第06章3节公钥基础设施PKI祥解.ppt

  1. 1、本文档共66页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第06章3节公钥基础设施PKI祥解.ppt

一、需要解决的问题 信任涉及假设、期望和行为,这意味着信任是不可能被定量测量的,信任是与风险相联系的并且信任的建立不可能总是全自动的。在PKI中,我们可以把这个定义具体化为:如果一个用户假定CA可以把任一公钥绑定到某个实体上,则他信任该CA。 二、PKI 二、PKI 二、PKI PKI系统的常用信任模型 交叉认证要考虑的问题 交叉认证把以前无关的CA连在一起,使各自主体群之间的安全通信成为可能。它也扩展了信任概念。 名字约束 例:限定某一特定公司的证书有效。 策略约束 例:限制证书使用目的 路径长度约束 限制交叉证书的数目 实施PKI应考虑的因素 关键:商业驱动,而不是以技术为中心 1)好处:安全的E-mail、EDI、内(外)部网、实体访问控制、Web应用、客户签名、简化登录。 提高工作效率、节省劳动力、减少风险、降低通信费用等。 2)成本因素 3)实施步骤 PKI实施中的障碍 资料库问题 业界标准问题 产品之间的互操作问题 PKI支撑平台有待提高 专业人才 三、X.509标准 四、SET支付 本地保存证书的获取 CA证书可以集中存放或分布式存放,即可从本地保存的证书中获取证书。用户收到签名数据后,将去检查证书存储区中是否已有发送者签发的证书,用签发者的公钥验证签名。 用户可以选择在每次使用前来检查必威体育精装版发布的CRL,以确保发送者的证书未被作废;用户也可选择定期证实本地证书在存储区中的有效性。 如果用户的本地存储区中未保存发送者的证书,用户则应按照上述证书获取的过程取得所需的证书。 第六章 公开密钥设施PKI 证书废止的申请 ——当PKI中某实体的私钥被泄漏时,被泄密的私钥所对应的公钥证书应被作废。 对CA而言,私钥的泄密不大可能,除非有意破坏或恶意攻击所造成;对一般用户而言,私钥的泄密可能是因为存放介质的遗失或被盗。 ——另外一种情况是证书中所包含的证书持有者已终止或与某组织的关系已经中止,则相应的公钥证书也应该作废。 第六章 公开密钥设施PKI 终止的方式: (1)如果是密钥泄露,证书的持有者以电话或书面的方式,通知相应的CA; (2)如果是因关系中止,由原关系中组织方面出面通知相应的ORA或CA。 处理过程: 如果ORA得到通知,ORA应通知相应的CA,作废请求得到确认后,CA在数据库中将该证书记上作废标志,并在下次发布CRL时加入证书作废列表,并标明作废时间。在CRL中的证书作废列表时间有规定,过期后即可删除。 第六章 公开密钥设施PKI 密钥的恢复 在密钥泄密、证书作废后,泄密实体将获得(包括个人用户)一对新的密钥,并要求CA产生新的证书。 泄漏密钥的实体是CA的情况下,它需要重新签发以前那些用泄密密钥所签发的证书。每一个下属实体将产生新的密钥时,获得CA用新私钥签发新的证书,而原来用泄密密钥签发的旧证书将作废,并被放入CRL。 可采取双CA的方式来进行泄密后的恢复,即每一个PKI实体的公钥都由两个CA签发证书,当一个CA泄密钥后,得到通知的用户可转向另一个CA的证书链,可以通过另一个CA签发的证书来验证签名。这样可以减少重新产生密钥时和重新签发证书的巨大工作量,也可以使泄密CA的恢复和它对下属实体证书的重新发放工作稍慢进行,系统的功能不受影响。 第六章 公开密钥设施PKI CRL的获取 每一个CA均可以产生CRL,CRL可以定期产生也可以在每次有证书作废请求后,实时产生,CA应将其产生的CRL及时发布到目录服务器上去。 CRL的获取就可以有多种方式: ——CA产生CRL后,自动发送到下属各实体; ——大多数情况是:由使用证书的各PKI实体从目录服务器获得相应的CRL。 第六章 公开密钥设施PKI 交叉认证方式 需要互通的PKI体系中的PAA(Policy Approval Authority)在经过协商和政策制定之后,可以互相认证对方系统中的PAA(即根CA)。 认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA的公钥签发证书。 这种认证方式减少了操作中的政策因素,对用户而言,也只在原有的证书链上增加一个证书而已。但对于每一个根CA而言,需要保存所有其它需要与之进行交叉认证的根CA的证书。 第六章 公开密钥设施PKI 签名密钥对和加密密钥对 签名密钥对 ----签名密钥对由签名私钥和验证公钥组成。签名私钥具有日常生活中公章、私章的效力,为保证其唯一性,签名私钥绝对不能够作备份和存档,丢失后只需重新生成新的密钥对,原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档,用于验证旧的数字签名。 ----用作数字签名的这一对密钥一般可以有较长的生命期。 第六章 公开密钥设施PKI 签名密钥对和加密密钥对 加密密钥对 ?加密密钥

文档评论(0)

四娘 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档