搜索
PKI技术概述主讲教师:课件制作:课程名称:数据加密与PKI技术1.什么是对称密码体制?2.什么是公钥密码体制?3.公钥密码体制的主要功能?公钥密码体制非对称密码体制也称。公钥密码体制存在一个公钥/私钥对,用私钥加密的信息只能用对应的公钥解密,用公钥加密的信息只能用对应的私钥解密。公钥可以公开;而私钥,所有者才能使用。例如:RSA对称密码体制是双方在加密解密过程中要使用完全相同的一个密钥。例如:DES加密、数字签名、身份验证、密钥交换内容回顾发送方接收方对称密钥加密对称密钥解密密文明文传送两个密钥相同对称加密(图例)发送方接收方接收方的公钥加密接收方的私钥解密密文明文传送接收方的密钥对公钥私钥公钥密码体制加密(图例1)多个用户加密的信息只能由一个用户解读发送方接收方发送方的私钥加密发送方的公钥解密密文明文传送发送方的密钥对私钥公钥一个用户加密的信息,多个用户解读公钥密码体制加密(图例2)公钥密码体制的重要应用——数字签名•身份验证,数据的完整性•使用散列算法创建消息摘要•消息摘要经过私钥加密•接收方用同样的算法创建出一个新的消息摘要•与用公钥解密的消息摘要进行比较•如果这两个消息摘要互相匹配,则可保证完整性发送方接收方传送HASH算法消息摘要发送方私钥加密的消息摘要消息消息消息摘要消息消息摘要新创建的消息摘要发送方公钥解密消息摘要相同的HASH算法对比两个消息摘要,若相同则签名验证成功;否则,原文被篡改或发送人身份不对公钥密码体制的重要应用——数字签名网络中需要实现的安全功能1.1你是谁?BobAliceInternet/Intranet应用系统1.2怎么确认你是Bod?认证1.1我是Bob.1.2我有数字身份证.授权保密性2.我能干什么?2.你能读取信息,但不能修改3.如何让别人无法偷听?3.使用密钥加密消息。5.我偷了机密文件,我不承认.4.如何保证信息不能被篡改?4.别怕,你把消息生成摘要发给我,我来验证5.我有你的罪证,你每次来访问系统都留有你的指纹。防抵赖完整性PKI引入•数据加密–对称加密算法、公钥密码算法•身份验证:–数字签名•完整性检查:–使用散列函数生成摘要…………太麻烦啦,有没有一个系统包括上面所有的技术PKI(公钥基础设施)可以包括上面所有技术,完成所有功能能力目标:能够在WindowsServer2003中配置证书服务器、客户端在线申请证书教学目标知识目标:理解PKI的定义理解数字证书及相关概念了解PKI的基本应用目录PKI定义数字证书PKI的组成PKI的应用目录PKI定义数字证书PKI的组成PKI的应用PKI定义PKI就是利用公钥密码理论和技术建立的提供安全服务的基础设施。所谓基础设施,就是在某个大环境下普遍适用的系统和准则。在现实生活中有一个大家熟悉的例子,这就是电力系统,它提供的服务是电能我们可以把电灯、电视、电吹风机等看成是电力系统这个基础设施的一些应用。公共密钥基础设施(PKI)则是希望从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用(如浏览器、电子邮件、电子交易)提供可靠的安全服务。金融信赖和安全交易保密交易数字签名身份认证数据完整性不可抵赖性数据加密以PKI为基础的安全网络PKI定义数字证书——PKI可以提供的安全服务PKI定义用公钥概念和技术实施支持密钥的管理提供真实性、保密性、完整性和不可抵赖性安全服务具有普适性的安全基础设施目录PKI定义数字证书PKI的组成PKI的应用数字证书——问题的提出设用户A希望给用户B传送一份机密信息。发送者A接收者B请求B的公钥发送用B的公钥加密的消息先来看看正常情况下的通信发送B的公钥假冒B发送T的公钥设用户A希望给用户B传送一份机密信息。发送者A接收者BT攻击者请求B的公钥发送用攻击者T的公钥加密的消息用私钥解密其加密消息如果A收到一个自称是B的公开密钥,能相信吗?问题所在:对公钥缺乏鉴别机制!数字证书——问题的提出怎么解决这个问题呢?