09-PKI.ppt

* * * * * * * * * * * * * * * * PKI可知道人的姓名，PMI还要知道他相关的信用、权限等信息 * * X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字 * * X.509证书格式(续) 个体的公钥信息 算法 参数 密钥 签发人唯一标识符 个体唯一标识符 扩展域 签名 * * 1）署名用户向证明机构（CA）提出数字证书申请； 2）CA验明署名用户身份，并签发数字证书； 3）CA将证书公布到证书库中； 4）署名用户对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。 5）依赖方接收信件，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性； 6）证书库返回证书检查结果。 PKI的运行 * * 证书机构 CA 证书库 署名用户 依赖方 3 1 2 4 6 5 PKI的运行 * * 密钥备份和恢复 避免解密密钥丢失带来的不便 密钥自动更新 一个证书的有效期是有限的 自动更新可以解决密钥更新的复杂性和人工操作的麻烦 密钥历史档案 每个用户会形成多个“旧”证书和至少一个“当前”证书 2.2.3 密钥管理系统 * * 密钥备份和恢复 ? 进一步授权(# 可定制) 授权恢复密钥 RA 最终用户 PKI 加密密钥