PKI技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PKI技术
第一讲 综述
什么是PKI?
Public Key Infrastructure
公开密钥基础设施 普适性、系统
是用公钥概念与技术来实施和提供安全服务的普遍适用的 安全基础设施 (Carlistle Adams) 产生、管理、存储、分发和撤销基于公开密钥密码学的公 钥证书所必须的软件、硬件、人、策略和处理过程的集合 (IETF) 是硬件、软件、策略和人组成的系统,当完全并且正确的 实施后,能够提供一整套的信息安全保障,这些保障对保 护敏感的通信和交易是非常重要的 (GAO:美国审计总署 )
行业型
国家根CA
中国的PKI建设(2)
获证机构和发证数量,逐年增加
至2005年底,15家CA,发证总量236万 至2006年底,21家CA,累计发证546万 至2007年底,26家CA,初步统计发证约740 多万
上海CA累计发证突破90万(2007年7月) CFCA累计发证突破100万(2006年7月) 山东CA已发放证书40多万张(2006年1月) ……
《电子签名法》的重要内容
第一,确立了电子签名的法律效力
明确了在众多的电子签名方法和手段中,满足什么 条件的电子签名才具有与手写签名或者盖章同等的 效力
第二,对于电子数据,对电子形式的文件作了 相关规定
电子文件在什么情况下才具有法律效力 电子文件在什么情况下可以作为证据使用 规定了确定电子文件发送人、发送时间和发送地点 的标准
国内外PKI发展
二十世纪八十年代,美国学者提出了PKI(公开密 钥基础设施)的概念
1996年成立了联邦PKI指导委员会 1999年,PKI论坛成立 2000年4月,美国国防部宣布要采用PKI安全倡议方案 2002年2月经国家计委批准,正式成立了“中国PKI论坛”筹 备工作组 2002年7月2日到5日在北京召开了“亚洲PKI论坛”第二届 年会
中国的PKI建设(3)
应用领域
网上支付 2006年3月,支付宝公司推出国内支付领域首张数字证书 电子病历 截至2007年12月,广西医科大学第一附属医院36个临床病区采 用电子病历,5万份电子病历使用电子签名 2007年,广东中山市人民医院1300余名医护人员制作了证书 网上交易平台 2007年,广东省开通网上药品采购平台,发放6000多张证书
中国的PKI建设(4)
技术产品
18项通过国家密码管理局技术鉴定的电子认 证系统(SRQ系列) 截至2006年底,电子认证和数字证书应用的 软件系统和硬件设备产品达千种以上,涉及 机构超过300家
亚洲PKI论坛
发展历史
从2000 年开始,由日本、韩国、新加坡等发起, 酝酿创建亚洲 PKI 论坛。 2001年6月,在东京举行亚洲 PKI 论坛成立大会 日本当选为首届亚洲 PKI 论坛主席,中国、韩 国和新加坡当选为副主席
PKI的标准化
最主要的PKI标准
ITU-T X.509 IETF PKIX 二者基本上是相互兼容的,其他如:
US FPKI,美国联邦PKI规范 US MISPC,最小互操作规范 GOC PKI,加拿大PKI规范
应用标准
S/MIME IPSEC TLS/SSL CryptoAPI
国内外的PKI相关立法
1995年,美国犹他州颁布了《数字签名法》 2000年6月30日,美国总统克林顿正式签署了美国《全球 及全国商业电子签名法(The Electronic Signatures in Global and National Commerce (e-SIGN) Act)》 加拿大1999年9月30日颁布了《Uniform Electronic Commerce Act 》,该法律规定了传统签名与数字签名 有同等的法律地位,允许政府使用电子技术提供服务和 与公民通讯。 欧盟数字签名法律《EU Digital Signature Directive》于 2001年7月24日正式生效 法国2000年2月29日颁布了电子签名法案,于2001年4月 1日生效。
2002年世界杯赛中的最有价值球员
中国的PKI建设(1)
区域型
上海CA中心(SHECA);北京CA(BJCA);天津CA中心;福建 CA中心,湖北CA(简称HBECA);海南电子商务认证中心 (HNECA);广东省电子商务认证中心 金融、电信和外经贸等行业建立的相关证书机构 国内十三家商业银行联合建设中国金融认证中心(CFCA) 中国电信组建的CTCA 由国家外经贸部建立的中国国际电子商务中心(CIECC) 国家密码管理局
国内外的PKI相关立法
德国《数字签名法(Digital Signature Law)》 于2001年3月22日开始生效。 韩国1998年正式通过数字签名法,1999年7月 这一法律开始正式实施 泰国2000年3月14日颁布了《the Electronic Transaction Bill and Electronic Signature Bill》 马来西亚于1997年颁布了《Digital Signature Act》 新加坡于1998年颁布《电子商务法》,有关电 子签名的法律规定是该法最核心的内容
亚洲 PKI 论坛工作小组
技术互操作组
an expert group of PKI technology, who addresses PKI interoperability issues in order to establish a certification system, which is available in Asia as a common infrastructure. research activities & case study related to business case and applications of each region issues a legal report yearly through the members' discussion and research concerning cross-border e-commerce initiate, facilitate and realize the mutually beneficial information sharing
美国——联邦桥
.... ....
