公开密钥基础设施(pki)技术研究与应用.ppt

《公开密钥基础设施(pki)技术研究与应用.ppt》由会员分享，可在线阅读，更多相关《公开密钥基础设施(pki)技术研究与应用.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公开密钥基础设施公开密钥基础设施(pki)技术研究与应用技术研究与应用汇报提纲汇报提纲PKI介绍介绍PKI的问题的问题我们的成果我们的成果存在的问题存在的问题什么是公开密钥基础设施什么是公开密钥基础设施(PKI)PKI是硬件、软件、策略和人组成的系是硬件、软件、策略和人组成的系统，当完全并且正确的实施后，能够提统，当完全并且正确的实施后，能够提供一整套的信息安全保障，这些保障对供一整套的信息安全保障，这些保障对保护敏感的通信和交易是非常重要的保护敏感的通信和交易是非常重要的PKI是一个用公钥概念与技术来实施和是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设提供安全服务的普遍适用

2、的安全基础设施施PKI的引入PKI的基本部件的基本部件PKI的引入PKI技术是电子政务的基础技术是电子政务的基础 19961996年，联邦年，联邦年，联邦年，联邦PKIPKI指导委员会成立指导委员会成立指导委员会成立指导委员会成立(FPKISC)(FPKISC)20002000年年年年1212月，会员包括了月，会员包括了月，会员包括了月，会员包括了2727个联邦机构中的个联邦机构中的个联邦机构中的个联邦机构中的113113人人人人 19951995年底加拿大政府通信和信息服务部提供年底加拿大政府通信和信息服务部提供年底加拿大政府通信和信息服务部提供年底加拿大政府通信和信息服务部提供PKIPKI

3、服务服务服务服务 19981998年年年年4 4月，加拿大部门间月，加拿大部门间月，加拿大部门间月，加拿大部门间PKIPKI工作组成立工作组成立工作组成立工作组成立 20002000年年年年1212月月月月1818日美国日美国日美国日美国IDCIDC预测预测预测预测 所有发达国家，许多发展中国家所有发达国家，许多发展中国家所有发达国家，许多发展中国家所有发达国家，许多发展中国家PKI的引入PKI技术中的问题技术中的问题非常严重的互操作问题非常严重的互操作问题应用的初期，技术和标准仍在发展应用的初期，技术和标准仍在发展昂贵：开发、维护、培训昂贵：开发、维护、培训概念和技术本身的复杂概念和技术本身

4、的复杂PKI的问题互操作问题互操作问题总的原因：标准不清楚，不完全，理解错误总的原因：标准不清楚，不完全，理解错误“符合标准符合标准”的产品可能会被替代和更换的产品可能会被替代和更换 X.509 V3,extension X.509 V3,extension 使用问题使用问题使用问题使用问题桥桥CA解决问题，有许多问题需要解决解决问题，有许多问题需要解决目录的互操作问题（协议，信息组织和安排）目录的互操作问题（协议，信息组织和安排）API(应用程序编程接口应用程序编程接口)的互操作问题的互操作问题PKI的问题PKI仍限于示范工程或特殊应用仍限于示范工程或特殊应用很小的示范工程很小的示范工程 专

5、利系统：专利系统：专利系统：专利系统：1414个法律单位个法律单位个法律单位个法律单位+1+1独立发明人独立发明人独立发明人独立发明人+1+1公司公司公司公司,1032,1032个证书个证书个证书个证书 National Institutes of HealthNational Institutes of Health：500500个证书个证书个证书个证书联邦联邦PKI开发开发 FBACFBAC实验环境中演示，实验环境中演示，实验环境中演示，实验环境中演示，(Immature Solution)(Immature Solution)ACES,in the early phases on imp

6、lementation 20002000年年年年1111月，月，月，月，7 7个定单，个定单，个定单，个定单，2 2个机构免费证书个机构免费证书个机构免费证书个机构免费证书PKI的问题开发与维护开发与维护PKI仍旧比较昂贵仍旧比较昂贵开发，配置，维护，现有系统的改造开发，配置，维护，现有系统的改造DOD:2000到到2005年，年，$700,000,000$700,000,000仅进行仅进行仅进行仅进行PKIPKI开发；开发；开发；开发；$170,000,000$170,000,000改造一些应用系统使适合改造一些应用系统使适合改造一些应用系统使适合改造一些应用系统使适合PKIPKI 600

7、out of 9000-10000600 out of 9000-10000$200$200一个证书一个证书一个证书一个证书PKI的问题安全策略制定的困难安全策略制定的困难隐私保护隐私保护维护保证（信用）级别维护保证（信用）级别加密密钥恢复加密密钥恢复长时间数据（证据）保护长时间数据（证据）保护PKI的问题成功的成功的PKI需要全范围的培训需要全范围的培训概念和模型比较复杂概念和模型比较复杂管理员必须正确配置管理员必须正确配置PKI系统系统用户必须会保护他的私钥用户必须会保护他的私钥验证证书，拒绝？无效？不匹配？验证证书，拒绝？无效？不匹配？使用使用PKI的应用系统也需要培训的应用系统也需要培

