PKI技術(shù)1.第一部分 引言第二部分 密碼學(xué)基礎(chǔ)知識(shí)第三部分 PKI基本原理第四部分 PKI系統(tǒng)介紹課程內(nèi)容2.大型信息網(wǎng)絡(luò)面臨的問(wèn)題安全問(wèn)題日益突出入侵所需知識(shí)現(xiàn)代入侵攻擊技術(shù)3.大型信息網(wǎng)絡(luò)面臨的問(wèn)題產(chǎn)生信息孤島大型跨區(qū)域信息網(wǎng)絡(luò)維護(hù)困難4.信息網(wǎng)現(xiàn)狀信息系統(tǒng)建設(shè)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的不斷擴(kuò)大各地各部門(mén)對(duì)跨地區(qū)、跨部門(mén)的信息共享和綜合利用的需求在不斷提高（控制

共享）信息安全的問(wèn)題日益突出當(dāng)前信息網(wǎng)上身份認(rèn)證和訪(fǎng)問(wèn)控制機(jī)制已遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的要求，甚至影響到了整體效益的發(fā)揮5.信息網(wǎng)應(yīng)用及安全現(xiàn)狀應(yīng)用現(xiàn)狀信息量大種類(lèi)繁多應(yīng)用復(fù)雜不同信息有不同的訪(fǎng)問(wèn)控制要求數(shù)據(jù)分布安全現(xiàn)狀信息的保密性方面身份認(rèn)證和安全審計(jì)方面訪(fǎng)問(wèn)控制方面信息完整性、抗抵賴(lài)性方面信息安全管理方面6.信息網(wǎng)應(yīng)用及安全現(xiàn)狀授權(quán)及訪(fǎng)問(wèn)控制需求不同種類(lèi)（如治安、交管、刑偵等）、不同級(jí)別（如部、省、市）的信息對(duì)不同的用戶(hù)有不同程度的保密需求（公開(kāi)、內(nèi)部、秘密、機(jī)密、絕密）。數(shù)據(jù)與人員分布于全國(guó)四百多個(gè)市級(jí)管理域內(nèi)。多個(gè)系統(tǒng)，多種應(yīng)用多個(gè)角色群體如何合理的分配、設(shè)定、并有機(jī)的結(jié)合如何適應(yīng)系統(tǒng)分級(jí)、多管理域的管理模式7.應(yīng)用系統(tǒng)現(xiàn)存問(wèn)題身份認(rèn)證方面：

現(xiàn)有的“用戶(hù)名+口令”訪(fǎng)問(wèn)控制機(jī)制漏洞較多，無(wú)法也不可能真正實(shí)現(xiàn)將用戶(hù)與其本人真實(shí)身份一一對(duì)應(yīng)起來(lái)。并且“口令”采用明文傳輸，容易被截獲破解并冒用，降低了系統(tǒng)的安全性。權(quán)限管理方面：

如何根據(jù)職能與工作需要為信息網(wǎng)上的每個(gè)用戶(hù)合理的劃分使用范圍與訪(fǎng)問(wèn)權(quán)限；多個(gè)系統(tǒng)，多種應(yīng)用多個(gè)角色群體如何合理的分配、設(shè)定、并與應(yīng)用系統(tǒng)有機(jī)的結(jié)合。訪(fǎng)問(wèn)控制方面：

