密钥管理及数字证书.ppt

第五章 密钥管理与数字证书 5.1 密钥的结构与分配 5.2 第三方密钥托管协议 5.3 公钥基础设施与认证链 密钥生命周期 5.4 安全认证机构与系统介绍 小结 作业 谢 谢！ 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 数字证书的概念 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途 数字证书的概念 电子交易中主要的两种证书： 持卡人证书：支付卡的电子化表示 商家证书：接受银行卡结算的方式 最常用的证书格式： X.509 V3 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 个体的公钥信息 数字证书示意图 CA认证中心 CA认证中心（Certification Authority）—— 受信任的第三方机构，负责数字证书的发放、验证等。 CA认证中心 CA认证中心的功能： 证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档 提供密钥托管和密钥恢复服务 CA认证中心 CA的层次结构： 对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构 根CA 中间CA CA认证中心 证书的树型验证结构： 双方通信时，通过出示由某个CA签发的证书来证明自己的身份。如果对签发证书的CA本身再不信任，则可验证CA的身份，一直到权威的根CA处，就可确信证书的有效性。 VeriSign数字凭证的申请操作 1．进入VeriSign的Digital ID申请主页 2．填写申请单 3．确认申请内容，获得数字凭证 1．进入VeriSign的Digital ID申请主页 申请免费的Digital ID 2．填写申请单 选择申请类型——免费Digital ID 3．确认申请内容，获得数字凭证 利用申请的数字凭证在Outlook Express中发送数字签名信件 1．在Outlook Express设置对应的数字证书 2．使用数字签名发送数字签名邮件 1．在Outlook Express设置对应的数字证书 2．使用数字签名发送数字签名邮件 五、密钥管理与数字证书 密钥的结构与分配 第三方密钥托管协议 公钥基础设施与认证链 安全认证机构与系统介绍 VeriSign数字凭证的申请操作 在Outlook Express中发送数字签名信件 1.列举密钥管理的基本要求 2.说明多层密钥体制的原理及优点 3.到VeriSign网站申请免费的个人数字凭证，并发送进行数字签名的作业 2 2 2 2 2 2 2 2 2 2 2 2 关于作业 第二次课没有作业 课程E-mail：dzswaq-y@ 请注明学号、姓名、教学站等 关于课件PPT 远程网站可供下载 Zip压缩格式，可用WinZip、WinRAR解压 5.1 密钥的结构与分配 5.2 第三方密钥托管协议 5.3 公钥基础设施与认证链 5.4 安全认证机构与系统介绍 密钥管理概述 密钥的组织结构 多层密钥的体制 密钥的连通和分割 密钥的自动分配 密钥管理概述 密钥管理的重要性： 所有的密码技术都依赖于密钥。 密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。 密钥管理（Key Management）： 密钥管理是一门综合性的技术，涉及密钥的产生、检验、分发、传递、保管、使用、销毁的全部过程，还与密钥的行政管理制度以及人员的素质密切相关。 密钥管理的目的： 维持系统中各实体之间的密钥关系，以抗击各种可能的威胁： 密钥的泄露 秘密密钥或公开密钥的身份的真实性丧失 未经授权使用 密钥管理概述 密钥管理的方法 由一种安全策略来指导密钥的产生、存储、分配、删除、归档及应用。 具体的密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。 密钥管理概述 密钥管理系统的要求 应当尽量不依赖于人的因素： 密钥难以被非法窃取； 在一定条件下窃取了密钥也没有用； 密钥的分配和更换过程对用户是透明的。 密钥管理概述 一个密钥系统可能有若干种不同的组成部分，可以将各个部分划分为一级密钥、二级密钥、……、n级密钥，组成一个n层密钥系统。 密钥的组织结构 多层密钥系统