现代密码学第九讲：密钥管理(二).pdf

《现代密码学》第九章 密钥管理（二） 1 上节主要内容 密钥管理简介 密钥分配 密钥协商 PKI及数字证书简介 秘密共享 密钥托管 2 PKI的作用 公钥基础设施（PKI，Public Key Infrastructure） 以公钥技术为基础，将个人、组织、设备的标识信 息与各自的公钥捆绑在一起，为用户建立起一个安 全、可信的网络运行环境，使陌生用户可以在多种 应用环境下方便地使用加密和数字签名技术，在互 联网上验证用户的身份，从而保证了互联网上所传 输信息的真实性、完整性、机密性和不可否认性。 3 PKI的定义 PKI是生成、管理、存储、分发和吊销基于 公钥密码学的公钥证书所需要的硬件、软件、 人员、策略和规程的总和。 4 数字证书概述 公钥（数字）证书是一种包含了重要信息的载 体，它证明了证书所有人和所持有的公钥的 真实性，由一个可信的中介机构进行签名， 这可以使获得证书的人只要信任这个可信的 中介机构，就可以相信他所获得的证书了。 5 数字证书的内容 版本号：用来区分X.509 的不同版本。 序列号：由CA给予每一个证书的分配惟一的 数字型编号。 认证机构标识：颁发该证书的机构惟一的CA 的X.500名字。 主体标识：证书持有者的名称。 主体公钥信息：和该主体私钥相对应的公钥。 证书有效期：证书有效时间包括两个日期： 证书开始有效期和证书失效期。 密钥/证书用法：描述该主体的公/私密钥对 的合法用途。 扩展：说明该证书的附加信息。 认证机构签名：用认证机构的私钥生成的数 字签名。 6 数字证书的安全性 证书是公开的，可复制的。 任何具有CA公钥（根证书/CA证书，自签名证书） 的用户都可以验证证书有效性。 除了CA 以外，任何人都无法伪造、修改证书。证 书的安全性依赖于CA的私钥安全。 7 证书管理 （一）证书注册与发布 申请人提交证书请求； 证书库 证书库 9 RA对证书请求进行审核； 9 .. CA生成证书； 布 布 发 发 书 书 证 证 下载并安装证书； 证书发布. 1.注册表格请求 1.注册表格请求