(身份认证技术2.pptVIP

PKI认证-CA信任模型 当前Internet上的PKI系统可以分成几类，主要结构类型有： 无政府结构(anarchy) 单CA结构 单CA多RA结构 多CA层次式结构 多CA网状结构 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. PKI认证-CA信任模型 A B D C E F G 无政府结构中，每个用户都可以看作本人的CA，每个用户给自己的信任者签发证书，再通过Email或公共数据库获得他人证书，这样用户间的信任关系通过网络传播开来，从而扩大信任范围，但规模的扩大和路径的增长意味不安全因素增多。如图A信任B、B信任F、F信任G，A就信任G，这行吗？在规模扩大后搜索信任路径会比较困难。无政府结构只能在有限的群体使用。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. PKI认证-CA信任模型 CA A B C 单CA结构 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. PKI认证-CA信任模型 单CA多RA结构 CA A RA1 RA2 B C D Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. PKI认证-CA信任模型 CA1 CA2 CA3 CA4 CA5 A B C D G H I E F 多CA层次式结构中，扩大了证书的信任域范围，而且证书路径通常是唯一的，计算简单。但随着证书路径的增长安全性会受到威胁。严格的层次结构过于复杂，并不符合所有的实际应用情况。让每个需要使用证书的人都要信任一个最高层的超级证书权威是不合适的。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. PKI认证-CA信任模型 多CA网状结构 CA A B C CA E F G CA CA D CA CA CA H I J K L 交叉证书 交叉证书 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 北京邮电大学信息安全中心 PKI认证-CA信任模型 当前Internet上使用最普遍的是网状结构，即层次式和与交叉证明相结合。 两个CA互相签发CA证书，在两个CA所在安全域之间建立信任关系 这种结构灵活，在没有层次关系的独立部门可以通过交叉证书建立域间信任关系，可缩短信任路径提高安全性，但管理使用复杂。 签发交叉证书前必须审核对方的证书策略是否满足本域的安全要求，要说明两个信任域之间证书策略的对应关系。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 北京邮电大学信息安全中心 PKI认证-PKI管理 PKI系统的安全运行需要PKI的管理机制，它包括策略管理、实体管理、证书管理。 安全策略是PKI系统运行的基础。在建立PKI系统前必须分析系统的各种安全需求，制订相应的安全策略，包括计划PKI系统整体结构；部署系统建立过程；制订用户注册流程；设计系统安全保护机制和证书、密钥管理方式等。 证书用户面对的是证书，他获得策略信息最直接的方式是通过证书本身的内容，这涉及证书策略。 X.509v3证书中可包含证书策略说明。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 对称密码认证 基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥（通常存储在硬件中