第8讲 证书策略与认证业务声明.ppt

PKI技术 提纲 为什么会有CP/CPS CP/CPS的关系 CP/CPS的使用和设计问题 CP/CPS包含的内容 CP/CPS的应用情况 回顾 PKI能够提供如下的安全服务： 机密性 完整性 非否认 真实性－鉴别 PKI是安全服务的提供者，并不是一种具体的应用功能 是一种基础设施 PKI的意义 建设PKI的意义在于 有各种应用系统来使用PKI PKI为它们提供了安全服务 而不在于PKI系统本身 为了让应用系统更好地使用PKI，要： 为使用者提供指导 PKI要有友好的接口Interface 后续章节说明 PKI如何为使用者提供指导 以什么方式来指导对数字证书的使用？ The answer is CP和CPS Certificate Policy证书策略 Certification Practices Statement认证业务声明 PKI用户的要求 根据前面课程，使用者的要求很简单的，就是： 可靠地得到通信方的公钥 只要可靠地得到对方公钥，就能实现机密性、完整性、鉴别、非否认 当然，我们知道，为了实现这简单的要求，PKI/CA付出了很多代价 可靠地得到通信方的公钥 可靠地得到通信方的公钥 PKI除了给出公钥外，还应该说明： 是什么程度的“可靠”，也就是证书的安全级别 100%的可靠？1%的可靠？50%的可靠？ 3个月的可靠？100年的可靠？ 像Bill Gates一样可靠？像安然公司一样可靠？ 也就相当于是，可以将该公钥用于什么样的应用 越可靠，就越可用于重要的应用场合 证书中，用什么方式来说明证书的可靠程度？ 证书的可靠程度 X.509中，使用专门的扩展来说明证书的可靠程度 也就是PKI中的证书策略 Certificate Policy，CP 每个CP，都应该有自己的OID ASN.1表示中的CertPolicyId CP-Certificate Policy 根据X.509标准 CP is a named set of rules that indicates the applicability of a certificate to a particular community and/or class of applications with common security requirements. 一组规则：表明了证书在某特定范围内的、和（或）某些具有相同安全需求的应用内的适用程度 也就是说明证书能够用于“安全需求为×××”的应用中 Certificate Policy 1个CA可以支持签发多种不同等级CP的证书 不同等级CP的证书用于不同的应用 当然，CA也可以只支持1种CP 相当于对证书没有分级，只有1种级别 根CA的多个Sub CA可以分别支持不同的CP 为什么要进行CP分级 如果CA对于所有的证书，都做到“100%”的可靠，是否可行？ 信息安全的原则，安全投入和安全收益的权衡 100%的可靠，必然带来更多的投入 多重审核的人力投入、更高级的设备、更长期的归档数据存储等等 全部证书都进行大量的投入，不符合信息安全原则 必须进行分级 CP OID CP标识了证书的安全等级，为了PKI应用系统提供了使用上的指导和根据 在证书扩展上，CP表示为OID的形式 不同的CA公司，可以定义自己的OID，来表示不同的级别 所以，PKI应用系统必须能够识别各种CP OID PKI应用系统应该有CP配置功能，由用户自主控制配置 CP的问题 很自然，所有的CA公司都愿意告诉你： 我公司签发的数字证书，都像Bill Gates那么可靠 “啊？你凭什么这样说？为什么你的证书就像Bill Gates那么可靠？别人的证书就只能像安然公司？” “可靠程度/安全等级”并不是没有原因 如何才能让人相信呢？ 证书的可靠程度由CPS保证 根据 American Bar Association Information Security Committee Digital Signature Guidelines PKI Assessment Guidelines CPS is a statement of the practices which a certification authority employs in issuing certificates. 也就是CA的签发证书过程中的各种措施 CPS Certification Practices Statement 一般翻译，认证业务声明 CPS说明了CA/PKI系统的方方面面信息，相应CP证书的产生、维护、赔偿、法律责任等等信息 让使用者（PKI应用系统）愿意接受其CP，并将其用于合适的场合 简单的示例 CP OID是.4.1.21315.5.1，高级证书 可以用于100万RMB以下的电子交