基于PKI技术的数据加密解密解决方案.doc
《基于PKI技术的数据加密解密解决方案.doc》由会员分享,可在线阅读,更多相关《基于PKI技术的数据加密解密解决方案.doc(68页珍藏版)》请在咨信网上搜索。
1、基于PKI技术的数据加密解密解决方案(完整资料)(可以直接使用,可编辑 优秀版资料,欢迎下载)基于PKI技术的数据加密解密解决方案目 录1背景- 1 1.1应用背景- 1 1.2PKI理论 1 1.2。1公钥基础设施PKI- 1 1.2。2对称加密算法 2 -1。2.3哈希算法- 2 -1.2。4公钥加密体系 3 2产品概述 4 3产品功能- 5 3.1产品功能架构- 5 -3。2产品功能组件- 6 3.2。1密钥管理中心(KMC)- 6 -签发中心(CA)- 8 注册中心(RA) 12 -3.2。4存储发布系统(CRL)- 16 3.2。5在线证书状态查询系统(OCSP) 17 目录服务系统
2、(LDAP)- 17 3。2。7数据加密/解密、签名/验签中间件- 19 -3.3产品技术特点 19 -3.3。1部署灵活、操作简单 19 -3.3。2系统平台的高安全性 20 -3。3。3广泛的平台兼容性- 20 -3.3。4支持多级CA- 21 支持国密算法 21 -3。3.6支持LDAP发布证书- 21 3。3。7支持动态扩展属性- 21 支持自定义证书模板- 22 3。3。9支持管理员三员分立- 22 4数据传输安全解决方案 23 4.1数据传输安全要求- 23 4.2数据传输安全方案 23 -用户身份鉴别 23 4。2。2数据加密传输 23 5某即时通信平台数据加密传输方案实现- 2
3、5 -5.1需求总体描述- 25 5。2方案总体描述- 26 -5.3方案接口描述- 27 -5.3。1证书检测接口- 27 -证书申请接口 28 -证书下载接口 28 -5.3。4数据加密接口 28 5。3。5数据解密接口 28 5。4方案具体业务流程 28 -5.4。1P2P在线和离线消息- 29 -在线消息 30 5。4。3S2P在线和离线消息 31 6产品规格 32 -7案例介绍- 34 7.1黑龙江移动- 34 -7。2首创集团- 35 7.3北京人民广播电台- 36 1 背景1.1 应用背景近年来,随着计算机网络和信息技术的迅速发展,公司、大型企业及政府单位逐步上线了许多基于信息技
4、术的应用系统,内部办公、信息传递、工作效率、企业管理、商务运营等涉及到企业发展的方方面面,都因信息化而得到了飞速发展。同时,移动互联网的快速发展,越来越多的应用正通过智能手机、平板电脑等移动终端进行交易和数据交换,丰富了人们的生活。信息技术在给我们的工作及生活带来许多便利的同时,也面临种种安全挑战,如用户的身份合法性、传输数据的保密性、数据的完整性及不可抵赖性等问题变得迫在眉睫.。如何保护个人及企业信息的安全?如何构筑更加安全可靠的内部网络以阻止黑客的入侵?除自身的安全防范意识需要提高外,更重要的一点是,互联网信息安全保障的基础设施基于PKI技术的CA服务系统成为了众多公司企业及政府单位构建安
5、全网络的必要组成。1.2 PKI理论1.2.1 公钥基础设施PKI提供公钥加密和数字签名服务的综合系统称做一个公钥基础设施(简称PKI)。建立公钥基础设施的目的是管理密钥和证书.通过PKI对密钥和证书的管理,一个组织可以建立并维护可信赖的网络环境。PKI能够使加密和数字签名服务得到广泛应用.1.2.2 对称加密算法对称算法使用相同的密钥进行加密和解密。一个好的对称算法的安全性在于密钥的安全性,对称算法通常使用40256位的密钥。在对称加密算法中数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后使其变成复杂的加密密文发送出去.收信方收到密文后,若想解读原文,则需要使用加密用过的密钥
6、及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文.在对称加密算法中使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是交易双方都使用同样钥匙安全性得不到保证,此外每对用户每次使用对称加密算法时都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。常用的对称加密算法包括:3DES、AES、国密SM1、SM4等。1.2.3 哈希算法哈希算法又称摘要算法,是一段数据的数学上的概要,它有一定的长度,是数据的唯一的“数字
