网络安全(密钥管理与证书).ppt
《网络安全(密钥管理与证书).ppt》由会员分享,可在线阅读,更多相关《网络安全(密钥管理与证书).ppt(32页珍藏版)》请在冰豆网上搜索。
eCommCA电子商务CA系统PKIPKI数据结构:
数据结构:
eCommCA采用三种基于X.509定义的数据结构:
证书;交叉证书;证书废止表或黑表。
eCommCA电子商务CA系统为什么需要证书?
l安全服务依赖于:
自己拥有秘密密钥其伙伴是否拥有你的公开密钥l通信伙伴采用你的公钥来核实你是否拥有秘密密钥l问题:
通信伙伴如何能肯定所使用的公钥属于你?
l解决:
让第三方即CA对公钥进行公正.公正后的公钥就是证书。
eCommCA电子商务CA系统X.509证书CA的签名保证证书的真实性证书已一种可信方式将密钥“捆绑”到唯一命名持有人持有人:
ZhangMin公开密钥公开密钥:
9f0a34.序列号序列号:
123465有效期有效期:
2/9/1997-1/9/1998发布人发布人:
CA-名签名签名:
CA数字签名证书可能存放到文件、软盘、智能卡、数据库?
eCommCA电子商务CA系统证书持有人证书颁发人证书序列号证书有限期公钥消息摘要签名算法散列证书持有人证书颁发人证书序列号证书有限期公钥消息数字签名CA的私钥待签名消息用户证书CA生成用户证书流程eCommCA电子商务CA系统用户证书鉴别机制用户CA的公钥说明:
如果用户的CA是相同的,则鉴别工程结束,否则CA的证书还需用该CA的上级CA之公钥来进行验证,直至采用可信CA的公钥验证后才结束。
结果否定肯定停止CA可信?
用该CA颁发者的证书验证它是否证书验证流程eCommCA电子商务CA系统X.509证书l要求CA认证公钥对应于名字l证书格式的标准就是X.509lX.509可广泛用于基于公钥体制的应用如:
PEM,MOSS,S/MIMEPEM,MOSS,S/MIMESSL,SETSSL,SETPKIX,GSS-APIPKIX,GSS-APIX.400,X.500X.400,X.500eCommCA电子商务CA系统X.509v3证书lX.509证书将公钥“捆绑”到所有者名l在,X.509V3证书语法出现以前,只能采用X.500形式的命名lV3证书允许在其中进行扩展l尤其是其他命名形式可以出现在扩展字段中eCommCA电子商务CA系统证书:
X509V3格式扩展版本号序列号签名算法标识符发行者名有效期持有者名持有者公钥信息发行者唯一ID持有者唯一ID签名值值值字段1字段2字段3关键性标志证书标准扩展密钥和策略信息证书主体和颁发者属性证书路径限制CRL识别结构密钥标识符主体密钥标识符密钥用途证书策略。
主体备用名颁发者备用名。
基本限制命名限制。
CRL发布点撤消原因发行CRL者名。
eCommCA电子商务CA系统交叉证书:
CA之间可能需要相互认证,即每个CA都为对方发行一个证书,组合成交叉证书对成交叉证书对支持双向可信链,主要用于节省CA节点方式的可信模型成交叉证书对包括两个证书,分别为:
前向证书,它是反向证书的颁发者;反向证书它是前向证书的颁发者。
eCommCA电子商务CA系统用户的私钥可能已泄露,相应的公钥将不再有效;用户可区分名被改变;CA不再认证用户;CA的私钥可能已泄露;用户违反了CA的安全策略。
证书取消的主要原因主要有:
CA取消证书的方法是将该证书标记为“无效”并放入到取消证书的表中(黑表黑表)。
黑表要公开发布。
X509定义的证书黑表包含了所有由CA撤消的证书。
证书黑表eCommCA电子商务CA系统认证路径体系结构eCommCAeCommCA电子商务CA系统用户X用户Y证书(从颁发者到持有者)交叉证书认证结构(CA)证书用户层次型结构层次型结构用户X的证书认证路径为CA4CA2CA1(ROOT)优点:
优点:
