PKI应用与应用接口
第14章 PKI原理与应用_y
录
PKI概念 认证机构CA 数字证书 PKI的应用 PKI的发展
版权所有,盗版必纠
14.1 PKI概念
• PKI利用数字证书标识密钥持有人的身份,通过对 密钥的规范化管理,为组织机构建立和维护一个可 信赖的系统环境,透明地为应用系统提供身份认证、 数据保密性和完整性、抗抵赖等各种必要的安全保 障,满足各种应用系统的安全需求。
• (4) 一个典型的全国性CA如图14.5所示。
版权所有,盗版必纠
14.1.3 PKI的组成
• PKI公钥基础设施体系主要由密钥管理中心、 CA认证机构、RA注册审核机构、证书/CRL发 布系统和应用接口系统五部分组成,其功能结构 如下所示:
版权所有,盗版必纠
14.1.3 PKI的组成
• 1.密钥管理中心(KMC):密钥管理中心向CA服务 提供相关密钥服务,如密钥生成、密钥存储、密钥备份、 密钥托管与恢复等。 • 2.CA认证机构(Certification Authority) :CA认证 机构是PKI公钥基础设施的核心,它主要完成生成/签 发证书、生成/签发证书撤销列表(CRL)、发布证书 和CRL到目录服务器、维护证书数据库和审计日志库 等功能。 • 3.RA注册审核机构(Registration Authority):RA 是数字证书的申请、审核和注册中心。它是CA认证机 构的延伸。在逻辑上RA和CA是一个整体,主要负责提 供证书注册、审核以及发证功能。
• 5.应用接口系统:应用接口系统为外界提供使用PKI安 全服务的入口。应用接口系统一般采用API、 JavaBean、COM等多种形式。
版权所有,盗版必纠
14.1.3 PKI的组成
• 一个典型、完整、有效的PKI应用系统至少应具有以下 部分:
第3章 PKI认证技术及应用
③ EPKB[ IDA| |N1] A ⑥ EPKA [ N1 | | N2] ⑦ B
EPKB[ N2 ]
公钥管理机构分配公钥
PKI认证技术及应用 第三章 PKI认证技术及应用 步骤如下: 步骤如下: 用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B (1)用户A向公钥管理机构发送一个带有时戳的消息,消息中有获取用户B 当前公钥的请求。 当前公钥的请求。 Request | |Time1 公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥 秘钥SK (2)公钥管理机构对A的请求作出应答,该消息由管理机构的秘钥SKAU来 加密,因此A能用管理机构的公开钥解密,并使A相信这个消息来自于公钥 加密,因此A能用管理机构的公开钥解密,并使A 管理机构。该消息由以下几部分组成: 管理机构。该消息由以下几部分组成: 可以用之将发往B的消息加密。 B的公钥PKB,A可以用之将发往B的消息加密。 的公钥PK 的请求,验证A A的请求,验证A的请求在发往管理机构使没有更改 最初的时戳,使A确信管理机构发来的不是旧消息。 最初的时戳, 确信管理机构发来的不是旧消息。 的公开钥将消息加密后发向B 这个消息中有两个数据项, (3)A用B的公开钥将消息加密后发向B,这个消息中有两个数据项,一个 的身份IDA 另一个是一次性随机数N1 用来唯一的标识本次通信。 IDA, N1, 是A的身份IDA,另一个是一次性随机数N1,用来唯一的标识本次通信。 E PKB [ ID A | |N1 ] )(5 以相同的方式从公钥管理机构获得A的公开钥。至此, (4)(5)B以相同的方式从公钥管理机构获得A的公开钥。至此,A和B都 已经得到了对方的公开钥,可以安全保密的通信。 已经得到了对方的公开钥,可以安全保密的通信。
PKI认证技术及应用 第三章 PKI认证技术及应用
第6章-公钥基础设施--PKI
2020/7/15
15
9、CRL(证书作废列表)的获取
❖每一CA均可以产生CRL。CRL可以定期产生, 或在每次由证书作废请求后产生。CA应将它 产生的CRL发布到目录服务器上
❖自动发送到下属各实体
❖各PKI实体从目录服务器获得相应的CRL
2020/7/15
16
10、密钥更新 ❖ 在密钥泄漏的情况下,将产生新的密钥和新的证书。 ❖ 在并未泄漏的情况下,密钥也应该定时更换。
2020/7/15
26
PKI提供的附加服务
❖ 4 不可否认性服务
❖ 不可否认性服务提供一种防止实体对其行为进行抵 赖的机制,它从技术上保证实体对其行为的认可。 实体的行为多种多样,抵赖问题随时都可能发生, 在各种实体行为中,人们更关注发送数据、收到数 据、传输数据、创建数据、修改数据、以及认同实 体行为等的不可否认性。在PKI中,由于实体的各 种行为只能发生在它被信任之后,所以可通过时间 戳标记和数字签名来审计实体的各种行为。通过这 种审计将实体的各种行为与时间和数字签名绑定在 一起使实体无法抵赖其行为。
