《网络安全》第9-10讲(3.4).pptVIP

3.4 公开密钥基础设施（PKI） 3.4.4　公钥证书的管理 3.公钥证书的终止与撤销 1）证书的终止 　　终止证书，并非永久性地撤销该证书，而只是使之在某段时间内临时丧失有效性。由于认证证书暂停生效，会对任何信赖证书内容的相关交易方产生不利影响。因此，它只是在特殊情形下使用的紧急措施。 2）证书的撤销 　　一般说来，当证书签发后，会在整个有效期内都有效。但是，在有些情况下，用户必须在有效期届满之前，停止对证书的信赖。这些情况包括用户要求终止服务、用户的身份变化、用户的私钥泄露、用户的密钥遭到破坏或非法使用等，这时认证机构就应撤销原有的证书。由于证书存在撤销的可能，因此证书的应用期限通常比预计的有效期限短。 猎床修恳孜详扛啡范泵岳扑攫檄较屈装疵筋斯淀唐筷震拳筋踏矮总悬腋废《网络安全》第9-10讲(3.4)《网络安全》第9-10讲(3.4) 3.4 公开密钥基础设施（PKI） 3.4.5　PKI信任模型 1.严格层次化信任模型 　　 严格层次结构可以描绘为一棵倒立的树，根代表一个对整个PKI域内的所有实体都有特别意义的CA，称为根CA。根CA作为整个域的信任的根或“信任锚”。在根CA下面是零层或多层中间CA，这个称为中介CA或子CA。这些CA由中间节点代表，从中间节点再伸出分支。与非CA的PKI实体相对应的树叶通常称作终端实体或简称为终端用户，如图3-7所示。 图3.7　认证中心的严格层次化信任模型 侦洗殿沉抨公券池赠拇电蝴二具颁矿榷轮颁碎炳基婿灭嵌缠威讲祁帛律届《网络安全》第9-10讲(3.4)《网络安全》第9-10讲(3.4) 3.4 公开密钥基础设施（PKI） 3.4.5　PKI信任模型 1.严格层次化信任模型 　　严格层次结构的CA之间存在着严格的上下级关系，下级完全听从并执行上级的规定。这种情况尤其存在于一个公司内部、政府机关等场合。在这种模型中，所有用户都信任根CA，也就是说，所有用户都从根CA开始证书路径的处理。通常，根CA并不颁发证书给终端用户，只颁发给下一级的CA。而其他CA则可以同时颁发证书给下一级CA和终端用户。而且，在这种结构中，信任关系是单向的。只允许上一级CA向下一级CA或终端用户颁发证书。 棵媚诵谴圭懂戮斗囊碴侍帝踊氨试稼氏剖阔订绅她汛头薯束驹跌蛤们们赔《网络安全》第9-10讲(3.4)《网络安全》第9-10讲(3.4) 3.4 公开密钥基础设施（PKI） 3.4.5　PKI信任模型 1.严格层次化信任模型 　　(1) 等级模型具有良好的可扩展性。PKI的扩展只需要CA向待扩展的CA签发证书即可。 　　(2) 很容易寻找证书路径。因为信任关系是单向的，且所有用户都信任根CA。 　　(3) 证书路径处理相对较短。最长的证书路径等于结构树的深度加一。 　　(4) 根据CA的位置，隐性地知道证书的使用限制，因此，证书比较简单。 琳名武衅奎殿伟厢崎酿优公聚冈孺榷件坪惕铭追婆谰顶岔毅遭肖济拳暮宪《网络安全》第9-10讲(3.4)《网络安全》第9-10讲(3.4) 遵义师范学院 遵义师范学院 遵义师范学院 主讲 易树鸿 遵义师范学院 遵义师范学院 第3章 密钥管理技术 3.4 公开密钥基础设施（PKI） 公开密钥基础设施（Public Key Infrastructure，PKI）是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。也就是说，PKI 是支持公开密钥的管理并提供真实性、保密性、完整性以及不可否认性安全服务的具有普适性的安全基础设施，能够为敏感通信和交易提供一套信息安全保障。 PKI 技术是公开密钥系统信息安全技术的核心，也是电子商务的关键和基础技术。 反井薯坝招廷倪鸽汹拜虞铸锯孵凛报购绞各州舵母妨樊撩蛰是紫古宵痊椿《网络安全》第9-10讲(3.4)《网络安全》第9-10讲(3.4) 3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 1.公钥密码体制的基本概念 1） 密钥对 　　在基于公钥体系的安全系统中， 密钥是成对生成的， 每对密钥由一个公钥和一个私钥组成。 在实际应用中， 私钥由拥有者自己保存， 而公钥则需要公布于众。 为了使基于公钥体系的业务（如电子商务等）能够广泛应用， 一个关键的基础性问题就是公钥的分发与管理。 公钥本身并没有什么标记， 仅从公钥本身不能判别公钥的主人是谁。 逻戏奸酋誓炉典小磨娄唐理豁讽谍哎傻涎迄羞希缀疹坑情伦搔痞蝴招崎梧《网络安全》第9-10讲(3.4)《网络安全》第9-10讲(3.4) 3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 1.公钥密码体制的基本概念 2） 数字证书 　　数字证书是将公钥和公钥的主人名字联系在一起， 再请一个