7、指纹”。即使数据的一个bit变了,它的哈希码会发生巨大的变化。哈希函数的强度在于它是一个单向函数。换句话说如果我们有一个输入文件,可以很容易地得到它的哈希码,但反过来如果我们有一个哈希码,要得到它原来的输入文件非常困难。 常用的哈希算法包括:MD5、SHA1、国密SM3等。1.2.4 公钥加密体系u 公钥加密体系加解密过程 非对称加解密(即公钥加密体系)使用两把完全不同但又是相互匹配的密钥公钥和私钥。发信方和接受方接收方相互通讯,发信方必须首先得到收信方的公钥,然后利用收信方的公钥对明文加密,收信方收到加密密文以后使用自己的私钥解密密文。显然采用不对称加密算法,收发信双方在通信之前,收信方必须
8、将自己早已随机生成的公钥送给发信方,而自己保留私钥。常用的非对称加密算法有:RSA、ECC、国密SM2。u 对称加密与公钥加密体系结合 -数字信封把对称加密和公钥加密体系结合起来,即数字信封加密.我们可以用对称加密来加密海量数据,然后用公钥加密算法把对称加密密钥加密起来。这样就兼具有了对称加密和公钥加密二者的长处。如果想给多个人发送我们只须把一个对称密钥为每个人加密一下. u 哈希函数与公钥加密体系结合 数字签名把哈希函数和公钥加密算法结合起来,即数字签名,能提供一个方法来保证数据的完整性和真实性。完整性检查保证数据没有被改变,真实性检查保证数据真是由产生这个哈希值的人发出的。数字签名的过程的
9、第一步是产生一个我们想签名的数据的哈希值。第二步是把这个哈希值用我们的私钥加密。这个被加密的哈希结果被添加到数据后,能够保护哈希结果的完整性。并且由于用的是公钥加密算法,用不着给检查这段哈希结果的人一个密钥。数据的接收者能够有你的公钥解密这段哈希值,同时能从接到的数据产生一段哈希值.两者相比,如果相同则可以肯定他所接到的数据没有被更改。同时接收者也知道,只有你才能发出这段数据,因为只有你才会有这个在哈希上签名的私钥。2 产品概述时代亿信ETCA数字证书认证系统是在充分研究国内CA应用现状,多年调研客户实际网络应用安全状况,结合PKI实际应用需求的基础上,独立研发的一套用于数字证书的申请、审核、
10、签发、注销、更新、查询的综合管理系统,颁发的数字证书格式严格遵循X。509 v3规范。时代亿信ETCA数字证书认证系统由CA、RA、证书发布系统、证书CRL查询系统、LDAP目录服务几个部分组成,可在服务器配备加密卡以及在客户端配备智能密码钥匙。ETCA支持通过挂接密钥管理中心(KMC)来管理用户加密密钥,从而提高了用户密钥的安全性和可靠性。ETCA同时为应用系统提供中间件,实现数据加密/解密、签名/验签服务。ETCA数字证书认证系统可提供对数字证书进行全生命周期管理的功能,包括证书/证书撤销列表的生成与签发、证书/证书撤销列表的存储与发布、证书状态的查询和密钥的生成与管理以及安全管理等。ET
11、CA数字证书认证系统及中间件可集成于企事业单位的应用系统中,保证l 传输数据的保密性l 传输数据的完整性l 交易者身份的真实性l 交易信息的不可否认性3 产品功能3.1 产品功能架构时代亿信ETCA数字证书认证系统主要由密钥管理中心(KMC)、CA、RA、证书存储发布和状态查询系统等几个部分组成,如下图所示:图3-1 ETCA数字证书认证系统功能组成l 密钥管理系统(KMC)可为多个CA系统产生用户加密密钥,满足CA系统签发用户加密证书的需要。通过在线的方式满足CA系统对密钥的需求,实时响应各CA系统提取密钥对的请求。l 证书签发系统(CA)负责生成、签发数字证书和证书撤销列表。l 证书管理系
12、统(RA)是证书认证系统中实现证书的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制系统。l 证书/CRL存储发布系统负责数字证书、证书撤销列表的存储和发布。根据应用环境的不同,证书/CRL存储发布系统采用数据库或目录服务方式,实现数字证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务。ETCA使用LDAP目录服务方式,采用主、从目录服务器的结构以保证主目录服务器的可靠性。3.2 产品功能组件3.2.1 密钥管理中心(KMC)密钥管理中心,简称KMC,是ETCA数字证书认证系统的基础组成部分。主要负责密钥的管理:包括密钥的产生、分发、更新、备份/恢复、归档、销毁等的管理。
