡议方案。 2001年6月13日,在亚洲和大洋洲推动PKI进程的国际组织宣告成立,该国际组织的名称为“亚洲PKI论坛”,其宗旨是在亚洲地区推动PKI标准化,为实现全球范围的电子商务奠定基础 ,PKI/CA发展历程,论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系,促进国际间PKI互操作体系的建设与发展。 论坛下设四个专项工作组,分别是技术兼容组、商务应用组、立法组和国际合
7、作组。(网址:www.asia-pkiforum.org),亚洲PKI论坛成立于2001年6月13日,包括日本、韩国、新加坡、中国、中国香港、中国台北和马来西亚。,PKI/CA发展历程,中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织 是国家授权与国外有关PKI机构和组织沟通的窗口; 中国PKI论坛现任亚洲PKI论坛副主席; 中国PKI论坛目前挂靠在国家信息中心; 其网址为,PKI/CA发展历程,1996-1998年,国内开始电子商务认证方面的研究,尤其中国电信派专家专门去美国学习SET认证安全体系 1997年1月,科技部下达任务,中国国际电子商务中心(外经贸委)开始对认证系统进行研究
8、开发 1998年11月,湖南CA中心开始试运行 1998年10月,国富安认证中心开始试运行 1999年第一季,上海CA中心开始试运行 1999年8月,湖南CA通过国密办鉴定,测评中心认证 1999年10月7日,商用密码管理条例颁布 1999年-2001年,中国电子口岸执法系统完成 1999年8月-2000年,CFCA开始招标并完成,PKI实现的安全功能,1.1你是谁?,Rick,Mary,Internet/Intranet,应用系统,1.2怎么确认你就是你?,认证,1.1我是Rick.,1.2 口令是1234.,授权,保密性,完整性,防抵赖,2. 我能干什么?,2.你能干这个,不能干那个.,3
9、.如何让别人无法偷听?,3. 我有密钥?,5.我偷了机密文件,我不承认.,5.我有你的罪证.,4.如何保证不能被篡改?,4.别怕,我有数字签名.,认证 我不认识你! - 你是谁? 我怎么相信你就是你? - 要是别人冒充你怎么办? 授权 我能干什么? - 我有什么权利? 你能干这个,不能干那个. 保密性 我与你说话时,别人能不能偷听? 完整性 收到的传真不太清楚? 传送过程过程中别人篡改过没有? 防抵赖 我收到货后,不想付款,想抵赖,怎么样? 我将钱寄给你后,你不给发货,想抵赖,如何?,PKI实现的安全功能,7.3 PKI及其构件,PKI策略 是一个包含如何在实践中增强和支持安全策略的一些操作过
10、程的详细文档; 建议和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。 两种类型: - Certificate Policy ,证书策略,用于管理证书的使用 -CPS(Certificate Practice Statements),PKI的体系构成(一),return,PKI的体系构成(二),软硬件系统 是PKI系统运行所需的所有软、硬件的集合,主要包括认证服务器、目录服务器、PKI平台等。,return,PKI的体系构成(三),认证中心CA 为了确保用户的身份及他所持有密钥的正确匹配,公钥系统需要一个可信的第三方充当认证中心(Certification Au
11、thority,CA),来确认公钥拥有者的真正身份,签发并管理用户的数字证书。,认证中心CA 是负责管理密钥和数字证书的整个生命周期。 接收并验证最终用户数字证书的申请; 证书审批,确定是否接受最终用户数字证书的申请; 证书签发,向申请颁发、拒绝颁发数字证书; 证书更新,接收、处理最终用户的数字证书更新请求; 接收最终用户数字证书的查询、撤销; 产生和发布证书废止列表(CRL),验证证书状态; 提供OSCP在线证书查询服务,验证证书状态; 提供目录服务,可以查询用户证书的相关信息; 下级认证机构证书及帐户管理; 数字证书归档; 认证中心CA及其下属密钥的管理; 历史数据归档;,PKI的体系构成
12、(三)续,return,PKI的体系构成(四),注册机构RA 是用户(个人/团体)和认证中心CA之间的一个接口。接受用户的注册申请,获取并认证用户的身份,完成收集用户信息和确认用户身份。 自身密钥的管理,包括密钥的更新、保存、使用、销毁等; 审核用户信息; 登记黑名单; 对业务受理点的LRA的全面管理; 接收并处理来自受理点的各种请求。,return,PKI的体系构成(五),证书签发系统 负责证书的发放。,return,PKI应用 Web服务器和浏览器之间的通讯 电子邮件 电子数据交换(EDI) 互联网上的信用卡交易 虚拟专用网(VPN),PKI的体系构成(六),return,PKI应用接口系
13、统(API) 良好的应用接口系统使得各种应用能够以安全、一致、可信的方式与PKI交互,确保所建立的网络环境的可信性,降低管理和维护的成本。,PKI的体系构成(七),return,PKI运作,PKI的策划 包括信任模式、技术标准的选择;PKI系统、信息系统、网络系统架构的规划;整体安全架构的规划;设备选型;PKI功能与应用方式的确定;认证策略、安全策略、运营策略的制定;相关规章、法规体系的规划;物理场地选址;人员规划等。 PKI实施 包括场地建设;PKI系统、信息系统、网络系统建设;安全设施建设;相关规章、法规的制定;PKI功能与应用的实现;人员配置;人员培训等。 PKI运营 包括PKI及相关设施的管理与维护;PKI功能与应用的执行;相关规章、法规的执行;运营审计与评估;人员管理等。,PKI的构建,自建模式(In-house Model)是指用户购买整套的PKI软件和所需的硬件设备,按照PKI的构建要求自行建立起一套完整的服务体系。 托管模式是指用户利用现有的可信第三方认证中心CA提供的PKI服务,用户只需配置并全权管理一套集成的PKI平台即可建立起一套完整的服务体系,对内对外提供全部的PKI服务。,PKI构建模式的比较,成本比较(建设、风险、培训、维护) 建设周期比较 投入与产出比较 系统性能比较 服务比较,
