网络工程-5_PKI技术.pptVIP

2）交叉认证模型(续) 铁道总公司CA 开发部CA 运输部CA 银行1支行CA 银行2支行CA 铁道分公司CA 银行总行CA 银行分行CA 交叉认证 （示例） 6.信任模型 （续） 3）证书链 由于用户拥有的可信证书管理机构数量有限，要与大量不同管理域的用户建立安全通信就需要建立信任关系，这就需要构建一个证书链。证书链是最常用于验证实体和他的公钥之间的绑定的方法。 颁发者名称 主体名称 公钥信息 其他信息 颁发者名称 主体名称 公钥信息 其他信息 颁发者名称 主体名称 公钥信息 其他信息 颁发者名称 主体名称 公钥信息 其他信息 … 自签证书( 根证书 ) 子证书 子证书 端实体证书 证书链示意 6.信任模型 （续） 4）证书验证 为了获得对某一证书的信任，验证者必须验证每个证书的三个方面，直到到达一个可信的根。 （1）证书的有效性 验证证书是否在有效使用期内。 （2）证书的可用性 验证是否已被撤销。 （3）证书的真实性（可信任性） 验证是证书是否为可信任的CA签发。 验证者必须验证在证书链上的证书是否是由可信CA的公钥所对应的私钥签发的。通过验证可信根CA的证书，信任此证书并且使用证书的应用程序就可以建立起对该实体的公钥的信任。 6.信任模型 （续） PKI的标准化 随着PKI的逐渐普及，为了更好地为社会提供服务，不同厂商的PKI产品需要互连互通。 如电力用户要用数字证书到银行去交电费，银行的PKI就要对电力用户的证书进行认证（确认身份）。通常电力PKI和银行PKI是不同厂商的产品，这就需要两家PKI产品能互操作，这需要支持相同的标准，如证书格式及接口规范等。 同时，PKI产品自身的安全性也非常重要，这就需要专门的机构和标准规范对产品的安全功能和性能进行测评认定。 因此，标准化就成了PKI发展的必然趋势。 PKI的标准化（续）* X.509 v.3，国际电信联盟，1995 PKCS系列标准，美国RSA公司 PKIX ，IETF组织的“公钥基础设施X.509”（Public Key Infrastructure X.509 ） WPKI，无线应用协议（Wireless Application Protocol ,WAP）论坛的“无线公钥基础设施”（Wireless Public Key Infrastructure） XKMS ，2001年，由微软、Versign和webMethods三家公司发布的“XML密钥管理规范”（ XKMS ，XML Key Management Specification） 目前XKMS已成为万维网协会（W3C, The World Wide Web Consortium ）的推荐标准，并已被微软、Versign等公司集成于他们的产品中（微软已在ASP.net中集成了XKMS，Versign已发布了基于Java的信任服务集成工具包TSIK）。 公钥基础设施PKI——应用与典型案例 PKI本身是一种安全技术，它的目的是要在虚拟、开放的网络世界建立起一种信任机制，为网上业务系统的安全以及参与网上业务的各方的相互信任提供安全机制，为网上业务过程中身份认证和访问控制、信息必威体育官网网址性、信息完整性和业务操作的抗抵赖等安全需求提供可靠保证。 PKI的主要目标是对各种安全应用服务提供支撑，并与具体的应用系统是分离的，PKI系统的设计、开发、生产及管理都可独立进行，不需考虑具体应用的特殊性； PKI通过延伸到用户本地的接口为各种应用提供安全服务，如身份鉴别、数字签名、机密性保护，访问控制等等； PKI应用 Web安全问题范围以及使用PKI系统的对策 安全电子邮件实现原理与方案 VPN实现原理与方案 Web安全 安全问题： 欺诈、泄露、篡改、攻击 SSL：由Netscape公司研究制定，该协议向基于TCP／IP的客户及服务器应用程序提供了客户端和服务器的鉴别、信息机密性及完整性等安全措施。 SSL主要提供三方面的服务 认证用户和服务器 加密数据以隐藏被传送的数据 维护数据的完整性 安全电子邮件 在安全的电子邮件系统中，收发双方都有对方的数字证书。发送方是在电子邮件的附件中增加发信者的数字签字，同时也可将邮件内容用对方的公钥加密。用户在收到电子邮件后，电子邮件系统对加密的邮件会自动解密，同时自动验证该邮件的数字签字并将结果通知用户，从而大大地提高了电子邮件的必威体育官网网址性和可信性。 PGP S/MIME PKI案例 电子税务 网上银行 网上证券