电子商务安全与支付 教学课件 ppt 作者 曾子明 主编 第六章 公钥基础设施.pptx

第6章公钥基础设施

6.1PKI概述

PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。

PKI是围绕这五大系统来构建的。

1.认证机关

CA是证书的签发机构。

CA的机构职责归纳起来有：

①验证并标识证书申请者的身份；

②确保CA用于签名证书的非对称密钥的质量；

③确保整个签证过程的安全性，确保签名私钥的

安全性；

④证书材料信息(包括公钥证书序列号、CA标识

等)的管理；

⑤确定并检查证书的有效期限；

⑥确保证书主体标识的唯一性，防止重名；

⑦发布并维护作废证书表；

⑧对整个证书签发过程做日志记录，向申请人发

通知。

2.证书库

证书库是证书的集中存放地，是网上的一种公用信息岸，用户可以从此处获得其他用户的证书和公钥。

3.密钥备份及恢复系统

注意：密钥备份与恢复只能针对解密密钥(公钥),签名私钥不能够做备份。

4.证书作废处理系统

对作废证书有如下三种策略：

①作废一个或多个主体的证书；

②作废由某一对密钥签发的所有证书；

③作废由某CA签发的所有证书。

5.客户端证书处理系统

6.2PKI的认证模型

1.认证路径

2.严格层次结构模型

3.分布式信任模型

认证路径

问题1

建立一个可以给世界上所有公-私密钥对的持有者发放公钥证书的认证机构；

所有的公钥用户都毫不含糊地信任该认证机构；

问题2

一公钥用户已经安全地拥有了某个认证机构的公钥证书；

而这认证机构正是给公钥用户的安全通信方发放证

书的机构；

认证路径

在全球范围内需要许多的证书机构

要求一个认证机构能够对所有的潜在用户都进行充分的了解并建立适当的联系，而这些潜在的用户又都允许该机构采发放和管理证书，且证书又能被所有的证书用户接受，这是不切实际的。

证书用户需要寻找一条证书路径

主体=认证机构B

主体的公钥

发放者=认证机构A

主体一认证机构C

主体的公朝

发放者-认证机构B、

主体=Nola

主体的公钥

发放者=认证机构C

公钥用户Bob

可信任的根公钥

(认证机构A)

公私密钥对

Nola

证书1·

证书3

证书2

证书路径

Bob要验证Nola的证书：

Nola的证书是证书机构C颁发的；

证书机构C的证书是证书机构B颁发的；

证书机构B的证书是证书机构A颁发的；

Bob拥有证书机构A的公钥，可以验证证书机构A颁

发的证书；

姓书路径

小结：

要验证一份证书的真伪，需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该

证书本身的真伪，故又要用签发该证书的证书来验证，即形成了一条书键的关系。

根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明你对该证书一下所签发的证书都表示信任。

所以，证书的验证追溯至根证书即结束，用户在使用自己的数字证书前首先必须先下载根证书。

层次信任结构

所有的认证路径都是从根认丽机构开始；

证书用户必须把根认证机构作为其准一最终可信任者

寻找一条通向任一个最终实体的认证路径是很容易的，比如任何证书用户都可以通过使用一个由4份证书所组成的认证路径来取得a公钥的有效副本：

。由z为X签发的证书(证书用户固有地相信z的公钥);。由x为Q签发的证书；

。由Q为A签发的证书；

。由A为最终实体a签发的证书。