201密码学基础和应用.ppt

* * * * CA：Certification Authority Ca数字证书的发放机构，其主要功能包括： 签发数字证书 签发证书 更新证书 管理数字证书 撤销、查询 审计、统计 验证数字证书 黑名单认证（CRL） 在线认证 (OCSP) * RA：证书注册机构 证书注册权威 Registration Authority 受理用户的数字证书申请 对证书申请者身份进行审核并提交CA制证 类似于申请身份证的派出所 提供证书生命期的维护工作 受理用户证书申请 协助颁发用户证书 审核用户真实身份 受理证书更新请求 受理证书吊销 * 目录服务（LDAP） 目录服务简单地讲是信息的存储库 ，提供了证书的保存，修改，删除和获取的能力 CA采用LDAP标准的目录服务存放证书，其作用与数据库相同，优点是在修改操作少的情况下，对于访问的效率比传统数据库要高 * * CRL CRL (Certificate Revocation List):证书撤销列表，也称“证书黑名单” 在证书的有效期期间，因为某种原因（如人员调动、私钥泄漏等等），导致相应的数字证书内容不再是真实可信，此时，进行证书撤销，说明该证书已是无效 CRL中列出了被撤销的证书序列号 * PKI对象模型－四类实体 CA 担任具体的用户公钥证书的生成和发布，或CRL生成发布职能 RA 进行证书申请者的身份认证 向CA提交证书申请请求 验证接收到的CA签发的证书 并将之发放给证书申请者 必要时，还协助证书作废过程 证书 符合一定格式的电子文件 用来识别电子证书持有者的真实身份 终端实体 初始化（注册） 证书密钥更新 证书撤销/废止/更新请求 * 体系结构 CA安全认证中心功能: 提供统一的集中管理和监控界面 集中签发数字身份证书 申请、审核 更新、签发 集中管理数字身份证书 撤销、查询 审计、统计 集中验证数字身份证书 黑名单认证 在线认证 CA的主要功能 * CA系统模块结构 * 产生、验证和分发密钥 自己产生 代理方产生－密钥管理中心 混合方式：双密钥方式 CA：自己产生密钥对 RA：自己产生或代理方产生 PKI操作行为－12种 * 签名和验证 在PKI体系中，对信息或文件的签名，以及相应的对数字签名的验证属于使用非常普遍的操作 多种算法 算法完成：硬件、软件、固件（软硬结合） 密钥存放：内存、IC卡、软盘、Key PKI操作行为－12种 * 证书的获取 在验证信息的数字签名时，用户必须获取信息的发送者的公钥证书，以及一些需要附加获得的证书（如CA证书等，用于验证发送者证书的有效性） 附加发送 单独发送 从证书发布的目录服务器获得 直接从证书相关的实体获得 PKI操作行为－12种 * 证书的验证 验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA证书。 在使用每个证书前，必须检查相应的CRL(对用户来说这种在线的检查是透明的)。 用户检查证书的路径是从最后一个证书(即用户已确认可以信任的CA证书)所签发的证书有效性开始，检验每一个证书，一旦验证后，就提取该证书中的公钥，用于检验下一个证书，直到验证完发送者的签名证书，并将该证书中包括的公钥用于验证签名。 验证证书链中每一个CA证书 上级CA签名的有效性 证书有效期 是否作废：CRL、OCSP PKI操作行为－12种 * 5. 证书的保存 保存证书是指PKI实体在本地储存证书以减少在PKI体系中获取证书的时间并提高签名验证的效率 在储存每个证书之前，应该验证证书的有效性。 PKI实体可以选择储存所有从其他实体接收到的证书链上所有证书 也可以只存储签名数据发送者的证书等。 证书存储区应定时管理维护 清除已作废或已过期的证书和一定时间内未使用过的证书 同最新发布的CRL文件比较 删除CRL文件中发布的证书 证书存储区存满后，一般采取删除最少使用（LRU，least recently used）证书的方式维护 PKI操作行为－12种 * 本地保存证书的获取 用户收到签名数据后，将检查证书存储区判断是否保存了信息发送者的证书，如果保存了，用户则从本地储存区中取得该证书，用其中包含的公钥验证签名 用户可以选择每次使用前检查最新发布的CRL以确保发送者的证书未被作废 也可以选择定期证实本地证书存储区中证书的有效性 如果用户的本地存储区中未保存发送者的证书，用户则应按照上面描述的获取证书的方法来取得所需的证书 PKI操作行为－12种 * 密钥泄漏或证书中证明的某种关系中止的报告 当PKI中某实体的私钥被泄漏时，泄密私钥对应的公钥证书应被作废 如果证书中包含的证书持有者和某组织的关系已经中止，相应的公钥证书也应该被作废 应尽快以带外（电话