pkica數(shù)字證書(shū)

1、PKI技術(shù),第一講 綜述,什么是PKI？,Public Key Infrastructure公開(kāi)密鑰基礎(chǔ)設(shè)施普適性、系統(tǒng)是用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施 (Carlistle Adams)產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷(xiāo)基于公開(kāi)密鑰密碼學(xué)的公鑰證書(shū)所必須的軟件、硬件、人、策略和處理過(guò)程的集合 (IETF)是硬件、軟件、策略和人組成的系統(tǒng)，當(dāng)完全并且正確的實(shí)施后，能夠提供一整套的信息安全保障，這些保障對(duì)

2、保護(hù)敏感的通信和交易是非常重要的 (GAO：美國(guó)審計(jì)總署 ),澄清概念,PKIPublic Key InfrastructureCACertification Authority數(shù)字證書(shū)認(rèn)證中心、認(rèn)證中心、CA中心是PKI系統(tǒng)的最核心部件可以認(rèn)為PKI的其他部件是依附于CA的所以，在非學(xué)術(shù)場(chǎng)合，我們看到CA和PKI的概念是混用,基礎(chǔ)設(shè)施,PKI的類(lèi)比--電力基礎(chǔ)設(shè)施能夠遞歸--使用電力控制的變電站PKI與應(yīng)用的分離--

3、電器PKI與防火墻等其它安全技術(shù)正如火車(chē)不能與電力基礎(chǔ)設(shè)施進(jìn)行比較一樣,PKI就在我們身邊,電子商務(wù)（包括移動(dòng)商務(wù)）電子支付，電子合同、數(shù)字簽名,國(guó)防在線(xiàn)訪(fǎng)問(wèn)軍事資源、通信保密、文件保密、秘密分級(jí)管理、各部門(mén)通信協(xié)調(diào)。,電子政務(wù)電子公章、資源訪(fǎng)問(wèn)控制、文件保密,登錄授權(quán),VPN,各種實(shí)例（一）,中國(guó)各大銀行已大規(guī)模地推廣基于個(gè)人數(shù)字證書(shū)的網(wǎng)上銀行身份認(rèn)證，防止銀行賬號(hào)被竊和網(wǎng)銀欺詐25家銀行采用數(shù)字證書(shū)，根據(jù)央行05年10月

4、26日頒布的《電子支付指引》，凡使用數(shù)字證書(shū)等安全認(rèn)證方式的網(wǎng)銀用戶(hù)，將不會(huì)存在每日、每筆網(wǎng)上支付金額的限制ICAO（國(guó)際民用航空組織International Civil Aviation Organization）制定了PKI數(shù)字證書(shū)的電子護(hù)照標(biāo)準(zhǔn)每個(gè)香港公民一人一個(gè)智能身份證，每個(gè)智能身份證上配發(fā)一個(gè)全球通用的由香港郵政局頒發(fā)的個(gè)人數(shù)字證書(shū),各種實(shí)例（二）,中國(guó)電子口岸基于移動(dòng)運(yùn)營(yíng)商無(wú)線(xiàn)網(wǎng)絡(luò)（聯(lián)通CDMA或移動(dòng)GPRS），利用

5、手機(jī)等移動(dòng)終端，實(shí)現(xiàn)公眾的，商務(wù)的，政務(wù)的應(yīng)用。基于中國(guó)電子口岸CA系統(tǒng)，建立起電子口岸的WPKI移動(dòng)應(yīng)用安全架構(gòu)，最終滿(mǎn)足企業(yè)的安全要求CERNET2網(wǎng)絡(luò)中間件技術(shù)研究與試驗(yàn)：證書(shū)服務(wù)和PKI技術(shù)校園信息化基礎(chǔ)平臺(tái)：基于CA/PKI的信息安全技術(shù)美國(guó)軍方采用基于PKI技術(shù)的網(wǎng)絡(luò)身份證/工作證,,,,國(guó)內(nèi)外PKI發(fā)展,二十世紀(jì)八十年代，美國(guó)學(xué)者提出了PKI（公開(kāi)密鑰基礎(chǔ)設(shè)施）的概念1996年成立了聯(lián)邦PKI指導(dǎo)委員會(huì)1999年