邮政服务部门CA
.........
....
社会安全部门CA
联邦桥CA
能源部CA
.........
....
美国国防部CA
NASA CA
国防部
能源部
....
连接各部门的PKI/CA系统
美国邮政服务部门(Postal Service)已经建立 了Netpost Certified,它将为各机构提供安全、 便宜的电子信息传输服务 社会安全部门(Social Security)计划建立一个 PKI以允许其雇员能够通过Internet网提供工资 信息 美国国防部计划建立一个PKI用于军事采购 其他部门
《中华人民共和国电子签名法》
2005年4月1日,《中华人民共和国电子签名法》 正式实施
电子签名效力等同传统文笔签名 《电子签名法》:电子签名是指数据电文中以电子形 式所含、所附用于识别签名人身份并表明签名人认可 其中内容的数据。
信息产业部《电子认证服务管理办法》 国家密码管理局《电子认证服务密码管理办法》 目前PKI技术是实现电子签名的最佳技术手段
2001年6月13日, “亚洲PKI论坛”成立
2007年11月7日,“亚洲PKI联盟”(APKIC, Asia PKI Consortium)成立大会在中国西安召开。
世界各国的PKI建设
美国——联邦桥计划 加拿大——加拿大PKI计划 澳大利亚、英国、法国、德国、意大利、 奥地利、比利时、希腊、荷兰、芬兰、 日本、俄罗斯等几十个国家都在发展、 使用PKI 欧洲——欧洲桥CA,促进欧洲各种的CA 互联互操作
韩国
PKI体系建设
NPKI (发证给市民)
6家认可CA,1个根CA(韩国信息安全局) 1个根CA(政府计算机中心),其它政府部门CA
GPKI (发证给内部服务机构)
应用发展
证书发放达到7.2百万 在利用手机无线文档服务应用项目上与韩国三星等大 型企业结成战略联盟
应用举例
基于PKI技术的安全Internet投票系统
亚洲PKI联盟(2)
联盟主要将在以下方面进行工作:
提高亚太地区PKI应用系统间的互操作性,以建立互联互 通的无缝电子商务环境,促进PKI技术得到更为广泛的市 场应用,促进整个PKI产业链中各机构、厂商的共赢。 继续致力于技术推广、标准制定、国际合作等原有工作目 标。 考虑到亚太地区PKI技术发展的不平衡,联盟将继续致力 于培训PKI相关技术人才、出版书籍、召开讲座和会议等。 在新的APKIC中,成员结构将发生变化,新的成员类型将 被允许进入联盟。企业、非营利组织和个人可以直接成为 会员,从而更加直接地在APKIC的各种事务中发挥作用。
商务应用组
法规组
国际合作组
亚洲PKI联盟(1)
2006年9月,成立了由中国、韩国、中华台北三方组 成的改革计划组(TPT,Transformation Planning Team),共同协商论坛的改革事务。
2007年11月7日在中国西安,原亚洲PKI论坛改革为 亚洲PKI联盟(APKIC,Asia PKI Consortium),组织 的工作重点和工作领域将从PKI技术/政策转变为促进 PKI产业市场应用的发展。
各种实例(二)
中国电子口岸基于移动运营商无线网络(联通CDMA或 移动GPRS),利用手机等移动终端,实现公众的,商务 的,政务的应用。基于中国电子口岸CA系统,建立起电 子口岸的WPKI移动应用安全架构,最终满足企业的安全 要求 CERNET2网络中间件技术研究与试验:证书服务和PKI 技术 校园信息化基础平台:基于CA/PKI的信息安全技术 美国军方采用基于PKI技术的网络身份证/工作证
澄清概念
PKI
Public Key Infrastructure
CA
Certification Authority 数字证书认证中心、认证中心、CA中心 是PKI系统的最核心部件 可以认为PKI的其他部件是依附于CA的 所以,在非学术场合,我们看到CA和PKI的概念是 混用
基础设施
亚洲PKI论坛的活动
