密钥管理(下公钥密码).pptVIP

* 数学基础 Montgomery * 证书用途 在证书扩展选项中，“用途”是一项重要的内容，它规定了该证书所公证的公钥的用途。公钥必须按规定的用途来使用。一般地，公钥有两大类用途： 用于验证数字签名。 消息接收者使用发送者的公钥对消息的数字签名进行验证。 用于加密信息。 消息发送者使用接收者的公钥加密用于加密消息的密钥，进行数据加密密钥的传递。 ---- 相应地，系统中需要配置用于数字签名/验证的密钥对和用于数据加密/解密的密钥对，这里分别称为签名密钥对和加密密钥对。 公钥证书——X.509 * 证书用途 这两对密钥对于密钥管理有不同的要求: 签名密钥对 签名密钥对由签名私钥和验证公钥组成。签名私钥具有日常生活中公章、私章的效力，为保证其唯一性，签名私钥绝对不能够作备份和存档，丢失后只需重新生成新的密钥对，原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档，用于验证旧的数字签名。用作数字签名的这一对密钥一般可以有较长的生命期。?? 加密密钥对 加密密钥对由加密公钥和解密私钥组成。为防止密钥丢失时丢失数据，解密私钥应该进行备份，同时还可能需要进行存档，以便能在任何时候解密历史密文数据。加密公钥无须备份和存档,加密公钥丢失时,只须重新产生密钥对。加密密钥对通常用于分发会话密钥，这种密钥应该频繁更换，故加密密钥对的生命周期较短。 * 公钥基础设施PKI 公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础共同组成公开密钥基础设施PKI（Public Key Infrastructure）。 公开密钥基础设施提供一系列支持公开密钥密码应用（加密与解密、签名与验证签名）的基础服务。 本质上，PKI是一种标准的公钥密码的密钥管理平台。 * 公钥基础设施PKI 公钥证书是PKI中最基础的组成部分。 此外，PKI还包括签发证书的机构（CA），注册登记证书的机构（RA），存储和发布证书的目录，密钥管理，时间戳服务，管理证书的各种软件和硬件设备，证书管理与应用的各种政策和法律，以及证书的使用者。所有这些共同构成了PKI。 * 公钥基础设施PKI 1、签证机构CA 在PKI中，CA负责签发证书、管理和撤销证书。CA严格遵循证书策略机构所制定的策略签发证书。CA是所有注册用户所信赖的权威机构。 CA在给用户签发证书时要加上自己的签名，以确保证书信息的真实性。为了方便用户对证书的验证，CA也给自己签发证书。这样，整个公钥的分配都通过证书形式进行。 * 公钥基础设施PKI 1、签证机构CA 对于大范围的应用，一个CA是远远不够的，往往需要许多CA。 例如对于某一行业，国家建立一个最高级的CA，称为根CA。 每个省建立一个省CA，每个地市也都可以建立CA，甚至一个企业也可以建立自己的CA。 不同的CA服务于不同的范围，履行不同职责。 * 公钥基础设施PKI 2、注册机构RA RA（Registration Authority）是专门负责受理用户申请证书的机构。 根据分工，RA并不签发证书，而是负责对证书申请人的合法性进行认证，并决定是批准或拒绝证书申请。 证书的签发由CA进行。 * 公钥基础设施PKI 2、注册机构RA RA的主要功能如下： 接收证书申请人的注册信息，并对其合法性进行认证； 批准或拒绝证书的申请； 批准或拒绝恢复密钥的申请； 批准或拒绝撤销证书的申请； * 公钥基础设施PKI 2、注册机构RA RA的主要功能如下： 对于一个小范围的系统，由CA兼管RA的职能是可以的。但随着用户的增多，CA与RA应当职责分开。 申请注册有不同的方式，有在线的方式和离线的方式。在INTERNET环境中可以WEB浏览器方式进行在线注册。注册的过程是用户与CA建立信任关系的一个重要步骤。 * 公钥基础设施PKI 3、证书的签发 经过RA的注册批准后，便可向CA申请签发证书。与注册方式一样，向CA申请签发证书可以在线申请，也可以离线申请。 特别是在INTERNET环境中可以WEB浏览器方式在线申请签发证书，越来越受到欢迎。 * 公钥基础设施PKI 3、证书的签发 CA签发证书的过程如下： 用户向CA提交RA的注册批准信息及自己的身份等信息（或由RA向CA提交）； CA验证所提交信息的正确性和真实性； CA为用户产生密钥（或由用户自己产生并提供密钥），并进行备份； CA生成证书，并施加签名； 将证书的一个副本交给用户，并存档入库。 * 公钥基础设施PKI 4、证书目录 证书产生之后，必须以一定的方式存储和发布，以便于使用。 为了方便证书的查询和使用，CA采用证书目录的方式集中存储和管理证书。通常采用建立目录服务器证书库的方式为用户提供证书服务。 为了应用的方便，证书目