6、，PKI論壇成立 2000年4月，美國(guó)國(guó)防部宣布要采用PKI安全倡議方案 2001年6月13日， “亞洲PKI論壇”成立2002年2月經(jīng)國(guó)家計(jì)委批準(zhǔn)，正式成立了“中國(guó)PKI論壇”籌備工作組2002年7月2日到5日在北京召開(kāi)了“亞洲PKI論壇”第二屆年會(huì) 2007年11月7日，“亞洲PKI聯(lián)盟”（APKIC，Asia PKI Consortium）成立大會(huì)在中國(guó)西安召開(kāi)。,世界各國(guó)的PKI建設(shè),美國(guó)——聯(lián)邦橋計(jì)劃加拿大——加拿

7、大PKI計(jì)劃澳大利亞、英國(guó)、法國(guó)、德國(guó)、意大利、奧地利、比利時(shí)、希臘、荷蘭、芬蘭、日本、俄羅斯等幾十個(gè)國(guó)家都在發(fā)展、使用PKI歐洲——?dú)W洲橋CA，促進(jìn)歐洲各種的CA互聯(lián)互操作,美國(guó)——聯(lián)邦橋,連接各部門(mén)的PKI/CA系統(tǒng),美國(guó)郵政服務(wù)部門(mén)（Postal Service）已經(jīng)建立了Netpost Certified，它將為各機(jī)構(gòu)提供安全、便宜的電子信息傳輸服務(wù)社會(huì)安全部門(mén)（Social Security）計(jì)劃建立一個(gè)PKI以允許其

8、雇員能夠通過(guò)Internet網(wǎng)提供工資信息美國(guó)國(guó)防部計(jì)劃建立一個(gè)PKI用于軍事采購(gòu)其他部門(mén),韓國(guó),PKI體系建設(shè)NPKI （發(fā)證給市民）6家認(rèn)可CA，1個(gè)根CA（韓國(guó)信息安全局）GPKI （發(fā)證給內(nèi)部服務(wù)機(jī)構(gòu)） 1個(gè)根CA（政府計(jì)算機(jī)中心），其它政府部門(mén)CA應(yīng)用發(fā)展證書(shū)發(fā)放達(dá)到7.2百萬(wàn)在利用手機(jī)無(wú)線(xiàn)文檔服務(wù)應(yīng)用項(xiàng)目上與韓國(guó)三星等大型企業(yè)結(jié)成戰(zhàn)略聯(lián)盟,應(yīng)用舉例,基于PKI技術(shù)的安全I(xiàn)nternet投票系統(tǒng)2002年世

9、界杯賽中的最有價(jià)值球員,中國(guó)的PKI建設(shè)(1),區(qū)域型上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA（簡(jiǎn)稱(chēng)HBECA）；海南電子商務(wù)認(rèn)證中心（HNECA）；廣東省電子商務(wù)認(rèn)證中心 行業(yè)型金融、電信和外經(jīng)貿(mào)等行業(yè)建立的相關(guān)證書(shū)機(jī)構(gòu) 國(guó)內(nèi)十三家商業(yè)銀行聯(lián)合建設(shè)中國(guó)金融認(rèn)證中心(CFCA)中國(guó)電信組建的CTCA由國(guó)家外經(jīng)貿(mào)部建立的中國(guó)國(guó)際電子商務(wù)中心（CIECC）國(guó)家根CA國(guó)家密碼管理局

