网络安全第910讲34.pptxVIP

3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 1.公钥密码体制的基本概念1） 密钥对　在基于公钥体系的安全系统中， 密钥是成对生成的， 每对密钥由一个公钥和一个私钥组成。 在实际应用中， 私钥由拥有者自己保存， 而公钥则需要公布于众。 为了使基于公钥体系的业务（如电子商务等）能够广泛应用， 一个关键的基础性问题就是公钥的分发与管理。 公钥本身并没有什么标记， 仅从公钥本身不能判别公钥的主人是谁。 3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 1.公钥密码体制的基本概念2） 数字证书　数字证书是将公钥和公钥的主人名字联系在一起， 再请一个大家都信得过的有信誉的公正、 权威机构确认， 并加上这个权威机构的签名， 这就形成了证书。 由于证书上有权威机构的签字， 所以大家都认为证书上的内容是可信任的； 又由于证书上有主人的名字等身份信息， 别人就很容易地知道公钥的主人是谁。 互联网络的用户群绝不是几个人互相信任的小集体， 在这个用户群中， 从法律角度讲用户彼此之间都不能轻易信任， 所以公钥加密体系采取数字证书解决了公钥的发布和彼此信任的问题。3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 1.公钥密码体制的基本概念3） 电子认证中心　电子认证中心（即CA）是负责证书认证的权威机构。CA也拥有一个证书（内含公钥），当然，它也有自己的私钥，所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA，任何人都应该可以得到CA的证书（含公钥），用公钥来验证它所签发的证书。如果用户想得到一份属于自己的证书，他应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给那个用户（申请者）。如果一个用户想鉴别另一个证书的真伪，他就用CA的公钥对那个证书上的签字进行验证（如前所述，CA签字实际上是经过CA私钥加密的信息，签字验证的过程还伴随使用CA公钥解密的过程），一旦验证通过，该证书就被认为是有效的。CA除了签发证书之外，它的另一个重要作用是证书和密钥的管理。由此可见，证书就是用户在网上的电子个人身份证，同日常生活中使用的个人身份证作用一样。CA相当于网上公安局，专门发放、验证身份证。 3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 2.PKI的组成和基本功能　完整的PKI系统应该具有五大系统， 包括了认证中心CA、 数字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端应用接口系统等基本构成部分。 每个系统的具体内容如下：　（1） 认证中心CA。 认证中心CA是证书的签发机构和权威认证机构， 是PKI的核心。 认证中心是保证电子商务、 电子政务、 网上银行、 网上证券等环境秩序的第三方机构， 具有权威性、 可信任性和公正性的特征。 （2） 数字证书库。 数字证书库是CA颁发证书和撤销证书的集中存储区域， 用于存放已签发过的数字证书及公钥， 可供用户进行开放式查询， 获得所需的其他用户的证书及公钥。3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 2.PKI的组成和基本功能　完整的PKI系统应该具有五大系统， 包括了认证中心CA、 数字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端应用接口系统等基本构成部分。 每个系统的具体内容如下：　（3） 密钥备份及恢复系统。 PKI提供了密钥备份和恢复解密密钥机制，密钥的备份与恢复必须由可信的机构来完成。密钥备份与恢复只能针对解密密钥，签名私钥为确保其惟一性不能够作备份。该机制是针对用户如果丢失了用于解密数据的密钥，加密数据将无法被解密而造成合法数据的丢失。为避免这种情况，PKI提供了备份与恢复密钥的机制。 3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 2.PKI的组成和基本功能　完整的PKI系统应该具有五大系统， 包括了认证中心CA、 数字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端应用接口系统等基本构成部分。 每个系统的具体内容如下： （4） 证书作废处理系统。 任何证书都有一定的有效期， PKI系统必须定期自动更换证书和密钥， 超过有效期限的证书就要进行作废处理， 因此证书作废处理系统是PKI的一个必备组件。 证书作废的原因也可能是密钥介质丢失或用户身份变更等。　3.4 公开密钥基础设施（PKI） 3.4.1　PKI概述 2.PKI的组成和基本功能　完整的PKI系统应该具有五大系统， 包括了认证中心CA、 数字证书库、 密钥备份及恢复系统、 证书作废处理系统、 客户端应用接口系统等基本构成部分。 每个系统的具体内容如下：　（5） 客户端应用接口系统。 用户使用PKI系统需要在客户端装有软件， 或者使