PKI认证技术概述.pptVIP

本章总结 PKI是一组组件和规程，支持通过数字证书管理加密密钥。支持和使用PKI的应用可以提供如认证、保密性、完整性和不可否认等安全服务。 通过使用数字证书和相关的密钥可提供众多的商业服务。 PKI通过提供CA、RA、CMP、证书吊销等组件来完成数字证书的颁发和管理。 PKI的结构模型给出了对应的信任关系。 * PPT说明：动画和多媒体形式的PPT数量 大约为13张，占总数的25%。 目的：本章是为了向学员介绍PKI的知识 * 利用SSL进行认证的过程 * 总结本章。 SCEP SCEP，Simple Certificate Enrollment Protocol，简单证书登记协议 Cisco公司开发 网络设备的证书登记协议 采用PKCS#10和PKCS#7来支持证书的请求和响应消息 SCEP支持CRL和网络设备作出的证书询问 SCEP不是完整的证书管理协议 SCEP是为网络设备部署PKI的惟一可行的选择 1.4 证书吊销 CA在证书过期之前使证书失效 CA需要一种方法来吊销证书并通知吊销的终端实体 CRL OCSP 1.4.1 CRL CRL，Certificate Revocation List，证书吊销列表 RFC 2459定义了X.509v2 CRL的格式 CRL的数据结构类似于证书 证书被吊销后，CA会将该证书加入吊销列表，然后发行的CA对数据结构签发数字签名，从而创建一个有效的X.509 v2 CRL 1.4.1 CRL(续) —— X.509 CRL的内容 版本 所表示的CRL版本 签名（Signature） CA签发CRL所用的数字签名算法 发行者（Issuer） 发行机构的名字 此次更新（ThisUpdate） CRL的发布时间 下次更新（NextUpdate） 发布下个CRL的时间 被吊销的证书（RevokedCertificate） 按序列号吊销的证书的列表 CRL扩展（crlExtensions） CRL版本2的可选项 下面是CA的数字签名（Digital Signature of CA below） 签名算法（SignatureAlgorithm） CA签发证书所使用的数字签名算法 签名值（SignatureValue） CA创建的实际数字签名 1.4.1 CRL(续) CA将CRL公布于一个公共存储库，终端实体都可以对该存储库进行检索 主体在收到一个证书时，首先检索CRL，判断这个证书是否是有效的 使用CRL最大的困难是缩短证书吊销和终端实体知道该消息之间的时间间隔 1.4.2 OCSP 吊销证书和实际应用此吊销不允许有时间间隔 OCSP，Online Certificate Status Protocol，在线证书状态协议 实时证书吊销检查机制 终端实体同OCSP响应程序之间的消息必须是安全的 1.5 证书存储库 证书存储库用于存储、分发证书和CRL 在应用规模较大时，需要使用证书库 证书存储库可由所有终端实体和CA访问 可以使用的技术 目录服务 LDAP FTP 和 HTTP 证书库 1.5 证书存储库(续) —— 目录服务和LDAP 目录服务（Directory Service）是一个在线存储库 目录服务包含对象的有关信息 RFC 2587定义了支持PKI的目录中所使用的对象类和属性 LDAP，Lightweight Directory Access Protocol，轻量级目录访问协议 LDAP用于访问目录中的信息，同目录交互 1.5 证书存储库(续)  —— FTP和HTTP RFC2585中，FTP和HTTP定义了传递证书和CRL时的数据类型和命名规则 在PKI实现中，FTP服务器和Web服务器可以作为存储库使用 大多数PKI系统不支持FTP和HTTP 1.6 时间戳颁发机构（TSA） PKI可以提供保密性、来源认证和数据完整性、不可否认服务 为了更好提供不可否认服务，需要时间戳服务 RFC 2001描述了TSA的使用方式 2 PKI体系结构 PKI系统中可以包含多个CA 使用的技术 层次结构模型 交叉证明 混合模型 2.1 层次结构模型 在一个层次结构中创建多个CA 最顶层是根CA，子CA在根CA下面 根CA具有亲自签署的证书，根CA向子CA发行证书 终端实体可以从子CA或根CA登记证书 只要终端实体信任根CA，它也就信任子CA 终端实体可以从某个子CA及其同等逻辑层次上的CA上检索证书 2.1 层次结构模型(续) 根CA 子CA1 子CA2 子CA3 子CA4 子CA5 . . . 证书 证书 证书 证书 2.1 层次结构模型(续) 层次结构模型的优点 简单易用 如果一个主体信任根CA，则该主体也信任子CA 灵活性大 2.1 层次结构模型(续