PKI技术综述

PKI技术第一讲综述什么是PKI？PublicKeyInfrastructure公开密钥基础设施普适性、系统是用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施(CarlistleAdams)产生、管理、存储、分发和撤销基于公开密钥密码学的公钥证书所必须的软件、硬件、人、策略和处理过程的集合(IETF)是硬件、软件、策略和人组成的系统，当完全并且正确的实施后，能够提供一整套的信息安全保障，这些保障对保护敏感的通信和交易是非常重要的(GAO：美国审计总署)澄清概念PKIPublicKeyInfrastructureCACertificationAuthority数字证书认证中心、认证中心、CA中心是PKI系统的最核心部件可以认为PKI的其他部件是依附于CA的所以，在非学术场合，我们看到CA和PKI的概念是混用基础设施PKI的类比--电力基础设施能够递归--使用电力控制的变电站PKI与应用的分离--电器PKI与防火墙等其它安全技术正如火车不能与电力基础设施进行比较一样PKI就在我们身边电子商务（包括移动商务）电子支付，电子合同、数字签名国防在线访问军事资源、通信保密、文件保密、秘密分级管理、各部门通信协调。电子政务电子公章、资源访问控制、文件保密登录授权VPN各种实例（一）中国各大银行已大规模地推广基于个人数字证书的网上银行身份认证，防止银行账号被窃和网银欺诈25家银行采用数字证书，根据央行05年10月26日颁布的《电子支付指引》，凡使用数字证书等安全认证方式的网银用户，将不会存在每日、每笔网上支付金额的限制ICAO（国际民用航空组织InternationalCivilAviationOrganization）制定了PKI数字证书的电子护照标准每个香港公民一人一个智能身份证，每个智能身份证上配发一个全球通用的由香港邮政局颁发的个人数字证书各种实例（二）中国电子口岸基于移动运营商无线网络（联通CDMA或移动GPRS），利用手机等移动终端，实现公众的，商务的，政务的应用。基于中国电子口岸CA系统，建立起电子口岸的WPKI移动应用安全架构，最终满足企业的安全要求CERNET2网络中间件技术研究与试验：证书服务和PKI技术校园信息化基础平台：基于CA/PKI的信息安全技术美国军方采用基于PKI技术的网络身份证/工作证国内外PKI发展二十世纪八十年代，美国学者提出了PKI（公开密钥基础设施）的概念1996年成立了联邦PKI指导委员会1999年，PKI论坛成立2000年4月，美国国防部宣布要采用PKI安全倡议方案2001年6月13日，“亚洲PKI论坛”成立2002年2月经国家计委批准，正式成立了“中国PKI论坛”筹备工作组2002年7月2日到5日在北京召开了“亚洲PKI论坛”第二届年会2007年11月7日，“亚洲PKI联盟”（APKIC，AsiaPKIConsortium）成立大会在中国西安召开。世界各国的PKI建设美国——联邦桥计划加拿大——加拿大PKI计划澳大利亚、英国、法国、德国、意大利、奥地利、比利时、希腊、荷兰、芬兰、日本、俄罗斯等几十个国家都在发展、使用PKI欧洲——欧洲桥CA，促进欧洲各种的CA互联互操作美国——联邦桥联邦桥CA邮政服务部门CA社会安全部门CA美国国防部CA能源部CANASACA..................国防部能源部....................连接各部门的PKI/CA系统美国邮政服务部门（PostalService）已经建立了NetpostCertified，它将为各机构提供安全、便宜的电子信息传输服务社会安全部门（SocialSecurity）计划建立一个PKI以允许其雇员能够通过Internet网提供工资信息美国国防部计划建立一个PKI用于军事采购其他部门韩国PKI体系建设NPKI（发证给市民）6家认可CA，1个根CA（韩国信息安全局）GPKI（发证给内部服务机构）1个根CA（政府计算机中心），其它政府部门CA应用发展证书发放达到7.2百万在利用手机无线文档服务应用项目上与韩国三星等大型企业结成战略联盟应用举例基于PKI技术的安全Internet投票系统2002年世界杯赛中的最有价值球员中国的PKI建设(1)区域型上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA（简称HBECA）；海南电子商务认证中心（HNECA）；广东省电子商务认证中心行业型金融、电信和外经贸等行业建立的相关证书机构国内十三家商业银行联合建设中国金融认证中心(CFCA)中国电信组建的CTCA由国家外经贸部建立的中国国际电子商务中心（CIECC）国家根CA国家密码管理局中国的PKI建设(2)获证机构和发证数量，逐年增加至2005年底，15家CA，发证总量236万至2006年底，21家CA，累计发证546万至2007年底，26家CA，初步统计发证约740多万上海CA累计发证突破90万（2007年7月）CFCA累计发证突破100万（2006年7月）山东CA已发放证书40多万张（2006年1月）……中国的PKI建设(3)应用领域网上支付2006年3月，支付宝公司推出国内支付领域首张数字证书电子病历截至2007年12月，广西医科大学第一附属医院36个临床病区采用电子病历，5万份电子病历使用电子签名2007年，广东中山市人民医院1300余名医护人员制作了证书网上交易平台2007年，广东省开通网上药品采购平台，发放6000多张证书中国的PKI建设(4)技术产品18项通过国家密码管理局技术鉴定的电子认证系统（SRQ系列）截至2006年底，电子认证和数字证书应用的软件系统和硬件设备产品达千种以上，涉及机构超过300家亚洲PKI论坛发展历史从2000年开始，由日本、韩国、新加坡等发起，酝酿创建亚洲PKI论坛。