10、,中國(guó)的PKI建設(shè)(2),獲證機(jī)構(gòu)和發(fā)證數(shù)量，逐年增加至2005年底，15家CA，發(fā)證總量236萬(wàn)至2006年底，21家CA，累計(jì)發(fā)證546萬(wàn)至2007年底，26家CA，初步統(tǒng)計(jì)發(fā)證約740多萬(wàn)上海CA累計(jì)發(fā)證突破90萬(wàn)（2007年7月）CFCA累計(jì)發(fā)證突破100萬(wàn)（2006年7月）山東CA已發(fā)放證書(shū)40多萬(wàn)張（2006年1月）……,中國(guó)的PKI建設(shè)(3),應(yīng)用領(lǐng)域網(wǎng)上支付2006年3月，支付寶公司推出國(guó)內(nèi)支付領(lǐng)域首張

11、數(shù)字證書(shū)電子病歷截至2007年12月，廣西醫(yī)科大學(xué)第一附屬醫(yī)院36個(gè)臨床病區(qū)采用電子病歷，5萬(wàn)份電子病歷使用電子簽名2007年，廣東中山市人民醫(yī)院1300余名醫(yī)護(hù)人員制作了證書(shū)網(wǎng)上交易平臺(tái)2007年，廣東省開(kāi)通網(wǎng)上藥品采購(gòu)平臺(tái)，發(fā)放6000多張證書(shū),中國(guó)的PKI建設(shè)(4),技術(shù)產(chǎn)品18項(xiàng)通過(guò)國(guó)家密碼管理局技術(shù)鑒定的電子認(rèn)證系統(tǒng)（SRQ系列）截至2006年底，電子認(rèn)證和數(shù)字證書(shū)應(yīng)用的軟件系統(tǒng)和硬件設(shè)備產(chǎn)品達(dá)千種以上，涉及機(jī)構(gòu)

12、超過(guò)300家,亞洲PKI論壇,發(fā)展歷史從2000 年開(kāi)始，由日本、韓國(guó)、新加坡等發(fā)起，醞釀創(chuàng)建亞洲 PKI 論壇。2001年6月，在東京舉行亞洲 PKI 論壇成立大會(huì)日本當(dāng)選為首屆亞洲 PKI 論壇主席，中國(guó)、韓國(guó)和新加坡當(dāng)選為副主席,亞洲PKI論壇的活動(dòng),召開(kāi)信息交流研討會(huì)，促進(jìn) PKI 制度、技術(shù)跨國(guó)界協(xié)調(diào)推動(dòng)所需調(diào)查、驗(yàn)證實(shí)驗(yàn)以及工作組活動(dòng)有效協(xié)調(diào)與其他地區(qū)各類(lèi)電子商務(wù)活動(dòng)的合作參與 PKI 技術(shù)標(biāo)準(zhǔn)化和成員間互操作活

13、動(dòng)調(diào)研電子交易相關(guān)法律、法規(guī)推動(dòng)論壇成員間的友好往來(lái)等加強(qiáng)亞洲國(guó)家和地區(qū)與美國(guó)的 PKI 論壇、歐洲 EESSI 等 PKI 組織聯(lián)系，促進(jìn)國(guó)際間 PKI 互操作體系的建設(shè)發(fā)展,亞洲 PKI 論壇工作小組,技術(shù)互操作組an expert group of PKI technology, who addresses PKI interoperability issues in order to establish a certif

14、ication system, which is available in Asia as a common infrastructure.商務(wù)應(yīng)用組research activities & case study related to business case and applications of each region法規(guī)組issues a legal report yearly through the memb

15、ers' discussion and research concerning cross-border e-commerce國(guó)際合作組initiate, facilitate and realize the mutually beneficial information sharing,亞洲PKI聯(lián)盟（1）,2006年9月，成立了由中國(guó)、韓國(guó)、中華臺(tái)北三方組成的改革計(jì)劃組（TPT，Transformation Planni

