第6章公钥基础设施

目录第六章公钥基础设施目录了解公钥基础设施和密钥管理的基本概念；了解数字证书的概念、功能和分类；了解数字证书（X509证书）的内容和格式；掌握数字证书中的密钥管理功能；理解数字证书的注册生成、颁发、验证、使用和存放的流程；理解公钥基础设施的基本框架；了解公钥基础设施的国内外发展状况。知识目标目录初步掌握数字证书的注册生成、颁发、验证、使用和存放的流程。技能目标目录第一节公钥基础设施概述一、公钥基础设施和密钥管理公钥基础设施（publickeyinfrastructure，PKI）是一种遵循既定标准的密钥管理平台，它可以为各种网络应用透明地提供采用加密和数字签名等密码服务及所必需的密钥和证书管理体系。密钥管理，是一门综合性的技术，涉及密钥的产生、检验、分配、传递、保管、使用、销毁的全过程，还与密钥的行政管理制度以及人员的素质密切相关。目录第一节公钥基础设施概述密钥管理体制主要有3种：一是适用于封闭网技术，以传统的密钥管理中心为代表的密钥管理中心（KMI）机制；二是适用于开放网的PKI机制；三是适用于规模化专用网的SPK/SDKSPK目录第一节公钥基础设施概述二、PKI的基本概念和所要处理的问题PKI是一套利用非对称密码（公钥密码）技术为安全通信提供服务的基础平台的技术和规范，它规定了该安全基础平台应遵循的标准。目录第一节公钥基础设施概述PKI的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。因此，用户可利用PKI平台提供的服务进行电子商务和电子政务应用。目录第一节公钥基础设施概述PKI必须处理以下几个问题：密钥的安全生成密钥的安全归档和恢复信任关系的建立和管理签名和时间戳的产生证书及相关信息的发布证书的颁发、更新和终止初始身份的确认证书的有效性检查目录第一节公钥基础设施概述PKI有以下几个基本的组成部分。公钥证书证书管理机构署名用户证书存档注册机构策略管理机构证书吊销列表认证机构三、PKI的组成终端用户依赖方目录第一节公钥基础设施概述四、PKI的功能为了达到处理以上问题的目的，可以确定PKI系统具有以下服务功能。存储、恢复证书和黑名单发布签发证书注销证书密钥生命周期管理基于政策的证书路径验证用户登记目录第一节公钥基础设施概述五、PKI模式的主要流程PKI模式的主要流程如图6-1所示。目录第二节PKI数字证书一、数字证书概述（一）数字证书简介数字证书又称公钥证书，是由可信赖的权威机构（CA）签发的、标志身份信息的一系列数据。它是用来在电子商务活动中证实申请者的身份的唯一电子文件。数字证书采用公钥密码体制，利用一对匹配的密钥对（公钥和私钥）来进行加密和解密。目录第二节PKI数字证书目录第二节PKI数字证书（二）数字证书的功能数字签名身份认证文件加密目录第二节PKI数字证书（三）数字证书的分类按申请者的不同，数字证书可分为以下几种。安全邮件数字证书企业数字证书服务器数字证书代码签名证书Web站点数字证书个人数字证书目录第二节PKI数字证书二、数字证书的内容和格式X.509证书包括以下内容6.主体名称7.主体的公钥信息8.颁发者唯一标识符9.主体唯一标识符10.扩展域1.版本2.序列号3.证书中的签名算法4.颁发者的名称5.证书的有效期目录第二节PKI数字证书目录第二节PKI数字证书目录第二节PKI数字证书三、数字证书的管理（一）密钥管理数字证书中的密钥管理功能包括如下内容：提供密钥生成和分发服务更新管理实施密钥撤销其他密钥的生成和管理以及密码运算功能提供密钥托管和密钥恢复服务确定客户密钥的生存周期目录第二节PKI数字证书（二）数字证书的管理方法证书的验证证书的颁发证书的使用证书的存放证书的注册和生成12345目录第二节PKI数字证书1.证书的注册和生成数字证书的生成过程通常采用两种模式：集中生成模式分布式生成模式目录第二节PKI数字证书2.证书的颁发在证书的分布式生成模型中，数字证书颁发过程如下：用户利用下载的客户端软件系统产生了自己的密钥对，并将公共密钥及部分个人身份信息传送给CA。CA在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来。然后，CA将发送给用户一个数字证书，该证书内附有用户和他的密钥等信息，同时还附有对CA公共密钥加以确认的数字证书。当用户想证明其公钥的合法性时，就可以提供这一数字证书。目录第二节PKI数字证书3.证书的验证验证时，如果通信双方使用相同的CA，事情就很简单，甲只需验证乙证书上CA的签名即可；如果通信双方使用不同的CA，问题就复杂了，甲必须从CA的树型结构底部开始，从底层CA往上层CA查询，一直追踪到同一个CA为止，找出共同信任的CA。目录第二节PKI数字证书4.