《[精选]公钥基础设施(PKI)讲义》由会员分享,可在线阅读,更多相关《[精选]公钥基础设施(PKI)讲义(39页珍藏版)》请在金锄头文库上搜索。
1、本资料来源,课前回顾,身份认证的概念、组成、身份认证的物理基础及认证方式 Kerberos认证方案的思想,本周教学内容,公钥基础设施(Public Key Infrastructure-PKI),Kerberos技术的最大缺陷就是不能提供信息的不可否认性。 公钥密码技术的出现为身份认证协议带来了强有力的方法和手段,目前被广泛采用的是以X.509数字证书为基础的PKI体制。,3.3 公钥基础设施(PKI),PKI(Public Key Infrastructure)就是利用公钥密码理论和技术建立的提供安全服务的基础设施 PKI是一种标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数据
2、签名等密码服务所必须的密钥和证书管理。,3.3 公钥基础设施(PKI),美国是最早(1996)推动PKI建设的国家。 1998年中国的电信行业建立了我国第一个行业CA,此后金融、工商、外贸、海关和一些省市也建立了自己的行业CA或地方CA。,3.3 公钥基础设施(PKI),3.3.2 PKI提供的服务,信息的机密性(Confidentiality):保证信息不泄露或不暴露给那些未授权掌握这一信息的实体,保证通信双方的信息保密,在信息交换过程中没有被窃听的危险,或者即使窃听了也无法得到原文的真实含义。 信息的完整性(Integrity):防止信息在传输过程中被非法的第三方恶意篡改或者其他传输中的信
3、息失真。 身份认证(Authentication):为对付假冒攻击而提供对某个实体身份的真实性认证,实现有效鉴别通讯双方的身份。 信息的不可否认性(Non-Repudiation):文件传输一旦完成,发送方不能够否认他发送的信息,接收方也不能否认他所收到的信息。,(一) PKI基本组件,密钥 服务器,证书颁发机构CA,注册认证机构RA,下图是RFC 2510中定义的PKI实体模型。,PKI的核心,负责数字证书的签发和管理。受信任的第三方,职责是确保CA签发数字证书的公钥的质量,签名私钥的安全,整个签名过程的安全等,处理证书撤销和更新、发布并维护数字证书和CRL及交叉认证处理,专门负责受理用户申
4、请证书;对证书申请人的合法性进行认证,并决定是批准或拒绝证书申请,不负责签发证书;接收和授权密钥备份和恢复请求;接收和授权证书吊销请求;,也称作目录服务器,是数字证书和CRL的集中存放地,类似网上的“白页”,LDAP,PKI组成(续),PKI的安全策略:建立和定义一个组织信息安全的指导方针,同时也定义密码系统使用的处理方法和原则 PKI应用接口系统:是PKI内部服务与用户之间的桥梁。,(二) PKI运作流程,初始化阶段 终端实体注册申请(在线或离线) 注册机构审核 证书创建和签发 证书获取 使用阶段 撤销管理阶段,(二) PKI运作流程初始化,终端实体,RA,CA,1.注册表格请求,2.注册表
5、格应答,3.注册表格提交,4.注册建立请求,5.注册建立结果,6.注册结果,7.请求证书,8.证书响应,验证证书的有效性 验证证书的真实性 验证证书的可用性,(二) PKI运作流程使用,(二) PKI运作流程撤销,终端实体,CA,RA,1.证书撤销请求,2.证书撤销响应,带外请求,撤销请求,撤销响应,三、 密钥/证书生命周期的管理,公钥/私钥对的产生(PKCS#,口令保护) 密钥备份/恢复 密钥/证书的更新 密钥/证书归档,四、 证书包含的信息,身份证和证书的比较,3.3.5 PKI的信任模型,建立一个管理全世界所有用户的全球性PKI是不现实的。各个国家都建立自己的PKI,一个国家内部再分别建