16、ng Team），共同協(xié)商論壇的改革事務(wù)。2007年11月7日在中國(guó)西安，原亞洲PKI論壇改革為亞洲PKI聯(lián)盟（APKIC，Asia PKI Consortium)，組織的工作重點(diǎn)和工作領(lǐng)域?qū)腜KI技術(shù)/政策轉(zhuǎn)變?yōu)榇龠M(jìn)PKI產(chǎn)業(yè)市場(chǎng)應(yīng)用的發(fā)展。,亞洲PKI聯(lián)盟（2）,聯(lián)盟主要將在以下方面進(jìn)行工作： 提高亞太地區(qū)PKI應(yīng)用系統(tǒng)間的互操作性，以建立互聯(lián)互通的無(wú)縫電子商務(wù)環(huán)境，促進(jìn)PKI技術(shù)得到更為廣泛的市場(chǎng)應(yīng)用，促進(jìn)整個(gè)PKI產(chǎn)業(yè)鏈

17、中各機(jī)構(gòu)、廠(chǎng)商的共贏。繼續(xù)致力于技術(shù)推廣、標(biāo)準(zhǔn)制定、國(guó)際合作等原有工作目標(biāo)。考慮到亞太地區(qū)PKI技術(shù)發(fā)展的不平衡，聯(lián)盟將繼續(xù)致力于培訓(xùn)PKI相關(guān)技術(shù)人才、出版書(shū)籍、召開(kāi)講座和會(huì)議等。在新的APKIC中，成員結(jié)構(gòu)將發(fā)生變化，新的成員類(lèi)型將被允許進(jìn)入聯(lián)盟。企業(yè)、非營(yíng)利組織和個(gè)人可以直接成為會(huì)員，從而更加直接地在APKIC的各種事務(wù)中發(fā)揮作用。,國(guó)內(nèi)外的PKI相關(guān)立法,1995年，美國(guó)猶他州頒布了《數(shù)字簽名法》2000年6月30日，美

18、國(guó)總統(tǒng)克林頓正式簽署了美國(guó)《全球及全國(guó)商業(yè)電子簽名法（The Electronic Signatures in Global and National Commerce (e-SIGN) Act）》加拿大1999年9月30日頒布了《Uniform Electronic Commerce Act 》，該法律規(guī)定了傳統(tǒng)簽名與數(shù)字簽名有同等的法律地位，允許政府使用電子技術(shù)提供服務(wù)和與公民通訊。歐盟數(shù)字簽名法律《EU Digital Si

19、gnature Directive》于2001年7月24日正式生效法國(guó)2000年2月29日頒布了電子簽名法案，于2001年4月1日生效。,國(guó)內(nèi)外的PKI相關(guān)立法,德國(guó)《數(shù)字簽名法（Digital Signature Law）》于2001年3月22日開(kāi)始生效。韓國(guó)1998年正式通過(guò)數(shù)字簽名法，1999年7月這一法律開(kāi)始正式實(shí)施 泰國(guó)2000年3月14日頒布了《the Electronic Transaction Bill and E

20、lectronic Signature Bill》馬來(lái)西亞于1997年頒布了《Digital Signature Act》 新加坡于1998年頒布《電子商務(wù)法》，有關(guān)電子簽名的法律規(guī)定是該法最核心的內(nèi)容,《中華人民共和國(guó)電子簽名法》,2005年4月1日，《中華人民共和國(guó)電子簽名法》正式實(shí)施電子簽名效力等同傳統(tǒng)文筆簽名《電子簽名法》：電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。信息

21、產(chǎn)業(yè)部《電子認(rèn)證服務(wù)管理辦法》國(guó)家密碼管理局《電子認(rèn)證服務(wù)密碼管理辦法》目前PKI技術(shù)是實(shí)現(xiàn)電子簽名的最佳技術(shù)手段,《電子簽名法》的重要內(nèi)容,第一，確立了電子簽名的法律效力明確了在眾多的電子簽名方法和手段中，滿(mǎn)足什么條件的電子簽名才具有與手寫(xiě)簽名或者蓋章同等的效力 第二，對(duì)于電子數(shù)據(jù)，對(duì)電子形式的文件作了相關(guān)規(guī)定電子文件在什么情況下才具有法律效力電子文件在什么情況下可以作為證據(jù)使用規(guī)定了確定電子文件發(fā)送人、發(fā)送時(shí)間和發(fā)送

