第3章-身份认证技术与PKI.pptVIP

步骤3 输入信息 步骤4 提交等待管理员发布 服务器上可以显示 控制面板?证书颁发机构 步骤5 证书的下载 步骤6 安装 证书下载后，双击安装 步骤7 选择存储方式 完成 成功 查看 注册中心RA RA是数字证书注册审批机构，他是CA的延伸部分，与CA逻辑上是一个整体，执行不同的功能。 负责对证书申请进行资格审核，功能如下： （1）替用户填写用户注册信息 （2）核对用户申请信息，就定是否提交审核 （3）审核 （4）向CA提交生成证书请求 （5）发放证书和私钥 （6）登记黑名单（过期的、撤销的证书及时登记） （7）CRL管理 （8）日志审计，维护RA的操作日志 （9）自身安全保证 证书发布库 证书库是CA颁发的证书和证书撤销列表（CRL）的集中存放地。 LDAP保障了证书及CRL的访问 X.509证书中对证书主题的命名带有目录系统的结构性质 目录服务器处理搜索速度非常快 支持分布式存放，解决瓶颈 密钥备份及恢复 丢失了解密数据的密钥，PKI提供了米要备份和恢复机制 只能针对加密/解密密钥，对签名密钥不能做备份 签名用于防否认，有时间性要求 证书撤销 原因：姓名的改变，私钥被窃或泄漏，用户与所属企业关系变更等。 PKI利用证书撤销，做为警告机制 方法： 周期性发布，CRL 在线查询机制 PKI应用接口 　　PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统。 PKI服务 认证 完整性 保密性 不可否认性 安全时间戳 安全公证 证书 数字证书是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证，由CA发行，可以用来在网络中识别对方的身份。 下面分别介绍不同类型的数字证书 X.509 X.509证书是应用范围最广泛的一种证书。 一个标准的X.509证书由用户公开密钥与用户标识符组成，此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等。 最初的X.509 v1版于1988年发布 1993年国际电信联盟ITU公布X.509 v2，增强了对目录存取控制和鉴别的支持 1996年发布X.509 v3版,支持扩展的概念，提供了多项预留扩展域，如：发证者或证书用户的身份标识，迷药标志，用户或公钥属性等。 X.509 v4版2000年5月发布。提出了特权管理基础设施PMI和授权模型 X.509证书 PKCS12 PKCS (公钥密码标准)是RSA实验室发布的一系列关于公钥技术的标准。PKCS标准提供了基本的数据格式定义和算法定义，是今天所有PKI实现的基础 PKCS12是PKCS的个人信息交换标准， PKCS12将X.509证书及其相关联的非对称密钥对，通过加密封装在一起。 许多应用都使用PKCS12标准作为用户私钥和X.509证书的封装形式，通常将封装了用户的非对称密钥对和X.509证书的PKCS12文件称之为私钥证书或PKCS12证书 PGP PGP（Pretty Good Privacy）是一种对电子邮件和文件进行加密和数字签名的方法。 PGP规定了实体间传递信息和文件的报文格式，也规范了实体间传递PGP密钥的报文格式。 PGP的信任模型，以用户为中心 属性证书 一种轻量级的数字证书，不包含公钥信息，只包含证书所有人ID、发行证书ID、签名算法、有效期、属性等信息 SET 安全电子交易（SET）标准定义了在分布式网络进行信用卡支付交易所需的标准，定义了标准的支付协议，并规范了应用PKI所必需的条件 数字证书按功能划分 （1）个人数字证书 　　证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。 （2）机构数字证书 　　证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。 （3）个人签名证书 　　证书中包含个人身份信息和个人的签名私钥，用于标识证书持有人的个人身份。 （4）机构签名证书 　　证书中包含企业信息和企业的签名私钥，用于标识证书持有企业的身份。 （5）设备数字证书 　　证书中包含服务器信息和服务器的公钥，用于标识证书持有服务器的身份。 信任模型 实际网络中不可能只有一个CA，多个认证机构之间的信任关系必须保证所有的PKI用户不必依赖和信任专一的CA，否则将无法进行扩展、管理和包含。 信任模型建立的目的： 确保一个认证机构签发的证书能够被另一个认证机构的用户所信任 严格层次信任模型 分布式信任模型 以用户为中心的信任模型 严格层次信任模型 （1）根CA认证直接为其下面的CA签发证书，根CA给自己颁发一个自签名证书。 （2）每个CA都认证零个或多个直接连接在它下面的CA （3）倒数第二层的CA认证终端实体 简单、不适合大规模 分布式信任模型 分布式信任结构把信任分散在两个或多个CA上 同位体