1 / 111

第六章 公开密钥设施 PKI

计算机系统安全. 第六章 公开密钥设施 PKI. 第六章 公开密钥设施 PKI. 一、需要解决的问题. 网络安全的要求 : 数据传输的机密性 数据交换的完整性 发送信息的不可否认性 交易者身份的确定性. 第六章 公开密钥设施 PKI. 一、需要解决的问题. 安全解决方案: 建立安全证书体系结构。提供在网上验证身份的方式。主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。. 第六章 公开密钥设施 PKI. 二、信任及信任模式. 1、什么是信任

tracy
Download Presentation

第六章 公开密钥设施 PKI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 计算机系统安全 第六章 公开密钥设施PKI

  2. 第六章公开密钥设施PKI 一、需要解决的问题 • 网络安全的要求: • 数据传输的机密性 • 数据交换的完整性 • 发送信息的不可否认性 • 交易者身份的确定性

  3. 第六章公开密钥设施PKI 一、需要解决的问题 安全解决方案: 建立安全证书体系结构。提供在网上验证身份的方式。主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。

  4. 第六章公开密钥设施PKI 二、信任及信任模式 1、什么是信任 信任:实体A认定实体B将严格地按A所期望的那样行动,则A 信任B。(ITU-T推荐标准X.509的定义) 称A是信任者,B是被信任者。信任涉及对某种事件、情况的预测、期望和行为。信任是信任者对被信任者的一种态度,是对被信任者的一种预期,相信被信任者的行为能够符合自己的愿望。

  5. 第六章公开密钥设施PKI 二、信任具有不同的类别。 按照涉及到的事件、情况的分类,信任可以表现为三种期待:对自然与社会的秩序性,对合作伙伴承担的义务,对某角色的技术能力。例如在电子商务中,交易者信任交易系统对每个用户是公平的、对用户的私有信息是严加保密的、交易系统是稳定的并且能够完成交易的全过程而且保证交易的正确性等等。

  6. 第六章公开密钥设施PKI 三、信任具有时间差。 信任者的期待在前,被信任者的行为在后,信任者与被信任者之间存在着时间上的某种不对称性。

  7. 第六章公开密钥设施PKI 四、信任具有不确定性。 依据信任而做出的决策,产生的行为结果是不确定的,即结果可能与期望相符也可能与期望不符。信任是实体决策时的一个主观概念,是一种非理性的行为,它处在全知与无知之间,是一种依据过去形成的信任关系对未来的期望。

  8. 第六章公开密钥设施PKI 五、信任与风险是相联系的。 信任是在对未来事件的不可预料中才会有的,行为结果的不确定性使信任者的决策具有风险,即便决策依据完全信任。行为结果如果具备了确定性,就不存在风险与应对风险这一特定方式了。

  9. 第六章公开密钥设施PKI 六、信任是动态和非单调的。 信任关系的建立有很多种,如自觉的、强制的、道德约束的或法律制约的、利益驱动的。信任随着实体的行为结果将动态变化。对一个实体得出的信任或不信任评价依赖于被信任者的交易历史,良好的交易评价将得到较高程度的信任,信任者依据对决策之后行动结果的信任评价,不断修正对实体的信任程度。

  10. 第六章公开密钥设施PKI 七、信任是决策的重要因素,但不是唯一因素。 例如实体A信任实体B,而同时实体B不信任实体A,但实体B可能为获得较大的收益而不顾风险与实体A与进行一次交易。

  11. 第六章公开密钥设施PKI 信任者与被信任者建立信任关系分为四个阶段: 1)信任者对被信任者的行为进行信任评价,得到预测结果; 2)依据预测结果及其他参考因素,进行综合决策,决定被信任者的行为是否发生; 3)若被信任者的行为发生,将产生实际结果; 4)对被信任者的行为结果进行信任评价,即比较预测结果与实际结果,根据信任评价修正信任关系。

  12. 第六章公开密钥设施PKI 2、直接信任与推荐信任 按照有无第三方可信机构参与,信任可划分为直接信任和第三方的推荐信任。

  13. 第六章公开密钥设施PKI 2、直接信任与推荐信任 1)第三方信任 第三方信任是指两个实体以前没有建立起信任关系,但双方与共同的第三方有信任关系,第三方为两者的可信任性进行了担保,由此建立起来的信任关系。第三方信任的实质是第三方的推荐信任,是目前网络安全中普遍采用的信任模式。

  14. 信任信任 信任 第六章公开密钥设施PKI 第三方 第三方信任 Alice Bob 第三方信任

  15. CA CA 第六章公开密钥设施PKI 信任 第三方信任 Alice Bob Bill Anne CA域X CA域Y 扩展的第三方信任模型 (交叉认证)

  16. 第六章公开密钥设施PKI 2)直接信任 直接信任是最简单的信任形式。两个实体间无须第三方介绍而直接建立信任关系。

  17. 第六章公开密钥设施PKI 2)直接信任 在Web浏览器中,用户直接信任根CA密钥,因为密钥是由制造商直接提供的; 在PGP中,用户自己验证密钥,从不设置其他可信介绍人,这就是直接信任; 当两个从不同的CA来的实体要进行安全通信,而这两个CA之间不能交叉认证时,这时也需要直接信任,在此基础上直接交换密钥,建立起信任关系。如果没有直接信任,交换密钥就没有价值的。