❖ 在VPN中使用PKI技术能增强VPN的身份认证 能力,确保数据的完整性和不可否认性。使用 PKI技术能够有效建立和管理信任关系,利用 数字证书既能阻止非法用户访问VPN,又能够 限制合法用户对VPN的访问,同时还能对用户 的各种活动进行严格审计。
2020/7/15
14
8、密钥的恢复
❖在密钥泄漏/证书作废后,为了恢复PKI中实体的业务 处理,泄密实体将获得一对新的密钥,并要求CA产生 新的证书。
❖在泄密实体是CA的情况下,它需要重新签发以前用泄 密密钥签发的证书,每一个下属实体将产生新的密钥 对,获得用CA新私钥签发的新的证书。而用泄密密钥 签发的旧证书将作废,并被放置入CRL。
PKI系统原理及企业应用的探讨
、
一
的,也不能够 单独提供 这些安全 服务 ,这 需 要构建一个 完整 的P K I 系统 。一个 完整 的P K I 系统主要包括 以下五方面 的内容 : 认 证 机 构 , 数 字 证 书 的 权 威 签 发 机 构,它 是P K I 的核心 ,是P K I 应用 中权威 的、 可信任 的、公正 的第三 方机构 。它验证用户 申请信 息的可信性 ,同时验证用 户证书 的可 信性 。P K I 系统 中 的认证机 构 ,可 以 由几个 层级来 实现 。最顶级 的是根证 书服务 ,它 只 对其从属 证书服务 提供审核和 确认, 向这 些 服务 颁 发证 书 ,以确 认 其证 书 服务 的合法 性、可信 性 。第二级 的证书服 务可 以是直接 面 向最 终 用户 ,提供 基 本 的证 书 申请 、 审 核 、颁 发等服务 ,也可 以像根 证书服务那 样 只面 向更 低一 级 证 书服 务 。通 常 企业 可 以 使用两 层的结构就 足够 。有些 情况下 ,企 业 中也会有 多个P K I 系 统 ,在相 互之 间还要 进 行交 叉信任 ,这种 情况下 就需要在顶级 的根 证书 服务 之 间进 行相 互 的信任认 证 。在P K I 系统 中,用户首 先应该信 任数字证书 的认证 机构 ,并且使用 本人信 息在 认证机构进 行注 册 ,从认证机构 得到一个经 过审核确认 的用 户数 字证书来标 明 自己的身份 。在不 同的用 户 之间 ,数字证 书就是 自己身份的标 示,可 以根 据对方 的数 字证书确 定对方是 否可信和 身份 。 证 书 库 , 数 字 证 书 的 集 中存 放 的 位 置 。证书库 必须能够给 公众提供数 字证书查 询 服 务 ,让 公 众能 够 确定 数 字证 书 的合 法 性 、有效性 、可信 性。 密 钥 备份 及恢 复 系 统 ,该 系统 能够 对 用户 的密 钥 ( 主 要 指公 开 密钥 ) 进 行 备份 , 当丢 失时 进 行 恢 复 。这 是P K I 系统 中一 个 很重要 的 内容 ,对 于P K I 系 统 的安全 、健壮 性、可用 性起 到重要作 用 。 证 书撤 销 处理 系 统 ,该 系 统 的功 能就 是提 供 证书撤 销 列表 C R L 。在 P K I 系统中, 证 书可 能 由于 某种 原因 作废 ,终止 使 用 , 该P K I 系 统范 围内 的对象 不再信 任这 些 已经 作废 的数字 证 书 ,这 就 需要 向系统 内的对 象提 供一 个证 书撤销 列表C R L ,证书 撤销 处 理系 统就是 完成这个 功能 。 P K I 应用 接 口系 统 。P K I 应 用 接 口系 统 能 够为 各种 其 它应 用 提 供 安全 、一致 、 可 信任 的方 式来 与P K I 进行 交互 ,确保 所建 立 起来 的环境 安全可靠 。 六 、P K l 在 企业 中的应用 和实现 随 着 企 业 业 务 的 拓 展 , 各 种 新 的 业 务 需 求不 断被 提 出 ,例 如 出差 途 中 或者 在 家 中 如何 安全 访 问 企业 内部 网络 ,企 业 敏 感 信 息如 何 能够 在 网络 上 安全 传 输 ,无 线 网 络 如何 能够 安 全 可信 的 接入 和 使 用 ,重 要 文件 如 何 能够 保 证其 可 信性 ( 未被 篡 改 过 )等等 。这 些 新 的 需求 随着 企 业信 息 化 程度 的提 高而 日趋 重要 。P K I 系统 就能够 很 好地 满足这 些需求 。 通过 i n t e r n e t 访 问企业 内部 网 络 ,可 以使 用数字证书 来确定用户 的身份 ,验证 其
PKI技术及其发展应用
PKI技术及其发展应用PKI(Public Key Infrastructure,公钥基础设施),是一种基于非对称加密技术的安全体系,用于确保网络通信的机密性、完整性和身份认证。
PKI技术的发展应用范围广泛,包括数字证书、数字签名、SSL/TLS协议、电子邮件安全等。
PKI技术的核心是公钥和私钥的配对使用。
私钥只有持有者知道,用于数据的加密和数字签名;公钥可以公开,用于数据的解密和验证签名。
通过公钥加密,发送者可以将数据安全地传输给接收者,只有接收者使用其私钥才能解密数据。