22、地點(diǎn)的標(biāo)準(zhǔn),PKI的標(biāo)準(zhǔn)化,最主要的PKI標(biāo)準(zhǔn)ITU-T X.509IETF PKIX二者基本上是相互兼容的，其他如：US FPKI，美國(guó)聯(lián)邦PKI規(guī)范US MISPC，最小互操作規(guī)范GOC PKI，加拿大PKI規(guī)范應(yīng)用標(biāo)準(zhǔn)S/MIMEIPSECTLS/SSLCryptoAPI,中國(guó)的PKI標(biāo)準(zhǔn)化,2002年4月15日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)成立PKI/PMI工作組（WG4）國(guó)內(nèi)外PKI/PMI標(biāo)準(zhǔn)體系的

23、分析研究PKI/PMI標(biāo)準(zhǔn)體系國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研完成一批PKI/PMI基礎(chǔ)性標(biāo)準(zhǔn)的制定工作信息產(chǎn)業(yè)部《電子認(rèn)證服務(wù)管理辦法》國(guó)家密碼管理局《電子認(rèn)證服務(wù)密碼管理辦法》,WG4工作,國(guó)家標(biāo)準(zhǔn)（X509V4/V3版）的轉(zhuǎn)化工作和信息安全有關(guān)專(zhuān)用術(shù)語(yǔ)國(guó)內(nèi)外PKI/PMI標(biāo)準(zhǔn)現(xiàn)狀的分析PKI/PMI標(biāo)準(zhǔn)體系基于X.509 v3的國(guó)內(nèi)證書(shū)X509C證書(shū)格式規(guī)范PKI組件最小互操作規(guī)范X509在線(xiàn)證書(shū)狀態(tài)查詢(xún)協(xié)議X509 PK

24、I證書(shū)管理協(xié)議介質(zhì)接口標(biāo)準(zhǔn)AA標(biāo)準(zhǔn)CP/CPS標(biāo)準(zhǔn)PKI安全支撐平臺(tái)技術(shù)規(guī)范PKI應(yīng)用支撐平臺(tái)技術(shù)規(guī)范基于PKI的數(shù)據(jù)共享可信時(shí)間戳標(biāo)準(zhǔn)PKI系統(tǒng)安全保護(hù)等級(jí)評(píng)估準(zhǔn)則/技術(shù)要求,相關(guān)標(biāo)準(zhǔn)規(guī)范日益完善,國(guó)家標(biāo)準(zhǔn)截至2007年底，正式發(fā)布66項(xiàng)信息安全技術(shù)標(biāo)準(zhǔn)（其中18項(xiàng)與PKI密切相關(guān)，在2006－2007年發(fā)布7項(xiàng)）處于報(bào)批稿階段的信息安全技術(shù)標(biāo)準(zhǔn)12項(xiàng)，其中6項(xiàng)與PKI密切相關(guān)2007年第五批電子行業(yè)和信息技術(shù)國(guó)

25、家標(biāo)準(zhǔn)制修訂計(jì)劃中，其中3項(xiàng)與PKI密切相關(guān)，預(yù)計(jì)2008年完成國(guó)家密碼管理局2005年6月《證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》2007年8月《數(shù)字證書(shū)認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》、《數(shù)字證書(shū)認(rèn)證系統(tǒng)檢測(cè)規(guī)范》、《證書(shū)認(rèn)證密鑰管理系統(tǒng)檢測(cè)規(guī)范》,PKI能夠提供什么？,全面的信息安全支持真實(shí)性（標(biāo)識(shí)與鑒別）完整性（不被修改，沒(méi)有錯(cuò)誤）機(jī)密性（隱私與保密）非否認(rèn)性（責(zé)任確定）可用性（可獲得，系統(tǒng)穩(wěn)定性）,真實(shí)性（身份標(biāo)識(shí)與認(rèn)證