数字证书——问题的提出大家想一想:如果一个人要住旅店,旅店的工作人员需要他出示什么东西?为什么身份证等证件可以证明一个人的身份?公安机关、派出所是发证机关,这些权威机关签发的证件可以证明一个人的身份;在数字世界里也是这样,可以用权威机关签发的数字证书证明身份第三方实体称证书授权中心(CertificateAuthority),CA),它向用户颁发数字证书,证书中含有用户名、公开密钥以及其他身份信息,并由证书颁发机构对之进行了数字签名,即证书的拥有者是被证书机构所信任的。若信任证书机构信任证书拥有者数字证书——问题的提出数字证书是网络用户的身份证明,相当于现实生活中的个人身份证。数字证书需要一个或多个可信的第三方来担保用户的身份。•证书是PKI中最基本的组件•证书被发行给主体,担保主体的身份•一个证书包含用户的公钥•证书可以用于加密•证书包含权威机构的签名主体Alice的证书数字证书公钥权威机构的签名•公钥证书的主要内容•身份证主要内容持有者(Subject)标识签发者(Issuer)标识有效期公钥CA的数字签名姓名签发单位有效期照片签发单位盖章、防伪标志序列号身份证号码数字证书——证书的内容持有者标识:序列号:41*************142515签发机构:***市公安局分局签发时间:2006.08.16过期时间:2026.08.16持有者公钥:照片CA签名:印章、防伪标识数字证书数字证书——数字证书与身份证的对照数字证书——数字证书实例通过证书,可以使证书的拥有者向系统中的其它实体证明自己的身份基于PKI的数字证书将公钥与其用户的身份捆绑在一起,证书必须要有一定的标准格式。目前广泛采用的证书格式是国际电信联盟(ITU)提出的X.509v3格式内容说明版本VX.509版本号证书序列号用于标识证书算法标识符签名证书的算法标识符参数算法规定的参数颁发者证书颁发者的名称及标识符(X.500)起始时间证书的有效期终止时间证书的有效期持证者证书持有者的姓名及标识符算法证书的公钥算法参数证书的公钥参数持证书人公钥证书的公钥扩展部分CA对该证书的附加信息,如密钥的用途数字签名证书所有数据经H运行后CA用私钥签名数字证书——数字证书的格式仅仅有数字证书是不够的,用户需要怎么申请数字证书?PKI都有哪些组件构成?数字证书——问题的提出目录PKI定义数字证书PKI的组成PKI的优势PKI的组成认证中心CAPKI的应用PKI策略注册机构RA证书发布系统软硬件系统操作过程的详细文档安全组织方面的指导方针密码系统使用的处理方法和原则PKI系统运行所需的所有软、硬件的集合主要包括认证服务器、目录服务器、PKI平台等负责管理密钥和数字证书的整个生命周期,证书的申请、签发、更新、查询、撤销等负责证书的发放Web服务器和浏览器之间的通讯电子邮件电子数据交换(EDI)互联网上的信用卡交易虚拟专用网(VPN)用户和CA之间的接口。接受用户的注册申请,获取并认证用户的身份,完成收集用户信息和确认用户身份应用系统WEB-CALDAP加密卡加密卡应用服务应用服务RA注册系统DBMSCA服务器CA服务器LDAP管理终端CA发证系统管理终端审计服务器RA服务器信息中心防火墙防火墙移动用户外部用户内部用户/发放网点防火墙互联网读卡器读卡器软盘软盘PKI的组成-网络结构CA、RA与证书管理•认证中心(CA)•证书注册机构(RA)•证书管理对证书进行管理,包括颁发、废除、更新、验证证书和管理密钥。(1)颁发证书:以数字签名的方式,签发证书,发布订户的公钥(2)废除证书(3)证书更新:当用户私钥泄漏或证书的有效期快到时,用户应申请更新私钥。这时用户可以申请更新证书,并废除原来证书。证书更新的操作步骤与申请颁发证书类似。(4)证书验证:包括验证有效性、可用性与真实性。(5)密钥管理:包括密钥的产生、备份与恢复以及密钥的更新。