类似政府之类的组织其管理结构大部分都是层次型的,而信任关系也经常符合组织结构,因此,层次型认证结构就成为一种常规体系结构。
分级方法可基于层次目录名认证路径搜索策略为“前向直通”每个用户都有返回到根的认证路径。
根为所有用户熟知并信任,因此,任一用户可向对方提供认证路径,而验证方也能核实该路径。
缺点缺点世界范围内不可能只有单个根CA商业和贸易等信任关系不必要采用层次型结构根CA私钥的泄露的后果非常严重,恢复也十分困难。
国家级CA地区级CA地区级CA组织级CA组织级CAeCommCA电子商务CA系统证书(从颁发者到持有者)交叉证书认证结构(CA)证书用户用户X到用户Y的认证路径有多条,最短路径是CA4CA5CA3用户X用户Y优点:
很灵活,便于建立特殊信任关系,也符合商贸中的双边信任关系任何PKI中,用户至少要信任其证书颁发CA,所以,建立这种信任网也很合理允许用户频繁通信的CA之间直接交叉认证,以降低认证路径处理量CA私钥泄露引起的恢复仅仅涉及到该CA的证书用户缺点:
认证路径搜索策略可能很复杂用户仅提供单个认证路径不能保证PKI的所有用户能验证他的签名网络型结构网络型结构eCommCA电子商务CA系统证书(从颁发者到持有者)交叉证书认证结构(CA)证书用户用户X用户YeCommCA采用混合结构:
层次型和网络型根CA的主要职责是认证下级CA而不是为端用户颁发证书可能会和其他政府根CA或非政府CA之间进行交叉认证每个非根CA都有源于根CA的层次认证路径,所以,每个端实体都有一个证书其认证路径源于根CA除了根CA外,每个CA都有单个父CA,在CA的目录属性中,属性证书存放父CA发行的层次型证书,而其他属性交叉证书则提供网络型的认证路径混合型结构混合型结构国家级CA地区级CA地区级CA组织级CA组织级CAeCommCA电子商务CA系统仓库和目录:
仓库和目录:
采用公钥体制的关键是一方可以获取并信任另一方的公开密钥。
用户和CA在使用安全服务中的基本要求:
用户能公开发布自己的证书,能方便的获取其他方的证书和黑表,以便确信某个证书是否还有效或者被取消;CA能向分布式的团体公开发布自己的证书和黑表;CA间能相互交换交叉证书并公开分布。
eCommCA将采用X500目录作为CA的仓库,其中命名方法采用X500可区分名,访问协议采用LDAP仓库提供了一种查询证书和认证路径的方式eCommCA电子商务CA系统l集中式所有操作都在专一的中心场所进行l分布式操作分布式地通过client-server模型,如专一中心CA对多种LRA操作模型操作模型eCommCA电子商务CA系统集中式CA操作证书证书证书证书需求需求需求需求ID+ID+用户向中心用户向中心用户向中心用户向中心CACA提供身份提供身份提供身份提供身份中心中心中心中心CACA生成证书生成证书生成证书生成证书中心中心中心中心CACA发行证书发行证书发行证书发行证书112233112233eCommCA电子商务CA系统分布式CA操作证书证书证书证书证书请求证书请求证书请求证书请求证书证书证书证书11224455LRALRA33CACA用户向用户向用户向用户向LRALRA证明身份证明身份证明身份证明身份LRALRA向向向向CACA发送证书请求发送证书请求发送证书请求发送证书请求LRALRA向用户发行证书向用户发行证书向用户发行证书向用户发行证书112255中心中心中心中心CACA生成证书生成证书生成证书生成证书中心中心中心中心CACA将证书送给将证书送给将证书送给将证书送给LRALRA3344需求需求需求需求ID+ID+eCommCA电子商务CA系统分步式CA操作上海上海上海上海LRALRA成都成都成都成都LRALRA广州广州广州广州LRALRACACA北京北京北京北京eCommCA电子商务CA系统脱线/在线CA操作身份身份身份身份需求需求需求需求LRALRACACAWebWeb接口接口接口接口在线服务在线服务在线服务在线服务脱线服务脱线服务脱线服务脱线服务在线在线在线在线CACA服务服务服务服务WebWeb浏览器浏览器浏览器浏览器eCommCA电子商务CA系统eCommCA实现技术eCommCA电子商务CA系统X.500目录服务器安全官员CA系统管理员目录管理员客户机客户机客户机eCommCA系统体系结构安全官员制定管理系统操作的安全策略系统管理员管理用户帐号CACA负责发行安全管辖区内用户证书可能维护一种安全数据库来保存用户加密密钥对目录系统存放用户加密数字签名证书存放证书黑表服务器管理所有成分之间的通信客户机代理用户进行家门签名操作说明:
eCommCA系统体系结构系统体系结构eCommCA电子商务CA系统证书(从颁发者到持有者)交叉证书认证结构(CA)证书用户用户X用户Y国家级CA地区级CA地区级CA组织级CA目录系统DSDSDSDSDSeCommCA配置(证书/黑表)平级CA间可以交叉认证每个CA发布/管理下属用户和CA的证书/黑表每个CA和用户都有两对密钥,一对用于签名/验证,另一对用于加密/解密多种密钥生成和认证模型CA可链接到WWW服务器提供在线方式认证eCommCA电子商务CA系统国家级CA的功能制定总的策略-确定证书和黑表中标准扩展字段的应用子集颁发下一级CA的证书选择地,为下一级生成密钥对,采用安全方式如将私钥放入CA智能卡中根据需要,撤销用户证书定期发布公钥信息定其发布/根新黑表eCommCA电子商务CA系统地区级CA的功能为用户生成密钥对(PK,SK),采用安全方式如将SK放入智能卡并交付到用户采用对用户信息的签名将PK捆绑到用户名,将用户证书和CA的证书及根CA的证书交付给用户取消证书,并维护证书黑表与同级CA进行交叉认证将认证路径交付用户eCommCA电子商务CA系统组织级CA的功能为用户生成密钥对(PK,SK),采用安全方式如将SK放入智能卡并交付到用户采用对用户信息的签名将PK捆绑到用户名,将用户证书和CA的证书及根CA的证书交付给用户取消证书,并维护证书黑表将认证路径交付用户eCommCA电子商务CA系统llMS-WindowsMS-Windows应用应用应用应用llMFC/C+MFC/C+ll采用采用采用采用ODBCODBC的数据库的数据库的数据库的数据库llMS-AccessMS-Access作为默认数据库作为默认数据库作为默认数据库作为默认数据库llLRA-CALRA-CA间通信采用间通信采用间通信采用间通信采用MAPIMAPI接口接口接口接口软件环境软件环境基于标准基于标准基于标准基于标准:
eCommCA电子商务CA系统ll发布证书发布证书发布证书发布证书采用采用采用采用LDAPLDAP到到到到X.500X.500目录系统目录系统目录系统目录系统ll针对不同应用安装针对不同应用安装针对不同应用安装针对不同应用安装PSEPSE格式格式格式格式安全电子邮件安全电子邮件安全电子邮件安全电子邮件,安全安全安全安全EDI,EDI,安全安全安全安全WebWeb软件或硬件软件或硬件软件或硬件软件或硬件(智能卡智能卡智能卡智能卡)安装安装安装安装llX.509v3X.509v3扩展扩展扩展扩展基本约束基本约束基本约束基本约束,备用名备用名备用名备用名llLRA-CALRA-CA通信通信通信通信基于基于基于基于MAPIMAPI或或或或文件文件文件文件模块化结构模块化结构DLLDLL可配置成:
可配置成:
可配置成:
可配置成:
eCommCA电子商务CA系统可配置的方案CA/LRACA/LRA主程序主程序主程序主程序证书发布证书发布证书发布证书发布DLLDLL安装安装安装安装PSEDLLPSEDLL扩展扩展扩展扩展DLLsDLLs密码算法密码算法密码算法密码算法通信通信通信通信DLLDLL数据库报告数据
升级会员 