26、）,實(shí)體驗(yàn)證人口令，動(dòng)態(tài)口令，擁有的設(shè)備，PKI設(shè)備主機(jī)IP地址，MAC地址，對(duì)稱(chēng)密碼，PKI信息驗(yàn)證MAC， PKI（數(shù)字簽名，同時(shí)提供了完整性）,口令,口令是最常用的認(rèn)證方式，也是最好理解的不需要特殊的硬件，不需要專(zhuān)門(mén)的口令輸入器口令系統(tǒng)的安全性依賴(lài)于足夠的技術(shù)手段保護(hù)巨大的認(rèn)證數(shù)據(jù)庫(kù)對(duì)抗重放攻擊對(duì)抗窮舉暴力攻擊不可能記住足夠長(zhǎng)的、足以對(duì)抗暴力攻擊的口令,完整性,保證數(shù)據(jù)不被改動(dòng)，包括非人為的改動(dòng)或人為的無(wú)意

27、或惡意的篡改 檢錯(cuò)、糾錯(cuò)碼（針對(duì)機(jī)器錯(cuò)誤、傳輸錯(cuò)誤）安全MAC/帶密鑰HASH（針對(duì)第三方攻擊，不能防止對(duì)方對(duì)消息的篡改）數(shù)字簽名（PKI）,機(jī)密性,保證信息不被未授權(quán)的其他人獲得 訪(fǎng)問(wèn)控制如限制某些人對(duì)某些文件的讀寫(xiě)權(quán)限 自主訪(fǎng)問(wèn)控制和強(qiáng)制訪(fǎng)問(wèn)控制 加密對(duì)稱(chēng)密碼可利用基于PKI的密鑰協(xié)商非對(duì)稱(chēng)密碼和PKI信息隱藏將一段信息藏在另一段信息中,非否認(rèn),指能夠提供一種證據(jù)，確認(rèn)原始發(fā)送者是誰(shuí)并保證數(shù)據(jù)未被修改，這種證

28、據(jù)是第三方可以驗(yàn)證的。在通信雙方發(fā)生爭(zhēng)議的時(shí)候提供法律的證據(jù)。 完整性是由通信對(duì)方認(rèn)可和驗(yàn)證，而不可否認(rèn)應(yīng)該由第三方來(lái)進(jìn)行驗(yàn)證和仲裁 非對(duì)稱(chēng)算法，PKI,時(shí)間戳,在有些交易中，時(shí)間是非常關(guān)鍵的因素例如，招投標(biāo)證明一組數(shù)據(jù)在某個(gè)特定時(shí)間是否存在，例如電子交易或電子文檔等基于PKI技術(shù)采用請(qǐng)求響應(yīng)機(jī)制，對(duì)數(shù)據(jù)的散列值和時(shí)間進(jìn)行簽名使用可信時(shí)間源（天文臺(tái)授時(shí)，NTP時(shí)間同步）,從對(duì)稱(chēng)加密算法到PKI,對(duì)稱(chēng)加密算法也能夠解決信息

29、安全的很多問(wèn)題非對(duì)稱(chēng)加密算法進(jìn)一步到PKI,對(duì)稱(chēng)算法,知道如何加密=知道如何解密知道如何驗(yàn)證，就基本知道如何假冒知其然就知其所以然加密和解密過(guò)程中的密鑰是一致的（或者說(shuō)一個(gè)密鑰很容易從另一個(gè)密鑰中導(dǎo)出）,對(duì)稱(chēng)算法不適合于大規(guī)模使用,未曾謀面，缺少以前的聯(lián)系難以密鑰協(xié)商用戶(hù)數(shù)目增多分發(fā)和管理密鑰（Key Management）困難（多，變）安全性問(wèn)題（密鑰泄露）性能問(wèn)題（瓶頸）,非對(duì)稱(chēng)算法/公鑰算法,非對(duì)稱(chēng)密碼（公鑰