不同的信息應(yīng)用采取了不同的授權(quán)訪(fǎng)問(wèn)模式，各系統(tǒng)的授權(quán)信息只在本系統(tǒng)內(nèi)有效，不能共享，無(wú)法在非安全的、分布式環(huán)境中使用，難以滿(mǎn)足各地各部門(mén)對(duì)跨地區(qū)、跨部門(mén)的信息共享和綜合利用的需求。8.信息系統(tǒng)應(yīng)用安全解決方案建立身份認(rèn)證與訪(fǎng)問(wèn)授權(quán)控制系統(tǒng)(PKI/PMI)為每位上網(wǎng)人員配發(fā)數(shù)字身份證書(shū)對(duì)登錄用戶(hù)進(jìn)行身份的合法性驗(yàn)證根據(jù)用戶(hù)的身份授予訪(fǎng)問(wèn)不同信息內(nèi)容的權(quán)限9.第1章緒論10.PublicKeyInfrastructure基礎(chǔ)設(shè)施PKI是一個(gè)用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施.What’sPKI?11.在網(wǎng)絡(luò)上…在網(wǎng)絡(luò)虛擬世界里，我如何相信你？12.安全層次安全的密碼算法網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全PKI13.如何保證網(wǎng)絡(luò)上的通訊安全？使用LAN/Internet...發(fā)送郵件分發(fā)軟件發(fā)送敏感的或私有的數(shù)據(jù)進(jìn)行應(yīng)用系統(tǒng)訪(fǎng)問(wèn)但人們擔(dān)心的是...如何確認(rèn)某人的身份?如何知道我連接的是一個(gè)可信的站點(diǎn)?怎樣才能保證我的通訊安全?怎樣確定電子信息是否被篡改?如何證明某人確實(shí)給我發(fā)過(guò)電子郵件?14.網(wǎng)絡(luò)通訊的四個(gè)安全要素?Claims未發(fā)出未收到機(jī)密性完整性鑒別與授權(quán)不可抵賴(lài)攔截篡改偽造通訊是否安全?發(fā)出的信息被篡改過(guò)嗎？我在與誰(shuí)通訊?/是否有權(quán)？

是否發(fā)出/收到信息?15.我們將找到答案……網(wǎng)絡(luò)安全

解決方案加密算法：對(duì)稱(chēng)加密

非對(duì)稱(chēng)加密數(shù)字證書(shū)Certification

Authorities&PKI證書(shū)鏈16.數(shù)字世界的信息安全要素

PAIN…Privacy（機(jī)密性）確認(rèn)信息的保密，不被竊取Authentication&Authorization（鑒別與授權(quán)）確認(rèn)對(duì)方的身份并確保其不越權(quán)Integrity（完整性）確保你收到信息沒(méi)有被篡改Non-Repudiation（抗抵賴(lài)）有證據(jù)保證網(wǎng)絡(luò)行為不被否認(rèn)17.數(shù)字世界的信息安全要素信任類(lèi)型現(xiàn)實(shí)世界數(shù)字世界身份認(rèn)證身份證、護(hù)照、信用卡、駕照數(shù)字證書(shū)、數(shù)字簽名完整性簽名、支票、第三方證明數(shù)字簽名保密性保險(xiǎn)箱、信封、警衛(wèi)、密藏加密不可否認(rèn)性簽名、掛號(hào)信、公證、郵戳數(shù)字簽名18.數(shù)字世界的安全支柱安全設(shè)施安全策略保密性身份鑒別授權(quán)數(shù)據(jù)完整性抗抵賴(lài)可信賴(lài)的數(shù)字信息環(huán)境網(wǎng)上辦公、網(wǎng)絡(luò)應(yīng)用技術(shù)管理19.Internet與intranet黑客攻擊計(jì)算機(jī)病毒局域網(wǎng)絡(luò)非授權(quán)訪(fǎng)問(wèn)信息泄密、篡改安全漏洞操作使用不當(dāng)物理線(xiàn)路阻斷CNODC企業(yè)信息網(wǎng)安全風(fēng)險(xiǎn)20.第2章密碼和密鑰21.密碼學(xué)的歷史與發(fā)展密碼學(xué)的演進(jìn)單表代替－>多表代替－>機(jī)械密(恩格瑪)－>現(xiàn)代密碼學(xué)(對(duì)稱(chēng)與非對(duì)稱(chēng)密碼體制)－>量子密碼學(xué)密碼編碼學(xué)和密碼分析學(xué)應(yīng)用領(lǐng)域軍事，外交，商業(yè)，個(gè)人通信，古文化研究等22.解決網(wǎng)絡(luò)安全的基礎(chǔ)__密碼技術(shù)密碼技術(shù)

對(duì)稱(chēng)算法共享密鑰非對(duì)稱(chēng)算法公共/私有密鑰對(duì)組合密碼技術(shù)摘要算法數(shù)字簽名技術(shù)算法的結(jié)合使用DigitalCertificate23.密碼技術(shù)的基本概念明文：需要被隱蔽的消息密文：明文經(jīng)變換形成的隱蔽形式