而通过私钥签名,发送者可以确保数据的完整性和真实性,接收者可以通过发送者的公钥验证签名。
1.数字证书:数字证书是PKI体系中最重要的组成部分。
数字证书通过授权机构(CA)签发,用于确认公钥和身份的关联性。
证书中包含公钥、持有者的身份信息等,由CA对这些信息进行签名。
通过验证证书,用户可以确认数据的真实性和完整性,从而确保通信的安全。
2.数字签名:数字签名是PKI技术中的一项重要应用,用于验证数据的真实性和完整性。
发送者使用私钥对数据进行签名,接收者使用发送者的公钥验证签名。
如果数据在传输过程中被篡改,验证过程将失败。
数字签名被广泛应用于电子合同、电子交易等场景,以确保数据的可靠性。
3. SSL/TLS协议:SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是一种基于PKI的安全传输协议。
通过使用数字证书和非对称加密,SSL/TLS协议可以确保网络通信的安全性。
SSL/TLS协议被广泛应用于网上银行、电子商务等需要保护用户隐私和数据安全的场景。
4.电子邮件安全:PKI技术可以用于确保电子邮件的机密性和完整性。
通过使用数字证书和加密算法,可以对邮件内容进行加密,防止被窃听和篡改。
同时,数字签名可以确保邮件的真实性和完整性。
1.长期可信性:PKI技术的可信性依赖于授权机构(CA)。
pki基本概念
PKI(Public Key Infrastructure )即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI综述PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。
这个定义涵盖的内容比较宽,是一个被很多人接受的概念。
这个定义说明,任何以公钥技术为基础的安全基础设施都是PKI。
当然,没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务,也就不能叫做PKI。
也就是说,该定义中已经隐含了必须具有的密钥管理功能。
X.509标准中,为了区别于权限管理基础设施(Privilege Management Infrastructure,简称PMI),将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施]。
这个概念与第一个概念相比,不仅仅叙述PKI能提供的安全服务,更强调PKI 必须支持公开密钥的管理。
也就是说,仅仅使用公钥技术还不能叫做PKI,还应该提供公开密钥的管理。
因为PMI仅仅使用公钥技术但并不管理公开密钥,所以,PMI就可以单独进行描述了而不至于跟公钥证书等概念混淆。
X.509中从概念上分清PKI和PMI有利于标准的叙述。
然而,由于PMI使用了公钥技术,PMI的使用和建立必须先有PKI的密钥管理支持。
也就是说,PMI不得不把自己与PKI绑定在一起。
当我们把两者合二为一时,PMI+PKI 就完全落在X.509标准定义的PKI范畴内。
根据X.509的定义,PMI+PKI仍旧可以叫做PKI,而PMI完全可以看成PKI的一个部分。
pki技术的基本原理及常规应用
pki技术的基本原理及常规应用PKI技术的基本原理及常规应用一、PKI技术的概念PKI技术是公钥基础设施(Public Key Infrastructure)的缩写,是一种安全通信机制。
它通过使用非对称加密算法和数字证书来确保通信的机密性、完整性和可信度。
PKI技术包括公钥加密、数字签名、证书管理等多个方面。
二、PKI技术的基本原理1. 公钥加密公钥加密是指使用公钥对数据进行加密,只有私钥才能解密。
在此过程中,发送方需要获取接收方的公钥,并使用该公钥对数据进行加密。
接收方收到数据后,使用自己的私钥进行解密。
2. 数字签名数字签名是指将消息摘要与发送者的私钥进行加密生成签名,并将该签名与消息一起发送给接收者。
接收者可以使用发送者的公钥来验证签名是否正确,从而确保消息没有被篡改过。
3. 证书管理证书管理是指建立一个可信任的第三方机构(CA)来颁发数字证书,以确保公钥和实体之间的关系可信。
数字证书包含了实体(如个人或组织)和其对应公钥信息,并由CA进行签名认证。
三、PKI技术的常规应用1. 数字证书数字证书是PKI技术的核心,它可以用于各种场景,如SSL/TLS协议中的HTTPS,VPN连接等。
数字证书还可以用于身份认证、电子邮件签名和加密等。
2. 数字签名数字签名可以用于文件和数据的完整性验证,确保数据没有被篡改。
数字签名还可以用于电子合同、电子票据等场景。
3. 数字信封数字信封是指将数据进行加密,并将加密后的数据和接收者公钥一起发送给接收者。
接收者使用自己的私钥进行解密,从而确保通信内容机密性和完整性。
4. VPN连接VPN连接是指通过公共网络建立安全通信隧道,以实现远程访问。
PKI技术可以在VPN连接中使用数字证书进行身份验证和加密通信。
