PKI 组成及数字证书.ppt

PKI 组成及数字证书 PKI技术原理 数字证书的身份认证 公钥（证书）公开发布，私钥个人保存； 公私钥算法的不可逆 身份管理1 ——身份认证 使用PKI技术认证身份 技术相对成熟 应用发展迅速 新的发展： 易用性：Roaming 无线设备：WPKI 身份管理2——授权与访问控制 使用PKI技术确定和传递属性与权限 AA / AC SAML / XACML SSO Liberty / Passport 应用的复杂性和关联性 有待进一步发展 访问安全 使用PKI技术构筑安全的访问通道 Web ：SSL/ TLS IPSec VPN：安全的网络互联 SSL VPN：远程访问 无线应用：WAP/WTLS 与身份管理的结合 内容安全1 使用PKI技术对应用层数据进行保护 邮件应用：S/MIME 网上交易：电子表单 桌面：文件/目录/应用软件 内容安全2 PKI技术与XML技术的结合，保护XML应用数据的安全 XML Signature XML Encryption WS-Security XKMS 新的应用模式，与安全紧密结合 应用正在起步，标准有待完善 避免弄巧成拙 桌面应用 PKI应用－CA/RA产品 PKI CA/RA PKI（Public Key Infrastructure） 建立用户与用户，用户与系统间的信任关系 鉴别用户/系统身份的权威机构 数字证书 作用：证明实体身份的合法性 负责：生产和管理数字证书 CA/RA产品架构 CA/RA产品说明 KMC产品 KMC（密钥管理中心），通过对加密证书密钥对和CA密钥的规范化管理，为数据加密和密钥恢复提供了一套可信赖的安全保障。 CA产品 它通过对数字证书策略/功能的定义，制定了证书类型基本规范，并提供证书分发操作的核心产品。 RA产品 RA是证书操作的注册和管理中心，定义了整个证书的操作和管理流程。 CA/RA产品说明 LDAP产品 用于证书的分发和存储 数据库产品 存储与证书相关的用户信息/日志信息等 三、PKI和数字证书关系 数字证书是PKI的组成部分 四、数字证书由哪些部分组成 一张数字证书是… 一个包含标示信息的文件 CA的名称(Issuer) Bob的名字(Subject) Bob的公钥 有效期 签过名的 使用了他们的私钥 保证真实性和完整性 被信赖的第三方 五、证书格式 X509的主要内容 ITU（国际电联） 提供框架： Public-Key Infrastructure (PKI) Privilege Management Infrastructure (PMI) 框架包括： 基础设施模型 证书和CRL的语法定义 目录Schema定义 信任路径处理过程 X509的主要内容 定义基于目录服务的使用框架 X.509是X.500标准系列的一部分，在PKI的发展中，X.509起到了无可比拟的作用. X.509定义并标准化了一个通用的、灵活的证书格式. X.509的实用性来源于它为X.509 v3和X.509 v2 CRL定义的强有力的扩展机制. X.509数字证书（属性） 一些标准的 X.509 v3 扩展项 Key information（密钥信息） Authority key identifier Subject key identifier Key usage non-repudation, certificate signing, CRL signing, digital signature, symmetric key encryption for key transfer, data encryption, Diffie-Hellman key agreement. Private key usage period 一些标准的 X.509 v3 扩展项 Policy information（策略信息） Certificate policies Policy mapping User and CA attributes（用户和CA属性） Subject alternative name Issuer alternative name Certification path constraints（证书认证路径限制 PKCS标准 PKCS = Public Key Cryptography Standards RSA 牵头;Apple, Microsoft, DEC, Lotus, SUN 和 MIT 目的：保证密码系统直接的兼容性 PKCS #1：RSA密码系统标准 PKCS #2：合并到PKCS#1中 PKCS #3：Diffie-Hellman密钥协商标准 PKCS #4：合并到PKCS#1中 P