【正文】 I計劃 ? 澳大利亞、英國、法國、德國、意大利、奧地利、比利時、希臘、荷蘭、芬蘭、日本、俄羅斯等幾十個國家都在發(fā)展、使用 PKI ? 歐洲 ——歐洲橋 CA，促進(jìn)歐洲各種的 CA互聯(lián)互操作 2022/2/8 31 中國的 PKI建設(shè) (1) ? 區(qū)域型 ? 上海 CA中心（ SHECA）；北京 CA（ BJCA）；天津 CA中心；福建 CA中心，湖北 CA（簡稱 HBECA）；海南電子商務(wù)認(rèn)證中心（ HNECA）；廣東省電子商務(wù)認(rèn)證中心 ? 行業(yè)型 ? 金融、電信和外經(jīng)貿(mào)等行業(yè)建立的相關(guān)證書機構(gòu) ? 國內(nèi)十三家商業(yè)銀行聯(lián)合建設(shè)中國金融認(rèn)證中心 (CFCA) ? 中國電信組建的 CTCA ? 由國家外經(jīng)貿(mào)部建立的中國國際電子商務(wù)中心（ CIECC） ? 國家根 CA ? 國家密碼管理局 2022/2/8 32 中國的 PKI建設(shè) (2) ? 獲證機構(gòu)和發(fā)證數(shù)量，逐年增加 ? 至 2022年底， 15家 CA，發(fā)證總量 236萬 ? 至 2022年底， 21家 CA，累計發(fā)證 546萬 ? 至 2022年底， 26家 CA，初步統(tǒng)計發(fā)證約 740多萬 ? 上海 CA累計發(fā)證突破 90萬（ 2022年 7月） ? CFCA累計發(fā)證突破 100萬（ 2022年 7月） ? 山東 CA已發(fā)放證書 40多萬張（ 2022年 1月） ? …… 2022/2/8 33 中國的 PKI建設(shè) (3) ? 應(yīng)用領(lǐng)域 ? 網(wǎng)上支付 ? 2022年 3月，支付寶公司推出國內(nèi)支付領(lǐng)域首張數(shù)字證書 ? 電子病歷 ? 截至 2022年 12月，廣西醫(yī)科大學(xué)第一附屬醫(yī)院 36個臨床病區(qū)采用電子病歷， 5萬份電子病歷使用電子簽名 ? 2022年，廣東中山市人民醫(yī)院 1300余名醫(yī)護(hù)人員制作了證書 ? 網(wǎng)上交易平臺 ? 2022年，廣東省開通網(wǎng)上藥品采購平臺，發(fā)放 6000多張證書 2022/2/8 34 中國的 PKI建設(shè) (4) ? 技術(shù)產(chǎn)品 ? 18項通過國家密碼管理局技術(shù)鑒定的電子認(rèn)證系統(tǒng)（ SRQ系列） ? 截至 2022年底，電子認(rèn)證和數(shù)字證書應(yīng)用的軟件系統(tǒng)和硬件設(shè)備產(chǎn)品達(dá)千種以上，涉及機構(gòu)超過300家 2022/2/8 35 亞洲 PKI論壇 ? 發(fā)展歷史 ? 從 2022 年開始，由日本、韓國、新加坡等發(fā)起，醞釀創(chuàng)建亞洲 PKI 論壇。 2022/2/8 38 PKI 系統(tǒng)結(jié)構(gòu) PKI應(yīng)用 證書簽發(fā)系統(tǒng) 注冊機構(gòu) RA 認(rèn)證中心 CA 軟硬件系統(tǒng) PKI策略 PKI 系統(tǒng)結(jié)構(gòu) 2022/2/8 39 PKI 系統(tǒng)結(jié)構(gòu) ? 1. PKI策略 ? PKI策略是一個包含如何在實踐中增強和支持安全策略的一些操作過程的 詳細(xì)文檔 ，它建立和定義了一個組織信息安全方面的 指導(dǎo)方針 ，同時也定義了密碼系統(tǒng)使用的處理方法和原則。 ? PKI策略的內(nèi)容一般包括：認(rèn)證政策的制定、遵循的技術(shù)規(guī)范、各 CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務(wù)對象、管理原則和框架、認(rèn)證規(guī)則、運作制度的規(guī)定、所涉及的法律關(guān)系，以及技術(shù)的實現(xiàn)。 ? 3. 認(rèn)證中心 ? 認(rèn)證中心是 PKI的信任基礎(chǔ) ，它負(fù)責(zé)管理密鑰和數(shù)字證書的整個生命周期。 2022/2/8 41 PKI 系統(tǒng)結(jié)構(gòu) ? 5. 證書簽發(fā)系統(tǒng) ? 證書簽發(fā)系統(tǒng) 負(fù)責(zé)證書的發(fā)放 ，例如可以通過用戶自己或通過目錄服務(wù)器進(jìn)行發(fā)放。 ? ? PKI的應(yīng)用非常廣泛，包括在 Web服務(wù)器和瀏覽器之間的通信、電子郵件、 電子數(shù)據(jù)交換（ EDI）、在因特網(wǎng)上的 信用卡交易 和虛擬專用網(wǎng)（ VPN） 等方面。 2022/2/8 42 PKI組成 ? 認(rèn)證中心 ? PKI系統(tǒng)通常采用 可信第三方 充當(dāng) 認(rèn)證中心 CA，來確認(rèn)公鑰擁有者的真正身份 ， CA保證了數(shù)字證書中列出的用戶名稱與證書中列出的公開密鑰一一對應(yīng) ，解決了公鑰體系中公鑰的合法性問題。 