5. 身份认证PKI技术可以用于实现用户身份认证,如在网银系统中使用数字证书进行用户身份认证。
四、总结PKI技术是一种安全通信机制,它通过公钥加密、数字签名和证书管理等多个方面来确保通信的机密性、完整性和可信度。
PKI及应用
不可否认
PAA:政策审批机构.制 定整个体系结构的安全 政策并制定所有下级机 构都需遵守的规章制度 。证书政策和证书使用 规定等。
CA
PKI的结构模型
PMA PAA/CA PMA:是PKI的最高管理机 构,对PKI进行宏观管理, 如监督PAA运行政策制定。
CA
CA
CA
CA
CA(Certificate Authority) 发证,另外还管理一 些下级CA. CA RA
cacertificateauthority发证另外还管理一些下级caca7cacacacarara些下级cararegistrationauthority把用户的身份和它的密钥绑定起来建立信任关系pki基本组件?raregistrationauthority?把用户的身份和它的密钥绑定起来建立信任关系?cacertificateauthority?发证另外还管理一些下级ca8?证书库目录?保存证书供公开访问pki中的证书?证书certificate有时候简称为cert?pki适用于异构环境中所以证书的格式在所使用的范围内必须统一在所使用的范围内必须统9?证书是一个机构颁发给一个安全个体的证明所以证书的权威性取决于该机构的权威性?一个证书中最重要的信息是个体名字个体的公钥机构的签名算法和用途?最常用的证书格式为x509v3x509证书格式?序列号?在ca内部唯一?签名算法标识符10?签名算法标识符?指该证书中的签名算法?签发人名字?ca的名字?有效时间?起始和终止时间?个体名字x509证书格式续?个体的公钥信息?算法参数?参数11?密钥?签发人唯一标识符?个体唯一标识符?扩展域?签名cacertificateauthority?职责?接受用户的请求?由ra负责对用户的身份信息进行验证?用自己的私钥签发证书健壮的数据库系统库系统13?提供证书查询?接受证书注销请求?提供证书注销表?各个组件和功能示意图无缝的目录接口ca硬件管理和运行平台安全的审密钥pkica信任关系当一个安全个体看到另一个安全个体出示的证书时他是否信任此证书
PKI体系与相关技术应用
CA体系架构
根CA 中信集团 最高信任体系
根证书申请 对外服务 CA安全认证体系
根证书申请 对内 CA安全认证体系
证书申请、签发、注销、 冻结、解冻、查询
证书申请、签发、注销、 冻结、解冻、查询
银行RA
基金RA
内部管理系统 RA
其他子公司内部管理 RA
证券RA
基金RA
信托RA
子公司RA
分公司RA
证书注册、申请
• A通过随机生成密钥对明文加密得到密文 • 而后A通过证书私钥对密文进行数字签名 ,得到签名包密文的签名、密文、证书 信息 • B从签名包中得到A证书,验证A证书的 有效性后,而后验证签名,最后从密文 中提取对称密钥,并通过密钥将密文最 终还原成明文。 • 该技术在确保数据完整性同时确保数据 的私密性。
UCP框架提供的签名与验签接口(二)
安全包com.lsy.baselib.crypto • 签名 PKCS7Signature.sign(BytesUtil.stringToBy tes(message), serverKey, serverCrt, new X509Certificate[]{serverCrt}, true)) • 验签 PKCS7Signature.verifyAttachedSignature(B ase64.decode(signedMessage), null)
UCP框架提供的签名与验签接口(三)
验证证书有效性 manager = TrustManager.getInstance(); 从签名包提取证书 merchantCrt=PKCS7Signature.getSingerCertificate( Base64.decode(signedMessage)); 校验证书有效性 manager.verify(merchantCrt); 将证书加入到可信列表中
公钥基础设施 PKI及其应用
公钥基础设施PKI及其应用PKI-公钥基础设施对称加密算法相同的密钥做加密和解密DES,3-DES,CAST,RC4,IDEA,SSF33,AES加解密速度快,适合大量数据的加密,极强的安全性,增加密钥长度增强密文安全缺点用户难以安全的分享密钥,扩展性差,密钥更新困难,不能用以数字签名,故不能用以身份认证非对称加密算法——公钥算法公私钥对公钥是公开的私钥是由持有者安全地保管用公私钥对中的一个进行加密,用另一个进行解密用公钥加密,私钥解密用私钥签名,公钥验证公钥不能导出私钥发送方用接受方的公钥加密接受方用其私钥解密我国已发布了中国数字签名法签名原理发送方用其私钥进行数字签名接受方用发送方的公钥验证签名RSA,DSA,ECC,Diffie-Hellman优点参与方不用共享密钥扩展性很好实现数字签名缺点慢,不适合大量数据的加解密解决:结合对称密钥算法RSA,ECC同时支持加密和签名密钥和证书管理生命周期X509证书格式,DN,serial,valid