第三章第四章_PKI导论PKI体系与功能.pptVIP

电子商务安全;第三章第四章PKI导论与体系和功能;2.2公钥基础设施PKI导论 ;2.2.1 PKI的基本概念;PKI的应用支持 ;安全基础设施提供服务的几个重要方面;1.简单识别与强识别;2．终端用户的透明性;3．全面的安全性;4.公钥基础设施PKI的特点 ;(1)节省费用;(2)互操作性 ;(3)开放性 ;(4)一致的解决方案 ;(5)可验证性 ;(6)可选择性 ;2.2.2PKI的定义;2.2.2PKI定义;2.2.3PKI系统的组成部分;2.2.3PKI系统的组成部分;(1)认证机构;(1)认证机构;(1)认证机构;(1)认证机构;(2)证书库;(2)证书库;(3)证书撤销;(3)证书撤销;(3)证书撤销;(3)证书撤销;(3)证书撤销;(3)证书撤销;(3)证书撤销;(3)证书撤销;(4)密钥备份及恢复系统;(4)密钥备份及恢复系统;(4)密钥备份及恢复系统;(4)密钥备份及恢复系统;（5）自动更新密钥 ;(6)密钥历史档案;(6)密钥历史档案;(7)交叉认证;(7)交叉认证;(7)交叉认证;(8)支持不可否认性;(9)时间戳;(10)客户端软件;2.3公钥基础设施PKI的体系与功能;公钥基础设施PKI的体系与功能;2.3.1PKI体系结构及各实体的功能;PAA是政策批准机构，由它来创建整个PKI系统的方针，政策 批准本PAA下属的PCA，为下属PCA签发公钥证书 建立整个PKI体系的安全策略 具有监控各PCA行为它的具体功能是：;发布PAA的公钥证书。 制定本体系的政策和操作程序。 制定本PKI体系中建立新PCA的政策和操作程序 对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别 为下属PCA和需要定义认证的其他根证书签发证书 发布下属PCA的身份及位置信息。;接收和发布下级PCA的政策。 定义下级PCA申请证书作废请求所需的信息 接收和认证对它所签发的证书的作废申请请求 为它所签发的证书产生CRL并发布。 保存证书，保存CRL、审计信息及PCA政策 发布它所签发的证书及发布CRL; PCA为政策CA制定本PCA的具体政策，可以是上级PAA政策的扩充或细化，但不能与之相背离。 这些政策可能包括本PCA范围内密钥的产生、密钥的长度、证书的有效期规定及CRL的处理等。 为下属CA签发公钥证书。;发布自己的身份和位置信息 发布它所签发的下属CA的身份和位置信息 公布它的服务对象。 发布它所制定的安全政策和证书处理有关程序：密钥的产生和模长ORA系统的安全控制、CRL的发布频???、审计程序。 对下属各成员进行身份认证和鉴别。 产生和管理下属成员的公钥。;发布PAA和自己的证书到下属成员。 定义证书作废请求生效所需的信息和程序。 接收和认证对它所签发的证书的作废申请请求。 为它所签发的证书产生CRL。 保存证书、CRL、审计信息和所签发的政策 发布它所签发的证书及CRL。;CA是认证机构，也称认证中心，具备有限的政策制定功能 按照上级PCA制定的政策，担任具体的用户公钥证书的签发、生成和发布及CRL生成及发布职能。 它的具体功能是：;发布本地CA对PCA政策的增补部分。 对下属各成员进行身份认证和鉴别。 产生和管理下属证书。 发布自身证书和上级证书。 证实ORA的证书申请请求。 向ORA返回证书制作的确认信息或返回已制定好的证书 接收和认证对它所签发的证书的作废申请。 为它所签发证书产生CRL。 保存证书、CRL、审计信息和它所签发的政策。 发布它所签发的证书和CRL。;在线证书申请ORA进行证书申请者的身份认证，向CA提交证书申请，验证接收CA签发的证书放发给申请者。 必要时，协助证书制作的处理过程。 它的具体功能是：;对用户进行身份审查和鉴别。 将用户身份信息和公钥以数字签名的方式送给CA 接收CA返回的证书制作确认信息或制好的证书 发放CA证书、CA的上级证书，发放用户证书 接受证书作废申请，验证其有效性，并向CA发送该申请。;1.COI方式(Community of interest) 这种方式将成员按他们的日常职能分类，将日常处理中通信较频繁的成员划分到一个CA或PCA之下，政策的制定就由COI组织来决定。 2.组织化方式 将PKI体系建立在现有的政府或组织机构的管理基础之上，安全政策也由每一个组织的管理结构来制订 3.担保等级方式 基于在一个PKI系统中，成员的工作可以分为3-4个安全级别成员，按照他们相应的安全级别来组织，而安全政策的制定可以由类似委员会机构来完成。;2.3.2PKI体系结构的组织方式;2.3.3.1产生、验证和分发密钥。 2.3.3.2签名和验证。 2.3.3.3证书的获取。 2.3.3.4验证证书。 2.3.3.5保存证书。 2.3.3.6本地保存的证书的获取;2.3.3.7证书废