电子商务安全实务理论 PKI技术原理.ppt

PKI技术原理及实验 PKI技术 PKI（Public Key Infrastructure ） 即公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术 PKI组成 一个典型、完整、有效的PKI应用系统至少应具有以下部分： 　　· 公钥密码证书管理。 　　· 黑名单的发布和管理。 　　· 密钥的备份和恢复。 　　· 自动更新密钥。 　　· 自动管理历史密钥。 　　· 支持交叉认证 CA是证书的签发机构,它是PKI的核心 认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失 证书作废系统：证书作废处理系统是PKI的一个必备的组件。 应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性 PKI系统如何工作 原理说明 RA—相当于派出所，接收注册信息，审核用户身份 RA将请求交给CA，CA制作证书并签名后返给RA 用户将证书从RA下载到本地 同时CA将用户证书放在证书库中，以便其他用户查看 A B 到证书库中寻找对方证书 验证证书 A：1）验证签名是否有CA签发，用PKCA验证 2）验证有效期 3）查看CRL，看是否证书已经被撤销 B：重复上述操作 挑战/应答（即确认B是B） B证书中包括PKB，比如已知r=1011 A向B发送一个数，即A B{EPKB(r)} 则B：D SK B{EPKB(r)}=r =1011 R+1=1012 银行U-Key 存储证书 银行填单---注册证书过程 U-Key中有SK，并在某受保护区域中不可以读写 可完成双向认证 即挑战/应答 * * PKI技术基础（4学时） 基本概念 工作原理 具体应用 目 录 PKI实验（4学时） 安全安装 证书申请 证书撤销 理论 实 践 PKI技术基础（4学时） 基本概念 工作原理 具体应用 目 录 PKI实验（4学时） 安全安装 证书申请 证书撤销 理论 实 践 一个新用户申请证书 获取用户的身份信息 进行证书废止检查 检查证书的有效期 校验数字证书 解密数据 证书下载到用户本地 审核通过的注册请求发送给CA 证书同时要被发布出去 应用程序通过证书： RA系统审核用户身份 发送注册信息给RA CA为用户签发证书下载凭证... RA将证书下载凭证发放给用户 CA RA 使用数字证书的用户之间通过CA（一个可信的第三方）来建立信任关系 Applications and other users Directory 提交证书申请请求 PKI技术基础（4学时） 基本概念 工作原理 具体应用 目 录 理论 实 践 PKI实验（4学时） 安全安装 证书申请 证书撤销 身份验证