date,CRL,public key,extensions,CA digital signature数字证书的验证证书黑名单CRL双证书签名证书密钥只作签名用私钥用户自己保管加密证书密钥做数据加密用私钥应由PKI统一管理CA安全管理证书管理中心策略批准证书签发证书撤消证书发布证书归档密钥管理中心生成恢复更新备份托管证书生命周期申请产生发放查询撤消CA交叉验证应用及证书种类email证书,SET证书,模块签名WEB浏览器证书,WEB服务器证书VPN证书公钥加密是IT安全最基本的保障数字签名身份认证,数字完整,不可抵赖数据加密第1章概述1.1 信息安全的发展趋势1.2 现今的电子商务和电子政务的安全1.3 电子商务、电子政务的安全需求1.3.1 安全策略就是实时计算机信息系统的安全措施及安全管理的知道思想,是在计算机信息系统内,用于所有与安全活动先关的一套规则。
PKI
1
主要内容
引例7 电子商务安全:怎么迈过这道槛? 7.1公钥基础设施概述 7.2 PKI系统的常用信任模型 7.3 PKI管理机构—认证中心 7.4 PKI核心产品—数字证书
7.5 PKI应用方案 7.6 PKI服务新技术 7.7 PKI存在的风险与缺陷
2
7.1公钥基础设施概述
7.1.1 7.1.2 7.1.3 7.1.4 PKI基本概念 PKI的基本组成 PKI的基本服务 PKI的相关标准
根CA 品牌CA 地域政策CA
商户CA (MCA)
持卡人CA (CCA)
支付网关CA (MCA)
MCA
MCA
CCA
PCA
PCA
21
7.4 PKI核心产品—数字证书
7.4.1 7.4.2 7.4.3 7.4.4 7.4.5 7.4.5 数字证书概念 X.509证书类型 数字证书功能 证书格式 证书管理 数字证书应用实例
2.1 公钥基础设施PKI及应用
PKI的基础技术:加密技术和认证技术; PKI的核心机构:认证中心(CA); PKI和CA的核心元素:数字证书。 PKI的基本概念、基本组成、基本服务、相关标准 四个常用的PKI信任模型:层次模型、分布式模型、Web模型和以用 户中心的模型 CA的五个主要功能和四大基本组成。 数字证书:基本类型、基本功能和证书管理过程等。 PKI的五大应用方案:虚拟专用网、安全电子邮件、WEB安全、电子 商务应用、电子政务应用,以及Windows 2000的PKI/CA服务案例。 PKI五大服务新技术:密钥托管技术、时间戳技术、数据验证功能增强 技术、用户漫游技术及支持WPKI及有线网络的互操作技术。 PKI存在的风险与缺陷:公钥技术风险、使用风险、X.509 缺陷、政 策缺陷
第5章 公钥基础设施PKI 《电子商务安全》PPT课件
书,如商家证书和服务器证书等的密钥
一般由专用程序或CA中心直接产生,这
样产生的密钥强度大,适合重要的应用
场合。
电子商务安全
公钥基础设施概述 PKI发展历程
PKI公钥基础设施的含 义
密钥管理与信任模式 密钥的管理
密钥分配技术 密钥控制技术
信任模式
PKI的体系结构 PKI体系
CA体系结构 PKI系统
数字证书与认证过程 数字证书 认证过程
用户证书在安全电子 商务交易中的应用
本章小结
第5章 公钥基础设施PKI
密钥管理的内容
(3)密钥的分发。密钥的分发指密 钥的分配和发送。分配是指产生并获 得密钥的过程; 密钥的发送分集中发送和分散发送两 类。集中发送是指将密钥整体传送, 这时需要使用主密钥来保护会话密钥 的传送,并通过安全渠道传递主密钥。 分散传递是指将密钥分解成多个部分, 用秘密分享的方法传递,只要有部分 到达就可以恢复,这种方法适用于在 不安全的信道中传输。
电子商务安全
公钥基础设施概述 PKI发展历程
PKI公钥基础设施的含 义
密钥管理与信任模式 密钥的管理
密钥分配技术 密钥控制技术
信任模式
PKI的体系结构 PKI体系
CA体系结构 PKI系统
数字证书与认证过程 数字证书 认证过程
用户证书在安全电子 商务交易中的应用
本章小结
第5章 公钥基础设施PKI
5.1.2 PKI公钥基础设施的含义
PKI是解决信任和加密问题的基本解决方案,实际
上也就是密钥管理的一个解决方案。密钥管理是数
据加密技术中的重要一环。密钥管理的目的是确保
密钥的安全性、真实性和有效性。
密钥管理的目的
PKI在云平台中的应用探析
2身份认 证协议