  18. 第六章公开密钥设施PKI 二、PKI PKI (Pubic Key Infrastructure)的概念   PKI是经过多年研究形成的一套完整的Internet安全解决方案,是一种实用的密码技术。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI平台提供的服务进行安全通信。

  19. 第六章公开密钥设施PKI 二、PKI PKI 的发展现状 国外的PKI应用已经开始,开发PKI的厂商也有许多家,如Baltimore,Entrust等推出了可以应用的PKI产品,有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此,总的说来 PKI技术仍在发展中。

  20. 第六章公开密钥设施PKI 二、PKI PKI的发展现状 按照国外一些调查公司的说法,PKI系统仅仅还是在做示范工程。IDC公司的Internet安全资深分析家认为:PKI技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。

  21. 联想电子订单项目 项目背景: 联想集团成立于1984年,到今天已经发展成为一家在信息产业内多元化发展的国际化公司。随着联想电脑的市场份额的不断提升,已经在国内建立了完善的渠道体系,两千多家渠道分销商分布再全国各地。建立一个分销环节的电子化管理势在必行。联想电子订单系统正是联想维系各分销商进行销售管理的纽带,联想各分销商通过电子订单系统向联想下产品分销订单,联想根据电子订单来组织生产,并进行产品配货,最终实现联想产品的销售。

  22. 联想电子订单项目 项目背景: 基于开放的互联网应用的电子订单系统存在很多安全隐患,其中最为重要的就是分散在各地的分销商身份认证和访问控制、电子订单传输的机密性和完整性、电子订单的抗抵赖性。一个订单的正式生效依然要保持电子订单及纸质合同订单两套系统,尤其在销售旺季,每天纸质合同处理量往往让整个部门筋疲力尽。为了充分让电子订单系统快速高效优势,,真正发挥电子商务所带来的快捷高效低成本的优势,联想电子商务部决心对电子订单系统进行改造,解决存在的安全隐患,最终在2003年底进行了电子订单系统可信平台项目招标。

  23. 联想电子订单项目 解决方案: 天威诚信作为第三方认证机构,就联想的诸多问题提供了完整的PKI/CA解决方案,凭借着完整的合法电子订单保存机制,在招标中脱颖而出,其解决方案如下:

  24. 第六章公开密钥设施PKI 联想电子订单项目

  25. 联想电子订单项目 解决方案: 联想个经销商和渠道分销商访问联想电子订单系统时,必须使用数字证书才能登陆该系统。系统通过验证提交的数字证书,来验证联他们的身份,实现身份认证和访问控制。 各经销商和渠道分销商给联想发送电子订单时,使用数字证书对电子订单进行完全符合《中华人民共和国电子法》要求的数字签名,并通过加密通道进行传输,保证电子订单的机密性、完整性和抗抵赖性。

  26. 联想电子订单项目 解决方案: 电子订单系统完成后续业务处理,产生确认回执,使用销售总部的证书,对确认回执进行签名确认并返回给客户,客户可以完成验证,并下载保存。

  27. 联想电子订单项目 带来的价值: 在联想电子订单项目中,天威诚信科学地设计了面向大规模用户的高效率签证流程,天威诚信作为合法第三方数字认证机构帮助联想完成数字证书鉴证签发等工作,很好的满足了联想现有的工作模式的电子化集成工作。

  28. 联想电子订单项目 带来的价值: 电子订单实现了一次确认、无纸化,有效降低了与经销商之间的沟通成本,简化了商务流程,提高了商务效率,使电子合同的即时性、高效性、准确性得以充分展现。不仅带来了可观的经济效益,经过联想方面的反馈,每年联想从分销管理系统中直接受益金额达到百万人民币以上。天威诚信通过提高分销管理能力,帮助联想集团在纷繁复杂的竞争中保持国内市场保持其领先地位。

  29. 第六章公开密钥设施PKI 二、PKI PKI (Pubic Key Infrastructure)的概念 PKI系统由五个部分组成:认证中心CA,注册机构RA、证书库CR 、证书申请者、证书信任方。前三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参与者。

  30. 第六章公开密钥设施PKI PKI的功能 证书产生与发放;证书撤销;密钥备份及恢复;证书密钥对的自动更新;密钥历史档案;支持不可否认;时间戳;交叉认证;用户管理(如登录、增删等);客户端服务:理解安全策略,恢复密钥,检验证书,请求时间戳等。 其他功能: 支持LDAP ;支持用于认证的智能卡。此外,PKI的特性融入各种应用(防火墙、浏览器、电子邮件、网络OS)也正在成为趋势。