2001年6月，在东京举行亚洲PKI论坛成立大会日本当选为首届亚洲PKI论坛主席，中国、韩国和新加坡当选为副主席亚洲PKI论坛的活动召开信息交流研讨会，促进PKI制度、技术跨国界协调推动所需调查、验证实验以及工作组活动有效协调与其他地区各类电子商务活动的合作参与PKI技术标准化和成员间互操作活动调研电子交易相关法律、法规推动论坛成员间的友好往来等加强亚洲国家和地区与美国的PKI论坛、欧洲EESSI等PKI组织联系，促进国际间PKI互操作体系的建设发展亚洲PKI论坛工作小组技术互操作组anexpertgroupofPKItechnology,whoaddressesPKIinteroperabilityissuesinordertoestablishacertificationsystem,whichisavailableinAsiaasacommoninfrastructure.商务应用组researchactivities&casestudyrelatedtobusinesscaseandapplicationsofeachregion法规组issuesalegalreportyearlythroughthemembers'discussionandresearchconcerningcross-bordere-commerce国际合作组initiate,facilitateandrealizethemutuallybeneficialinformationsharing亚洲PKI联盟（1）2006年9月，成立了由中国、韩国、中华台北三方组成的改革计划组（TPT，TransformationPlanningTeam），共同协商论坛的改革事务。2007年11月7日在中国西安，原亚洲PKI论坛改革为亚洲PKI联盟（APKIC，AsiaPKIConsortium)，组织的工作重点和工作领域将从PKI技术/政策转变为促进PKI产业市场应用的发展。亚洲PKI联盟（2）联盟主要将在以下方面进行工作：提高亚太地区PKI应用系统间的互操作性，以建立互联互通的无缝电子商务环境，促进PKI技术得到更为广泛的市场应用，促进整个PKI产业链中各机构、厂商的共赢。继续致力于技术推广、标准制定、国际合作等原有工作目标。考虑到亚太地区PKI技术发展的不平衡，联盟将继续致力于培训PKI相关技术人才、出版书籍、召开讲座和会议等。在新的APKIC中，成员结构将发生变化，新的成员类型将被允许进入联盟。企业、非营利组织和个人可以直接成为会员，从而更加直接地在APKIC的各种事务中发挥作用。国内外的PKI相关立法1995年，美国犹他州颁布了《数字签名法》2000年6月30日，美国总统克林顿正式签署了美国《全球及全国商业电子签名法（TheElectronicSignaturesinGlobalandNationalCommerce(e-SIGN)Act）》加拿大1999年9月30日颁布了《UniformElectronicCommerceAct》，该法律规定了传统签名与数字签名有同等的法律地位，允许政府使用电子技术提供服务和与公民通讯。欧盟数字签名法律《EUDigitalSignatureDirective》于2001年7月24日正式生效法国2000年2月29日颁布了电子签名法案，于2001年4月1日生效。国内外的PKI相关立法德国《数字签名法（DigitalSignatureLaw）》于2001年3月22日开始生效。韩国1998年正式通过数字签名法，1999年7月这一法律开始正式实施泰国2000年3月14日颁布了《theElectronicTransactionBillandElectronicSignatureBill》马来西亚于1997年颁布了《DigitalSignatureAct》新加坡于1998年颁布《电子商务法》，有关电子签名的法律规定是该法最核心的内容《中华人民共和国电子签名法》2005年4月1日，《中华人民共和国电子签名法》正式实施电子签名效力等同传统文笔签名《电子签名法》：电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。信息产业部《电子认证服务管理办法》国家密码管理局《电子认证服务密码管理办法》目前PKI技术是实现电子签名的最佳技术手段《电子签名法》的重要内容第一，确立了电子签名的法律效力明确了在众多的电子签名方法和手段中，满足什么条件的电子签名才具有与手写签名或者盖章同等的效力第二，对于电子数据，对电子形式的文件作了相关规定电子文件在什么情况下才具有法律效力电子文件在什么情况下可以作为证据使用规定了确定电子文件发送人、发送时间和发送地点的标准PKI的标准化最主要的PKI标准ITU-TX.509IETFPKIX二者基本上是相互兼容的，其他如：USFPKI，美国联邦PKI规范USMISPC，最小互操作规范GOCPKI，加拿大PKI规范应用标准S/MIMEIPSECTLS/SSLCryptoAPI中国的PKI标准化2002年4月15日，全国信息安全标准化技术委员会成立PKI/PMI工作组（WG4）国内外PKI/PMI标准体系的分析研究PKI/PMI标准体系国内急用的标准调研完成一批PKI/PMI基础性标准的制定工作信息产业部《电子认证服务管理办法》国家密码管理局《电子认证服务密码管理办法》WG4工作国家标准（X509V4/V3版）的转化工作和信息安全有关专用术语国内外PKI/PMI标准现状的分析PKI/PMI标准体系基于X.509v3的国内证书X509C证书格式规范PKI组件最小互操作规范X509在线证书状态查询协议X509PKI证书管理协议介质接口标准AA标准CP/CPS标准PKI安全支撑平台技术规范PKI应用支撑平台技术规范基于P