身份认证技术-PPT.pptVIP

  1. 1、本文档共71页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
身份认证技术-PPT身份认证技术-PPT身份认证技术-PPT

PKI认证-证书撤销列表(CRL) CRL的主要内容就是被提前撤销的证书序列号。 CA要对CRL进行签名以防伪造。 CA需对CRL进行定期或不定期的更新。 一般由CA通过发布系统周期性地发布CRL。 证书用户根据已有的CRL中推荐的更新日期或定期去发布系统下载新的CRL。 定期获取CRL不能保证信息新鲜性,PKIX还定义了在线查询CRL,但这要求发布系统的负载能力和性能比较高。 大家好 * PKI认证-证书撤销列表(CRL) CRL是PKI中最难管理的。当前CRL存在一些未解决的问题,比如: 如何确定CRL更新频度。 证书撤销到CRL发布之间的时延。 当证书数目较大且有效期较长时,CRL会变得很长,查询性能和存储需求会成为问题。可对证书进行分类,便于查询和管理。Delta-CRL... 证书用户需经常访问必威体育精装版的CRL才能保证信息的新鲜性,这会给CRL发布系统造成沉重负担。 大家好 * PKI认证-证书及CRL发布系统 证书及CRL的发布是让用户获得CA签发的本人或他人的证书和必威体育精装版发布的CRL。 对他人证书有效性的验证:首先确定它不在CRL,然后用CA的公钥验证证书的签名。 PKIX标准中推荐使用轻量级目录服务LDAP (Light-weight Directory Access Protocol)作为证书及CRL发布系统。 PKIX也允许使用WWW服务,电子邮件或文件传输来发布证书和CRL。 大家好 * PKI认证-关于LDAP LDAP是网上的公共目录服务。它不是用来代替关系数据库或文件系统,是为了替代X.500。 LDAP的特点是优化的快速查找功能。它采用了层次式结构,而不是关系式结构来存放数据。它不具有关系式查询语言SQL。 LDAP目录是简单的树状结构,根结点是学校、公司、机构的域名,下面是机构各部门的域名,再下面是每个成员的属性和值表。 LDAP充分利用缓存(cache)原理,把最常访问的目录数据放在内存。 大家好 * PKI认证-CA信任域 一个CA通常给一个有限的用户团体签发证书,这样的用户团体被称为安全域(security domain)。 PKI 是在网络环境中提供使用公钥系统和X.509证书的安全服务,PKI产品和服务允许使用者在网络上建立一个安全域,在该域中可以签发、管理证书和密钥。例如银行可为其客户进行银行业务建立一个安全域。 当用户多了,有多个CA可能更切合实际。 单CA系统看作一个安全域,多CA系统可以看作多个安全域。如何建立CA之间跨域信任? 大家好 * PKI认证-多CA跨域验证 关于多CA的跨域信任问题,提出了几种方案: 自上而下层次式(top-down hierarchy) 将CA组织成自上而下层次结构,有一个根CA。 CA可以签发CA证书和用户证书,上一级CA为下一级CA签发证书。 在不同CA下的用户可以从根CA出发,通过一系列的CA证书验证对方证书的可信性,这一系列的证书称为证书路径 (certification path)。 交叉证明(cross-certification) 交叉证明采用交叉证书,所谓交叉证书是CA之间互相签发的证明对方身份的证书。 大家好 * PKI认证-多CA跨域验证 交叉证书是由一个CA(如CA1)向另一CA(如CA2)提出请求,由后者签发的。所以这张证书的主体是CA1,证书的签发者是CA2。由于CA2信任CA1, 于是CA2安全域中的用户也将信任CA1,也将信任CA1安全域中的用户,这样CA1安全域中的用户就可以进行跨域访问。交叉证书一般是互相签发的。交叉证明灵活,但扩展性差。 如图:X, Y, Z可以从CA2的发布目录服务器得到CA2给CA1签发的交叉证书,得到CA1的公钥,就可验证并信任CA1签发的 A, B, C 证书。 CA1 CA2 A B C X Y Z 大家好 * 一次性口令机制确保在每次认证中所使用的口令不同,以对付重放攻击。 确定口令的方法: (1)两端共同拥有一串随机口令,在该串的某一位置保持同步; (2)两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步; (3)使用时间戳,两端维持同步的时钟。 一次性口令认证(OTP) 大家好 * 一次性口令认证(OTP) S/Key SecurID Token Server challenge OTP Pass phrase + challenge OTP OTP ID 大家好 SKEY验证程序 其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数R,计算机计算f(R), f( f(R)), f( f( f(R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存在A的名字旁

文档评论(0)

ssssklp + 关注
实名认证
文档贡献者

简简单单 落落大方

1亿VIP精品文档

相关文档