6、立不同行业或不同地区的PKI。 为了实现跨地区、跨行业,甚至跨国际的安全电子业务,这些不同的PKI之间的互联互通和相互信任是不可避免的。 对于大范围的PKI,一般会有很多的CA,这些CA之间应当具有某种结构的联系,以使不同CA之间的证书认证简单方便。,为使得跨CA域的用户能够安全通信,需要在CA之间建立信任关系。 信任模型(Trust Model)提供了建立和管理信任关系的框架,选择信任模型是构筑和运作PKI所必需的一个环节。目前提出的PKI信任模型有:,3.3.5 PKI 信 任 模 型,严格层次模型 对等(网状)信任模型 混合型信任模型 可信CA列表模型,3.3.5 PKI 信 任 模 型
7、,严格层次模型,认证机构CA的严格层次结构可以描绘为一棵倒置的树,树根在顶上,树枝向下伸展,树叶在最下面的末端。 在这棵倒置的树上,根代表一个对整个PKI域内的所有实体都具有特别意义的CA,通常被称作根CA,把它作为信任的根或称“信任锚”。在根CA的下面是零层或多层的中间CA,因为是属于根的,也称作子CA,子CA可作为中间节点,再伸出分支,最后是树的叶子,被称作终端实体或称为终端用户。,子CA,严格层次模型,每个用户都有两个证书:子CA和根CA,严格层次的信任模型的最大好处是其自上而下的管理性,非常适用于有相同组织结构的团体内部(如企业,政府等)。在一个行业内部,由行业联盟建立统一的严格层次的
8、信任模型PKI也是可行的,但对于全球而言,由于不可能建立一个为全球用户所共同信任的根CA,所以严格层次的信任模型不能直接用于建立全球统一PKI在严格层次的信任模型中。 如果一个CA(特别是根CA)的私钥泄漏,则以其作为根的整个子树上的CA证书以及终端实体的证书都将作废。,3.3.5 PKI 信 任 模 型,2对等信任模型 在对等信任模型中,各CA都持有自签名的CA证书,并独立运作,CA之间通过交叉认证实现相互信任。,3.3.5 PKI 信 任 模 型,3混合型信任模型 混合型信任模型中,CA之间的关系既存在严格层次的信任关系,也存在对等的信任关系。一个组织可以根据需要把一些CA部署成层次结构,
9、而另一些CA部署成对等关系。某一层次结构内的一个CA私钥泄漏时,其影响范围只是以它为根的子树。混合型信任模型的特点是存在多个根CA,每一个严格层次的CA域的根CA可以和另一个严格层次的CA域的根CA进行交叉认证。,3.3.5 PKI 信 任 模 型,3混合型信任模型,3.3.5 PKI 信 任 模 型,4可信CA列表模型( Web模型) 可信CA列表模型中存在多个可信的根CA,这些可信的根CA的证书被预先提供给客户端系统。 这种模型建构在浏览器的基础上,浏览器厂商在浏览器中内置了多个根CA,每个根CA相互间是平行的,浏览器用户信任这多个根CA并把这多个根CA作为自己的信任锚。 可信CA之间不再
10、需要进行交叉认证,客户端对证书的验证也变得简单,目前IE和Netscape浏览器中就预装了诸如Versign,Thawte和Baltimore等根CA的证书。,3.3.5 PKI 信 任 模 型,4可信CA列表模型( Web模型),依赖于浏览器 将一些CA的公钥预装在使用的浏览器上 这些CA作为根CA,4可信CA列表模型(Web模型),由于不需要依赖目录服务器,这种模型在方便性和简单互操作性方面有明显的优势,但是也存在许多安全隐患。 1)例如,因为浏览器的用户自动地信任预安装的一些根CA的公钥,即使这些根CA中有一个是“坏的”(例如该CA从没有认真核实被认证的实体),安全性将被完全破坏。 2)
11、另外一个潜在的安全隐患是没有实用的机制来撤销嵌入到浏览器中的根CA密钥,如果发现一个根密钥是“坏的”或者与根CA的私钥发生泄密,要使全世界数百万个浏览器都自动地废止该密钥的使用是不可能的。,3.3.5 PKI 信 任 模 型,4可信CA列表模型,3.3.5 PKI 信 任 模 型,以用户为中心的信任模型,在这种信任模型中,每个用户都直接决定信赖哪个证书和拒绝哪个证书。没有可信的第三方作为CA,终端用户就是自己的根CA 著名的PGP软件就是以用户为中心信任模型的实例。(P151图示),3.3.5 PKI 信 任 模 型,3.3.6 PKI典型应用,1安全电子邮件: 2Web服务安全:利用PKI技