加密：把明文信息轉(zhuǎn)化為密文的過(guò)程解密：把密文信息還原成明文的過(guò)程加密解密原始明文密文明文密鑰密鑰24.對(duì)稱(chēng)加密算法在兩個(gè)通訊者之間需要一把共享的密鑰明文密文Alice明文BobEncryptDecrypt對(duì)稱(chēng)密鑰(A&B共享)HiBobAliceHiBobAliceC=E(M,K)M=D(C,K)C=密文M=明文K=密鑰E=加密算法!!??亂碼信息偷聽(tīng)者aN!3q*nB5+C=密文M=明文K=密鑰D=解密算法25.對(duì)稱(chēng)加密算法特性性能：速度快密鑰管理：共享密鑰不適用于大用戶(hù)量的應(yīng)用常用于：

快速的加密/解密加密算法：DES、3-DES、SSF33、IDEA、AES、RC2、RC426.對(duì)稱(chēng)算法的弱點(diǎn)密鑰無(wú)法管理安全共享密鑰每對(duì)通信者都需要一對(duì)不同的密鑰，N個(gè)人通信就需要N！的密鑰不可能和與你不曾謀面的人通信27.非對(duì)稱(chēng)密鑰密碼

WhitefieldDiffie，MartinHellman，《NewDirectionsinCryptography》,1976公鑰密碼學(xué)的出現(xiàn)使大規(guī)模的安全通信得以實(shí)現(xiàn)–解決了密鑰分發(fā)問(wèn)題；公鑰密碼學(xué)還可用于另外一些應(yīng)用：數(shù)字簽名、防抵賴(lài)等；公鑰密碼體制的基本原理–陷門(mén)單向函數(shù)(troopdoorone-wayfunction)28.非對(duì)稱(chēng)加密算法_公開(kāi)密鑰算法用戶(hù)甲擁有兩個(gè)對(duì)應(yīng)的密鑰用其中一個(gè)加密，只有另一個(gè)能夠解密，兩者一一對(duì)應(yīng)用戶(hù)甲將其中一個(gè)私下保存（私鑰），另一個(gè)公開(kāi)發(fā)布（公鑰）如果乙想送秘密信息給甲乙獲得甲的公鑰乙使用該公鑰加密信息發(fā)送給甲甲使用自己的私鑰解密信息29.非對(duì)稱(chēng)加密算法明文明文HiBobAliceB的私鑰B的公鑰CiphertextAliceBob加密解密HiBobAliceHiBobAliceHiBobAliceA發(fā)送機(jī)密信息給B,知道只有B可以解密A用B的公鑰加密(公開(kāi))B使用自己的私鑰解密(保密)30.非對(duì)稱(chēng)加密算法特性性能：效率較慢–不適用于

大量的數(shù)據(jù)加密密鑰管理：公鑰可以公開(kāi)、分布式存放常用于：加密數(shù)字簽名密鑰交換加密算法：RSA、ECC、Diffie-Hellman、DSA31.RSARonRivest,AdiShamir和LenAdleman于1977年研制并于1978年首次發(fā)表；RSA是一種分組密碼，其理論基礎(chǔ)是一種特殊的可逆模冪運(yùn)算，其安全性基于分解大整數(shù)的困難性；RSA既可用于加密，又可用于數(shù)字簽名，已得到廣泛采用；RSA已被許多標(biāo)準(zhǔn)化組織(如ISO、ITU、IETF和SWIFT等)接納；RSA-155(512bit),RSA-140于1999年分別被分解；32.DH/DSADiffie-Hellman(DH)是第一個(gè)公鑰算法，其安全性基于在有限域中計(jì)算離散對(duì)數(shù)的難度；DH可用于密鑰分發(fā)，但不能用于加/解密報(bào)文；DH算法已得到廣泛應(yīng)用，并為許多標(biāo)準(zhǔn)化組織(IETF等)接納；DSA是NIST于1991年提出的數(shù)字簽名標(biāo)準(zhǔn)(DSS),該標(biāo)準(zhǔn)于1994年5月19日被頒布；DSA是Schnorr和Elgemal簽名算法的變型,DSA只能用于數(shù)字簽名不能用于加密；33.非對(duì)稱(chēng)算法的問(wèn)題速度慢、資源占用明顯不適合做大數(shù)據(jù)量數(shù)據(jù)加密處理34.最佳的解決方案__組合密碼技術(shù)使用對(duì)稱(chēng)加密算法進(jìn)行大批量的數(shù)據(jù)加密每次產(chǎn)生一個(gè)新的隨機(jī)密鑰使用非對(duì)稱(chēng)加密算法傳遞隨機(jī)產(chǎn)生的密鑰35.組合密碼技術(shù)明文明文HiBobAliceHiBobAliceHiBobAlice會(huì)話(huà)密鑰加密1.

