《f第七周 密钥管理与PKI（第6章）》.ppt

* 欢迎辞 * 2 * 2 * 2 * 机构密钥标识符：该字段用于区分由发放证书的认证机构所使用的不同的证书签名密钥(例如，在不同时间间隔使用的不同密钥)。密钥可以用如下方式确定; 主体密钥标识符 该字段用于区分由同一证书主体使用的不同密钥。例如，主体可能会定期地更换其密钥对，该字段用以指出按顺序哪个公钥应在某一给定的证书中被认证; * * * * * * * X.509数字证书分类 从证书的基本用途来看： 签名证书 　签名证书主要用于对用户信息进行签名，以保证信息的不可否认性； 加密证书 　加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。 X.509数字证书分类 从证书的应用来看，数字证书可分为： 个人证书 服务器证书 网关证书 VPN证书 WAP证书 。。。 * 数字证书的基本格式 * X.509证书格式 * X.509 V3的功能扩展 密钥和策略信息 这类扩展用于指示有关主体和颁发者的附加信息和与证书相关的策略。 证书主体和颁发者的属性 这类扩展支持可选主体名字或颁发者名字。 证书路径约束 这类扩展字段用于在签发给CA的证书中包含一定的约束。 * 证书的扩展项 — 密钥信息扩展 机构密钥标识符 该字段用于区分由发放证书的认证机构所使用的不同的证书签名密钥(例如，在不同时间间隔使用的不同密钥)。 使用显式密钥标识符; 使用指向另一证书的指针; 主体密钥标识符 该字段用于区分由同一证书主体使用的不同密钥。例如，主体可能会定期地更换其密钥对，该字段用以指出按顺序哪个公钥应在某一给定的证书中被认证; 密钥用途 该字段用以说明密钥的用途，如数字签名、不可否认、密钥加密、数据加密、Diffie-He!lman 密钥协议、证书签名、CRL签名、加密或解密。 * 证书政策 该字段用于说明认证机构对证书所规定的政策和操作说明，同时还表示了可选的政策限定符； 政策映射 借助该字段，证书发放者可以指明发放者的证书政策等价于主体认证机构领域使用的其他政策。 证书的扩展项 — 密钥信息扩展 * 主体备用名 该字段包含证书主体的一个或多个备用的、无二义性的名称，这些名称可以使用任何一种形式。它们可能不使用X.500名称而使用自己的名称形式。 发放者备用名 该字段包含证书发放者的一个或多个备用名。名称形式与主体备用名扩展相同。该字段对那些必须通过某些在特殊应用环境如Web或e-mail中非常有意义的名称来确定或识别身份的认证机构特别有用； 证书的扩展项 — 密钥信息扩展 * 基本约束 该字段用以指明证书主体是否可以充当一个认证机构，或仅仅是作为一个最终实体而已。此标识非常重要，它可以防止最终用户错误地或欺诈性地冒充认证机构； 若某个主体可以充当认证机构，则该标识还规定了认证路径的长度约束； 命名约束 该字段用于限制从本证书出发的认证路径上的后续证书可以接受的名称空间； 证书的扩展项 — 密钥信息扩展 * 证书撤消列表 在作出了撤消证书的决定后，认证机构必须通知可能的证书用户。通知证书撒消的一般方法是，认证机构定期地公布一个称为证书撒消表(CRL)的数据结构。 该列表经过认证机构的数字签名，并能被证书用户获取。 证书撤消表是可以分发的，例如，可以将其公布在一个已知的Web URL上，或通过认证机构自己的X.500目录条目或LDAP进行分发； 在CRL列表中，每个已撤消的证书是用自己的证书序列号标识的，证书序列号是在证书发放时由发放证书的认证机构产生的，并包含在证书中。 * 在线状态检查 利用在线状态检查，希望确认证书有效性的公钥使用系统，可以执行一个与发放证书的认证机构相关联的服务器上的在线事务处理程序，借助该在线事务处理程序，可以返回相应证书的当前撤消状态信息； 该在线处理程序必须绝对安全，能确保公钥使用系统及时获得信息。通常要求认证机构为每个事务处理生成一个数字签名，并由公钥使用系统对数字签名进行检验； 认证机构必须开通一个可以被所有潜在用户使用的、高可用性的在线服务，还必须保证该服务能有一个安全的环境支持； ShanDong University Computer School Copyright DannyHou * Time Stamp Protocols -TSP(RFC3161) 时间戳服务是什么？ 提供一个数据在某个时间之前的存在性证明（proof-of-existence） 。 为什么需要时间戳服务？ 数字签名＋时间戳 提供抗否认服务。 PKI中时间戳的基本原理 对数据的摘要和公正时间进行权威绑定，并可以验证。 用户和时间戳认证中心（Time Stamping Authority ，TSA)之间的交互协议 * 信任模型基本概念 信任 如果一个实体假定另一个实体会准确的象它期