在 一 个P K I 系 统 中 ,用 户 和 云 服 务 商 的 证 书 均 由~ 个 具 有 公 信 力 、 申请 者 都 信 任 的C A 签 发 , 因 此 两 者 可 实现 相 互 识 别 和 信任 。用 户使 用 云 服 务 之 前 应 相 互 认 证 身份 ,流 程 如 下 : 1 )云 服 务 本 地 生 成 一 随 机 数 R 1 ,将 R l 发 送 给 用 户 , 本 地 保 留R l ; 2 )用 户R l 后 用私钥签 名 ,然 后在本 地生成 随机数R 2 ,并 保 留R 2 ,之后将对R l 的 签 名 值 、 自 己的 证 书 I D 和R 2 一 起 发 给 云 服务端 ; 3 )云 服 务 收 到 用 户 发 送 的签 名 值 、 证 书 I D 和R 2 后 , 访 问 P K I 系统获 取用户 证书 ,并检查 该I D 证 书 的 签 名 、 有 效 期 , 若 证 书 有 效 则 用 得 到 的证 书对 R 1 签 名值 进 行 验 证 ; 4 )云服务端 用私钥对R 2 签 名 ,然 后 将R 2 签 名 值 和 自 己 的 证书I D 发送用户 ; 5 ) 用 户 收 到 云 服 务 端 发 送 来 的R 2 签名值 和证书I D 后 , 根 据证书I D 到P K I 服 务 器 查 询 证 书 。 若 该证 书有 效 则对 R 2 签 名 值 进
资源 、数据资源 、应用 资源 商品化 ,使用户可 以按需付费的方 式 访 问 云 服 务 器 和 数 据 中 心 。云 服 务 提 供 商 将 成 千 上 万 台 计 算 机 相 互 连 接 形 成 协 同 工 作 的 网 络 , 对 用 户 提 样 自 己购 买 硬 件 设 备 、 构 建 基 础 设 施 、开 发或维 护 应用 软件 ,借助 “ 云 ”处 理 和 存 储 数 据 的 功 能,所有这 些服务都 可以付费 的方式 从 “ 云”中获得 ,用户所 需 的只 是任 何 可 以上 I n t e r n e t 的设备。
谈电力系统信息网络安全中PKI的应用
谈电力系统信息网络安全中PKI的应用随着科学技术的飞速发展,信息网络的发展使网络成为人们不可或缺的工具,信息网络的安全越来越为社会各界人士所日益关注,采用何种技术确保信息网络的安全成为人们必须解决的难题,电力系统由于自动化控制技术的采用,也面临信息网络安全问题,PKI作为信息网络提供安全保障的基础设施,为电力系统信息网络所采用,本文就针对电力系统信息网络安全中PKI的应用进行了探讨。
标签:电力系统;信息网络;安全;PKI;应用1、电力系统信息网络安全分析电力系统的安全稳定、经济优质运行离不开信息网络安全系统的保障,对“数字电力系统”的建设和实现具有重要意义,所以当前网络安全系统在整个电力活动中具有相当关键的地位。
随着计算机在系统中的广泛应用,在生产、经营、管理方面都具有较大的作用,然而在计算机安全技术以及安全措施上的投入比较少,安全性得不到很好的保障。
尤其是在计算机网络化将传统的局域网更改为联成光宇网之后,存在着巨大的外部安全隐患和威胁,使网络安全系统很有可能受到外来网络攻击。
在电力系统中其实早期的计算机网络采用的是内部局域网,其计算机安全大多是防止意外破坏或者是内部人员的控制,但在当前新的计算机网络环境下,必须要能够应对国际互联网上的恶意攻击。
对电力系统的攻击主要有两种形式:一种是主动攻击,即黑客利用多种计算机病毒进入到电力系统的信息网络中进行窃取或者篡改数据;另一种是被动攻击,就是通过网络监听等技术手段对电力系统网络中的数据进行截取并分析和理解。
这两种攻击方式都会对电力系统的网络安全造成极大的威胁,一旦数据被窃取或者篡改将会严重影响到电力系统的正常运行,甚至是损害电力设备发生安全事故等。
另外由于电力系统的网络化管理和其他网络管理存在一定的差异,比如电力网络信息系统要对发电报价等电力市场信息进行加密和隔离处理等,具有特殊的安全性要求,也对电力企业的发展经营有一定的影响。
当前电力系统网络管理人员对信息安全的防护要比对数据备份、网络设备以及病毒防范还要重视,由于对应用层的保护意识还不够,因此也就会产生网络信息安全隐患。
关于PKI,CA
关于PKI,CAPKI(Public Key Infrastructure )即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI的基本组成:完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
一个典型、完整、有效的PKI应用系统至少应具有以下部分:· 公钥密码证书管理。
· 黑名单的发布和管理。
· 密钥的备份和恢复。
· 自动更新密钥。
· 自动管理历史密钥。
· 支持交叉认证。
认证机构(CA):即数字证书的申请及签发机关,CA 必须具备权威性的特征;数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。
为避免这种情况,PKI提供备份与恢复密钥的机制。
但须注意,密钥的备份与恢复必须由可信的机构来完成。
并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。
与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。
