基于PKI技术的数据加密解密解决方案资料Word文件下载.docx
- 文档编号:13337317
- 上传时间:2022-10-09
- 格式:DOCX
- 页数:24
- 大小:348.68KB
基于PKI技术的数据加密解密解决方案资料Word文件下载.docx
《基于PKI技术的数据加密解密解决方案资料Word文件下载.docx》由会员分享,可在线阅读,更多相关《基于PKI技术的数据加密解密解决方案资料Word文件下载.docx(24页珍藏版)》请在冰豆网上搜索。
建立公钥基础设施的目的是管理密钥和证书。
通过PKI对密钥和证书的管理,一个组织可以建立并维护可信赖的网络环境。
PKI能够使加密和数字签名服务得到广泛应用。
1.2.2对称加密算法
对称算法使用相同的密钥进行加密和解密。
一个好的对称算法的安全性在于密钥的安全性,对称算法通常使用40—256位的密钥。
在对称加密算法中数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后使其变成复杂的加密密文发送出去。
收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。
在对称加密算法中使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。
不足之处是交易双方都使用同样钥匙安全性得不到保证,此外每对用户每次使用对称加密算法时都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。
常用的对称加密算法包括:
3DES、AES、国密SM1、SM4等。
1.2.3哈希算法
哈希算法又称摘要算法,是一段数据的数学上的概要,它有一定的长度,是数据的唯一的“数字指纹”。
即使数据的一个bit变了,它的哈希码会发生巨大的变化。
哈希函数的强度在于它是一个单向函数。
换句话说如果我们有一个输入文件,可以很容易地得到它的哈希码,但反过来如果我们有一个哈希码,要得到它原来的输入文件非常困难。
常用的哈希算法包括:
MD5、SHA1、国密SM3等。
1.2.4公钥加密体系
◆公钥加密体系加解密过程
非对称加解密(即公钥加密体系)使用两把完全不同但又是相互匹配的密钥——公钥和私钥。
发信方和接受方接收方相互通讯,发信方必须首先得到收信方的公钥,然后利用收信方的公钥对明文加密,收信方收到加密密文以后使用自己的私钥解密密文。
显然采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
常用的非对称加密算法有:
RSA、ECC、国密SM2。
◆对称加密与公钥加密体系结合——数字信封
把对称加密和公钥加密体系结合起来,即数字信封加密。
我们可以用对称加密来加密海量数据,然后用公钥加密算法把对称加密密钥加密起来。
这样就兼具有了对称加密和公钥加密二者的长处。
如果想给多个人发送我们只须把一个对称密钥为每个人加密一下。
◆哈希函数与公钥加密体系结合——数字签名
把哈希函数和公钥加密算法结合起来,即数字签名,能提供一个方法来保证数据的完整性和真实性。
完整性检查保证数据没有被改变,真实性检查保证数据真是由产生这个哈希值的人发出的。
数字签名的过程的第一步是产生一个我们想签名的数据的哈希值。
第二步是把这个哈希值用我们的私钥加密。
这个被加密的哈希结果被添加到数据后,能够保护哈希结果的完整性。
并且由于用的是公钥加密算法,用不着给检查这段哈希结果的人一个密钥。
数据的接收者能够有你的公钥解密这段哈希值,同时能从接到的数据产生一段哈希值。
两者相比,如果相同则可以肯定他所接到的数据没有被更改。
同时接收者也知道,只有你才能发出这段数据,因为只有你才会有这个在哈希上签名的私钥。
2产品概述
时代亿信ETCA数字证书认证系统是在充分研究国内CA应用现状,多年调研客户实际网络应用安全状况,结合PKI实际应用需求的基础上,独立研发的一套用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统,颁发的数字证书格式严格遵循X.509v3规范。
时代亿信ETCA数字证书认证系统由CA、RA、证书发布系统、证书CRL查询系统、LDAP目录服务几个部分组成,可在服务器配备加密卡以及在客户端配备智能密码钥匙。
ETCA支持通过挂接密钥管理中心(KMC)来管理用户加密密钥,从而提高了用户密钥的安全性和可靠性。
ETCA同时为应用系统提供中间件,实现数据加密/解密、签名/验签服务。
ETCA数字证书认证系统可提供对数字证书进行全生命周期管理的功能,包括证书/证书撤销列表的生成与签发、证书/证书撤销列表的存储与发布、证书状态的查询和密钥的生成与管理以及安全管理等。
ETCA数字证书认证系统及中间件可集成于企事业单位的应用系统中,保证
●传输数据的保密性
●传输数据的完整性
●交易者身份的真实性
●交易信息的不可否认性
3产品功能
3.1产品功能架构
时代亿信ETCA数字证书认证系统主要由密钥管理中心(KMC)、CA、RA、证书存储发布和状态查询系统等几个部分组成,如下图所示:
图3-1ETCA数字证书认证系统功能组成
●密钥管理系统(KMC)可为多个CA系统产生用户加密密钥,满足CA系统签发用户加密证书的需要。
通过在线的方式满足CA系统对密钥的需求,实时响应各CA系统提取密钥对的请求。
●证书签发系统(CA)负责生成、签发数字证书和证书撤销列表。
●证书管理系统(RA)是证书认证系统中实现证书的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。