13、ETCA采用国家密码管理局规定的主机加密服务器实现密钥对的生成。采用SPKM安全通信协议与证书签发中心进行数据通信.密钥管理主要负责接收、审核来自证书签发中心的密钥申请,调用备用密钥库中的密钥发送给证书签发中心。同时,监控备用库中密钥的数量,根据策略生成一定数量的密钥进行补充,并且在密钥生成、分发、更新、废除等操作时,负责对各种密钥库进行相应的维护。密钥管理类型包括密钥管理中心主密钥管理、证书签发中心密钥管理和用户密钥管理。密钥管理相关功能如下:1) 密钥的生成批量生成高强度的用户加密密钥对,生成后的密钥以密文保存在数据库中。2) 密钥的分发证书是密钥分发的一种有效方式,用户密钥生成后发送给证
14、书签发中心,由证书签发中心完成对包含密钥的证书的签发和管理.KMC可以保证用户密钥从密钥的生成到将证书的签发,并与用户私钥一起存储到用户证书存储介质中整个过程的安全性。3) 密钥备份与恢复KMC提供对各系统管理员密钥和用户加密密钥的安全备份和恢复功能,可以将各种密钥通过加密手段安全保存到密钥备份库,当需要时可以从备份库中将所需密钥恢复出来,防止由于密钥丢失或损坏等原因造成损失。4) 密钥更新密钥的更新包括根密钥的更新、各级证书签发中心密钥的更新、服务器密钥的更新和用户密钥的更新等。在根密钥和各级证书签发中心密钥的更新设计中需要考虑到旧密钥到新密钥的过渡中对已签发证书的影响,保证在密钥更新过程中
15、,旧密钥签发的、未到期用户密钥的有效性。5) 密钥归档密钥更新时需将旧密钥归档,形成用户密钥的历史信息。发生纠纷时,可以根据系统提供的信息进行处理。归档的密钥也可以进行恢复。6) 密钥查询设置好相关查询条件,查询符合条件的在用密钥相关信息.7) 密钥销毁密钥管理中心对已经失去作用的密钥提供销毁功能,彻底将这些密钥从密钥库中删除,并保证被删除密钥的不可恢复,保证整个体系的安全。8) 密钥池密钥管理系统具备密钥池服务功能.系统预先生成一批密钥对并通过安全机制存放在密钥数据库系统中,当证书签发中心申请密钥时,系统从密钥数据库系统中获取密钥解密后交给证书签发中心,以提高系统的服务效率。3.2.2 签发
16、中心(CA)证书签发中心,简称CA,是PKI/CA体系的核心。提供证书的签发和管理功能,代表用户向密钥管理中心发出密钥产生、恢复请求,为用户签发证书。3.3.1.3.2.3.2.1.3.2.2.3.2.2.1. 证书管理证书管理主要包括证书的签发、延期、更新、冻结、解冻、证书废除、证书恢复、证书查询、证书实体查询及证书撤销列表的发布等操作。1) 证书签发系统可签发各种实体证书。2) 证书延期能够根据要求延期证书.包括由证书注册审核中心系统发起的证书延期功能;由用户发起的在线证书延期申请功能3) 证书更新能够根据要求,实现证书的更新。包括证书用户信息更新,用户的密钥的更新等.4) 证书的冻结和解
17、冻该功能主要由管理方(证书注册审核中心系统操作员、证书签发中心管理员等)发起,对证书进行冻结,使证书列入黑名单,暂时因为失效而无法使用;同时,管理方也可对被冻结的证书进行解冻操作,使该证书恢复正常的使用功能。5) 证书废除吊销实体证书,分为证书签发中心强制废除和用户申请废除.由于以下原因,证书应该被作废:u 密钥泄密。证书的私钥泄密,或者怀疑泄密。为防止错误使用或被盗用,其对应的证书应该被作废。系统签发的CRL将指出证书未泄密的最后日期。u 从属变更。某些关于证书的信息变更,但不怀疑泄密.u 密钥已被取代。旧密钥对已被新密钥对取代,但不怀疑泄密。u 终止使用.该密钥对已不再用于原来的用途,但不
