密码学应用之一PKI与CA.ppt

PKI/CA PKI概论 PKI/CA的理论基础 PKI/CA体系架构 PKI/CA标准与协议 国内外发展现状和前景 PKI/CA的应用 PKI概述 什么是PKI PKI的性能要求 为什么需要PKI PKI的发展历程 PKI的功能 什么是PKI PKI是public key infrastracture缩写 即公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。 PKI概述 什么是PKI PKI的性能要求 为什么需要PKI PKI的发展历程 PKI实现的安全功能 PKI的性能要求 透明性和易用性 可扩展性 互操作性 多用性 支持多平台 PKI概述 什么是PKI PKI的性能要求 为什么需要PKI PKI的发展历程 PKI的功能 为什么需要PKI 为什么需要PKI 为什么需要PKI 为什么需要PKI 为什么需要PKI PKI概述 什么是PKI PKI的性能要求 为什么需要PKI PKI的发展历程 PKI的功能 PKI/CA发展历程 1976年，提出RSA算法 20世纪80年代，美国学者提出了PKI的概念 为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会 1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念 1999年，PKI论坛成立 2000年4月，美国国防部宣布要采用PKI安全倡议方案。 2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础 ? ? ? ? ? ? PKI/CA发展历程 论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。 论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：） PKI/CA发展历程 中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织 是国家授权与国外有关PKI机构和组织沟通的窗口； 中国PKI论坛现任亚洲PKI论坛副主席； 中国PKI论坛目前挂靠在国家信息中心； 其网址为 PKI/CA发展历程 1996-1998年，国内开始电子商务认证方面的研究，尤其中国电信派专家专门去美国学习SET认证安全体系 1997年1月，科技部下达任务，中国国际电子商务中心（外经贸委）开始对认证系统进行研究开发 1998年11月，湖南CA中心开始试运行 1998年10月，国富安认证中心开始试运行 1999年第一季，上海CA中心开始试运行 1999年8月，湖南CA通过国密办鉴定，测评中心认证 1999年10月7日，《商用密码管理条例》颁布 1999年-2001年，中国电子口岸执法系统完成 1999年8月-2000年，CFCA开始招标并完成 PKI概述 什么是PKI PKI的性能要求 为什么需要PKI PKI的发展历程 PKI的功能 PKI实现的安全功能 认证 PKI实现的安全功能 PKI/CA PKI概论 PKI/CA的理论基础 PKI/CA体系架构 PKI/CA标准与协议 国内外发展现状和前景 PKI/CA的应用 PKI理论基础 密码学(略) 目录服务 数字证书 目录服务 目的是建立全局/局部统一的命令方案，它从技术的角度定义了人的身份和网络对象的关系； 目录服务是规范网络行为和管理网络的一种重要手段； X.500时一套已经被国际标准化组织（ISO）接受的目录服务系统标准； LDAP（轻量级目录访问协议）最早被看作是X.500目录访问协议中的那些易描述、易执行的功能子集 数字证书 什么是数字证书 证书验证 数字证书的使用 数字证书的存储 X.509数字证书 数字证书生命周期 什么是数字证书 数字证书(Digital ID)又叫“网络身份证”、“数字身份证”； 由认证中心发放并经认证中心数字签名的； 包含公开密钥拥有者以及公开密钥相关信息的一种电子文件； 可以用来证明数字证书持有者的真实身份。 是PKI体系中最基本的元素； 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 证书验证 单向验证 A产生一个随机数Ra； A构造一条消息，M=(Ta,Ra,Ib,d),基中Ta是A的时间标记，Ib是B的身份证明，d为任意的一条数据信息；数据可用B的公钥Eb加密； A将(Ca,Da(M))发送给B，其中Ca为A的证书，Da为A的私钥; B确认Ca并得到A的公钥； B用Ea去解密Da(M)，既证明了A的签名又证明了所签发信息的完整性； B检查M中的Ib； B检查M中Ta以证实消息是刚发来的； B对照旧数据库检查M中的