信息X2c67afGkz78會(huì)話(huà)密鑰xaF4m78dKmAliceBob密文解密4.信息B的公鑰加密2.會(huì)話(huà)密鑰產(chǎn)生一個(gè)一次性，對(duì)稱(chēng)密鑰——會(huì)話(huà)密鑰用會(huì)話(huà)密鑰加密信息最后用接收者的公鑰加密會(huì)話(huà)密鑰——因?yàn)樗芏?6.摘要算法（Hash）Hashing

algorithm信息摘要D421F53D229ACCB73CAAE2DC121AA1CBData特性不可逆對(duì)任何長(zhǎng)度的信息進(jìn)行哈希后，結(jié)果都是一個(gè)固定長(zhǎng)度的數(shù)據(jù)摘要，摘要的長(zhǎng)度通常為128bits或160bits原始信息中一個(gè)字節(jié)的改變會(huì)導(dǎo)致摘要后的結(jié)果發(fā)生變化常用算法:MD5,SHA-137.摘要算法–數(shù)據(jù)的完整性38.數(shù)字簽名技術(shù)的需求Alice需要一個(gè)方法簽名一個(gè)信息，必須確認(rèn)是從她發(fā)出，因此需要將她的身份和信息綁定在一起。我們用傳統(tǒng)的方法將Alice的普通簽名數(shù)字化后附加在文檔的后面但是這個(gè)數(shù)字化的簽名...它不能避免通過(guò)附加在其他文檔中被偽造無(wú)法防止對(duì)機(jī)密文檔（比如支票）的篡改39.數(shù)字簽名技術(shù)簽名可信。文件的接收者相信簽名者是慎重地在文件上簽字的。簽名不可偽造。簽名證明是簽字者而不是其他人在文件上簽字。簽名不可重用。簽名是文件的一部分，不可能將簽名移到不同的文件上。簽名的文件是不可改變。文件被簽名后不能改變。簽名不可抵賴(lài)。簽名和文件是物理的東西，因此簽名者事后不能說(shuō)他沒(méi)有簽過(guò)名。40.將數(shù)字摘要和數(shù)字簽名結(jié)合明文AliceBobA的私鑰HiBobAliceA的公鑰

摘要哈希函數(shù)gJ39vzamp4xOurjj9rRr%9$數(shù)字簽名HiBobAlice明文Ourjj9rRr%9$數(shù)字簽名HiBobAlice明文gJ39vzamp4x新摘要哈希函數(shù)gJ39vzamp4x=？相同1、沒(méi)有篡改2、是Alice發(fā)送的123456741.加密和數(shù)字簽名結(jié)合42.四大安全要素的解決方法加密機(jī)制：對(duì)稱(chēng)加密非對(duì)稱(chēng)加密數(shù)字簽名哈希算法如何使用這些安全機(jī)制來(lái)解決四大安全要素?機(jī)密性完整性身份認(rèn)證不可抵賴(lài)性43.各種算法的特點(diǎn)對(duì)稱(chēng)密碼算法加/解密速度快，但密鑰分發(fā)問(wèn)題嚴(yán)重非對(duì)稱(chēng)密碼算法加/解密速度較慢，但無(wú)密鑰分發(fā)問(wèn)題雜湊函數(shù)計(jì)算速度快，結(jié)果長(zhǎng)度統(tǒng)一44.機(jī)密性加密技術(shù)對(duì)稱(chēng)加密共享密鑰非對(duì)稱(chēng)加密公開(kāi)密鑰45.關(guān)于密鑰的攻破攻破密鑰的時(shí)間：使用由MichaelWiener設(shè)計(jì)的價(jià)值1百萬(wàn)美圓的計(jì)算機(jī)（1995年針對(duì)DES）46.完整性數(shù)字簽名如果數(shù)字簽名驗(yàn)證失敗，說(shuō)明數(shù)據(jù)的完整性遭到了破壞47.不可抵賴(lài)性數(shù)字簽名證明信息已經(jīng)被發(fā)送或接收:發(fā)送方不能抵賴(lài)曾經(jīng)發(fā)送過(guò)數(shù)據(jù)使用發(fā)送者本人的私鑰進(jìn)行數(shù)字簽名接收方

