(精)第五章 公钥基础设施PKI.ppt

电子商务安全与管理 * 基于SET的PKI 几类不同的PKI * 电子商务安全与管理 * VeriSign信任网络 VeriSign信任网络，是世界上最大的商业认证机构网络，由VeriSign在美国和世界范围内逐渐扩展的附属网络构成的，包括了英国电信、KPN电信、Telia和CIBC这些主要的服务提供商。 几类不同的PKI * 小结 PKI的概念 CA的结构和证书策略 PKI中的不可否认机制 几类不同的PKI * 电子商务安全与管理 * 重点 CA的结构 CP、CPS的概念 PKI/CA系统的构建 * 电子商务安全与管理 * Thanks! * Insert a map of your country. * Insert a picture of one of the geographic features of your country. * Insert a picture of one of the geographic features of your country. * Insert a picture of one of the geographic features of your country. * Insert a picture of one of the geographic features of your country. * Insert a picture of one of the geographic features of your country. 电子商务安全与管理 电子商务安全与管理 第5章 公钥基础设施PKI 电子商务安全与管理 * 引例——PKI的应用模式 PKI是什么呢？它怎么会有如此广的应用范围？它是如何为电子商务安全提供保障？ * 电子商务安全与管理 * PKI概述 CA的结构 CA的证书策略 PKI中的不可否认机制 几类不同的PKI 目录 PKI的核心 * 电子商务安全与管理 * PKI概述 公钥基础设施 PKI (public key infrastructure)又叫公钥体系，是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可利用PKI平台提供的服务进行安全通信。 * 电子商务安全与管理 * PKI应用系统的功能 公钥数字证书的管理 证书撤销表CRL的发布和管理 密钥的备份和恢复 自动更新密钥 自动管理历史密钥 支持交叉认证 PKI概述 * 电子商务安全与管理 * PKI应用系统的组成 认证机构CA（包括RA） 目录服务器 具有高强度密码算法的安全WWW服务器 Web安全通信平台（客户端/服务器端） 自行开发的安全应用系统 PKI概述 PKI的核心 * 电子商务安全与管理 * CA的功能 接收验证用户数字证书的申请 确定是否接收用户数字证书的申请 向申请者颁发数字证书 接收、处理用户的数字证书更新请求 接收用户数字证书的查询、撤销 产生和发布数字证书撤销表（CRL） 数字证书的归档 密钥归档 历史数据归档 PKI概述 * 电子商务安全与管理 * CA的结构 树型层次结构 森林型层次结构 通用结构 CA认证路 径的结构 * 电子商务安全与管理 * 树型层次结构 CA的结构 此图中每条认证路径的长度是多少？ 1 1×100 100×100 10000×100 1000000×10000 4 良好的 扩充能力 此图中每个最终实体的认证路径是否唯一？ 是 * 离线的RCA 在线的CA 电子商务安全与管理 * 森林型层次结构 CA的结构 * 电子商务安全与管理 * 通用结构 寻找认证路径 确认认证路径 CA的结构 * 正推 倒推 会合 目录服务 保障安全性 电子商务安全与管理 * CA的证书策略 证书策略CP与证书实施说明CPS 保证等级与证书等级 证书策略的内容 * 电子商务安全与管理 * 证书策略CP与证书实施说明CPS 证书策略 CP（Certificate Policy） ：是一套指定的规则，用于说明满足一般安全性要求的数字证书在某个特定的团体里和（或）某一类应用中的应用能力 证书实施说明 CPS（Certificate Practice Statement） ：规定了在认证过程中要遵循的操作程序 CA的证书策略 * 电子商务安全与管理 * 保证等级与证书等级 保证等级 美国Federal Bridge认证机构 初级 基本级 中级 高级 证书等级 要求 验证要求 私钥保护要求 操作、管理和物理控制方面的要求 CA的证书策略 * 电子商务安全与管理 * 证书策略的内容 介绍 一般规定 身份识别与身份验证 操作要求 物理、过程、与人员的安全控制 技术安全控制 数字证书及数字证书撤销表 管理规范