第7章 PKI系统架构

针对上述问题，世界各国经过多年的研究， 初步形成一套完整的 Internet 安全解决方案，即 目前被广泛采用的PKI技术。PKI技术采用证书管 理公钥，通过第三方的可信任机构—认证中心CA （ Certificate Authority ）把用户的公钥和用户 的其他标识信息 ( 如名称、 E-mail 、身份证号等 ) 捆绑在一起。通过 Internet的 CA 机构，较好的解 决了密钥分发和管理问题，并通过数字证书，对 传输的数据进行加密和鉴别，保证了信息传输的 机密性、真实性、完整性和不可否认性。 目前， PKI 的安全认证体系得到了各界人士 的普通关注。国外的一些大的网络安全公司也都 推 出 了 PKI 的 产 品 ， 如 美 国 的 IBM 、 加 拿 大 的 Entrust, SUN等，为用户之间的内部信息交互提 供了安全保障。
return
PKI的体系构成(二)
软硬件系统
是PKI系统运行所需的所有软、硬件 的集合，主要包括认证服务器、目 录服务器、PKI平台等。
return
PKI的体系构成(三)
认证中心CA
为了确保用户的身份及他所持有密钥的正确匹配， 公钥系统需要一个可信的第三方充当认证中心 （Certification Authority，CA），来确认公钥拥 有者的真正身份，签发并管理用户的数字证书。
PKI的性能要求
透明性和易用性 可扩展性 互操作性 多用性 支持多平台
PKI/CA发展历程
1976年，提出RSA算法 20世纪80年代，美国学者提出了PKI的概念 为了推进PKI在联邦政府范围内的应用，1996年就成立了 联邦PKI指导委员会 1996年，以Visa、Ma百度文库tCard、IBM、Netscape、MS、数家 银行推出SET协议，推出CA和证书概念 1999年，PKI论坛成立 2000年4月，美国国防部宣布要采用PKI安全倡议方案。 2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组 织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其 宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电 子商务奠定基础
PKI/CA发展历程
中国PKI论坛经国家计委批准成立的非营利性 跨行业中介组织 是国家授权与国外有关PKI机构和组织沟通的 窗口； 中国PKI论坛现任亚洲PKI论坛副主席； 中国PKI论坛目前挂靠在国家信息中心； 其网址为www.chinapkiforum.org.cn
PKI/CA发展历程
认证
授权
应 用 系 统
Rick
保密性 完整性 防抵赖
5.我有你的罪证.
PKI实现的安全功能





认证 我不认识你! -- 你是谁？ 我怎么相信你就是你? -- 要是别人冒充你怎么办? 授权 我能干什么? -- 我有什么权利? 你能干这个,不能干那个. 保密性 我与你说话时,别人能不能偷听? 完整性 收到的传真不太清楚? 传送过程过程中别人篡改过没有? 防抵赖 我收到货后,不想付款,想抵赖,怎么样? 我将钱寄给你后,你不给发货,想抵赖,如何?
return
PKI的体系构成(五)
证书签发系统
负责证书的发放。
return
PKI的体系构成(六)
PKI应用
Web服务器和浏览器之间的通讯 电子邮件 电子数据交换（EDI） 互联网上的信用卡交易 虚拟专用网（VPN）
return
PKI的体系构成(七)
PKI应用接口系统(API)
保密性 Confidentiality: 确保在一个计算机系统 中的信息和被传输的信息仅能被授权让读取的那 方得到。
完整性Integrity: 确保仅是被授权的各方能够对 计算机系统中有价值的内容和传输的信息进行权 限范围之内的操作，这些操作包括修改、改变状 态、删除、创建、时延或重放。
可用性 Availability: 即保证信息和信息系统随 时为授权者提供服务，而不出现非授权者滥用 却对授权者拒绝服务的情况。 不可否认性 non-repudiation: 要求无论发送方 还是接收方都不能抵赖所进行的传输。 鉴别Authentication: 就是确认实体是它所声明 的，用于对人或实体的身份进行鉴别，为身份 的真实性提供保证，一般可通过认证机构 CA和 证书来实现。
PKI的体系构成(三)续
认证中心CA
是负责管理密钥和数字证书的整个生命周期。 接收并验证最终用户数字证书的申请； 证书审批，确定是否接受最终用户数字证书的申请； 证书签发，向申请颁发、拒绝颁发数字证书； 证书更新，接收、处理最终用户的数字证书更新请求； 接收最终用户数字证书的查询、撤销； 产生和发布证书废止列表(CRL)，验证证书状态； 提供OSCP在线证书查询服务，验证证书状态； 提供目录服务，可以查询用户证书的相关信息； 下级认证机构证书及帐户管理； 数字证书归档； 认证中心CA及其下属密钥的管理； 历史数据归档；
第7章 PKI系统架构
信息安全服务
