3第3章 PKI组件及其应用.pptVIP

本章目标 掌握PKI所提供的组件及其应用 了解PKI及其功能 了解PKI各个组件中所使用的协议 理解PKI的三种结构模型 在一个实际的网络中实施PKI PKI概述 PKI，Public Key infrastructure ，公钥基础设施（创建、管理、存储、分发和撤消证书所需要的一组硬件、软件、人、策略和过程） PKI是一组组件和规程 PKI通过数字证书管理加密密钥 PKI提供认证、数据完整性、保密性和不可否认等安全服务 PKI标准化团体 IETF的X.509 Working Group（PKIX） RSA安全实验室发布的PKCS（Public Key Cryptography Standard 公共加密标准） PKI中的证书 证书是PKI中最基本的组件 证书被发行给主体，担保主体的身份 一个证书对应一个公钥和私钥 证书可以用于加密 证书的内容 公钥证书的主要内容 使用证书提供的服务 Web认证和专有信道（Netscape的SSL、TLS） 签名和加密的信息传递（RSA security S/MIME 2、 IETF 发布S/MIME 3 安全多用途Internet 邮件扩展PKCS#7 的语法）（PGP/MIME标准） 签名的事务和表单签发 网络操作系统、主机和大型机认证 使用证书提供的服务(续) 远程访问（使用基于证书的认证） 虚拟专用网（端点身份的认证） 文件加密 软件代码签发 3.1 PKI组件 证书颁发机构（CA） 注册权威机构（RA） 证书管理协议（CMP） 证书吊销 证书存储库 时间戳权威机构（TSA） 3.1 PKI组件(续) 3.1.1 证书颁发机构（CA） CA是公钥基础设施中受信任的第三方实体 CA向主体颁发证书 CA是信任的起点 3.1.1 证书颁发机构（CA）(续) CA是PKI的核心 CA管理证书（发行、吊销、更新和续借、CRL发布） 主体登记证书的过程 CA可以续借和更新证书 3.1.1 证书颁发机构（CA）(续) —— CA生成证书的过程 3.1.2 注册权威机构（RA） CA委派给注册权威机构（RA）一些责任 RFC2510中IPKICMP规定的RA功能： 个人认证、令牌分发 吊销报告、名称指定 密钥生成、存储密钥对 多数情况下，RA用于在证书登记过程中核实证书申请者的身份 3.1.3 证书管理协议（CMP） 常用的证书管理协议 PKCS CMP CMC SCEP PKCS PKCS，Public Key Cryptographic Standards，公钥加密系统标准 由RSA Security开发的一组标准协议，用以定义安全信息交换的方法 已发布的有PKCS#1、#3、#5、#6、#7、#8、#9、#10、#11、#12和#15 PKCS#13和#14是已提案的标准 PKCS#2和#4包含在PKCS#1中 PKCS(续) PKCS#1描述了使用RSA算法的公钥加密系统的实现 PKCS#3描述了使用Diffie-Hellman算法建立安全通信的方式 PKCS#5是一个基于密码的加密系统标准 PKCS#6规定了使用一组属性来扩展X.509证书的句法 PKCS#7是加密系统消息句法（Cryptographic Message Syntax），是证书管理的实际标准 PKCS(续) PKCS#8规定了私钥信息和加密私钥的句法 PKCS#9定义的属性参考PKCS#6、#7、#8和#10 PKCS#10是证书请求句法标准（Certification Request Syntax Standard），是证书发行过程中使用的通用协议 PKCS#11是关于加密系统硬件令牌的标准 PKCS#12规定了存储或传输密钥和证书的安全格式 PKCS(续) PKCS#13目前尚未发布，其焦点集中于使用椭圆曲线加密系统进行数据的加密和签发 PKCS#14目前尚未发布，它将是一个关于伪随机数生成的标准 PKCS#15可使不同的智能卡供应商和不同的支持智能卡的应用程序以一种通用格式存储加密系统令牌，是一种很急需的标准 CMP 1999年，RFC 2510和RFC 2511 PKIX工作组在上面两个标准的基础上开放了CMP CMP：Certificate Management Protocol，证书管理协议 CMP在处理证书的请求和响应消息方面可代替PKCS CMP协议支持许多不同的证书管理功能：如交叉证明的请求和响应消息、吊销、密钥恢复、CRL发布 基于加密系统消息句法的证书管理消息 RFC2797，PKIX工作组为了代替CMP而发布了CMC CMC，Certificate Management Messages over CMS CMC使用PKCS#10处理证书请求消