第六章公鑰基礎(chǔ)設(shè)施PKI

1、目錄目錄第六章第六章 公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施目錄目錄了解公鑰基礎(chǔ)設(shè)施和密鑰管理的基本概念； 了解數(shù)字證書的概念、功能和分類； 了解數(shù)字證書（X509證書）的內(nèi)容和格式； 掌握數(shù)字證書中的密鑰管理功能； 理解數(shù)字證書的注冊(cè)生成、頒發(fā)、驗(yàn)證、使用和存放的流程； 理解公鑰基礎(chǔ)設(shè)施的基本框架； 了解公鑰基礎(chǔ)設(shè)施的國內(nèi)外發(fā)展?fàn)顩r。知識(shí)目標(biāo)知識(shí)目標(biāo)目錄目錄初步掌握數(shù)字證書的注冊(cè)生成、頒發(fā)、驗(yàn)證、使用和存放的流程。技能目標(biāo)技能目標(biāo)目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述一、一、 公鑰基礎(chǔ)設(shè)施和密鑰管理公鑰基礎(chǔ)設(shè)施和密鑰管理公鑰基礎(chǔ)設(shè)施（public key infrastructure，PK

2、I）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它可以為各種網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。密鑰管理，是一門綜合性的技術(shù)，涉及密鑰的產(chǎn)生、檢驗(yàn)、分配、傳遞、保管、使用、銷毀的全過程，還與密鑰的行政管理制度以及人員的素質(zhì)密切相關(guān)。目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述密鑰管理體制主要有3種：一是適用于封閉網(wǎng)技術(shù)，以傳統(tǒng)的密鑰管理中心為代表的密鑰管理中心（KMI）機(jī)制；二是適用于開放網(wǎng)的PKI機(jī)制；三是適用于規(guī)模化專用網(wǎng)的SPK/SDKSPK目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述二、二、 PKI的基本概念和所要處理的問題的基本概念和

3、所要處理的問題PKI是一套利用非對(duì)稱密碼（公鑰密碼）技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，它規(guī)定了該安全基礎(chǔ)平臺(tái)應(yīng)遵循的標(biāo)準(zhǔn)。目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對(duì)稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。因此，用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行電子商務(wù)和電子政務(wù)應(yīng)用。目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI必須處理以下幾個(gè)問題：密鑰的安全生成密鑰的安全歸檔和恢復(fù)信任關(guān)系的建立和管理簽名和時(shí)間戳的產(chǎn)生證書及相關(guān)信息的發(fā)布證書的頒發(fā)、更新和終止初始

4、身份的確認(rèn)證書的有效性檢查目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述PKI有以下幾個(gè)基本的組成部分。公鑰證書證書管理機(jī)構(gòu)署名用戶證書存檔注冊(cè)機(jī)構(gòu)策略管理機(jī)構(gòu)證書吊銷列表認(rèn)證機(jī)構(gòu)三、三、 PKI的組成的組成終端用戶依賴方目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述四、四、 PKI的功能的功能為了達(dá)到處理以上問題的目的，可以確定PKI系統(tǒng)具有以下服務(wù)功能。存儲(chǔ)、恢復(fù)證書和黑名單發(fā)布簽發(fā)證書注銷證書密鑰生命周期管理基于政策的證書路徑驗(yàn)證用戶登記目錄目錄第一節(jié)第一節(jié) 公鑰基礎(chǔ)設(shè)施概述公鑰基礎(chǔ)設(shè)施概述五、五、 PKI模式的主要流程模式的主要流程PKI模式的主要流程如圖6-1所示。目

5、錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書一、一、 數(shù)字證書概述數(shù)字證書概述（一）（一） 數(shù)字證書簡介數(shù)字證書簡介數(shù)字證書又稱公鑰證書，是由可信賴的權(quán)威機(jī)構(gòu)（CA）簽發(fā)的、標(biāo)志身份信息的一系列數(shù)據(jù)。它是用來在電子商務(wù)活動(dòng)中證實(shí)申請(qǐng)者的身份的唯一電子文件。數(shù)字證書采用公鑰密碼體制，利用一對(duì)匹配的密鑰對(duì)（公鑰和私鑰）來進(jìn)行加密和解密。目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書（二）（二） 數(shù)字證書的功能數(shù)字證書的功能數(shù)字簽名身份認(rèn)證文件加密目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書（三）（三） 數(shù)字證書的分類數(shù)字證書的分類按申請(qǐng)者的不同，數(shù)字證書可分

6、為以下幾種。安全郵件數(shù)字證書企業(yè)數(shù)字證書服務(wù)器數(shù)字證書代碼簽名證書Web站點(diǎn)數(shù)字證書個(gè)人數(shù)字證書目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書二、二、 數(shù)字證書的內(nèi)容和格式數(shù)字證書的內(nèi)容和格式X.509證書包括以下內(nèi)容6. 主體名稱7. 主體的公鑰信息8. 頒發(fā)者唯一標(biāo)識(shí)符9. 主體唯一標(biāo)識(shí)符10. 擴(kuò)展域1. 版本2. 序列號(hào)3. 證書中的簽名算法4. 頒發(fā)者的名稱5. 證書的有效期目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書三、三、 數(shù)字證書的管理數(shù)字證書的管理（一）（一） 密鑰管理密鑰管理數(shù)字證書中的密

