第五章密钥管理与数字证书.ppt

第五章 密钥管理与数字证书 5.1 密钥的结构与分配 5.2 第三方密钥托管协议 5.3 公钥基础设施与认证链 密钥生命周期 5.4 安全认证机构与系统介绍 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 数字证书的概念 电子交易中主要的两种证书： 持卡人证书：支付卡的电子化表示 商家证书：接受银行卡结算的方式 最常用的证书格式： X.509 V3 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 个体的公钥信息 数字证书示意图 CA认证中心 CA认证中心（Certification Authority）—— 受信任的第三方机构，负责数字证书的发放、验证等。 CA认证中心 CA认证中心的功能： 证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档 提供密钥托管和密钥恢复服务 CA认证中心 CA的层次结构： 对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构 根CA 中间CA CA认证中心 证书的树型验证结构： 双方通信时，通过出示由某个CA签发的证书来证明自己的身份。如果对签发证书的CA本身再不信任，则可验证CA的身份，一直到权威的根CA处，就可确信证书的有效性。 VeriSign数字凭证的申请操作 1．进入VeriSign的Digital ID申请主页 2．填写申请单 3．确认申请内容，获得数字凭证 1．进入VeriSign的Digital ID申请主页 申请免费的Digital ID 2．填写申请单 选择申请类型——免费Digital ID 3．确认申请内容，获得数字凭证 利用申请的数字凭证在Outlook Express中发送数字签名信件 1．在Outlook Express设置对应的数字证书 2．使用数字签名发送数字签名邮件 1．在Outlook Express设置对应的数字证书 2．使用数字签名发送数字签名邮件 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 5.1 密钥的结构与分配 5.2 第三方密钥托管协议 5.3 公钥基础设施与认证链 5.4 安全认证机构与系统介绍 密钥管理概述 密钥的组织结构 多层密钥的体制 密钥的连通和分割 密钥的自动分配 密钥管理概述 密钥管理的重要性： 所有的密码技术都依赖于密钥。 密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。 密钥管理（Key Management）： 密钥管理是一门综合性的技术，涉及密钥的产生、检验、分发、传递、保管、使用、销毁的全部过程，还与密钥的行政管理制度以及人员的素质密切相关。 密钥管理的目的： 维持系统中各实体之间的密钥关系，以抗击各种可能的威胁： 密钥的泄露 秘密密钥或公开密钥的身份的真实性丧失 未经授权使用 密钥管理概述 密钥管理的方法 由一种安全策略来指导密钥的产生、存储、分配、删除、归档及应用。 具体的密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。 密钥管理概述 密钥管理系统的要求 应当尽量不依赖于人的因素： 密钥难以被非法窃取； 在一定条件下窃取了密钥也没有用； 密钥的分配和更换过程对用户是透明的。 密钥管理概述 一个密钥系统可能有若干种不同的组成部分，可以将各个部分划分为一级密钥、二级密钥、……、n级密钥，组成一个n层密钥系统。 密钥的组织结构 多层密钥系统的基本思想——用密钥保护密钥 密钥的组织结构 密钥分类： 工作密钥：最底层的密钥，直接对数据进行加密和解密； 密钥加密密钥：最底层上所有的密钥，对下一层密钥进行加密； 主密钥：最高层的密钥，是密钥系统的核心。 密钥的组织结构 将用于数据加密的密钥称三级密钥，也称工作密钥； 保护三级密钥的密钥称二级密钥，也称密钥加密密钥； 保护二级密钥的密钥称一级密钥，也称主密钥。 例如三层密钥系统 因此，二级密钥相对于三级密钥来说，是加密密钥；相对于一级密钥来说，又是工作密钥。 多层密钥的体制 单层密钥体制：如果一个密钥系统的功能很简单，可以简化为单层密钥体制，如早期的必威体育官网网址通信体制。 多层密钥体制：如果密钥系统要求密钥能定期更换，密钥能自动生成和分配等其他的功能，则需要设计成多层密