CHD9密钥管理和认证中心教程.pptVIP

密钥管理和认证中心(Key Management and Certification Authority); 本章內容;用户登记认证，使其网络身份生效并具法律效用。 - 如同向派出所登记，政府核发身份证 用户将其公开密钥登记认证，以确认用户的公开密钥。 - 如同印章证明 每个用户所持有的数字凭证，就如同现实社会中的身份证一样，可用来证明自己在网络世界中的合法身份。 提供一个值得信赖的安全基础设施。;产生及更新数字凭证，CA将每个用户的身份及公开密钥签署成一个数字凭证。 分发及管理数字凭证。 数字凭证的注销及恢复。 扮演一个数字时代可信任的仲裁者(提供凭证)。 存储数字凭证(有效凭证、终止凭证及过期凭证等)。 公布及传送数字凭证注销列表(Certificate Revocation List，CRL)。 数字凭证的查询及分送凭证管理的数据。;X.509 v3数字凭证格式; CA (Certificate Authority)：认证中心 DS (Directory Service)：存放数字凭证的地方 RA (Registry Agent)：代理用户向CA申请登记注册的程序;CA、DS、RA之间的关系;CA、DS、RA之间的关系：注册;9.4.2 数字凭证的产生和使用;数字凭证的核发及验证过程;目的： 避免数字凭证被误用或非法使用。 理由： 用户对私密密钥有被破解的疑虑或其他原因，需要更换其公开密钥及私密密钥。 用户已不再使用此CA所提供的数字服务。 用户因信用不好，而被列入拒绝往来客户。 CA对私密密钥有被破解的疑虑，而需要更换其公开密钥及私密密钥。;1. 用户传送注销的信息到RA 2. RA会转送此注销信息给CA 3. CA新增CRL並且发送CRL到DS 4. 用户可以到DS查询凭证注销列表，以确认是否注销成功 ;困難： 注销实时性：用户要注销凭证时，CA必须实时更新凭证注销列表。此外，CA必须将此CRL列表实时传送给所有的验证机关或用户(如果没有传送CRL给验证机关，则每次要验证数字凭证时，验证机关必须上网到CA查询CRL)，否则就会出现空窗期。在CA尚未更新CRL时，用户仍然可以继续使用其凭证，直到CA已更新CRL并且所有的验证机关或用户均已收到此CRL。 验证注销列表快速扩充：注销凭证的用户会持续地增加，使得凭证注销列表会快速膨胀，如此一来不但会增加此列表传送时的通信量，更会增加维护及验证时的复杂度。;9.4 数字凭证的使用;数字凭证与加解密机制的关系;9.4.2 网络用户的身份验证;挑战响应法;时戳法;认证中心凭证： - 认证中心的名称及其公开密钥。 服务器凭证： - SSL服务器名称及其公开密钥；DNS服务器凭证，其内容包含DNS服务器名称及其公开密钥。 软件出版者凭证 -软件商以其私密密钥来签署所发行的软件，以证明软件确为该公司所发行。;指的是两个CA，互相信任对方所发出的凭证 交叉认证一般来说可以分为两种， 阶层式(Hierarchical Cross Certification) 一般式(General Cross Certification) ;阶层式交叉认证;一般式交叉认证;9.7 电子签名法;电子签名法的立法原则