PKI系统架构解读
return
PKI的体系构成(五)
证书签发系统
负责证书的发放。
return
PKI的体系构成(六)
PKI应用
Web服务器和浏览器之间的通讯 电子邮件 电子数据交换(EDI) 互联网上的信用卡交易 虚拟专用网(VPN)
return
PKI的体系构成(七)
PKI应用接Байду номын сангаас系统(API)
良好的应用接口系统使得各种应用能够以安全、 一致、可信的方式与PKI交互,确保所建立的 网络环境的可信性,降低管理和维护的成本。
初步形成一套完整的Internet安全解决方案,即 目前被广泛采用的PKI技术。PKI技术采用证书管 理公钥,通过第三方的可信任机构—认证中心CA
(Certificate Authority)把用户的公钥和用户
的其他标识信息(如名称、E-mail、身份证号等) 捆绑在一起。通过Internet的CA机构,较好的解 决了密钥分发和管理问题,并通过数字证书,对
return
PKI的体系构成(三)
认证中心CA
为了确保用户的身份及他所持有密钥的正确匹配, 公钥系统需要一个可信的第三方充当认证中心 (Certification Authority,CA),来确认公钥拥 有者的真正身份,签发并管理用户的数字证书。
PKI的体系构成(三)续
认证中心CA
是负责管理密钥和数字证书的整个生命周期。 接收并验证最终用户数字证书的申请; 证书审批,确定是否接受最终用户数字证书的申请; 证书签发,向申请颁发、拒绝颁发数字证书; 证书更新,接收、处理最终用户的数字证书更新请求; 接收最终用户数字证书的查询、撤销; 产生和发布证书废止列表(CRL),验证证书状态; 提供OSCP在线证书查询服务,验证证书状态; 提供目录服务,可以查询用户证书的相关信息; 下级认证机构证书及帐户管理; 数字证书归档; 认证中心CA及其下属密钥的管理; 历史数据归档;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
回顾
建设PKI的意义在于
有各种应用系统来使用PKI
PKI为它们提供了安全服务
而不在于建设PKI系统本身
为了让应用系统更好地使用PKI,要:
为使用者提供指导
CP/CPS,前面已经说明 2
PKI要有友好的接口Interface
PKI API
Application Programming Interface
36
PKCS#11中的主要操作
对于密钥
生成密钥
C_GenerateKey C_GenerateKeyPair C_EncryptInit/C_Encrypt C_DecryptInit/C_Decrypt C_SignInit/C_Sign C_VerifyInit/C_Verify
按PKCS#11规范,密码设备可以分为多个slot 每个slot中的数据、用户是相互无关的
每个slot用不同的整数值来标识
34
调用PKCS#11——2
C_Login
提供PIN和用户类型
PKCS#11只区分2种用户:
Login之后,就进行各种操作
SO超级管理员和普通用户 每个slot有自己的普通用户
我们看看PKCS#11函数功能的调用方式
就可以大致地了解PKCS#11的数据结构和用 户管理
33
调用PKCS#11——1
C_Initialize
初始化PKCS#11函数库,必须的过程 与密码设备的某个slot建立会话
C_OpenSession
注意:此处的密码设备Cryptographic Token,可以是硬件 或者软件
加解密
签名验证
37
PKCS#11中的证书管理
证书是作为一种bject存在的
类似于Key,也是一种Object 称为Certificate Object
PKI是基于Public Key Cryptography的基础设施 CryptoAPI也是一种PKI API
15
CryptoAPI的内容
包括的内容
ASN.1的编解码
支持对于证书/CRL的编解码 对称和非对称都有
加解密数据
基于数字证书的认证 目前版本是2.0
16
所以CryptoAPI符合我们的PKI API的定义
CSP由Coredll.dll调用,应用程序不能直接调用CSP
每个CSP必须符合一定的接口
分析
因为Coredll.dll是Windows的一部分,所以,与操 作系统密切相关
所以,基于CryptoAPI的PKI应用系统就很难以移植到其 他OS 在Windows上正常使用的CSP代码还必须经过MS公司的 数字签名 CSP是可以自由开发的 实现各种自己的加解密算法、签名算法、HASH算法等 22
PKCS#11 Cryptographic Token Interface Standard 用于访问密码设备的API
可以认为是PKI API的一部分功能
对于证书/CRL方面的支持较弱
31
与CryptoAPI的重要区别
PKCS#11是典型的Interface
定义了接口,不包括实现