7、鑰管理功能包括如下內(nèi)容：提供密鑰生成和分發(fā)服務(wù)更新管理實(shí)施密鑰撤銷其他密鑰的生成和管理以及密碼運(yùn)算功能提供密鑰托管和密鑰恢復(fù)服務(wù)確定客戶密鑰的生存周期目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書（二）（二） 數(shù)字證書的管理方法數(shù)字證書的管理方法證書的驗(yàn)證證書的頒發(fā)證書的使用證書的存放證書的注冊(cè)和生成12345目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書1.證書的注冊(cè)和生成數(shù)字證書的生成過程通常采用兩種模式：集中生成模式分布式生成模式目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書2. 證書的頒發(fā)在證書的分布式生成模型中，數(shù)字證書頒發(fā)過程如下：用戶利用下載的客戶端軟件系統(tǒng)產(chǎn)生了自己的密鑰對(duì)，并將公共

8、密鑰及部分個(gè)人身份信息傳送給CA。CA在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來。然后，CA將發(fā)送給用戶一個(gè)數(shù)字證書，該證書內(nèi)附有用戶和他的密鑰等信息，同時(shí)還附有對(duì)CA公共密鑰加以確認(rèn)的數(shù)字證書。當(dāng)用戶想證明其公鑰的合法性時(shí)，就可以提供這一數(shù)字證書。目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書3. 證書的驗(yàn)證驗(yàn)證時(shí)，如果通信雙方使用相同的CA，事情就很簡單，甲只需驗(yàn)證乙證書上CA的簽名即可；如果通信雙方使用不同的CA，問題就復(fù)雜了，甲必須從CA的樹型結(jié)構(gòu)底部開始，從底層CA往上層CA查詢，一直追蹤到同一個(gè)CA為止，找出共同信任的CA。目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)

9、字證書4. 證書的使用持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實(shí)性、完整性和不可否認(rèn)性，需要對(duì)要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，其傳送過程如下：目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書甲準(zhǔn)備好要傳送的數(shù)字信息，并且對(duì)數(shù)字信息進(jìn)行哈希運(yùn)算，得到一個(gè)信息摘要；然后用自己的私鑰對(duì)信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上；這樣隨機(jī)產(chǎn)生一個(gè)加密密鑰，并用此密鑰對(duì)要發(fā)送的信息進(jìn)行加密；最后，甲用乙的公鑰對(duì)隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的密鑰同密文一起傳給乙。目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書乙收到甲傳送過來的密文和使用過的密鑰，先用自己的私鑰對(duì)加密的密鑰進(jìn)行

10、解密，得到會(huì)話密鑰；乙用密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，并將密鑰拋棄。然后，乙用甲的公鑰對(duì)甲的數(shù)字簽名進(jìn)行解密，得到信息摘要；乙用相同的哈希算法對(duì)收到的明文再進(jìn)行一次哈希運(yùn)算，得到一個(gè)新的信息摘要。最后，乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。目錄目錄第二節(jié)第二節(jié) PKI數(shù)字證書數(shù)字證書5. 證書的存放數(shù)字證書可以存放在計(jì)算機(jī)的硬盤、隨身軟盤、IC卡或CUP卡中。目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架在PKI的基本框架中，具體包括管理實(shí)體、端實(shí)體和證書庫三類實(shí)體。管理實(shí)體端實(shí)體證書庫目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架一、

11、一、 管理實(shí)體管理實(shí)體管理實(shí)體包括CA和RA，同時(shí)管理實(shí)體是PKI的核心，是PKI服務(wù)的提供者。CA是PKI框架中唯一能夠發(fā)布和撤銷證書的實(shí)體，維護(hù)證書的生命周期；RA負(fù)責(zé)處理用戶請(qǐng)求，在驗(yàn)證了請(qǐng)求的有效性后，代替用戶向CA提交。目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架CA主要由以下3個(gè)部分組成：證書申請(qǐng)受理和審核機(jī)構(gòu)認(rèn)證中心服務(wù)器注冊(cè)服務(wù)器目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架認(rèn)證中心的核心功能就是發(fā)放和管理數(shù)字證書，其具體描述如下：（1） 接收、驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)。（2） 確定是否接受最終用戶數(shù)字證書的申請(qǐng)。（3） 向申請(qǐng)者頒發(fā)或拒絕頒發(fā)數(shù)字證書。（4） 接收、處理最終用