18、怀疑泄密。u 暂时不使用。证书持有者由于某种原因短期内无法使用证书.u 未说明的原因。因为不同于上述分类中的任何原因,该密钥对不再需要.u 当一个证书作废时,必须有上述六个原因之一.6) 证书恢复证书签发中心根据系统策略,由证书注册审核中心系统管理员将废除原因为“暂时不使用”的已废除的用户证书进行恢复操作。注:实体证书包括个人用户证书,设备证书,站点证书、代码签名证书等.7) 证书实体查询系统支持证书实体查询功能,用户可以通过查询条件可以查询出符合条件的证书,并可将证书(公钥证书)保存到本地。8) 证书注销列表发布CA 服务器可以根据发布策略定期签发标准格式的证书注销列表,发布方式可以为文件方
19、式或者目录服务方式,发布周期可以由管理员灵活定制。证书注销列表的发布采用分布点策略,保证证书注销列表的大小在指定的范围内,方便用户查询和下载。3.2.2.2. 模板管理ETCA自带十几种标准证书模板及标准证书扩展域,满足大多数的证书签发需求。同时系统支持自定义证书模板和自定义扩展域,用户可以灵活定制各种证书模板,从而签发出满足不同需求的数字证书。 u 证书模板管理证书模板用于定义证书的有效期、密钥类型、密钥长度、是否需要发布、发布的方式、扩展域及扩展域的值等信息。用户可以根据实际情况自由组合证书相关内容,自定义各种类型的证书模板,并对其加以管理.主要功能有:1) 浏览模板列出当前系统中定义的所
20、有证书模板的详细信息.2) 添加模板为系统增加一个证书模板的定义。3) 修改模板修改系统中已经存在的一个证书模板.4) 删除模板删除一个已经定义好的但是还没有被使用的证书模板。5) 注销模板注销已经被使用过的一个证书模板,该证书模板以后将不能再使用。u 自定义扩展域管理用户可以根据自己的实际需要自定义证书扩展域,并应用于证书模板之中。1) 浏览自定义扩展列出当前系统中定义的所有自定义扩展域,并可以查看详细信息.2) 添加自定义扩展为系统增加一个自定义扩展域的定义。3) 修改自定义扩展修改已经存在的一个自定义扩展域。4) 删除自定义扩展删除一个已经定义好的但是还没有被某个证书模板使用的自定义扩展
21、域.5) 注销自定义扩展注销已经被使用过的一个自定义扩展域,以后创建证书模板的时候将不再使用该扩展。3.2.2.3. 用户服务u 个人证书管理服务签发中心可面向用户提供用于个人证书管理的客户端软件,能帮助用户管理和维护自己的数字证书,同时能提供个人证书定制服务;软件的管理界面友好、操作简单,方便用户使用.u 用户证书统计报表服务签发中心可自动搜集关于证书的请求、状态等信息,并加以必要的分析和统计,形成可视报表,以便响应用户的服务请求。u 用户证书查询服务可对用户证书基本信息、附加信息、自定义扩展项信息等进行查询,查询支持海量数据分页处理。u 用户服务功能的扩展签发中心可根据用户业务需求及个性化
22、需求,方便的增加新的服务功能模块.3.2.3 注册中心(RA)证书注册审核中心,简称RA,负责证书申请、审核、注销、更新、下载等服务,是签发系统的对外服务窗口,是签发中心的证书发放、管理等业务的延伸。主要负责所有证书申请者的信息录入、审核等工作,同时对发放的证书完成相对应的管理功能。3.2.3.1. 用户管理u 注册用户用户可以在线地进行注册,注册中心系统操作员也可以代用户进行注册操作。注册用户时须提供必要的用户信息。u 批量注册用户注册中心系统操作员可以将准备好的一批用户信息注册到系统中去。这一功能适用于将现有的用户信息导入到系统中。u 注销用户用户可以在线地将自己从系统中注销,注册中心系统
23、操作员也可以代普通用户进行注销操作.u 更新用户用户可以在线地更新自己的注册信息,注册中心系统操作员也可以代用户进行更新操作。u 用户归档系统可对用户信息进行归档处理。u 审核用户管理操作根据应用场合的要求,需要对注册用户、批量注册用户、注销用户、更新用户操作进行审核,以判断所提供的用户信息及操作本身的正确性和合法性。审核工作由证书注册审核中心系统审核员完成。3.2.3.2. 证书管理u 证书申请RA提供基于WEB的申请方式,简单易用,帮助用户方便、安全、快捷的进行证书申请。用户可以根据自己的需要选择相应的证书模板进行证书申请操作,如果申请通过审核,系统将返回下载证书所需的凭证(参考号和授权码
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 PKI 技术 数据 加密 解密 解决方案 完整 资料
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。