信息安全基础-PKI技术.ppt

Chen Tieming Software Engineering College, Zhejiang Univ. of Tech.,Hangzhou PKI产生背景 公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 解决方案：引入证书(certificate) 通过证书把公钥和身份关联起来 什么是证书 证书(certificate)，简称为cert 证书的格式统一 证书的权威性 证书中最重要的信息 个体名字、个体的公钥、机构的签名、算法和用途 签名证书和加密证书分开 最常用的证书格式 X.509 v3 证书的逻辑形式 证书 vs身份证 证书的格式 -----BEGIN CERTIFICATE----- MIIC2TCCAkICAQAwDQYJKoZIhvcNAQEEBQAwgbQxDjAMBgNVBAYTBUNoaW5hMRYw FAYDVQQIEw1KaWFuZ1N1IFByb3YuMRAwDgYDVQQHEwdOYW5KaW5nMRkwFwYDVQQK ExBKaUxpbiBIb25nRGEgQ28uMRcwFQYDVQQLEw5qaWFuZ3N1IHBvbGljZTEYMBYG A1UEAxMPcG9saWNlIHN0YXRpb24xMSowKAYJKoZIhvcNAQkBFhtwb2xpY2VzdGF0 aW9uMUBwdWJsaWMuanMuY24wHhcNMDAwMTEyMDUzNDQzWhcNMDIwMTAxMDUzNDQz WjCBtDEOMAwGA1UEBhMFQ2hpbmExFjAUBgNVBAgTDUppYW5nU3UgUHJvdi4xEDAO BgNVBAcTB05hbkppbmcxGTAXBgNVBAoTEEppTGluIEhvbmdEYSBDby4xFzAVBgNV BAsTDmppYW5nc3UgcG9saWNlMRgwFgYDVQQDEw9wb2xpY2Ugc3RhdGlvbjExKjAo BgkqhkiG9w0BCQEWG3BvbGljZXN0YXRpb24xQHB1YmxpYy5qcy5jbjCBnzANBgkq hkiG9w0BAQEFAAOBjQAwgYkCgYEA2Rpzwu0z8K3issegvBuHYTPqorkz44g6PF5/ l4gAh4Qi613tAzFBQ/gXjEwu0kXVvMC/1SJDH75IId7SgqShGUt6FWBlRCKynnBo xMyaoLxPGUOUFIRHHxHP2wcPkLQxa3SwgeXsyAqAylrcVp3zuVm0xAC9Wv1F+fLw hcaXUNsCAwEAATANBgkqhkiG9w0BAQQFAAOBgQA0sFof9OZGII/sD+RuPcqKQr0P ZODBltGVGUGWR7wh2Np8wegTpxnxbUwroDQF5WKjN1PuH9w7ybaWCsHH7XyPxISQ 2HVMllR8NsTaTbU/VBOm2gT/riNgN/pZbxj4/egta79hsyoTP0b1Akj9ILeveIo5 SrgPNqHYQak3T5/wKg== -----END CERTIFICATE----- X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 X.509证书格式 个体的公钥信息 算法 参数 密钥 签发人唯一标识符 个体唯一标识符 扩展域 签名 X.509证书示意图 PKI的提出 通过网络进行交流和商业活动，面临的最大问题是如何建立相互间的信任关系以及如何确保信息的真实性、完整性、机密性和不可否认性。 PKI(Public Key Infrastructure，公钥基础设施）则是解决这一系列问题的技术基础，它是电子商务、电子政务的关键和基础技术。 是一个使用公钥概念和密码技术实施和提供安全服务的具有普适性的安全基础设施的总称，它不是特指某一个密码设备和管理设施，它是生成、管理、存储、颁发和撤销基于公钥密码的数字证书所需要的软硬件、人员和策略和规程的总和 提供密钥管理和数字签名服务的平台， 什么是PKI PKI的目的是为了提供可信任的高效密钥和证书管理，以支持众多依赖于公钥加密的安全协议。 PKI正在快速演进中，从不同角度有不同的定义。按照X.509标准中定义，“是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。” PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施. PKI的基本概念 Public Key Infrastructure（P