密碼體制.ppt

　　*　　　　　　 3.证书目录 证书生成后必须存储。CA通常使用一个证书目录，或者中央存储点。作为PKI的一个重要的组成部分，证书目录提供证书管理和分发的单一点。 证书库必须使用某种稳定可靠的、规模可扩充的在线资料库，以便用户能找到安全通信需要的证书信息或证书撤销信息。实现证书库的方式有多种，包括X.500、轻量级目录访问协议LDAP、Web服务器、FTP服务器、域名解析服务器DNS、数据库服务器等。具体使用哪种根据实际需要而定，但真正大型的企业级PKI一般使用X.500目录服务和轻量级目录访问协议LDAP。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 4.密钥恢复服务器 在任何可操作的PKI环境中，在密钥或证书在生命周期内都会有部分用户可能会丢失他们的私钥。CA必须撤销相应的公钥证书。或生成新的密钥对产生相应的公钥证书。结果，在此事件之前的所有加密数据都将是不可恢复的。都会对PKI的实体造成沉重的负担。 解决办法是提供一个密钥备份和恢复服务器。其目的是为CA提供在创建私钥时备份私钥和在以后恢复私钥的一种简单方式。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 5.管理协议 有助于一个PKI内的最终用户之间的在线通信和管理。管理协议应该支持下列功能： 注册：用户首次将自己告知CA的过程。 初始化：在最终用户系统安全运转前，安装那些与存储在基础设施的其他地方的密钥有适当关系的密钥信息。 认证：CA为用户的公钥颁发证书的过程，将证书返回给最终用户系统或将证书公布在证书库中。 密钥恢复：最终用户客户端的密钥信息可以通过CA或者密钥备份系统来备份。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 密钥更新：所有的密钥对必须定期更新。在这个过程中，将替换密钥对同时并颁发新的证书。 撤销：当一个授权用户通知CA出现了一个需要撤销证书的异常情形时才激活该过程。 交叉认证：两个CA交换用于建立一个交叉证书的信息。一个交叉证书是一个CA颁发给另一个CA的证书，该证书中含有用于颁发证书的CA签名密钥。 在线协议并不是惟一实现这些功能的方式，也可以使用脱机方式。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 6.操作协议(Operational Protocol) 操作协议是允许在目录、最终用户和可信主体之间传输证书和撤销的状态信息的协议。X.509标准规定了如何构建传输的数据。下面的协议是常用的协议：HTTP、FTP、e-mail和LDAP。各种PKI构成部分之间交互作用的方式如图 4?13所示。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 PKI构成部分之间交互作用 §7 公钥基础设施 ---PKI的构成 最终用户 密钥恢复 服务器 证书颁发 机构（CA） 注册机构 （RA） X.500 目录 　　*　　　　　　 7.数字时间戳 PKI中必须使用用户信任的统一的权威时间源。在很多情况下，在一份文件上盖上权威时间戳是非常有用的，它支持不可否认服务。安全时间戳在认证电子商务交易的时间上也非常有用，而且可以有效地识别重放攻击。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 8.客户端软件 客户端软件是一个全功能的、可操作PKI的重要组成部分。独立于所有应用程序，若完成PKI服务的客户端功能，应用程序通过标准接入点与客户端软件连接。 完整的PKI应由以下服务器和客户端软件构成： CA服务器：提供产生、分发、发布、撤销、认证等服务； 证书库服务器：保存证书和撤销消息； 备份和恢复服务器：管理密钥历史档案； 时间戳服务器：为文档提供权威时间信息。 §7 公钥基础设施 ---PKI的构成 　　*　　　　　　 1.证书的生存周期 证书从产生到销毁具有一定的生命周期，在证书的生命周期里PKI对证书具有如下功能： （1）证书产生、验证 　和分发密钥。 （2）证书申请。 （3）证书的获取。 （4）审核证书。 （5）签发证书。 （6）证书安装。 （7）证书使用。 （8）证书废止的申请。 （9）密钥的恢复。 （10）CRL的获取。 （11）密钥更新、审计 §7 公钥基础设施 ---证书的管理 　　*　　　　　　 公钥/私钥生成 申请 证书 审核 证书 签发 证书 证书 撤销 安装 证书 废止 申请 证书 使用 过期 更新 §7 公钥基础设施 ---证书的管理 　　*　　　　　　 2.注册和颁发证书 　用户产生一对私钥/公钥 用户填写证书申请表 发证机构（CA）验证核实后，用自己的私钥签发电子证书 用户签名 ※