召开信息交流研讨会,促进 PKI 制度、技术跨国界协调 推动所需调查、验证实验以及工作组活动 有效协调与其他地区各类电子商务活动的合作 参与 PKI 技术标准化和成员间互操作活动 调研电子交易相关法律、法规 推动论坛成员间的友好往来等 加强亚洲国家和地区与美国的 PKI 论坛、欧洲 EESSI 等 PKI 组织联系,促进国际间 PKI 互操作体系的建设发展
PKI的类比--电力基础设施 能够递归--使用电力控制的变电站 PKI与应用的分离--电器 PKI与防火墙等其它安全技术
正如火车不子商务(包括移动商务)
电子支付,电子合同、数字签名 在线访问军事资源、通信保密 、文件保密、秘密分级管理、 各部门通信协调。
电子政务 登录授权 VPN
电子公章、资源访问 控制、文件保密
各种实例(一)
中国各大银行已大规模地推广基于个人数字证书的网 上银行身份认证,防止银行账号被窃和网银欺诈 25家银行采用数字证书,根据央行05年10月26日颁布 的《电子支付指引》,凡使用数字证书等安全认证方 式的网银用户,将不会存在每日、每笔网上支付金额 的限制 ICAO(国际民用航空组织International Civil Aviation Organization)制定了PKI数字证书的电子护照标准 每个香港公民一人一个智能身份证,每个智能身份证 上配发一个全球通用的由香港邮政局颁发的个人数字 证书
第一讲 综述
什么是PKI?
Public Key Infrastructure
公开密钥基础设施 普适性、系统
是用公钥概念与技术来实施和提供安全服务的普遍适用的 安全基础设施 (Carlistle Adams) 产生、管理、存储、分发和撤销基于公开密钥密码学的公 钥证书所必须的软件、硬件、人、策略和处理过程的集合 (IETF) 是硬件、软件、策略和人组成的系统,当完全并且正确的 实施后,能够提供一整套的信息安全保障,这些保障对保 护敏感的通信和交易是非常重要的 (GAO:美国审计总署 )
行业型
国家根CA
中国的PKI建设(2)
获证机构和发证数量,逐年增加
至2005年底,15家CA,发证总量236万 至2006年底,21家CA,累计发证546万 至2007年底,26家CA,初步统计发证约740 多万
上海CA累计发证突破90万(2007年7月) CFCA累计发证突破100万(2006年7月) 山东CA已发放证书40多万张(2006年1月) ……
《电子签名法》的重要内容
第一,确立了电子签名的法律效力
明确了在众多的电子签名方法和手段中,满足什么 条件的电子签名才具有与手写签名或者盖章同等的 效力
第二,对于电子数据,对电子形式的文件作了 相关规定
电子文件在什么情况下才具有法律效力 电子文件在什么情况下可以作为证据使用 规定了确定电子文件发送人、发送时间和发送地点 的标准
国内外PKI发展
二十世纪八十年代,美国学者提出了PKI(公开密 钥基础设施)的概念
1996年成立了联邦PKI指导委员会 1999年,PKI论坛成立 2000年4月,美国国防部宣布要采用PKI安全倡议方案 2002年2月经国家计委批准,正式成立了“中国PKI论坛”筹 备工作组 2002年7月2日到5日在北京召开了“亚洲PKI论坛”第二届 年会
中国的PKI建设(3)
应用领域
网上支付 2006年3月,支付宝公司推出国内支付领域首张数字证书 电子病历 截至2007年12月,广西医科大学第一附属医院36个临床病区采 用电子病历,5万份电子病历使用电子签名 2007年,广东中山市人民医院1300余名医护人员制作了证书 网上交易平台 2007年,广东省开通网上药品采购平台,发放6000多张证书
中国的PKI建设(4)
技术产品
18项通过国家密码管理局技术鉴定的电子认 证系统(SRQ系列) 截至2006年底,电子认证和数字证书应用的 软件系统和硬件设备产品达千种以上,涉及 机构超过300家