不能抵賴(lài)曾經(jīng)接收到數(shù)據(jù)接收方使用私鑰對(duì)確認(rèn)信息進(jìn)行數(shù)字簽名DigitalSignature,Date,Time

48.身份認(rèn)證身份證明：

如何告訴別人，你是誰(shuí)？身份驗(yàn)證：

如何向別人證明，你確是此人？Whooo..R..U?49.密鑰管理存儲(chǔ)密鑰備份密鑰泄漏密鑰有效期銷(xiāo)毀密鑰產(chǎn)生密鑰傳輸密鑰驗(yàn)證密鑰使用密鑰更新密鑰50.第3章數(shù)字證書(shū)51.數(shù)字證書(shū)公鑰算法的一個(gè)最大的問(wèn)題就是確認(rèn)獲得的對(duì)方公鑰的身份數(shù)字證書(shū)（DigitalID）證書(shū)驗(yàn)證證書(shū)存儲(chǔ)52.什么是數(shù)字證書(shū)? 一個(gè)數(shù)字證書(shū)

是...一個(gè)包含用戶(hù)身份信息的文件CA的名稱(chēng)（頒發(fā)機(jī)構(gòu)）Bob的名稱(chēng)（對(duì)象）Bob的公鑰數(shù)字簽名由可信的第三方進(jìn)行簽名

CertificationAuthority使用CA的私鑰保證信息的真實(shí)性和完整性遵守X.509標(biāo)準(zhǔn)HASHSignedwithtrustedprivatekeyPrivateCA

頒發(fā)者(CA)

實(shí)體(Bob)

實(shí)體公鑰PublicBobDigitalSignature53.證書(shū)格式證書(shū)格式版本 證書(shū)序列號(hào)簽名算法標(biāo)識(shí)符認(rèn)證機(jī)構(gòu)的X.500名字有效期 主題X.500名字主題公鑰信息發(fā)證者唯一標(biāo)識(shí)符主題唯一標(biāo)識(shí)符擴(kuò)展域認(rèn)證機(jī)構(gòu)的數(shù)字簽名 54.數(shù)字證書(shū)與身份證的對(duì)照Name: BrianLiuSerialnumber: 484865 Issuedby: ABCcorpCAIssuedate: 19970102Expirationdate: 19990102Publickey: 38ighwejbDigitalSignature:hwefdsaf55.數(shù)字證書(shū)的生命周期CARAEndEntityDirectoryServices證書(shū)申請(qǐng)密鑰備份與恢復(fù)證書(shū)過(guò)期證書(shū)吊銷(xiāo)證書(shū)發(fā)布證書(shū)生成56.第5章PKI及其構(gòu)件57.什么是

?PublicKeyInfrastructure(PKI)... ...是硬件、軟件、人員、策略和操作規(guī)程的總和，它們要完成創(chuàng)建、管理、保存、發(fā)放和廢止證書(shū)的功能

PKI基于公開(kāi)密鑰加密算法來(lái)保證網(wǎng)絡(luò)通訊安全PKI58.CertificateHolderRegistrationAuthority證書(shū)應(yīng)用系統(tǒng)e.g.

aWebServerInternet/intranetPKI系統(tǒng)的組成一個(gè)PKI系統(tǒng)由以下幾部分構(gòu)成：證書(shū)簽發(fā)系統(tǒng)

CertificationAuthorities(CA)

證書(shū)注冊(cè)系統(tǒng)

RegistrationAuthorities(RA)證書(shū)持有者

CertificateHolders證書(shū)應(yīng)用系統(tǒng)

RelyingParties證書(shū)存儲(chǔ)及發(fā)布系統(tǒng)

Repositories

證書(shū)存儲(chǔ)及

發(fā)布系統(tǒng)CertificationAuthority59.接收并處理證書(shū)申請(qǐng)請(qǐng)求生成證書(shū)生成證書(shū)廢止列表發(fā)布證書(shū)到目錄服務(wù)器維護(hù)所有數(shù)據(jù)庫(kù)維護(hù)和審計(jì)日志證書(shū)簽發(fā)系統(tǒng)（CA）60.RegistrationAuthority證書(shū)注冊(cè)系統(tǒng)（RA）負(fù)責(zé)對(duì)證書(shū)申請(qǐng)者進(jìn)行審核通知CA中心是否可以為該用戶(hù)簽發(fā)證書(shū)證書(shū)受理點(diǎn)和CA之間的通訊使者維護(hù)申請(qǐng)數(shù)據(jù)庫(kù)維護(hù)審計(jì)日志Internet/intranet61.機(jī)關(guān)企業(yè)個(gè)人服務(wù)器CertificateHolder證書(shū)持有者（CertificateHolders）Internet/intranet62.證書(shū)應(yīng)用系統(tǒng)WebServer證書(shū)應(yīng)用系統(tǒng)CertificateHolderCertificateHolderSecure

