PKI概述..ppt

1. 吊销证书 2. 证书吊销的原因 3. 证书已吊销 吊销证书 将证书映射到用户账户 答 疑 * pkcs12 * * 一个认证权威（Certification Authority，简称CA）是一个实体，它的主要职责是验证用户身份的真实性。本质上，一个CA的功能类似于政府护照签发办公室的功能。一个护照是一个公民的安全文件（纸身份证），由权威机关发放，它来验证该公民是否就是他自己所说的那个人。只要相信那个国家政府护照办公室的权威性就将信任该公民的护照，这是一个非常好的第三方信任的例子。 ? 与护照相似，由CA签发给网络用户的电子身份证是该用户被CA信任的证明。这样，通过第三方信任，任何信任CA的用户也应该信任该用户。 ? 无论护照签发办公室还是认证权威CA都是政策和物理元素的结合。在护照办公室，有一套由政府制定的政策，这些政策指明了哪些人可以是公民以及公民取得护照的过程。相似地，一个CA也可以被看作一个组织中的一群人，他们制定网络的安全策略同时决定该组织中的哪些人可以在网上获得电子身份证。 * 一个认证权威（Certification Authority，简称CA）是一个实体，它的主要职责是验证用户身份的真实性。本质上，一个CA的功能类似于政府护照签发办公室的功能。一个护照是一个公民的安全文件（纸身份证），由权威机关发放，它来验证该公民是否就是他自己所说的那个人。只要相信那个国家政府护照办公室的权威性就将信任该公民的护照，这是一个非常好的第三方信任的例子。 ? 与护照相似，由CA签发给网络用户的电子身份证是该用户被CA信任的证明。这样，通过第三方信任，任何信任CA的用户也应该信任该用户。 ? 无论护照签发办公室还是认证权威CA都是政策和物理元素的结合。在护照办公室，有一套由政府制定的政策，这些政策指明了哪些人可以是公民以及公民取得护照的过程。相似地，一个CA也可以被看作一个组织中的一群人，他们制定网络的安全策略同时决定该组织中的哪些人可以在网上获得电子身份证。 对证书进行管理，包括颁发、废除、更新、验证证书和管理密钥。 （1）颁发证书：以数字签名的方式，签发证书，发布订户的公钥 （2）废除证书 （3）证书更新：当用户私钥泄漏或证书的有效期快到时，用户应申请更新私钥。这时用户可以申请更新证书，并废除原来证书。证书更新的操作步骤与申请颁发证书类似。 （4）证书验证：包括验证有效性、可用性与真实性。 （5）密钥管理：包括密钥的产生、备份与恢复以及密钥的更新。 CA——主要功能 CA层次结构 对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构 证书等级 根 CA 从属 CA 从属 CA 从属 CA 信任 信任 信任 认证中心CA（图例1） CA 公安局 身份证 数字证书 CA与RA CA 公安局 申请身份证 申请数字证书 RA（注册机构） 派出所 RA 注册机构 Registration Authority 负责进行各种信息审查 RA可以有多个，并行地处理 审核之后，交给CA，由CA签发证书 公钥/私钥生成 申请 证书 审核 证书 签发 证书 证书 撤销 安装 证书 废止 申请 证书 使用 过期 更新 证书的管理（图例1） 1)证书的生命周期（图） 2)数字证书的产生 用户填写证书申请表 发证机构（CA）验证核实后，用自己的私钥签发电子证书 证书有效期 发证机关签名 发证机关 用户信息 公钥 私钥 私钥 私钥秘密保存 CA的 私钥签名 公钥 用户产生一对私钥/公钥 1 2 3 数字证书的产生 私钥秘密保存 私钥 公钥 证书的管理（图例2） 用户 RA CA 1.注册表格请求 2.注册表格应答 3.注册表格提交 6.注册结果 4.注册建立请求 5.注册建立结果 8.证书响应 7.证书请求 证书的管理（图例3） 3)注册和颁发证书 4)证书的使用 ① 请求访问 ② 要求出示证书 ③ 提交数字证书 ④ 随机数N(公钥加密) ⑤ 响应N（解密） 用CA公钥验证证书真实性，验证有效性 客户端 服务器 客户端请求访问服务器的单向鉴别过程： 用其私钥进行运算 完成鉴别 证书的管理（图例4） 4)挂起证书 有时，CA需要临时限制证书的使用，但又不需要撤销证书。 证书的管理 挂起证书就想银行卡临时挂失一样，以后还是可以重新启用的这个数字证书的。 5) 证书撤销 CA签发的证书捆绑了用户的身份信息和公钥，在生命周期里都是有效的。 但在现实环境中，由于这些原因包括：用户身份的改变、密钥丢失或泄露。 证书的管理 这种情况下需要撤销证书 6) 密钥备份与恢复