CA的主要功能有 : ? 1）證書審批 ：接收并驗證最終用戶數(shù)字證書的申請，確定是否接收最終用戶數(shù)字證書的申請。 ? 3）證書更新 ：接收、處理最終用戶的數(shù)字證書更新請求。 ? 5）證書撤銷 ： 產(chǎn)生和發(fā)布證書吊銷列表 ，驗證證書狀態(tài)；或提供在線證書查詢服務(wù) OCSP（ Online Certificate Status Protocol），驗證證書狀態(tài)。 ? 7）各級 CA管理 ：下級認(rèn)證機構(gòu)證書及賬戶管理；認(rèn)證中心及其下級 CA密鑰的管理； 2022/2/8 44 PKI組成 ? 注冊中心 ? RA是 PKI信任體系的重要組成部分， 是用戶（個人或團體）和 CA之間的一個接口 ，是認(rèn)證機構(gòu)信任范圍的一種延伸。 ? RA可以認(rèn)為是 CA的代表處、辦事處 ，負(fù)責(zé)證書申請者的信息錄入、審核及證書發(fā)放等具體工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。 ? 審核用戶的信息。 ? 業(yè)務(wù)受理點（ LRA）的全面管理。 2022/2/8 46 PKI組成 ? 最終實體 ? 最終實體 EE（ End Entity， EE）是指 PKI產(chǎn)品和服務(wù)的最終使用者 ，可以是個人、組織和設(shè)備。 它是由認(rèn)證中心發(fā)放并經(jīng)過認(rèn)證中心簽名的， 包含證書擁有者及其公開密鑰相關(guān)信息的一種電子文件 ，可以用來證明數(shù)字證書持有者的真實身份。 2022/2/8 48 ? 數(shù)字證書采用 公鑰體制 ，即 利用一對相互匹配的密鑰進(jìn)行加密、解密 。 ? 當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰（證書）對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣的信息在傳輸和存放時就可以保證安全性。 ? 該文件由權(quán)威機構(gòu)（也就是 CA），進(jìn)行數(shù)字簽名，并公開發(fā)布。 2022/2/8 51 CA ? PKI中的核心部件 ? 負(fù)責(zé)產(chǎn)生數(shù)字證書 ? 將 用戶的公鑰和用戶屬性信息組合在一起 ，然后進(jìn)行數(shù)字簽名，按 特定的格式標(biāo)準(zhǔn)組織 ，得到完整的PKI數(shù)字證書 2022/2/8 52 相互關(guān)系示意圖 證書序列號 xxxxx: 有效期 : ,2022 ,2022 用戶名 組織名 部門 Status: 公鑰 : ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl 簽名信息 公鑰 認(rèn)證機構(gòu) 私鑰 2022/2/8 53 一般的證書產(chǎn)生流程 狀態(tài)查詢 認(rèn)證機構(gòu) 證書資料庫 注冊機構(gòu)RA 發(fā)布證書及 CRL 私鑰 證書 公鑰 證書申請 證書 公鑰 公鑰 公鑰 2022/2/8 54 交叉認(rèn)證 Cross Certification ? CA對另一個 CA的認(rèn)證，稱為 交叉認(rèn)證 ? 和對用戶的檢查類似，要檢查另一個 CA的各種情況，包括 CP/CPS。 式的版本到目前為止 共有 3個版本 ，通常用 v v2和v3表示。 ? 1993年： ，定義了 v2版的證書格式和修改了上一版的 CRL格式。 ? 2022年： ，證書格式版本未變，仍為 v3，只是增加了新的擴展項，并且增加了對屬性證書的描述。 2022/2/8 57 證書格式 v3數(shù)字證書字段名及說明 字段名 說明 Version 版本號 Serial number 證書唯一序列號 Signature algorithm ID CA簽名使用算法 Issuer name CA名 Validity period 證書生效日期和失效日期 Subject (user) name 證書主體 Subject public key information 證書主體公開密鑰信息 Issuer unique identifier CA唯一標(biāo)識 Subject unique identifier 證書主體唯一標(biāo)識 Extensions 證書擴充內(nèi)容 Signature on the above field CA對以上內(nèi)容的簽名 2022/2/8 58 證書的申請 ? PKI 系統(tǒng)的 證書申請、審核、制作、發(fā)布、發(fā)放、存儲和使用 的工作流程，見圖所示 2022/2/8 59 證書的申請 ? 證書的申請有 離線申請方式 和 在線申請方式 兩種： ? 離線申請方式 ? 用戶 持有關(guān)證件到注冊中心 RA進(jìn)行書面申請 。 2022/2/8 60 證書生成 ? 如果證書的申請被批準(zhǔn)， CA就把證書請求轉(zhuǎn)化為證書，用