Email安全Web訪(fǎng)問(wèn)Internet/intranet63.一個(gè)新用戶(hù)申請(qǐng)證書(shū)

獲取用戶(hù)的身份信息

進(jìn)行證書(shū)廢止檢查

檢查證書(shū)的有效期

校驗(yàn)數(shù)字證書(shū)

解密數(shù)據(jù)

證書(shū)下載到用戶(hù)本地審核通過(guò)的注冊(cè)請(qǐng)求發(fā)送給CA證書(shū)同時(shí)要被發(fā)布出去應(yīng)用程序通過(guò)證書(shū)：RA系統(tǒng)審核用戶(hù)身份發(fā)送注冊(cè)信息給RACA為用戶(hù)簽發(fā)證書(shū)下載憑證...RA將證書(shū)下載憑證發(fā)放給用戶(hù)PKI系統(tǒng)如何工作CARAApplicationsandotherusersDirectory提交證書(shū)申請(qǐng)請(qǐng)求64.證書(shū)/密鑰的存儲(chǔ)存儲(chǔ)信息用戶(hù)的證書(shū)用戶(hù)的私鑰CA根證書(shū)存儲(chǔ)設(shè)備硬盤(pán)軟盤(pán)IC卡Others，如：USBKey65.第6章PKI涉及到的法律問(wèn)題66.數(shù)字簽名的法律狀況PKI的法律框架許可權(quán)，角色與責(zé)任，私有PKI(企業(yè)PKI)密碼管理政策與法規(guī)(不同的密碼管理政策)PKI涉及到的法律問(wèn)題67.國(guó)內(nèi)外PKI相關(guān)法律建設(shè)狀況聯(lián)合國(guó)《電子商務(wù)示范法》《電子簽章統(tǒng)一規(guī)則草案》美國(guó)歐盟亞州我國(guó)國(guó)務(wù)院常務(wù)會(huì)議已于2004年3月24日提請(qǐng)審議《中華人民共和國(guó)電子簽名法(草案)》的議案68.第7章PKI技術(shù)標(biāo)準(zhǔn)69.技術(shù)標(biāo)準(zhǔn)ITU-TX.509及相關(guān)標(biāo)準(zhǔn)ITU-TX.509Edition1ITU-TX.509Edition2ITU-TX.509Edition3ITU-TX.509Edition4X.500X.680-X.690PKIX證書(shū)和CRL操作協(xié)議管理協(xié)議CP/CPS時(shí)間戳和數(shù)據(jù)認(rèn)證服務(wù)70.第8章PKI應(yīng)用71.PKI應(yīng)用－Web安全SSL：由Netscape公司研究制定，該協(xié)議向基于TCP／IP的客戶(hù)及服務(wù)器應(yīng)用程序提供了客戶(hù)端和服務(wù)器的鑒別、信息機(jī)密性及完整性等安全措施。SSL主要提供三方面的服務(wù)認(rèn)證用戶(hù)和服務(wù)器加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)維護(hù)數(shù)據(jù)的完整性72.PKI應(yīng)用－SSL/TLS由Netscape，IETFTLS工作組開(kāi)發(fā)SSL/TLS在源和目的實(shí)體間建立了一條安全通道(在傳輸層之上)，提供基于證書(shū)的認(rèn)證、信息完整性和數(shù)據(jù)保密性SSL體系結(jié)構(gòu)：SSL協(xié)議棧IPTCPSSL記錄協(xié)議SSL握手協(xié)議SSL修改密文協(xié)議SSL告警協(xié)議HTTP協(xié)議73.PKI應(yīng)用－安全電子郵件電子郵件傳輸過(guò)程PGPS/MIME74.PKI應(yīng)用－S/MIME&PGP75.PKI應(yīng)用－SET1996年2月，IBM,Microsoft,Netscape,RSA,Terisa和VeriSign開(kāi)發(fā)了SETv1(針對(duì)MasterCard和Visa安全標(biāo)準(zhǔn)的需要而出現(xiàn)的SET是開(kāi)放的、設(shè)計(jì)用來(lái)保護(hù)Internet上信用卡交易的加密和安全規(guī)范從本質(zhì)上，SET提供了三種服務(wù)：在交易涉及的各方之間提供安全的通信信道通過(guò)使用X.509v3數(shù)字證書(shū)來(lái)提供信任。