中国科技大学薛开平网络安全协议chap2资料.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * PKI政策管理机构 电子政务PKI是服务于国家各级机构、组织和部门的内部电子政务业务（如公文流转）的PKI体系 公家公共PKI体系，电子商务、公共服务等 * 国家桥接中心（NBCA）--- 地区中心（LBCA）--- 公众服务认证中心（SCA） * * * * * * * * * * * * * X.509证书格式 签发者唯一标识 用户唯一标识 扩展项 签名（算法、参数、签名） X.509v3证书中的扩展项 密钥扩展 主体公钥标识、密钥用途、私钥有效期 策略扩展 CA承认的证书策略、策略映射 主体和签发者信息扩展 主体代用名、CA代用名、用户主体目录属性 认证路径扩展 基本约束、名称约束、策略约束 CRL扩展 CRL分布点地址 本章内容 2.1 PKI基本概念 2.2 PKI和电子商务中常用的密码技术 2.3 PKI体系结构与功能操作 2.4 PKI体系的互通性与标准化 2.5 X.509标准 2.6认证机构CA系统 认证机构CA PKI核心实体认证机构CA，为各个实体颁发电子证书，对实体身份信息和相应公钥数据进行数字签名，用以捆绑该实体的公钥和身份，以证明各实体在网上身份的真实性；并负责在交易中检验和管理证书 CA系统功能 证书申请，在线申请和离线申请 证书审批 证书颁发，在线发放和离线发放 证书撤消 密钥泄露、从属关系变更、终止使用、CA本身原因 证书更新，人工方式和自动方式 证书废止列表管理 证书的归档 CA自身的维护管理 CA自身密钥管理 OpenCA介绍 开源项目，旨在构建一个功能强大的、健壮的CA 系统 环境：Linux，Perl，Openssl，Apache Web Server，MySQL，OpenSSL 小结 掌握PKI的基本功能、加密及认证机制 阅读课本第四章 从某个认证中心申请个人数字证书，并用于电子邮件的发送。谈谈你对数字证书的应用前景分析（包括目前存在问题） 习题： 思考题4.1, 4.3, 4.8, 4.10, 4.12-4.14 习题4.5-4.7、4.15、4.18 PKI的主要组成部分及这些组成部分的主要功能？ * * * * * * * This graphic depicts the draft layout of the CAC and highlights the location of the its main components. The Integrated Circuit Chip will become the PKI token for DoD, while the magnetic strip is expected to meet building and facility access requirements. The bar codes are being proposed to be used to meet additional personnel identification requirements, and are already used for other applications, some of which are listed on the chart. Current allocation plans call for some space to be allocated to the Services for tailored applications appropriate to the military departments, major commands or posts and installations. The cross-function impact and Army-wide scope of this program requires a great deal of stakeholder support. * * * * * * * * * 适用于小文件的处理 * * * * 证书的验证过程 证书验证 拆封证书 证书链的认证 序列号验证 有效期验证 证书撤销列表查询 证书使用策略的认证 最终用户实体证书的确认 目的：一个证书的拆封是为了从中获得一个公钥，可表示为X1P.X1《X2》。如果用可信任的CA的公钥可以“拆封”（验证）一个用户的证书，那么这个证书是该CA签发的。 所谓证书链的认证是想通过证书链追溯到可信赖的CA的根（信任锚点）。 检查证书中签名实体序列号是否与签发者证书的序列号一致。 检查日期是否有效、合法： 1.用户证书的有效期和私钥有效期是否在CA证书的有效期内。否则交易是不安全的。 2