8、训PKI的问题PKI需要什么（需要什么（PKI中的问题）中的问题）高安全性的保障高安全性的保障一个合理科学的组件结构一个合理科学的组件结构一个合理简单的应用结构一个合理简单的应用结构一个科学简单的运行结构一个科学简单的运行结构一种简单的实现一种简单的实现PKI的问题完成的工作完成的工作 完成完成完成完成PKIPKI体系体系体系体系建模工作建模工作建模工作建模工作 攻击容忍的高安全攻击容忍的高安全攻击容忍的高安全攻击容忍的高安全CACA系统的建模、设计与实现系统的建模、设计与实现系统的建模、设计与实现系统的建模、设计与实现 完成了完成了完成了完成了PKIPKI实体的建模与设计实体的建模与设计实体

9、的建模与设计实体的建模与设计 实验室实验室实验室实验室PKIPKI最小互操作规范最小互操作规范最小互操作规范最小互操作规范 开发开发开发开发PKIPKI中需要全部组建中需要全部组建中需要全部组建中需要全部组建 开发了两个开发了两个开发了两个开发了两个PKIPKI的应用事例，即的应用事例，即的应用事例，即的应用事例，即VPNVPN和验证开关和验证开关和验证开关和验证开关 设计设计了自主产权的基础系统设计设计了自主产权的基础系统设计设计了自主产权的基础系统设计设计了自主产权的基础系统 一套动态口令的认证系统，交付公司推广一套动态口令的认证系统，交付公司推广一套动态口令的认证系统，交付公司推广一套动

10、态口令的认证系统，交付公司推广 参加国家相关的活动，对参加国家相关的活动，对参加国家相关的活动，对参加国家相关的活动，对PKIPKI进行了进行了进行了进行了推广宣传工作推广宣传工作推广宣传工作推广宣传工作我们的成果主要成果主要成果一套完善自主产权的一套完善自主产权的PKI系统系统申请发明专利申请发明专利6个个发表文章发表文章56篇篇出版著作出版著作8本（包括译）本（包括译）2000万技术转让合同，示范工程以南宁万技术转让合同，示范工程以南宁（国家级）高新区名义报广西科技厅（国家级）高新区名义报广西科技厅完成体系建模工作完成体系建模工作PKI组件模型组件模型PKI应用模型应用模型实现模型实现模型

11、RAATAALoisPKI系统结构系统结构PACRAARAACARepositoryQuery ServerF2F RACl RAVPN RADBATADBAWeb RA我们的成果SKLOIS PKI运行模型运行模型安全操作员实体管理员应用实体实体实体实体实体电子目录我们的成果PKI实施模型实施模型私钥与公钥PKI实体身份标识策略PKI证书PKI证书PKI证书我们的成果CA（入侵容忍入侵容忍）RAAKey CenterCombinerShare SeverCombinerShare SeverShare SeverShare SeverShare Sever资料库RADBA离线部件离线部件在线

12、部件在线部件我们的成果资料仓库资料仓库(入侵容忍的入侵容忍的Repository)CA查询服务器OracleSQL Server证书查询者Internet我们的成果入侵容忍技术入侵容忍技术当部分系统被敌人占领的时候当部分系统被敌人占领的时候当部分内部职员背叛的时候当部分内部职员背叛的时候当部分系统被病毒或木马支配的时候当部分系统被病毒或木马支配的时候秘密是否被泄露秘密是否被泄露工作是否能够继续工作是否能够继续两层结构两层结构RA AgencyShare Server1Key DistributerCombiner1Share Server2Share Server3Share Server4S

13、hare Server5Share Server6Repository AgentCombiner2广播信道B1广播信道B2广播信道B3Combiner3解决的问题解决的问题Combiner的方程求解问题的方程求解问题 k=10k=10，t=3t=3时，方程个数时，方程个数时，方程个数时，方程个数120120个，变量个，变量个，变量个，变量1111个个个个Combiner 与与Share Server的合谋攻击问题的合谋攻击问题Combiner的安全条件与证明的安全条件与证明Combiner的安全条件搜索算法的安全条件搜索算法Combiner的数量问题的数量问题效率问题效率问题与国际上典型方案

14、的比较与国际上典型方案的比较原理简单，安全性容易证明原理简单，安全性容易证明通用性强，对参数无任何限制通用性强，对参数无任何限制操作透明，自治的管理和调整操作透明，自治的管理和调整容错容余，不需额外的设置，在线更换容错容余，不需额外的设置，在线更换高效率高效率=1，Stanford=t,CertCo=t,IBM=2t完成全部完成全部PKI系统系统原形系统网上测试，网址：原形系统网上测试，网址：从从Web RA到到CA到资料库到资料库IIS服务器证书（科技部国家重点实验室服务器证书（科技部国家重点实验室网站）网站）全面兼容包括全面兼容包括IE、Outlook Express的签的签名、加密名、加密安全安全PKI应用应用VPN与验证开关与验证开关自主产权的基础系统自主产权的基础系统自主产权的自主产权的PKI专用专用Web系统系统 承受攻击承受攻击承受攻击承受攻击TCP/IP协议接口子系统协议接口子系统密钥保护卡密钥保护卡证书查看系统证书查看系统/客户应用系统客户应用系统Oracle与与SQL数据库接口系统数据库接口系统存在的问题存在的问题示范工程问题：资金与政府的支持示范工程问题：资金与政府的支持政策问题：密码政策政策问题：密码政策/地方保护地方保护低端产品宣传与推广低端产品宣传与推广谢谢谢谢Thanks