现实的情况
不同国家对于密码算法有着专门的严格管理制度
所以,很难有完全统一的PKI API
5
PKI API
不能找到完全统一的PKI API接口标准
目前,也不存在这样的接口标准
我们选取了几种API接口,讲解其实现功 能和基本架构
6
课程内容
介绍几种目前应用广泛的PKI API
所有的都要经过CryptoAPI接口,少部分 功能需要再调用CSP
如果OS中有多个CSP,Application调用者可 以指定所使用的CSP Coredll.dll
大部分功能都由CryptoAPI自己实现
24
CryptoAPI中的数据存储结构
有2个方面
对于Certificate Holder,主要是密钥 对于PKI Client,主要是证书和CRL 多个Key Container,拥有自己的证书和相应的非对称 密钥
与Windows紧密绑定 同时,由具有一定可扩展性 2层API接口 编码、存储管理等在上层实现 核心密码运算在底层实现
19
架构,如下图
3层架构
应用通过CryptoAPI访问OS
CryptoAPI的大部分功能由Coredll.dll实现 核心的密码运算功能则由Coredll.dll再调用CSP
扩展性
Cryptographic Service Provider
CSP仅仅是实现其中最为核心的密码计算
与密钥相关的
密钥生成、存储 加解密计算 签名/验证计算 密钥生成/导入/导出
HASH计算 一般,还有相应证书的存储
由CSP负责存储相应的证书 23
其他的功能
虽然可从RSA公司得到软件实现的、符合 PKCS#11接口的软件函数库 每个人都可以“完全自主地”开发一套符合 PKCS#11接口的软件函数库
而CryptoAPI,则不可能是“完全自主的”
因为CryptoAPI中很大部分功能,就只能是 由Windows OS的Coredll.dll实现
32
PKCS#11的调用方式
生成密钥、加解密等
C_Logout
C_CloseSession
在1个Session范围内,可以反复地多次 Login/Logout
35
PKCS#11的调用过程
总结如下:
建立Session,与某个特定的slot进行 通信 登录 操作slot中的密码数据 注销 关闭Session
从PKI应用系统看来,什么要素是由PKI引 入的?
也就是,PKI独有的 证书 公私密钥对 证书/CRL
8
PKI Subscriber拥有的PKI数据要素就是:
PKI User拥有的PKI数据要素就是:
PKI API的2大类功能
所以,应用系统对API有2大类功能要求
公私密钥对管理
其中大部分是再次调用CSP来实现的 对Certificate Store中的数据增加、删除、查询等 新建、删除Certificate Store等 构造证书链、并验证证书有效性
Certificate and Certificate Store Functions
Certificate Verification Functions
Certificate Holder
25
CryptoAPI中的数据存储结构
对于PKI Client
有多个Certificate Store,用不同的名字区分 每次Certificate Store存储:
信任锚证书 证书和CRL
26
CryptoAPI中实现的功能1
Base Cryptography Functions
27
CryptoAPI中实现的功能2
Message Functions
直接使用Key Container和Certificate Store 中的数据进行数字签名和加解密 同时,对数据进行各种国际标准的编解码
如,PKCS#1、PKCS#7等
Auxiliary Functions
辅助函数,例如,OID的DER编码、BASE64 编解码等
除此之外,还有各种辅助功能。例如
如,PKCS#10格式、PKCS#7格式、OCSP查询请 求格式等等 13
Base64编解码等等
应用接口API
CryptoAPI
Microsoft公司制定的 用于Windows操作系统
我们应用最多的OS
PKCS#11
RSA公司制定的 用于各种操作系统
20
CSP
Cryptographic Service Provider
实现了CryptoAPI中的核心密码运算功能
密钥生成、保存、销毁 加解密 签名、验证、HASH Coredll.dll是Windows操作系统的一部分 称为CryptoSPI,Cryptographic Service Provider Interface 21
如PKCS#11、CDSA等
只能在Windows上面使用
而且,必须得到Microsoft允许的可执行代码 才能在Windows正常执行
不可扩展的部分由Microsoft自主开发 可扩展的部分必须有Microsoft公司的数字签名 18
CryptoAPI的架构
从CryptoAPI的架构,我们可以看到其为 什么能够具有2大特点: