PKI数据结构.PPTVIP

eCommCA － 电子商务 CA 系统 PKI 数据结构： eCommCA 采用三种基于X.509定义的数据结构： 证书； 交叉证书； 证书废止表或黑表。 为什么需要证书 ？ 安全服务依赖于: 自己拥有秘密密钥 其伙伴是否拥有你的公开密钥 通信伙伴采用你的公钥来核实你是否拥有秘密密钥 问题:通信伙伴如何能肯定所使用的公钥属于你? 解决: 让第三方即 CA 对公钥进行公正. 公正后的公钥就是证书。 X.509 证书 CA 的签名保证证书的真实性 证书已一种可信方式将密钥“捆绑”到唯一命名 持有人: Zhang Min 公开密钥: 9f 0a 34 ... 序列号: 123465 有效期: 2/9/1997- 1/9/1998 发布人: CA-名 签名: CA 数字签名 证书可能存放到文件、软盘、智能卡、数据库 ? 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 摘要 签名算法 散列 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 数字签名 CA的私钥 待签名消息 用户证书 CA生成用户证书流程 用户证书 鉴别机制 用户CA的 公钥 说明： 如果用户的CA是相同的，则鉴别工程结束，否则 CA 的证书还需用 该 CA的上级 CA之公钥来进行验证，直至采用可信 CA的公钥验证后才结束。 结果 否定 肯定 停止 CA可信？ 用该