PKI基本知识课件.pptVIP

著名的CA机构目前世界上最著名的CA认证中心是美国Verisign公司，发展到目前为止已经为超过2700万web站点提供了认证服务，其个人客户就更多了，世界500强的绝大多数企业的网上业务都用Verisign的认证服务。在中国近几年出现了很多CA认证中心，其中中国金融认证中心CFCA：银行建立的国家级权威金融认证机构是国内唯一一家能够全面支持电子商务安全网络支付业务与网络银行业务的第三方网上专业认证服务机构基于双密钥机制实现证书链以及跨行的身份认证客户：银行、证劵、银联等具备合格金融资信和支付能力金融机构**PKI的应用实例CA系统实例在Web服务器和浏览器之间的通讯（SSL）在Internet上的信用卡交易（SET）Windows智能卡登录**案例研究MCC公司电子邮件加密和智能卡解决方案为VPN进行基于证书的IPsec认证基于WEB的认证**-*k*PKI关键技术数字证书证书认证中心证书撤销机制PKI信任模型**什么是证书数字证书是数字证书颁发机构CA在检验确认申请用户的身份后向用户颁发的。数字证书包括用户基本数据信息用户公钥CA对证书的签名，保证证书的真实性**证书的作用数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。**数字证书的结构**数字证书的结构**数字证书的存储标准X.509标准最基本的证书存储标准格式PKCS#7标准用来传输签名数据的标准格式PKCS#12标准用来传输证书和私钥的标准格式****CA的作用认证中心（CA）作为权威的、可信赖的、公众的第三方机构，专门负责为各种认证需求提供数字证书服务。**CA提供的服务颁发证书废除证书更新证书验证证书管理密钥**CA的安全措施保证CA系统的物理通道的安全操作员权限控制岗位职责明确建立安全分散和牵制机制身份认证任何与CA中心的通迅都采用加密机制定期对所有涉及安全的事物进行审查**颁发证书用户到认证中心（CA）的业务受理点申请证书认证中心审核用户的身份认证中心为审核通过的用户签发证书认证中心将证书灌制到证书介质中，发放给用户**证书介质磁盘 用户将磁盘中的证书复制到自己的PC机上，当用户使用自己的PC机享受电子商务服务时，直接读入即可。IC卡 只有正确输入IC卡口令后才能将卡中的私钥和证书读出来。USB电子钥匙 使得用户的私钥不出卡，所有的运算均在硬件内完成，从根本上保证了用户的私钥的安全。**废除证书证书的废除是指证书在到达它的使用有效期之前将不再使用废除证书的原因证书用户身份信息的变更CA签名私钥的泄漏证书对应私钥的泄漏证书本身遭到损坏其他原因**废除证书用户到认证中心的业务受理点申请废除证书认证中心审核用户的身份认证中心定期签发证书黑名单（CRL）认证中心将更新的CRL在线发布，供用户查询和下载**证书黑名单（CRL）CRL是由CA认证中心定期发布的具有一定格式的数据文件，它包含了所有未到期的已被废除的证书信息。**更新证书用户证书更新证书快到期，更换密钥CA证书更新为保证平滑转移，需签发四份证书**管理密钥密钥产生客户端、CA中心密钥存储客户端、CA中心密钥分发加密传输**密钥备份与恢复根据用户的需求，CA中心可以对用户的加密私钥进行备份，并确必威体育官网网址钥安全所有密钥的备份都采用密钥分享技术，并将备份信息分段保存在不同地方所有密钥的恢复必须满足一定条件（人数、信息分段的位置、特定的算法）才能完成**交叉认证目前，建立一个单一全球性的PKI是不太可能实现的，一段时间内，会存在多个PKI域，进行独立的运行和操作。由于业务关系的改变或其他一些原因，不同的PKI的用户团体之间必须进行安全通信。在以前没有联系的PKI之间建立信任关系，就需要实现交叉认证。它能够让一个PKI团体的用户验证另一个PKI团体的用户证书，从而实现安全通信。**交叉认证的不同形式按CA所在的域来分：域内交叉认证：两个CA属于相同的域，不同的层次；域间交叉认证：两个CA属于不同的域；交叉认证可以是单项的，也可以是双向的。按认证的方向分：正向交叉证书：从CA1的观点来看，把它当作主体，而由其他CA来颁发证书；反向交叉证书：被CA1颁发的证书；**CA1与CA2交叉认证**铁道总公司CA开发部CA运输部CA银行1支行CA银行2支行CA铁道分公司CA银行总