12、戶的數(shù)字證書更新請(qǐng)求。（5） 接收最終用戶數(shù)字證書的查詢、撤銷請(qǐng)求。（6） 產(chǎn)生和發(fā)布證書吊銷列表。（7） 數(shù)字證書的歸檔。（8） 密鑰歸檔。（9） 歷史數(shù)據(jù)歸檔。目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架二、二、 端實(shí)體端實(shí)體1. 證書持有者證書請(qǐng)求私鑰的簽名和解密證書撤銷請(qǐng)求向其他用戶傳送證書安裝存儲(chǔ)證書密鑰更新請(qǐng)求生成密鑰對(duì)安裝和存儲(chǔ)私有密鑰目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架2. 證書信任方證書信任方可以實(shí)現(xiàn)的功能如下：核實(shí)證書接收證書檢查身份和數(shù)字簽名保密通信證書請(qǐng)求12345目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架三、三、 證書庫證書庫證書庫是一個(gè)分布式數(shù)據(jù)庫，采用數(shù)

13、據(jù)庫鏡像技術(shù)，將CA所簽發(fā)的與本組織有關(guān)的證書和證書吊銷列表存放到本地，以減少向總目錄查詢的次數(shù)，提高證書的查詢效率。目錄目錄第三節(jié)第三節(jié) PKI基本框架基本框架目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況一、一、 美國的美國的PKI體系結(jié)構(gòu)與發(fā)展體系結(jié)構(gòu)與發(fā)展目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況二、二、 我國我國PKI的體系結(jié)構(gòu)的體系結(jié)構(gòu)我國的PKI體系由國家PKI協(xié)調(diào)管理委員會(huì)、國家電子政務(wù)PKI體系、國家公共PKI體系和國外PKI四部分組成，如圖6-6所示。目錄目錄第四節(jié)第四節(jié) PKI的國

14、內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況下面主要介紹國家電子政務(wù)PKI體系以及國家公共PKI體系。國家公共PKI體系國家電子政務(wù)PKI體系與國家公共PKI體系的聯(lián)系國家電子政務(wù)PKI體系目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況1. 國家電子政務(wù)PKI體系目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況2. 國家公共PKI體系目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況3. 國家電子政務(wù)PKI體系與國家公共PKI體系的聯(lián)系目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況三、三、 我國我國PKI建設(shè)面臨的問題和發(fā)展前景建設(shè)面臨的問題和發(fā)展前景我國的P

15、KI建設(shè)主要存在兩個(gè)方面的問題：技術(shù)難題和管理問題。而這兩方面的問題又并非獨(dú)立存在。究其原因，一方面是我國的CA技術(shù)并不成熟，雖然使用X-509標(biāo)準(zhǔn)，但是在傳輸、認(rèn)證的方面仍有很多細(xì)節(jié)需要統(tǒng)一；另一方面是我國在CA管理的方面經(jīng)驗(yàn)不足，導(dǎo)致出現(xiàn)重復(fù)和交叉，造成資源的浪費(fèi)和交易過程的混亂。目錄目錄第四節(jié)第四節(jié) PKI的國內(nèi)外發(fā)展?fàn)畹膰鴥?nèi)外發(fā)展?fàn)顩r況盡管當(dāng)前我國的PKI自身存在較多問題，并同時(shí)面臨著非PKI認(rèn)證體系的挑戰(zhàn)（如IDShield 等，IDShield同樣是一種認(rèn)證系統(tǒng)），但是其發(fā)展前景被業(yè)界普遍看好。目錄目錄本章小結(jié)本章小結(jié)本章首先介紹了公鑰基礎(chǔ)設(shè)施的基本概念、組成和功能。PKI中最重要

16、的概念是數(shù)字證書。它是由可信賴的權(quán)威機(jī)構(gòu)（CA）簽發(fā)的，標(biāo)識(shí)身份信息的一系列數(shù)據(jù)。接著介紹了數(shù)字證書以及PKI的運(yùn)行模型。其中，數(shù)字證書有文件加密、數(shù)字簽名、身份認(rèn)證的功能。根據(jù)申請(qǐng)者的不同，數(shù)字證書又可分為不同的種類。它遵循一定的格式，常見的為X509證書。在PKI的基本框架中，具體包括管理實(shí)體、端實(shí)體和證書庫三類實(shí)體。最后，本章還介紹了美國聯(lián)邦PKI的體系結(jié)構(gòu)和我國PKI的體系結(jié)構(gòu)與發(fā)展?fàn)顩r。目錄目錄綜合訓(xùn)練綜合訓(xùn)練1. 簡述公鑰基礎(chǔ)設(shè)施和密鑰管理的基本概念。2. 簡述PKI的組成、功能和所能處理的問題。3. 數(shù)字證書的功能有哪些？4. 數(shù)字證書（X509證書）的內(nèi)容和格式是什么？5. 簡述PKI的運(yùn)行模型。6. PKI的實(shí)體對(duì)象有哪些？7. 典型的PKI應(yīng)用有哪些？目錄目錄實(shí)訓(xùn)設(shè)計(jì)實(shí)訓(xùn)設(shè)計(jì)了解PKI證書的下載方法，掌握PK