第9章 PKI网络安全协议精要.pptVIP

第九章 PKI网络安全协议 公钥基础设施PKI概述 PKI简介 从狭义上讲，PKI可理解为证书管理的工具，包括为创建、管理、存储、分配、撤消公钥证书（Public Key Certificate ，PKC）的所有硬件、软件、人、政策法规和操作规程。利用证书可将用户的公钥与身份信息绑定在一起，然而如何保证公钥和身份信息的真实性，则需要一定的管理措施。 从广义上讲，PKI是在开放的网络上（如Internet）提供和支持安全电子交易的所有的产品、服务、工具、政策法规、操作规程、协定、和人的结合。从这个意义上讲，PKI不仅提供了可信的证书，还包括建立在密码学基础之上的安全服务，如实体鉴别服务、消息的保密性服务、消息的完整性服务和抗抵赖服务等。 PKI的组成 最终实体(EE) 也就是PKI中的用户，持有数字证书，是证书的主体。最终实体就是PKI中的用户，可分为两类：证书持有者和依赖方(relying party)。证书持有者即为证书中所标明的用户，依赖方指的是依赖于证书真实性的用户。在数字签名中，依赖方就是在相信证书真实性的基础上来验证签名的。 认证中心(CA) 可信权威机构，负责颁发、管理和吊销最终实体的证书。CA最终负责它所有最终实体身份的真实性。 PKI的组成 注册中心(RA) 可选的管理实体，主要负责对最终用户的注册管理，被CA所信任。尽管注册的功能可以直接由CA来实现，但当PK