30、密碼）算法想法的提出1976年，Diffie、Hellman在《密碼學(xué)的新方向》（New Directions in Cryptography）一文中提出來(lái)）非對(duì)稱(chēng)密碼，也稱(chēng)為公鑰密碼算法。Asymmetrical cryptographyPublic key cryptography,非對(duì)稱(chēng)算法/公鑰算法,知道加密，但不知道解密知道他就是他，但不知道為什么他就是他原理：數(shù)學(xué)計(jì)算巨大（RSA）提供數(shù)字簽名提供秘密密鑰的密

31、鑰管理公開(kāi)公鑰，秘密保存私鑰,從非對(duì)稱(chēng)算法到PKI,非對(duì)稱(chēng)密鑰密碼的使用需要一個(gè)正確的方法，需要一個(gè)標(biāo)準(zhǔn)體系的支持 以非對(duì)稱(chēng)密鑰密碼的原理為基礎(chǔ)設(shè)計(jì)和建設(shè)的、提供電子交易安全服務(wù)的一種網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)設(shè)施就是PKI,從非對(duì)稱(chēng)算法到PKI,技術(shù)保障如何保護(hù)用戶(hù)的私鑰－－密鑰備份和恢復(fù)系統(tǒng)如何獲得通信對(duì)方的公開(kāi)密鑰，并確保所得到的公開(kāi)密鑰就是對(duì)方的－－認(rèn)證機(jī)構(gòu)CA證書(shū)發(fā)布、查詢(xún)應(yīng)該有一個(gè)一致的標(biāo)準(zhǔn)－－資料庫(kù)證書(shū)撤銷(xiāo)時(shí)也需要有一個(gè)合

32、理的規(guī)范以保證大規(guī)模網(wǎng)絡(luò)下的互操作性能－－CRL如何開(kāi)發(fā)應(yīng)用－－PKI應(yīng)用接口只有解決這些技術(shù)問(wèn)題，非對(duì)稱(chēng)密鑰密碼才能投入大規(guī)模使用,從非對(duì)稱(chēng)算法到PKI,PKI中的各種要素權(quán)威機(jī)構(gòu)CA注冊(cè)機(jī)構(gòu)RA客戶(hù)端資料庫(kù)數(shù)字證書(shū)證書(shū)狀態(tài)服務(wù)和證書(shū)撤銷(xiāo)列表密鑰產(chǎn)生、備份及恢復(fù)系統(tǒng)應(yīng)用接口,PKI的組成,CA簽發(fā)數(shù)字證書(shū)交叉認(rèn)證證書(shū)撤銷(xiāo)（也可使用獨(dú)立的CRL Issuer）RA注冊(cè)機(jī)構(gòu)（Registration Auth

33、ority）作為CA對(duì)外的接口接收用戶(hù)的各種請(qǐng)求信息資料庫(kù)公開(kāi)發(fā)布各種PKI的數(shù)據(jù)（數(shù)字證書(shū)、CRL等）,PKI的組成,證書(shū)持有者擁有公私密鑰對(duì)和相應(yīng)證書(shū)的通信方可以是人、設(shè)備、進(jìn)程等等通常，也稱(chēng)為PKI訂戶(hù)，subscriberPKI用戶(hù)享受PKI服務(wù)的實(shí)體，PKI userPKI訂戶(hù)同時(shí)也肯定是PKI用戶(hù)某些時(shí)候，用戶(hù)和訂戶(hù)是混用的客戶(hù)端軟件用戶(hù)或訂戶(hù)享受PKI服務(wù)的接口、途徑,PKI的重要基礎(chǔ)概念,公鑰/