12、术,SSL协议实现了浏览器和服务器之间对应用层透明的安全通信。 3.VPN应用:基于PKI技术的IPSec协议现已成为架构VPN的基础。 4PKI更广泛的应用,3.3.7 PKI发展现状,(一)国外PKI发展现状:以美国为代表的发达国家代表了国际PKI发展的主流。 (二)我国PKI发展现状:自1998年中国出现第一家CA认证机构(上海市CA中心)开始,PKI/CA认证体系作为信息安全的基础设施之一,经历了一个快速发展的阶段,先后建立有70多家CA认证机构,主要是由政府出资建立的行业性CA和区域性CA,还有少数自主筹资建立的商业CA。,9、静夜四无邻,荒居旧业贫。21.5.1321.5.13Th
13、ursday, May 13, 2021 10、雨中黄叶树,灯下白头人。08:12:3408:12:3408:125/13/2021 8:12:34 AM 11、以我独沈久,愧君相见频。21.5.1308:12:3408:12May-2113-May-21 12、故人江海别,几度隔山川。08:12:3408:12:3408:12Thursday, May 13, 2021 13、乍见翻疑梦,相悲各问年。21.5.1321.5.1308:12:3408:12:34May 13, 2021 14、他乡生白发,旧国见青山。2021年5月13日星期四上午8时12分34秒08:12:3421.5.13
14、15、比不了得就不比,得不到的就不要。2021年5月上午8时12分21.5.1308:12May 13, 2021 16、行动出成果,工作出财富。2021年5月13日星期四8时12分34秒08:12:3413 May 2021 17、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。上午8时12分34秒上午8时12分08:12:3421.5.13 9、没有失败,只有暂时停止成功!。21.5.1321.5.13Thursday, May 13, 2021 10、很多事情努力了未必有结果,但是不努力却什么改变也没有。08:12:3408:12:3408:125/13/2021 8:
15、12:34 AM 11、成功就是日复一日那一点点小小努力的积累。21.5.1308:12:3408:12May-2113-May-21 12、世间成事,不求其绝对圆满,留一份不足,可得无限完美。08:12:3408:12:3408:12Thursday, May 13, 2021 13、不知香积寺,数里入云峰。21.5.1321.5.1308:12:3408:12:34May 13, 2021 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2021年5月13日星期四上午8时12分34秒08:12:3421.5.13 15、楚塞三湘接,荆门九派通。2021年5月上午8时12分21.5.1
16、308:12May 13, 2021 16、少年十五二十时,步行夺得胡马骑。2021年5月13日星期四8时12分34秒08:12:3413 May 2021 17、空山新雨后,天气晚来秋。上午8时12分34秒上午8时12分08:12:3421.5.13 9、杨柳散和风,青山澹吾虑。21.5.1321.5.13Thursday, May 13, 2021 10、阅读一切好书如同和过去最杰出的人谈话。08:12:3408:12:3408:125/13/2021 8:12:34 AM 11、越是没有本领的就越加自命不凡。21.5.1308:12:3408:12May-2113-May-21 12、越是无能的人,越喜欢挑剔别人的错儿。08:12:3408:12:3408:12Thursday, May 13, 2021 13、知人者智,自知者明。胜人者有力,自胜者强。21.5.1321.5.1308:12:3408:12:34May 13, 2021 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2021年5月13日星期四上午8时12分34秒08:12:3421.5.13 15、最具挑