CA——主要功能CA层次结构•对于一个运行CA的大型权威机构而言,签发证书的工作不能仅仅由一个CA来完成•它可以建立一个CA层次结构证书等级根CA从属CA从属CA从属CA信任信任信任认证中心CA(图例1)CA公安局身份证数字证书CA与RACA公安局申请身份证申请数字证书RA(注册机构)派出所RA•注册机构•RegistrationAuthority•负责进行各种信息审查•RA可以有多个,并行地处理–审核之后,交给CA,由CA签发证书公钥/私钥生成证书的管理(图例1)1)证书的生命周期(图)2)数字证书的产生用户填写证书申请表发证机构(CA)验证核实后,用自己的私钥签发电子证书证书有效期发证机关签名发证机关用户信息公钥私钥私钥私钥秘密保存CA的私钥签名公钥用户产生一对私钥/公钥123数字证书的产生私钥秘密保存私钥公钥证书的管理(图例2)用户RACA1.注册表格请求2.注册表格应答3.注册表格提交6.注册结果4.注册建立请求5.注册建立结果8.证书响应7.证书请求证书的管理(图例3)3)注册和颁发证书4)证书的使用①请求访问②要求出示证书③提交数字证书④随机数N(公钥加密)⑤响应N(解密)用CA公钥验证证书真实性,验证有效性客户端服务器客户端请求访问服务器的单向鉴别过程:用其私钥进行运算完成鉴别证书的管理(图例4)4)挂起证书有时,CA需要临时限制证书的使用,但又不需要撤销证书。证书的管理挂起证书就想银行卡临时挂失一样,以后还是可以重新启用的这个数字证书的。5)证书撤销CA签发的证书捆绑了用户的身份信息和公钥,在生命周期里都是有效的。但在现实环境中,由于这些原因包括:用户身份的改变、密钥丢失或泄露。证书的管理这种情况下需要撤销证书6)密钥备份与恢复在任何可操作的PKI环境中,在密钥或证书的生命周期内都会有部分用户丢失他们的私钥,可能有如下的原因:(1)遗失加密私钥的保护口令;(2)存放私钥的媒体被损坏,如硬盘、U盘或IC卡遭到破坏。PKI可以备份并能恢复证书证书的管理目录PKI定义数字证书PKI的组成PKI的应用PKI的应用国防在线访问军事资源、通信保密、文件保密、秘密分级管理、各部门通信协调。登录授权电子商务(包括移动商务)电子支付,电子合同、数字签名电子政务电子公章、资源访问控制、文件保密安全通信流程一客户查询商品流程二客户的购物篮流程三客户填写并确认订单PKI/CA应用消费者商家支付网关收单银行认证中心CA发卡银行认证确认审核确认请求订单认证认证批准审核确认电子交易总结PKI定义数字证书PKI的组成PKI的应用实验目标•安装证书服务•配置证书服务实验拓扑结构客户机客户机客户机企业根CA服务器本地网络实验完成标准•通过查看证书,了解证书的信息及工作状态•当用户申请证书时,在服务器的证书颁发机构管理控制台中查看是否颁发了证书•查看吊销的证书选项,看证书是否被吊销附录:在Windowsserver2003下申请证书•安装证书服务•创建企业根CA•通过管理控制台申请证书•通过Web注册申请证书•查看企业根CA证书•证书的导入和导出•吊销证书•将证书映射到用户账户安装证书服务Page55/321.在Windows组件中安装证书服务2.安装证书服务后,计算机名和域成员身份都不能更改3.证书可以通过Web注册1.创建企业根CA2.选择加密程序和对密钥对的设置3.输入CA的识别信息4.证书数据库设置5.停止IIS服务6.完成安装新安装的证书服务创建企业根CA2.添加/删除管理单元3.添加管理单元5.为用户账户管理证书4.选择证书管理单元6.证书管理单元安装完毕,单击确定7.申请证书8.证书申请向导1.键入MMC命令通过管理控制台申请证书9.选择证书类型10.为新证书键入名称和描述11.完成证书申请向导12.证书申请成功申请的证书通过管理控制台申请证书(Cont.)1.键入:“地址/certsrv”2.欢迎页面3.选择证书类型4.正在等待服务器的响应5.安装此证书6.证书安装完毕通过Web注册申请证书通过Web注册申请证书查看企业根CA证书1.双击要查看的证书2.查看证书3