PKI/PMI拓扑结构图
目 录



对称算法、非对称（公钥）算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
19
完整CA体系
CA中心 目录服务、 CRL、 OCSP、时戳服务 … 数据库 服务器
最终用户
RA中心
证书管理 服务器 签名 服务器
数字签名
文档摘要 并加密
验证签名
OK ?
A的公钥 A的私钥
27
办公自动化系统
电子数据… 电子签章 电子签名 签章回执数据…
签章用户端
签章服务器
OA 服务器
数据库


签章端与签章服务器采用金格自主研发的传输引擎（可信网络通讯引擎； Trusty Internet Communication Engineer） 数据电文加盖电子签章经过签章服务器认证后存到业务数据库内 最后签章服务器把签章结果返回给签章客户端
注册表查看csp：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\D efaultsHKEY_CURRENT_USER\Software\Microsoft\Cryptography \Providers
24
25
签章验证过程
用户A
Hi Bob Hi Bob Alice Alice
用户B
不相同 明文 明文
gJ39vz gJ39vz amp4x amp4x
相同 7 7 = = 6 6
gJ39vz ？ amp4x gJ39vz amp4x
哈希函数 哈希函数
gJ39vz gJ39vz amp4x amp4x
1 1
摘要 摘要
新 摘要 新 摘要
2 2 A的私钥
Ourjj9r Ourjj9r Rr%9$ Rr%9$ Hi Bob Hi Bob Alice Alice
30
•Web页面文档盖章接口：


目 录



对称算法、非对称算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
31
名词解释



CA（Certificate Authority）：证书授权机构 ，负责颁发、公布和废除证书，并提供诸如证 书暂停服务的可以信赖人员（自然人或组织） 。 RA(Registered Authority): 注册授权机构， 负责向申请证书的人员或组织提供身份注册， 审核的机构。 KMC(Key Management Center):密钥管理中 心，负责密钥管理。
16
什么是PKI

公钥基础设施（Public Key Infrastructure， PKI） 从字面上去理解，就是利用公开密钥理论和 技术建立的提供安全服务的在线基础设施。所谓 基础设施，就是在某个大环境下普遍适用的系统 和准则。在现实生活中一个简单的例子是电力系 统，它提供的服务是电能，我们可以把电灯、电 视、电吹风机等看成是电力系统这个基础设施的 一些应用。公钥基础设施则是希望从技术上解决 网上身份认证、电子信息的完整性和不可抵赖性 等安全问题，为网络应用（如浏览器、电子邮件、 电子交易）提供可靠的安全服务。
•数字签名的问题
传统加密算法无法实现抗抵赖的需求
6
公钥加密模型
7
公钥算法用于加密
Alice
明文
Hi Bob Alice
密文 Hi Bob Alice
Bห้องสมุดไป่ตู้b
加密
gJ39vz amp4x
解密
B的公钥 B的私钥



A 发送机密信息给 B, 知道只有 B 可以解密 A 用 B 的公钥加密 (公开) B 使用自己的私钥解密 (保密)
3
加密模型
4
算法分类
•对称加密算法
DES AES •非对称公钥算法
RSA（1976）、背包密码、 McEliece密码、Rabin、 椭圆曲线、 EIGamal D_H。
5
问题提出
•密钥管理量的困难
传统密钥管理两两分别用一对密钥时则n个用 户需要C(n,2)=n(n-1)/2个密钥当用户量增大时密 钥空间急剧增大如: n=100 时C(100,2)=4,995 n=5000时C(5000,2)=12,497,500
硬件加密机 密钥管理中心 （KMC）
RA管理员
系统管理 服务器
密钥管理员
CA管理员

证书注销
CA认证中心


证书发布
CA

证书终止

控制认证策略 产生证书 管理证书注销列表 更新目录服务器 保护CA签名密钥

目录 服务
RA – 注册机构


RA
证书备份与 恢复
鉴别用户身份 分配用户角色与职责 与终端用户交流 公布终端用户的信息
33
名词解释






ARL Authority Revocation Lists 认证机构证书 撤销列表 CRL Certificate Revocation Lists 证书撤销列表 LDAP Lightweight Directory Access Protocol 轻 型目录访问协议 LRA Local Registration Authority 本地审核受理 点 OCSP Online Certificate Status Protocol 在线证 书状态协议 PKCS Public Key Cryptography Standards 公钥 加密标准 SSL Secure Socket Layer 安全套接层协议。 34
23
微软CryptoAPI2.0
CryptoAPI功能是:为应用程序开发者提 供在Win32环境下使用加密、验证等安全服务 时的标准加密接口。CryptoAPI之上是应用程 序，之下是CSP（Cryptographic Service Provider加密服务提供者，密码key）。CSP是 一个真正执行加密功能的独立模块。
公钥算法用于签名
Alice
明文
Hi Bob Alice 密文
Bob
加密
gJ39vz amp4x
解密
Hi Bob Alice
A的公钥 A的私钥

Alice 用她的私钥加密整个信息 所有人都可以解密这个信息 因此，Bob 可以确信这个信息是由 Alice 产生的 — 因为只有她的 公钥可以解开该信息，而只有Alice 有对应的私钥。
证书生成
终端 用户

目录服务

终端用户
-终端用户或应用程序
申请与审核
目 录



对称算法、非对称算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
22
加密API
•目前有关加密API的国际标准和规范： 1． GSS-API V2.0； 2． GCS-API； 3． CDSA； 4． RSA PKCS#11 Cryptographic Token Interface Standard V2.01； 5． RSA BSAFE API； 6． 微软CryptoAPI V2.0 （iSignature）

问题：签名太长，速度慢 解决方法：签名一个短的信息－数字摘要 数字摘要（Message Digest）




一个函数，输入一个任意长度的信息，而输出 一个短的固定长度的编码 一般 16 到 20 字节长 对于输入信息 MD 是唯一 无法找到具有相同 MD 的两个信息 对于信息的任何修改，MD将改变
28
iSignature在什么地方
29
接口开发问题
•Office文档盖章接口：


1．参数设置用接口实现； 2．接口实现特殊需求（脱密、盖章等）； 3．签章服务器与客户系统信息整合； 4. 二维条形码集成（打印解决方案） 1． 参数设置用接口实现； 2． 快速集成方案（Service文件不变）； 3． Web页面盖章归档；
对称算法、非对称（公钥）算法 数字签名完成流程 什么是PKI、PMI 什么是CA、RA 电子签章与PKI 名词解释
13
数字签名过程
Alice
Hi Bob Alice
Bob
明文 相同 7
gJ39vz amp4x
1、没有篡改 2、是Alice发送的
哈希函数
1
gJ39vz amp4x 摘要
？ gJ39vz =
6 5
amp4x 新摘要
2 A的私钥
Ourjj9r Rr%9$ Hi Bob Alice
A的公钥
4
哈希函数
Ourjj9r Rr%9$
Hi Bob Alice
数字签名
明文
3
数字签名
明文
签名加密模型
发送者
接收者 的公钥
传送加密的 信息、密钥 及电子签名 接收者 的私钥
接收者
随机产生 的DES密钥
加
密
用公钥加密 后的DES密钥
32
名词解释





X.509v3：是由IETF提出的公开密钥基础架构 规范的第三版 PKI（Public Key Infrastructure）：公开密 钥基础架构 明文（plaintext或message）：未经加密的原 始数据。 加密（encryption）：用某种方法伪装数据的 过程。 密文（ciphertext）：加密后的数据。 解密（decryption）：将密文还原为明文的过 程。