亚洲PKI论坛
发展历史
从2000 年开始,由日本、韩国、新加坡等发起, 酝酿创建亚洲 PKI 论坛。 2001年6月,在东京举行亚洲 PKI 论坛成立大会 日本当选为首届亚洲 PKI 论坛主席,中国、韩 国和新加坡当选为副主席
PKI的标准化
最主要的PKI标准
ITU-T X.509 IETF PKIX 二者基本上是相互兼容的,其他如:
US FPKI,美国联邦PKI规范 US MISPC,最小互操作规范 GOC PKI,加拿大PKI规范
应用标准
S/MIME IPSEC TLS/SSL CryptoAPI
国内外的PKI相关立法
1995年,美国犹他州颁布了《数字签名法》 2000年6月30日,美国总统克林顿正式签署了美国《全球 及全国商业电子签名法(The Electronic Signatures in Global and National Commerce (e-SIGN) Act)》 加拿大1999年9月30日颁布了《Uniform Electronic Commerce Act 》,该法律规定了传统签名与数字签名 有同等的法律地位,允许政府使用电子技术提供服务和 与公民通讯。 欧盟数字签名法律《EU Digital Signature Directive》于 2001年7月24日正式生效 法国2000年2月29日颁布了电子签名法案,于2001年4月 1日生效。
2002年世界杯赛中的最有价值球员
中国的PKI建设(1)
区域型
上海CA中心(SHECA);北京CA(BJCA);天津CA中心;福建 CA中心,湖北CA(简称HBECA);海南电子商务认证中心 (HNECA);广东省电子商务认证中心 金融、电信和外经贸等行业建立的相关证书机构 国内十三家商业银行联合建设中国金融认证中心(CFCA) 中国电信组建的CTCA 由国家外经贸部建立的中国国际电子商务中心(CIECC) 国家密码管理局
国内外的PKI相关立法
德国《数字签名法(Digital Signature Law)》 于2001年3月22日开始生效。 韩国1998年正式通过数字签名法,1999年7月 这一法律开始正式实施 泰国2000年3月14日颁布了《the Electronic Transaction Bill and Electronic Signature Bill》 马来西亚于1997年颁布了《Digital Signature Act》 新加坡于1998年颁布《电子商务法》,有关电 子签名的法律规定是该法最核心的内容
亚洲 PKI 论坛工作小组
技术互操作组
an expert group of PKI technology, who addresses PKI interoperability issues in order to establish a certification system, which is available in Asia as a common infrastructure. research activities & case study related to business case and applications of each region issues a legal report yearly through the members' discussion and research concerning cross-border e-commerce initiate, facilitate and realize the mutually beneficial information sharing
美国——联邦桥
.... ....
邮政服务部门CA
.........
....
社会安全部门CA
联邦桥CA
能源部CA
.........
....
美国国防部CA
NASA CA
国防部
能源部
....
