PKI应用与应用接口.ppt

* 如下： 选证书（密钥对） 针对邮件帐户 * 选中证书 该证书Subject中，必须还有Email项 而且Email必须与自己的邮件帐户一致 例如Email=linjq@ * 邮件签名 可在发送邮件时，进行数字签名。 如图 * PKI Client 得到别人的数字证书 对邮件内容进行加密，然后发出 * 获得证书 可以是带外的方式 U盘传输、自己上WWW下载、其他等等 Outlook Express也支持LDAP协议 可以与X.500目录进行通信 获取用户的userCertificate属性，也就是证书 * 设定证书 对收件人邮件地址设定相应的数字证书 对地址薄中的姓名进行设定 导入相应的证书 如下图 * 设定证书（图） 设定证书 * 发送邮件 发送时，进行加密。 程序会按S/MIME标准格式进行加密 数据－Session Key－Public Key * PKI的几种典型应用 IPSec/VPN 安全的IP协议 使用IKE（Internet Key Exchange）协议协商密钥，可以利用证书和公钥技术 协商之后，双方共享了SA（Security Association） 之后就可以进行必威体育官网网址通信，构成VPN SET Secure Electronic Transaction，应用层协议 用于处理用户、商家、银行之间的安全电子交易 VISA和Master合作制定的协议 * 握手过程 * 说明 说明如下： 对称、MAC算法是可以选择的 pre_master_secret是使用服务器的公钥加密传输的 会话密钥、MAC密钥是从pre_master_secret推导得到的 双方验证MAC无误后，握手成功 (2)中，Client要验证该证书是否有效 而且，要查看Subject是否就是自己要通信的人 * Handshake的结果 协商秘密 双方共享了Secret 然后，从Secret推导出： 对称加密Key MAC Key 协商各种算法 对称加密算法 MAC算法 压缩算法（实际使用中，一般都是无压缩） * Record协议 Record协议就是 利用Handshake的密钥和算法，进行数据的加解密、压缩解压、MAC校验。 * OpenSSL 目前，使用最为广泛SSL/TLS开发库是OpenSSL 公开源代码 可以从获得 OpenSSL封装了SSL/TLS协议的细节 可以通过调用OpenSSL的几个简单的函数来 与对方建立安全会话 发送数据（由OpenSSL进行加密、MAC） 接受数据（由OpenSSL进行解密、验证MAC） * OpenSSL的证书功能使用示例 以SSL服务器端为例： 初始化环境 包括自己的证书/密钥、根CA证书（验证用户） Socket监听，直到获得某个用户连接socket 建立SSL连接，将该socket与SSL连接绑定 从SSL连接读写数据 读写过程与普通的socket完全类似 * 初始化过程 * Socket监听、接受用户请求 与普通的TCP socket一致 建立socket，bind，listen，然后是接受用户的请求，生成sockClient。如下： * 绑定socket和SSL连接 绑定socket和SSL连接，然后按照SSL协议进行协商 * 从SSL连接中读写数据 * 结论 因为有各种API和函数库，我们可以认为： 开发PKI应用系统的门槛并不是非常难 已有了各种可用的资源（API和函数库） 大量合格或者不合格的程序员都可以自由地开发PKI应用系统 双证书体系的应用难题 人人都可以开发PKI应用系统，是否满足双证书体系的要求？ 当然，PKI应用系统本身也有可能会有其他安全问题（例如木马、流氓软件等） 有意或者无意的 * PKI的几种典型应用 TLS/SSL HTTPS Code Sign S/MIME安全电子邮件 IPSec/VPN SET * HTTPS和TLS 所谓的HTTPS，就是 HTTP over TLS 一般的HTTP，是基于TCP协议进行数据传输的 默认端口80 基于TLS进行数据传输的HTTP，就称为HTTPS 默认端口443 * HTTPS示例 如图， 双击下面状态栏的“锁”形图标，还能弹出服务器证书 * IIS的PKI配置 根据SSL的要求，服务器证书是必须的。 客户端证书是可选的 不需要 可选（可有可无） 强制要求 * IIS服务器配置 服务器需要有自己的证书和密钥对 如果需要认证用户 则服务器需要有信任锚 IIS支持以证书信任列表的方式读入多个根CA证书 * IIS服务器配置HTTPS 点击IIS的网站属性，目录安全性/服务器证书 * IIS服务器申请证书 按向导填写各种申请信息，得到PKCS#10文件 * 申请证书 使用PKCS#10文件向CA申请IIS服务器的数字证书 * II