信息安全第5讲PKI”.pptVIP

　　　　　　　　习 题　　1.简述PKI的基本概念。　　2. PKI主要提供哪几种服务？ 　　3. PKI有哪几部分组成？各部分的作用是什么？　　4. 什么是数字证书？　　5. 简述数字证书在线申请和撤销的过程。 * 网络世界与现实世界的区别有很重要的两点：开放性和匿名性。  网络世界与现实世界的区别有很重要的两点：开放性和匿名性。所以要达到人们对于信息安全的机密性 、完整性、不可否认性等的安全需求，采用密码学技术是必不可少，尤其是公开密码技术。我们在实验中进行 PGP通信的三种形式是实际应用中最为普遍使用的。每一种通信过程都会用到公开密码体制，因为公钥密码体 制使得密码技术的使用不再局限于加密技术，而且使得其可以用来实现数字签名、密钥管理等。所以可以说是公 钥密码技术的发展，使得密码学技术成为今天为电子商务、电子政务、网络购物等网络行为提供安全保障必不可 少的选择。 而对于公钥密码体制来说，其密钥的安全性也是其安全的核心。 PKI技术是目前网络安全建设的基础与核心，是电子商务安全实施的基本保障，因此，对PKI技术的研究和开 发成为目前信息安全领域的热点。 * * 仅仅拥有一对公私密钥并不足以确立一个可信赖的身份，比如说，在数字签名中：入侵者也许先假称他是那个人，然后再说服你去用他的公钥，一旦这个公钥发布了，那个入侵者就可以用他所拥有的私钥来生成一个签名。 所以对于PKI来说，其要基于它这个平台来完成我们所提到的认证、加密、完整性、不可否认的，它如何来保障公私密钥对的可信或者说是真实性，就是通过数字证书。也就是说PKI通过数字证书来证实一个人的数字身份。 PKI的主要任务就是通过自动管理密钥和数字证书，来为用户确立一个可信赖的数字身份，为用户建立一个安全的网络环境，使用户可以在多种应用环境下应用PKI提供的服务，从而实现网上传输数据的机密性、完整性、真实性和不可否认性。 * * * PKI认证系统 * LDAP轻量目录访问协议 这里的证书包括两类：由CA颁发的数字证书和用于证书撤销的CRL证书撤销列表 Revacation ?[,r?v?‘ke??n]? 废止，撤回 3.密钥备份和恢复系统：通常用户申请使用的公/私密钥对有两对，一对用于数字签名，另一对用于加密通信。密钥备份与恢复中备份和恢复的密钥指的是数字签名中的公钥和加密中的私钥信息。 * * * PKI是应用于异构环境的，所以就要求其数字证书有统一的格式。目前，使用比较广泛的是X.509 v3格式的证书，其格式如上。 (1) 版本号(Version Number): 标示证书的版本(版本1、版本2或是版本3)。 　 (2) 序列号(Serial Number): 由证书颁发者分配的本证书的唯一标识符。特定CA颁发的每一个证书的序列号都是唯一的。　　(3) 签名(Signature): 签名算法标识符(由对象标识符加上相关参数组成)用于说明本证书所用的数字签名算法。例如，典型的签名算法标识符MD5WithRSAEncription”表明采用的散列算法是MD5(由RSA Labs定义)，采用的加密算法是RSA算法。 (4) 颁发者(Issuer): 用于标识签发证书的认证机构，即证书颁发者的可识别名(DN)，这是必须说明的。　 (5) 有效期(Validity): 证书有效的时间段，由开始日期(Not Valid Before)和终止日期(NotValid After)两项组成。日期分别由UTC时间或一般的时间表示。 (6) 主体(Subject): 证书持有者的可识别名，此字段必须是非空的，除非使用了其他的名字形式(参见后文的扩展字段)。　 (7) 主体公钥信息(Subject Public Key Info): 主体的公钥及算法标识符，这一项是必须的。　 (8) 颁发者唯一标识符(Issuer Unique Identifier): 证书颁发者可能重名，该字段用于唯一标识的该颁发者，仅用于版本2和版本3的证书中，属于可选项。 (9) 主体唯一标识符(Subject Unique Identifier): 证书持有者可能重名，该字段用于唯一标识的该持有者，仅用于版本2和版本3的证书中，属于可选项。　 (10) 扩展(Extension): 扩展增加了证书使用的灵活性，能够在不改变证书格式的情况下，在证书中加入额外的信息。扩展项分为标准扩展和专用扩展，标准扩展由X.509定义，专用扩展可以由任何组织自行定义。因此，不同组织机构定义和接受的专用扩