PKI组件及其应用.pptVIP

网络安全技术 本章目标 了解PKI及其功能 掌握PKI所提供的组件及其功能 了解PKI各个组件中所使用的协议 理解PKI的三种结构模型 在一个实际的网络中实施PKI PKI概述 PKI，Public Key infrastructure ，公钥基础设施 PKI是一组组件和规程 PKI通过数字证书管理加密密钥 PKI提供认证、数据完整性、保密性和不可否认等安全服务 PKI标准化团体 IETF的X.509 Working Group（PKIX） RSA安全实验室的PKCS PKI中的证书 证书是PKI中最基本的组件 证书被发行给主体，担保主体的身份 一个证书对应一个公钥和私钥 证书可以用于加密 证书的内容 公钥证书的主要内容 使用证书提供的服务 Web认证和专有信道 签名和加密的信息传递 签名的事务和表单签发 网络操作系统、主机和大型机认证 使用证书提供的服务(续) 远程访问 虚拟专用网 文件加密 软件代码签发 3.1 PKI组件 证书颁发机构（CA） 注册权威机构（RA） 证书管理协议（CMP） 证书吊销 证书存储库 时间戳权威机构（TSA） 3.1 PKI组件(续) 3.1.1 证书颁发机构（CA） CA是公钥基础设施中受信任的第三方实体 CA向主体颁发证书 CA是信任的起点 3.1.1 证书颁发机构（CA）(续) CA是PKI的核心 CA管理证书 主体登记证书的过程 CA可以续借和更新证书 3.1.1 证书颁发机构（CA）(续) —— CA生成证书的过程 3.1.2 注册权威机构（RA） CA委派给注册权威机构（RA）一些责任 RFC2510中规定的RA功能： 个人认证、令牌分发 吊销报告、名称指定 密钥生成、存储密钥对 多数情况下，RA用于在证书登记过程中核实证书申请者的身份 3.1.3 证书管理协议（CMP） 常用的证书管理协议 PKCS CMP CMC SCEP PKCS PKCS，Public Key Cryptographic Standards，公钥加密系统标准 由RSA Security开发的一组标准协议，用以定义安全信息交换的方法 已发布的有PKCS#1、#3、#5、#6、#7、#8、#9、#10、#11、#12和#15 PKCS#13和#14是已提案的标准 PKCS#2和#4包含在PKCS#1中 PKCS(续) PKCS#1描述了使用RSA算法的公钥加密系统的实现 PKCS#3描述了使用Diffie-Hellman算法建立安全通信的方式 PKCS#5是一个基于密码的加密系统标准 PKCS#6规定了使用一组属性来扩展X.509证书的句法 PKCS#7是加密系统消息句法（Cryptographic Message Syntax），是证书管理的实际标准 PKCS(续) PKCS#8规定了私钥信息和加密私钥的句法 PKCS#9定义的属性参考PKCS#6、#7、#8和#10 PKCS#10是证书请求句法标准（Certification Request Syntax Standard），是证书发行过程中使用的通用协议 PKCS#11是关于加密系统硬件令牌的标准 PKCS#12规定了存储或传输密钥和证书的安全格式 PKCS(续) PKCS#13目前尚未发布，其焦点集中于使用椭圆曲线加密系统进行数据的加密和签发 PKCS#14目前尚未发布，它将是一个关于伪随机数生成的标准 PKCS#15可使不同的智能卡供应商和不同的支持智能卡的应用程序以一种通用格式存储加密系统令牌 CMP 1999年，RFC 2510和RFC 2511 PKIX工作组在上面两个标准的基础上开放了CMP CMP：Certificate Management Protocol，证书管理协议 CMP在处理证书的请求和响应消息方面可代替PKCS CMP协议支持许多不同的证书管理功能 基于加密系统消息句法的证书管理消息 RFC2797，PKIX工作组为了代替CMP而发布了CMC CMC，Certificate Management Messages over CMS CMC使用PKCS#10处理证书请求消息 CMC使用PKCS#7处理证书的响应消息 CMC引用RFC 2511来支持由CMP定义的更高级的证书请求格式 CMC总体目标是在保持简洁性的同时提供高级证书管理功能，并支持广泛使用的PKCS SCEP SCEP，Simple Certificate Enrollment Protocol，简单证书登记协议 Cisco公司开发 网络设备的证书登记协议 采用PKCS#10和PKCS#7来支持证书的请求和响应消息 SCEP支持CRL和网络设备作出的证书询问 SCEP不是完整的证书管理协议 SCEP是为网络设