新计算机网络安全教程 教学课件 978 7 302 26962 5 第10章.ppt

计算机网络安全教程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 公钥基础设施（PKI，Public Key Infrastructure）是一个用于非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI是一种遵循标准的密钥管理平台，能为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密码和证书管理。 重点内容： 概述 数字证书 PKI的组成 PKI的功能 信任模型 PKI相关标准 第10章 公钥基础设施-PKI 一、PKI概述 1976年第一个正式的公共密钥加密算法诞生后，20世纪80年代初期出现了非对称密钥密码体制，即公钥基础设施（PKI，Public Key Infrastructure）。 1976年，美国密码专家Diffie和Hellman提出了著名的D-H密钥体制，第一次解决了不依赖秘密信道的密钥分发问题，允许在不安全的媒体上双方交换信息，安全地获取相同的对称加密的密钥。 1978年Kohnfelder提出了Certificate Agency（CA认证机构）的概念，在CA集中式管理的模式下，公钥以CA证书的形式公布于目录库，私钥仍然以秘密信道的方式分发。 1991年相继出现了PGP、PEM，第一次提出密钥由个人生成的分布式体制，以不传递私钥的方式避开了秘密信道，进一步加强了信息加密的安全性。 1996年出现SPKI解决方案，PKI设立了CA认证中心，以第三方证明的方式（即中介Agency）将公钥和标识绑定，并创立了层次化CA架构。 一、PKI概述 作为最早提出PKI的国家，美国于1996年成立了美国联邦PKI筹委会，其PKI技术在世界上处于领先地位，与PKI相关的绝大部分标准都由美国制定。 2000年6月30日，美国总统克林顿正式签署美国《全球及全国商业电子签名法》，给予电子签名、数字证书以法律上的保护 美国联邦政府的PKI体系建设形成了以下信任层次的信任域： 策略批准机构（PAA）：这是联邦PKI的根节点，负责批准二级节点的安全策略； 策略产生机构（PCA）：也叫策略认证机构，是联邦PKI的二级节点，定义下级产生公钥证书节点的安全策略； 认证机构（CA）：是联邦PKI的三级节点，依据PCA定义的安全策略，为下级用户（可能是下级CA）签发和维护数字证书、CRL结构等； 用户：数字证书及相应私有密钥的持有者，用户利用数字证书和私有密钥进行数据维护、身份鉴别等安全行为。 一、PKI概述 加拿大在1993年就已经开始了政府PKI体系雏形的研究工作，到2000年已在PKI体系方面获得重要的进展 欧洲在PKI基础建设方面的成绩也很显著。在已经颁布的93/1999EC法规中，强调技术中立、隐私权保护、国内与国外相互认证以及无歧视等原则。并于2000年10月成立了欧洲桥CA指导委员会，于2001年3月23日成立了欧洲桥CA。 在亚洲，韩国是最早开发PKI体系的国家。 韩国的认证架构主要分三个等级：最上一层是信息通讯部，中间是由信息通讯部设立的国家CA中心，最下级是由信息通讯部指定的下一级授权认证机构（LCA）。 日本的PKI应用体系按公众和私人两大领域来划分，而且在公众领域的市场还要进一步细分，主要分为商业、政府以及公众管理内务、电信、邮政三大块。 我国的PKI技术从1998年开始起步，2001年PKI技术被列为“十五”863计划信息安全主题重大项目，并于同年10月成立了国家863计划信息安全基础设施研究中心。 一、PKI概述 什么是基础设施 基础设施就是一个普适性基础，它在一个大环境起着基本框架的作用。作为基础设施，需要实现“应用支撑”的功能，可以让“应用”正常工作。它应该具有以下几种特性： （1）易于使用、众所周知的熟悉的界面； （2）基础设施提供的服务可以预测并且有效； （3）应用设备无须了解基础设施的工作原理。 安全基础设施的概念 安全基础设施，同样必须依照上述的原理，同样必须提供基础服务，也就是说要具有普适性。 安全基础设施能够保证应用程序增强数据和资源的安全，保证增强与其他数据和资源进行交换中的安全。 密码学理论 密码已经从外交和军事领域走向公开，且已经发展成为一门结合输血、计算机科学、电子与通信、微电子等技术的交叉学科。它主要由密码编码技术和密码分析技术两个分支组成。 1、理论基础 一、PKI概述 一个完善的PKI基础设施提供的服务主要包含几个方面： 安全登录 安全基础设施并不意味着取消口令的使用，因为口令方式是用户进入基础设施本身的认证机制。 安全基础设施只是解决了使用口令方式时存