连接各部门的PKI/CA系统
美国邮政服务部门(Postal Service)已经建立 了Netpost Certified,它将为各机构提供安全、 便宜的电子信息传输服务 社会安全部门(Social Security)计划建立一个 PKI以允许其雇员能够通过Internet网提供工资 信息 美国国防部计划建立一个PKI用于军事采购 其他部门
《中华人民共和国电子签名法》
2005年4月1日,《中华人民共和国电子签名法》 正式实施
电子签名效力等同传统文笔签名 《电子签名法》:电子签名是指数据电文中以电子形 式所含、所附用于识别签名人身份并表明签名人认可 其中内容的数据。
信息产业部《电子认证服务管理办法》 国家密码管理局《电子认证服务密码管理办法》 目前PKI技术是实现电子签名的最佳技术手段
2001年6月13日, “亚洲PKI论坛”成立
2007年11月7日,“亚洲PKI联盟”(APKIC, Asia PKI Consortium)成立大会在中国西安召开。
世界各国的PKI建设
美国——联邦桥计划 加拿大——加拿大PKI计划 澳大利亚、英国、法国、德国、意大利、 奥地利、比利时、希腊、荷兰、芬兰、 日本、俄罗斯等几十个国家都在发展、 使用PKI 欧洲——欧洲桥CA,促进欧洲各种的CA 互联互操作
韩国
PKI体系建设
NPKI (发证给市民)
6家认可CA,1个根CA(韩国信息安全局) 1个根CA(政府计算机中心),其它政府部门CA
GPKI (发证给内部服务机构)
应用发展
证书发放达到7.2百万 在利用手机无线文档服务应用项目上与韩国三星等大 型企业结成战略联盟
应用举例
基于PKI技术的安全Internet投票系统
亚洲PKI联盟(2)
联盟主要将在以下方面进行工作:
提高亚太地区PKI应用系统间的互操作性,以建立互联互 通的无缝电子商务环境,促进PKI技术得到更为广泛的市 场应用,促进整个PKI产业链中各机构、厂商的共赢。 继续致力于技术推广、标准制定、国际合作等原有工作目 标。 考虑到亚太地区PKI技术发展的不平衡,联盟将继续致力 于培训PKI相关技术人才、出版书籍、召开讲座和会议等。 在新的APKIC中,成员结构将发生变化,新的成员类型将 被允许进入联盟。企业、非营利组织和个人可以直接成为 会员,从而更加直接地在APKIC的各种事务中发挥作用。
商务应用组
法规组
国际合作组
亚洲PKI联盟(1)
2006年9月,成立了由中国、韩国、中华台北三方组 成的改革计划组(TPT,Transformation Planning Team),共同协商论坛的改革事务。
2007年11月7日在中国西安,原亚洲PKI论坛改革为 亚洲PKI联盟(APKIC,Asia PKI Consortium),组织 的工作重点和工作领域将从PKI技术/政策转变为促进 PKI产业市场应用的发展。
各种实例(二)
中国电子口岸基于移动运营商无线网络(联通CDMA或 移动GPRS),利用手机等移动终端,实现公众的,商务 的,政务的应用。基于中国电子口岸CA系统,建立起电 子口岸的WPKI移动应用安全架构,最终满足企业的安全 要求 CERNET2网络中间件技术研究与试验:证书服务和PKI 技术 校园信息化基础平台:基于CA/PKI的信息安全技术 美国军方采用基于PKI技术的网络身份证/工作证
澄清概念
PKI
Public Key Infrastructure
CA
Certification Authority 数字证书认证中心、认证中心、CA中心 是PKI系统的最核心部件 可以认为PKI的其他部件是依附于CA的 所以,在非学术场合,我们看到CA和PKI的概念是 混用
基础设施
亚洲PKI论坛的活动
召开信息交流研讨会,促进 PKI 制度、技术跨国界协调 推动所需调查、验证实验以及工作组活动 有效协调与其他地区各类电子商务活动的合作 参与 PKI 技术标准化和成员间互操作活动 调研电子交易相关法律、法规 推动论坛成员间的友好往来等 加强亚洲国家和地区与美国的 PKI 论坛、欧洲 EESSI 等 PKI 组织联系,促进国际间 PKI 互操作体系的建设发展
PKI的类比--电力基础设施 能够递归--使用电力控制的变电站 PKI与应用的分离--电器 PKI与防火墙等其它安全技术
正如火车不子商务(包括移动商务)
电子支付,电子合同、数字签名 在线访问军事资源、通信保密 、文件保密、秘密分级管理、 各部门通信协调。
电子政务 登录授权 VPN
电子公章、资源访问 控制、文件保密
各种实例(一)
中国各大银行已大规模地推广基于个人数字证书的网 上银行身份认证,防止银行账号被窃和网银欺诈 25家银行采用数字证书,根据央行05年10月26日颁布 的《电子支付指引》,凡使用数字证书等安全认证方 式的网银用户,将不会存在每日、每笔网上支付金额 的限制 ICAO(国际民用航空组织International Civil Aviation Organization)制定了PKI数字证书的电子护照标准 每个香港公民一人一个智能身份证,每个智能身份证 上配发一个全球通用的由香港邮政局颁发的个人数字 证书