●证书/CRL存储发布系统负责数字证书、证书撤销列表的存储和发布。
根据应用环境的不同,证书/CRL存储发布系统采用数据库或目录服务方式,实现数字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务。
ETCA使用LDAP目录服务方式,采用主、从目录服务器的结构以保证主目录服务器的可靠性。
3.2产品功能组件
3.2.1密钥管理中心(KMC)
密钥管理中心,简称KMC,是ETCA数字证书认证系统的基础组成部分。
主要负责密钥的管理:
包括密钥的产生、分发、更新、备份/恢复、归档、销毁等的管理。
ETCA采用国家密码管理局规定的主机加密服务器实现密钥对的生成。
采用SPKM安全通信协议与证书签发中心进行数据通信。
密钥管理主要负责接收、审核来自证书签发中心的密钥申请,调用备用密钥库中的密钥发送给证书签发中心。
同时,监控备用库中密钥的数量,根据策略生成一定数量的密钥进行补充,并且在密钥生成、分发、更新、废除等操作时,负责对各种密钥库进行相应的维护。
密钥管理类型包括密钥管理中心主密钥管理、证书签发中心密钥管理和用户密钥管理。
密钥管理相关功能如下:
1)密钥的生成
批量生成高强度的用户加密密钥对,生成后的密钥以密文保存在数据库中。
2)密钥的分发
证书是密钥分发的一种有效方式,用户密钥生成后发送给证书签发中心,由证书签发中心完成对包含密钥的证书的签发和管理。
KMC可以保证用户密钥从密钥的生成到将证书的签发,并与用户私钥一起存储到用户证书存储介质中整个过程的安全性。
3)密钥备份与恢复
KMC提供对各系统管理员密钥和用户加密密钥的安全备份和恢复功能,可以将各种密钥通过加密手段安全保存到密钥备份库,当需要时可以从备份库中将所需密钥恢复出来,防止由于密钥丢失或损坏等原因造成损失。
4)密钥更新
密钥的更新包括根密钥的更新、各级证书签发中心密钥的更新、服务器密钥的更新和用户密钥的更新等。
在根密钥和各级证书签发中心密钥的更新设计中需要考虑到旧密钥到新密钥的过渡中对已签发证书的影响,保证在密钥更新过程中,旧密钥签发的、未到期用户密钥的有效性。
5)密钥归档
密钥更新时需将旧密钥归档,形成用户密钥的历史信息。
发生纠纷时,可以根据系统提供的信息进行处理。
归档的密钥也可以进行恢复。
6)密钥查询
设置好相关查询条件,查询符合条件的在用密钥相关信息。
7)密钥销毁
密钥管理中心对已经失去作用的密钥提供销毁功能,彻底将这些密钥从密钥库中删除,并保证被删除密钥的不可恢复,保证整个体系的安全。
8)密钥池
密钥管理系统具备密钥池服务功能。
系统预先生成一批密钥对并通过安全机制存放在密钥数据库系统中,当证书签发中心申请密钥时,系统从密钥数据库系统中获取密钥解密后交给证书签发中心,以提高系统的服务效率。
3.2.2签发中心(CA)
证书签发中心,简称CA,是PKI/CA体系的核心。
提供证书的签发和管理功能,代表用户向密钥管理中心发出密钥产生、恢复请求,为用户签发证书。
3.
3.1.
3.2.
3.2.1.
3.2.2.
3.2.2.1.证书管理
证书管理主要包括证书的签发、延期、更新、冻结、解冻、证书废除、证书恢复、证书查询、证书实体查询及证书撤销列表的发布等操作。
1)证书签发
系统可签发各种实体证书。
2)证书延期
能够根据要求延期证书。
包括由证书注册审核中心系统发起的证书延期功能;
由用户发起的在线证书延期申请功能
3)证书更新
能够根据要求,实现证书的更新。
包括证书用户信息更新,用户的密钥的更新等。
4)证书的冻结和解冻
该功能主要由管理方(证书注册审核中心系统操作员、证书签发中心管理员等)发起,对证书进行冻结,使证书列入黑名单,暂时因为失效而无法使用;
同时,管理方也可对被冻结的证书进行解冻操作,使该证书恢复正常的使用功能。
5)证书废除
吊销实体证书,分为证书签发中心强制废除和用户申请废除。
由于以下原因,证书应该被作废:
◆密钥泄密。
证书的私钥泄密,或者怀疑泄密。
为防止错误使用或被盗用,其对应的证书应该被作废。
系统签发的CRL将指出证书未泄密的最后日期。
◆从属变更。
某些关于证书的信息变更,但不怀疑泄密。
◆密钥已被取代。
旧密钥对已被新密钥对取代,但不怀疑泄密。
◆终止使用。
该密钥对已不再用于原来的用途,但不怀疑泄密。
◆暂时不使用。
证书持有者由于某种原因短期内无法使用证书。
◆未说明的原因。
因为不同于上述分类中的任何原因,该密钥对不再需要。
◆当一个证书作废时,必须有上述六个原因之一。
6)证书恢复
证书签发中心根据系统策略,由证书注册审核中心系统管理员将废除原因为“暂时不使用”的已废除的用户证书进行恢复操作。
注:
实体证书包括个人用户证书,设备证书,站点证书、代码签名证书等。
7)证书实体查询
系统支持证书实体查询功能,用户可以通过查询条件可以查询出符合条件的证书,并可将证书(公钥证书)保存到本地。
8)证书注销列表发布
CA服务器可以根据发布策略定期签发标准格式的证书注销列表,发布方式可以为文件方式或者目录服务方式,发布周期可以由管理员灵活定制。
证书注销列表的发布采用分布点策略,保证证书注销列表的大小在指定的范围内,方便用户查询和下载。
3.2.2.2.模板管理
ETCA自带十几种标准证书模板及标准证书扩展域,满足大多数的证书签发需求。
同时系统支持自定义证书模板和自定义扩展域,用户可以灵活定制各种证书模板,从而签发出满足不
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 PKI 技术 数据 加密 解密 解决方案 资料