《3-PKI基本概念》.pptVIP

第三章 基本概念 荆继武 jing@ 本节内容 IETF PKIX工作组的PKI系统结构模型以及在此模型下的一些基本概念 主要包括： 数字证书Certificate CA，Certification Authority RA，Registration Authority 证书撤销和CRL 后面课程都是围绕本节的基本概念展开 基本概念来源1 发布订户的公钥 数字证书 由谁发布 CA 在哪里发布 资料库 CA如何获得订户信息（包括公钥） RA 如何确认订户信息的真实性 认证和CPS 基本概念来源2 对不同订户，CA在签发过程中，使用严格程度不同的认证过程 证书策略CP、认证业务声明CPS 订户密钥丢失、泄漏怎么办？ 证书撤销 撤销信息如何公开？ CRL/OCSP/证书查询 1个CA如何管理大量的订户？ 分级、CA的层次结构 分属于多个CA的订户/用户如何相互通信？ 信任模型/交叉认证 基本概念来源3 有了层次结构/信任模型/交叉认证之后，如何验证数字证书的有效性？ 证书认证路径 用于机密性的数字证书，是否符合相关法律条文？ 双密钥/双证书 对双密钥/双证书，如何标识？ 证书扩展 注：证书扩展也可用于标识其它内容 PKI的最基本功能 签发数字证书并发布，包括： 生成公私密钥对 认证用户信息 签发数字证书 发布证书 维护证书状态 为达到以上目标，如何很好地进行功能分配、由不同的部件来协同工