  31. 第六章公开密钥设施PKI 数字证书和PKI解决哪些问题  数字证书能够解决信息传输的保密性、完整性、不可否认性、交易者身份的确定性问题。数字证书和PKI结合解决电子商务中的安全问题。

  32. 第六章公开密钥设施PKI 数字证书和PKI解决哪些问题 在传统的安全解决方案中,密码服务与应用紧密地结合在一起,每一种网络应用都有自己的一套密钥管理,功能大量冗余,管理维护工作复杂,费用高,而且这种分散式的方案存在安全隐患,互操作性也得不到保证; 而PKI以统一的、通用的方式来解决所有应用的共同安全问题。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此身份和所交换的信息,能够安全地从事商务活动。

  33. 第六章公开密钥设施PKI 美国的公开密钥体制 1.PAA(Policy Approval Authority)策略机构是PKI核心和基础,为所有的用户、用户组织和CA制定指南,监管所有制定策略的机构。 2.PCA(Policy Creation Authority)是整个PKI的二级CA,开发安全策略。 3.CA是第三层实体。CA在其上级PCA规定的安全策略下运行。

  34. 第六章公开密钥设施PKI 美国的公开密钥体制 4.ORA(OrganizationRegistration Authority):鉴别个人身份,确认用户与单位的隶属关系。 5.用户:用户是整个PKI树的叶节点,用户通常是个人。 6.目录服务器:使用X.500或LDAP提供证书和CRL发布功能。

  35. 第六章公开密钥设施PKI 1、认证机关 为信息安全提供有效的、可靠的保护机制,包括机密性、身份验证特性、不可否认性(交易的各方不可否认它们的参与)。这就需要依靠一个可靠的第三方机构验证,而认证中心(CA:Certification Authority)专门提供这种服务。   证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CA(Certification Authority-认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。

  36. 第六章公开密钥设施PKI 什么是CA机构 CA机构,又称为证书授证中心,是为了解决电子商务活动中交易参与的各方身份、资信的认定,维护交易活动中的安全,从根本上保障电子商务交易活动顺利进行而设立的,是受一个或多个用户信任,提供用户身份验证的第三方机构,承担公钥体系中公钥的合法性检验的责任。

  37. 第六章公开密钥设施PKI 什么是CA机构 在SET交易中,CA不仅对持卡人、商户发放证书,还要对收款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。

  38. 第六章公开密钥设施PKI 二、PKI RA(Registration Authority) 数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。

  39. 第六章公开密钥设施PKI 二、PKI CA的职能 (1)接收验证最终用户数字证书的申请。 (2)确定是否接受最终用户数字证书的申请-证书的审批。 (3)向申请者颁发、拒绝颁发数字证书-证书的发放。 (4)接收、处理最终用户的数字证书更新请求-证书的更新。

  40. 第六章公开密钥设施PKI 二、PKI CA的职能 (5)接收最终用户数字证书的查询、撤销。 (6)产生和发布证书废止列表CRL(Certificate Revocation List) 。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。

  41. 第六章公开密钥设施PKI 认证中心为了实现其功能,主要由以下三部分组成:   注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。

  42. 第六章公开密钥设施PKI 认证中心为了实现其功能,主要由以下三部分组成:   证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。

  43. 第六章公开密钥设施PKI 认证中心为了实现其功能,主要由以下三部分组成:   认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。

  44. 第六章公开密钥设施PKI 我国CA的建设情况 中国电信CA安全认证体系(CTCA)、上海电子商务CA认证中心(SHECA)和中国金融认证中心(CA)等。

  45. 第六章公开密钥设施PKI 数字证书   数字证书是网络通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。由权威机构CA机构发行的,人们可以在交往中用它来识别对方的身份。

  46. 第六章公开密钥设施PKI 证书原理:数字证书采用公钥体制。用户设定一把特定的仅为本人所有的私有密钥(私钥), 用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。

  47. 第六章公开密钥设施PKI 数字证书的作用:使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发方和接方外不被其它人窃取或篡改。

  48. 第六章公开密钥设施PKI   数字证书可用于:安全地发送电子邮件;访问安全站点、网上招投标、网上签约、网上订购、安全网上公文传送、 网上办公、网上缴费、网上购物等网上的安全电子事务处理和交易。

  49. 第六章公开密钥设施PKI 产生、验证和分发密钥方式 1)用户自己产生密钥对:用户自己生成密钥对,然后将公钥以安全的方式传送给CA,该过程必须保证用户公钥的可验证性和完整性。 2)CA为用户产生密钥对: CA替用户生成密钥对,然后将其安全地传给用户,该过程必须确保密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为CA所知,故对CA的可信性要求更高。 3)CA(包括PAA、PCA、CA)自己产生自己的密钥对。

More Related