4、PKI公钥基础设施原理复习.pptVIP

第4章 PKI公钥基础设施原理 内容提要 ◎ PKI/CA 模型的构成 ◎ 数字证书 ◎ 认证机构 PKI/CA模型 PKI是英文Public Key Infrastructure的缩写，意思就是公钥基础设施。PKI中最基础的元素就是数字证书，所有安全的操作主要通过证书来实现。PKI的部件主要包括签发这些证书的证书机构(CA)，登记这些证书的注册机构(RA)，存储和发布这些证书的电子目录，以及用户终端系统。 PKI/CA模型 PKI的功能 PKI的主要功能是提供身份认证、机密性、完整性和不可否认服务。 （1）身份认证 - 数字证书 （2）机密性 - 通过加密证书，通信双方可以协商一个秘密，而这个秘密可以作为通信加密的密钥。 （3）完整性与不可否认 - 可以通过第三方仲裁的 PKI/CA模型的构成 证书中心架构分类 CA的架构模型一般可分成 阶层式(Hierarchical) 网络式(Mesh) 混合式(Hybrid) 阶层式架构模型 网络式架构模型 网络式架构模型 网络式架构是由许多独立的CA互相签发证书而形成的一种网状式架构。以图为例，A欲验证B之公钥，必须依序取CA3、CA5、CA4的公钥加以验证，而CA2的公钥则已经在申请证书当时通过某安全管道取得。 混合式架构模型 混合式架构模型 混合式模型结合吸收了阶层式及网络式CA架构以达到特定的企业组织在安全目标上的需要。当签署一张数字证书之后，CA就负有维护此证书的责任。一张证书有一个到期日，由CA来决定，所以证书并不是永久有效的。有可能某些事件导致有需要在到期日之前预先撤销此证书，有基于此，CA可以在任何时间撤销证书并移除对此证书的信任关系。 PKI的规划和建设 PKI 作为国家信息化的基础设施，涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题，是相关技术、应用、组织、规范和法律法规的总和，其本身是国家综合实力的体现。 我国的PKI体系建设情况 自1998 年中国出现第一家CA证书机构（中国电信CA 认证中心，CTCA）以来，已有许多CA 证书机构建成并运行，开始在电子商务和电子政务应用中发挥作用。目前我国的CA证书机构可分为区域类、行业类、商业类和内部自用（企业）类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作，主要为本地行政区域内电子商务业务与面向公众服务的电子政务业务发放证书；行业类CA证书机构以部委或行业主管部门为背景，以非公司机制或公司机制运作，在本部委系统或行业内为电子政务业务和电子商务业务发放证书；商业类CA证书机构以公司机制运作，面向全国范围为电子商务业务发放证书；内部自用类CA 证书机构，主要是企事业单位自建的证书机构，为自身内部业务发放证书，不向公众提供证书服务。 截止2002 年底，目前国内的CA机构已有区域型、行业型、商业型和企业型四类，前三种CA机构已有60 余家，58%的省市建立了区域CA，部分部委建立了行业CA，数字证书在电子政务、网络银行、网上证券、B2B 交易、网上税务申报、资金结算、财政预算单位资金划拨、工商网上申报和网上年检等众多领域行业得到应用。 我国的PKI体系建设情况 另有部分部委与省市已将建设本部门和本地化的CA 证书机构中心列入信息化计划。其中北京、上海、天津、山西、福建、宁夏等地，已经将CA 证书应用到政府网上办公、企业网上纳税、股民网上炒股、个人安全电子邮件等多个方面，并取得了良好的社会效益和经济效益。 北京市CA中心已经成功的将CA证书应用于市政府的电子政务网、税务系统的网上报税、技术监督系统的组织代码证、信息传呼中心的网上招标及商业银行的网上银行。 上海市CA中心从1998 年底给江总书记颁发第一张CA 证书起，已经有超过35 万的各类企业、政府机构和个人成为了上海市CA中心数字证书的用户，应用领域遍及电子政务、网络银行、网上证券、B2B 交易、网上税务申报等等众多领域；和上海热线联合推出安全电子邮件服务，用数字证书对邮件加密和数字签名，确保邮件内容的安全和防止他人冒名发信与发件人否认已发邮件。 天津市CA 中心已经将CA证书应用于网上纳税、网上炒汇、资金结算、财政预算单位资金划拨，年资金流量超过2 亿元。 PKI的应用-电子病历应用安全解决方案 网上教育系统数字证书应用方案 ????网络教育具有远程的特点，学生、教师、学校分布在不同地方，在不直接面对面的情况下，如何进行身份的认证，各种重要信息在传输中如何保证安全，不被窃取或篡改，是网络教育中必须解决的重要安全问题。安全问题的解决对于各个教学环节在网络教育中实施的深度和广度有较大的影响。 ????数字证书技术在Internet电子商务、电子政务领域已得到一定程度的应用，成为广泛被认可的安全基础。网络教育是一