保證機(jī)密性，因?yàn)樾畔⒅皇窃诒匾臅r(shí)候、必要的地方才對(duì)交易各方可用交易過(guò)程：購(gòu)買(mǎi)請(qǐng)求、支付認(rèn)可和支付獲取76.PKI應(yīng)用－VPNVPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專(zhuān)用數(shù)據(jù)通信網(wǎng)絡(luò)，利用IPSec等網(wǎng)絡(luò)層安全協(xié)議和建立在PKI上的加密與簽名技術(shù)來(lái)獲得私有性。IPSecVPN、SSLVPN77.PKI應(yīng)用－IPSecIP層的安全包括了3個(gè)功能域：鑒別、機(jī)密性和密鑰管理IPSec的重要概念鑒別報(bào)頭(AH),封裝安全有效負(fù)載(ESP),傳輸模式,隧道模式,安全關(guān)連(SA),安全關(guān)連組(SABundle),ISAKMP.IPSec，IPv6將使互聯(lián)網(wǎng)(尤其是網(wǎng)絡(luò)安全)發(fā)生巨大變化78.PKI應(yīng)用－IPSecIPSec安全服務(wù)IPSec密鑰管理人工，自動(dòng)，ISAKMP/OakleyAHESP(只加密)ESP(加密并鑒別)訪(fǎng)問(wèn)控制***無(wú)連接完整性**數(shù)據(jù)源的鑒別**拒絕重放的分組***機(jī)密性**有限的通信量的機(jī)密性**79.第9章金盾PKI介紹80.總體結(jié)構(gòu)圖81.目錄服務(wù)器結(jié)構(gòu)82.系統(tǒng)結(jié)構(gòu)83.密鑰管理系統(tǒng)KMC系統(tǒng)的邏輯結(jié)構(gòu)如下圖：密碼機(jī)密鑰管理中心KMC服務(wù)器DBKMC系統(tǒng)管理終端KMC業(yè)務(wù)管理終端84.密鑰管理系統(tǒng)功能用戶(hù)密鑰預(yù)生成用戶(hù)密鑰發(fā)放用戶(hù)密鑰提取用戶(hù)密鑰注銷(xiāo)用戶(hù)密鑰歸檔KMC自身管理85.簽發(fā)系統(tǒng)簽發(fā)系統(tǒng)結(jié)構(gòu)如下圖：簽發(fā)中心簽發(fā)服務(wù)器密碼機(jī)DBLDAP主從業(yè)務(wù)管理終端系統(tǒng)管理終端審計(jì)終端86.簽發(fā)系統(tǒng)功能簽發(fā)證書(shū)簽發(fā)CRLCA自身管理下級(jí)RA管理下級(jí)CA管理87.注冊(cè)系統(tǒng)注冊(cè)系統(tǒng)結(jié)構(gòu)如下圖：注冊(cè)服務(wù)器DB密碼機(jī)業(yè)務(wù)管理終端業(yè)務(wù)處理終端審計(jì)終端系統(tǒng)管理終端注冊(cè)中心88.注冊(cè)系統(tǒng)功能證書(shū)申請(qǐng)申請(qǐng)錄入、審核、修改、查詢(xún)、刪除證書(shū)注銷(xiāo)申請(qǐng)錄入、審核、修改、查詢(xún)、刪除證書(shū)恢復(fù)申請(qǐng)錄入、審核、修改、查詢(xún)、刪除證書(shū)更新申請(qǐng)錄入、審核、修改、查詢(xún)、刪除RA自身管理下級(jí)RA管理89.證書(shū)發(fā)布系統(tǒng)證書(shū)發(fā)布系統(tǒng)結(jié)構(gòu)如下圖：從LDAP密碼機(jī)證書(shū)發(fā)布服務(wù)器Web服務(wù)器證書(shū)發(fā)布中心90