早期的信息安全是主要是通过物理和行政 手段来实现的，或者是通过简单密码技术来保障。 随着网络技术的发展，需要更加完善的系统来保 护那些存储在计算机中文件和其他信息，包括网 络中传输的数据信息。进入80年代，信息安全技 术有了较大发展，计算机网络安全研究与发展只 关注以下几种安全服务，这些服务包括了一个信 息安全设施所需要的各种功能。
PKI的构建
自建模式(In-house Model)是指用户购买整套的PKI软 件和所需的硬件设备，按照PKI的构建要求自行建立起 一套完整的服务体系。 托管模式是指用户利用现有的可信第三方—认证中心 CA提供的PKI服务，用户只需配置并全权管理一套集 成的PKI平台即可建立起一套完整的服务体系，对内对 外提供全部的PKI服务。
什么是PKI
公钥基础设施（Public Key Infrastructure） PKI是一个用公钥概念和技术来实施和提供 安全服务的具有普适性的安全基础设施。 它能够为所有网络应用提供采用加密和数 字签名等密码服务所需要的密钥和证书管 理。
信任管理 从根本上讲，PKI是表示和管理信任关系的工具; 数字化、电子化社会的基础之一 在数字化社会中，实体间建立信任关系的关键是 能彼此确定对方的身份；
return
PKI的体系构成(四)
注册机构RA
是用户（个人/团体）和认证中心CA之 间的一个接口。接受用户的注册申请， 获取并认证用户的身份，完成收集用户 信息和确认用户身份。 自身密钥的管理，包括密钥的更新、保 存、使用、销毁等； 审核用户信息； 登记黑名单； 对业务受理点的LRA的全面管理； 接收并处理来自受理点的各种请求。
良好的应用接口系统使得各种应用能够以安全、 一致、可信的方式与PKI交互，确保所建立的 网络环境的可信性，降低管理和维护的成本。
return
PKI运作
PKI的策划 包括信任模式、技术标准的选择；PKI系统、信息系统、 网络系统架构的规划；整体安全架构的规划；设备选型； PKI功能与应用方式的确定；认证策略、安全策略、运营 策略的制定；相关规章、法规体系的规划；物理场地选 址；人员规划等。 PKI实施 包括场地建设；PKI系统、信息系统、网络系统建设；安 全设施建设；相关规章、法规的制定；PKI功能与应用的 实现；人员配置；人员培训等。 PKI运营 包括PKI及相关设施的管理与维护；PKI功能与应用的执 行；相关规章、法规的执行；运营审计与评估；人员管 理等。
密码学与信息安全
信息的私密性(Privacy) 对称加密 信息的完整性(Integrity) 数字签名 信息的源发鉴别(Authentication) 数字签名 信息的防抵赖性(Non-Reputation) 数字签名 ＋ 时间戳
信息安全技术与PKI
不存在单一的机制能够提供上述列出的儿 种服务，网络环境下的安全服务需要依靠密码 技术、身份认证技术、防火墙、防病毒、灾难 备份、安全审计、入侵检测等安全机制综合应 用起来实现。 在应用层上对信息进行加密的算法或对消 息来源进行鉴别的协议已有多年的研究。但在 传统的基于对称密钥的加密技术中，密钥的分 发的问题一直没有得到很好的解决。并对电子 商务、安全电子邮件、电子政务等新的安全应 用，传统技术基于共享密钥的鉴别协议对通信 主体的身份认证也没有很好的解决。
PKI构建模式的比较
成本比较(建设、风险、培训、维护) 建设周期比较 投入与产出比较 系统性能比较 服务比较
1996-1998年，国内开始电子商务认证方面的研究，尤其中国 电信派专家专门去美国学习SET认证安全体系 1997年1月，科技部下达任务，中国国际电子商务中心（外经 贸委）开始对认证系统进行研究开发 1998年11月，湖南CA中心开始试运行 1998年10月，国富安认证中心开始试运行 1999年第一季，上海CA中心开始试运行 1999年8月，湖南CA通过国密办鉴定，测评中心认证 1999年10月7日，《商用密码管理条例》颁布 1999年-2001年，中国电子口岸执法系统完成 1999年8月-2000年，CFCA开始招标并完成
PKI/CA发展历程
亚洲PKI论坛成立于2001年6月13日，包括日本、韩国、新 加坡、中国、中国香港、中国台北和马来西亚。 论坛呼吁加强亚洲国家和地区与美国 PKI论坛、欧洲EESSI等PKI组织的联系， 促进国际间PKI互操作体系的建设与发 展。 论坛下设四个专项工作组，分别是技术 兼容组、商务应用组、立法组和国际合 作组。（网址：www.asiapkiforum.org）
PKI实现的安全功能
1.1你是谁? 1.2怎么确认你就是你? 1.1我是Rick. 1.2 口令是1234. 2. 我能干什么? Internet/Intranet 2.你能干这个,不能干那个. 3.如何让别人无法偷听? 4.如何保证不能被篡改? 4.别怕,我有数字签名. 5.我偷了机密文件,我不承认. 3. 我有密钥? Mary
7.3 PKI及其构件
PKI的体系构成(一)
PKI策略
是一个包含如何在实践中增强和支持安全策略的一些 操作过程的详细文档； 建议和定义了一个组织信息安全方面的指导方针，同 时也定义了密码系统使用的处理方法和原则。 两种类型： -- Certificate Policy ,证书策略，用于管理证书的使用 --CPS（Certificate Practice Statements）