证书的使用持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：目录第二节PKI数字证书甲准备好要传送的数字信息，并且对数字信息进行哈希运算，得到一个信息摘要；然后用自己的私钥对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上；这样随机产生一个加密密钥，并用此密钥对要发送的信息进行加密；最后，甲用乙的公钥对随机产生的加密密钥进行加密，将加密后的密钥同密文一起传给乙。目录第二节PKI数字证书乙收到甲传送过来的密文和使用过的密钥，先用自己的私钥对加密的密钥进行解密，得到会话密钥；乙用密钥对收到的密文进行解密，得到明文的数字信息，并将密钥抛弃。然后，乙用甲的公钥对甲的数字签名进行解密，得到信息摘要；乙用相同的哈希算法对收到的明文再进行一次哈希运算，得到一个新的信息摘要。最后，乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。目录第二节PKI数字证书5.证书的存放数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。目录第三节PKI基本框架在PKI的基本框架中，具体包括管理实体、端实体和证书库三类实体。管理实体端实体证书库目录第三节PKI基本框架一、管理实体管理实体包括CA和RA，同时管理实体是PKI的核心，是PKI服务的提供者。CA是PKI框架中唯一能够发布和撤销证书的实体，维护证书的生命周期；RA负责处理用户请求，在验证了请求的有效性后，代替用户向CA提交。目录第三节PKI基本框架CA主要由以下3个部分组成：证书申请受理和审核机构认证中心服务器注册服务器目录第三节PKI基本框架认证中心的核心功能就是发放和管理数字证书，其具体描述如下：（1）接收、验证最终用户数字证书的申请。（2）确定是否接受最终用户数字证书的申请。（3）向申请者颁发或拒绝颁发数字证书。（4）接收、处理最终用户的数字证书更新请求。（5）接收最终用户数字证书的查询、撤销请求。（6）产生和发布证书吊销列表。（7）数字证书的归档。（8）密钥归档。（9）历史数据归档。目录第三节PKI基本框架二、端实体1.证书持有者证书请求私钥的签名和解密证书撤销请求向其他用户传送证书安装存储证书密钥更新请求生成密钥对安装和存储私有密钥目录第三节PKI基本框架2.证书信任方证书信任方可以实现的功能如下：核实证书接收证书检查身份和数字签名保密通信证书请求12345目录第三节PKI基本框架三、证书库证书库是一个分布式数据库，采用数据库镜像技术，将CA所签发的与本组织有关的证书和证书吊销列表存放到本地，以减少向总目录查询的次数，提高证书的查询效率。目录第三节PKI基本框架目录第四节PKI的国内外发展状况一、美国的PKI体系结构与发展目录第四节PKI的国内外发展状况目录第四节PKI的国内外发展状况二、我国PKI的体系结构我国的PKI体系由国家PKI协调管理委员会、国家电子政务PKI体系、国家公共PKI体系和国外PKI四部分组成，如图6-6所示。目录第四节PKI的国内外发展状况下面主要介绍国家电子政务PKI体系以及国家公共PKI体系。国家公共PKI体系国家电子政务PKI体系与国家公共PKI体系的联系国家电子政务PKI体系目录第四节PKI的国内外发展状况1.国家电子政务PKI体系目录第四节PKI的国内外发展状况2.国家公共PKI体系目录第四节PKI的国内外发展状况3.国家电子政务PKI体系与国家公共PKI体系的联系目录第四节PKI的国内外发展状况三、我国PKI建设面临的问题和发展前景我国的PKI建设主要存在两个方面的问题：技术难题和管理问题。而这两方面的问题又并非独立存在。究其原因，一方面是我国的CA技术并不成熟，虽然使用X-509标准，但是在传输、认证的方面仍有很多细节需要统一；另一方面是我国在CA管理的方面经验不足，导致出现重复和交叉，造成资源的浪费和交易过程的混乱。目录第四节PKI的国内外发展状况尽管当前我国的PKI自身存在较多问题，并同时面临着非PKI认证体系的挑战（如IDShield等，IDShield同样是一种认证系统），但是其发展前景被业界普遍看好。目录本章小结本章首先介绍了公钥基础设施的基本概念、组成和功能。PKI中最重要的概念是数字证书。它是由可信赖的权威机构（CA）签发的，标识身份信息的一系列数据。接着介绍了数字证书以及PKI的运行模型。其中，数字证书有文件加密、数字签名、身份认证的功能。根据申请者的不同，数字证书又可分为不同的种类。它遵循一定的格式，常见的为X509证书。在PKI的基本框架中，具体包括管理实体、端实体和证书库三类实体。最后，本章还介绍了美国联邦PKI的体系结构和我国PKI的体系结构与发展状况。目录综合训练1.简述公钥基础设施和密钥管理的基本概念。2.简述PKI的组成、功能和所能处理的问题。3.数字证书的功能有哪些？4.数字证书（X509证书）的内容和格式是什么？5.简述PKI的运行模型。6.PKI的实体对象有哪些？7.典型的PKI应用有哪些？目录实训设计了解PKI证书的下载方法，掌握PKI证书的查看方法，进一步了解CA认证。实训目标实训内容进入特定的认证机构，完成PKI证书的下载和安装。初步学习安装PKI证书目录