34、私鑰/密鑰數(shù)字證書(shū)CA,公鑰/私鑰,非對(duì)稱(chēng)算法中，用于加密的、用于驗(yàn)證簽名的、可公開(kāi)的密鑰，稱(chēng)為公鑰用于解密的、用于計(jì)算簽名的、必須秘密保存的密鑰，稱(chēng)為私鑰,,公鑰/私鑰的產(chǎn)生,可由用戶(hù)自主產(chǎn)生使用特定的安全設(shè)備（例如USB Key、計(jì)算機(jī)軟件等）第三方權(quán)威機(jī)構(gòu)統(tǒng)一產(chǎn)生CA密鑰管理機(jī)構(gòu)同時(shí)對(duì)私鑰進(jìn)行了備份合法監(jiān)聽(tīng)、司法取證的需要,數(shù)字證書(shū),簡(jiǎn)稱(chēng)證書(shū)、PKI證書(shū)，是將實(shí)體屬性和相應(yīng)公鑰綁定在一起的數(shù)據(jù)文件。該文件由權(quán)威

35、機(jī)構(gòu)（也就是CA），進(jìn)行數(shù)字簽名，并公開(kāi)發(fā)布。可利用CA的公鑰進(jìn)行公開(kāi)驗(yàn)證。,CA,PKI中的核心部件負(fù)責(zé)產(chǎn)生數(shù)字證書(shū)將用戶(hù)的公鑰和用戶(hù)屬性信息組合在一起，然后進(jìn)行數(shù)字簽名，按特定的格式標(biāo)準(zhǔn)組織，得到完整的PKI數(shù)字證書(shū),相互關(guān)系示意圖,,,,,證書(shū)序列號(hào) xxxxx:,有效期: Nov.08,2001 - Nov.08,2008,用戶(hù)名組織名部門(mén),Status:,公鑰: ie86502hhd009dkias736ed55e

36、wfgk98dszbcvcqm85k309nviidywtoofkkr2834kl,,簽名信息,,,,公鑰,私鑰,,認(rèn)證,CA對(duì)用戶(hù)的認(rèn)證檢查所有將要出現(xiàn)在數(shù)字證書(shū)中的信息的真實(shí)性、以及其他（例如用戶(hù)的財(cái)產(chǎn)情況），通常由RA來(lái)完成。認(rèn)證的結(jié)果就是：產(chǎn)生了用戶(hù)的數(shù)字證書(shū)或者CA拒絕簽發(fā)證書(shū)根據(jù)認(rèn)證過(guò)程的嚴(yán)格程度不同，數(shù)字證書(shū)的等級(jí)（可信任程度）也是不同的在PKI中，稱(chēng)為CPS認(rèn)證業(yè)務(wù)聲明和CP證書(shū)策略,一般的證書(shū)產(chǎn)生流程,,,,

37、狀態(tài)查詢(xún),認(rèn)證機(jī)構(gòu),,,證書(shū)資料庫(kù),注冊(cè)機(jī)構(gòu)RA,發(fā)布證書(shū)及CRL,私鑰,公鑰,證書(shū)申請(qǐng),證書(shū),公鑰,公鑰,公鑰,,交叉認(rèn)證Cross Certification,CA對(duì)另一個(gè)CA的認(rèn)證，稱(chēng)為交叉認(rèn)證和對(duì)用戶(hù)的檢查類(lèi)似，要檢查另一個(gè)CA的各種情況，包括CP/CPS。交叉認(rèn)證的結(jié)果就是：產(chǎn)生交叉證書(shū)利用交叉證書(shū)可以驗(yàn)證其他CA系統(tǒng)的訂戶(hù),CRL和證書(shū)撤銷(xiāo),Certificate Revocation List證書(shū)撤銷(xiāo)列表，證書(shū)黑名