PKI技术与应用培训课件.ppt

第四篇 ?应用案例 第11章PKI应用 交叉认证 交叉认证是把以前无关的CA连接在一起的机制 交叉认证可以是单向的，也可以是双向的 不同的交叉认证信任模型 Subordinated Hierarchy，Cross-certified Mesh，Hybrid，Bridge CA，Trust Lists etc. 域内交叉认证，域外交叉认证 约束 名字约束，策略约束，路径长度约束 信任域 信任域扩展 双向认证 桥CA 第7章CPS CP与CPS CP, Certificate Policy 定义了一个用户对其它用户数字证书信任的程度 CPS, Certification Practice Statement 人们与组织根据CA的CPS来确定他们对该CA的信任程度 RFC 2527 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework PKI的安全策略 Certification Practice Statement 证书政策 责任与其它法律考虑 运作考虑 客户端软件 在线需求与离线运作 物理安全 硬件部件 用户密钥的威胁 灾难恢复 CPS所包含的主要内容 确认手续 证书的范围 授权 证书周期 交叉认证 保护绝密资料 不同的密钥 确认证书 证书撤销列表 CRL的发布点 在线证书状态协议（OCSP） 第8章PKI的构建 主要内容： 构建PKI的两种模式 两种模式的比较 §8.1 构建PKI的两种模式 自建模式 托管模式 §8.2 两种模式的比较 成本上的比较 建设周期的比较 投入与产出的比较 系统性能的比较 服务的比较 第9章PKI涉及到的法律问题 PKI涉及到的法律问题 数字签名的法律状况 PKI的法律框架 许可权，角色与责任，私有PKI(企业PKI) 密码管理政策与法规(不同的密码管理政策) §9.1国外PKI相关法律建设状况 联合国 《电子商务示范法》 《电子签章统一规则草案》 美国 《全球及全国电子商务电子签章法案》 欧盟 “欧洲电子商务倡议书” 亚州 新加坡、韩国、日本、香港、台湾 §9.3 如何构建我国的PKI法律  体系 立法考虑 要借鉴国外先进的立法经验； 要结合国内的发展状况。 涵盖的内容 确定电子合同的效力和电子证据可以充当法定证据的地位。 确立认证机构颁发数字证书并为网络用户确定身份提供帮助的法律地位。 PKI市场的准入问题。 认证机构市场管理方面要有严格规定。 第三篇 技术标准 第10章PKI技术标准 主要内容： ITU-T X.509及相关标准 PKIX系列标准 WPKI标准 SSL/TLS SET OpenPGP和S/MIME PMI标准简介 §10.1 ITU-T X.509及相关标准 ITU-T X.509 Edition 1 ITU-T X.509 Edition 2 ITU-T X.509 Edition 3 ITU-T X.509 Edition 4 ITU-T的其他标准 §10.2 PKIX系列标准 证书和CRL标准：RFC2459 PKI体系中的操作协议：RFC2559, RFC2560, RFC2585 PKI管理协议： RFC2510, RFC2511, RFC2797 证书管理的政策和证书操作规范： RFC2527 提供防抵赖的时戳和数据认证服务：RFC3029, RFC3161 PKI的实体对象说明 CA：证书认证中心 ( 创建, 分发和作废证书 )； RA：注册授权机构（即由CA分配了一定功能的可选的审核机构,它的功能是绑定公钥和证书持有者的身份等其他个人属性）； EE：PKI证书的使用者或申请证书的终端用户系统； Repository：是用于存储证书和CRL的系统，同时提供向EE端发布证书和CRL的服务； §10.3 WPKI标准 WAP Forum制定的Wap协议的主要特点是： 遵循X.509、PKIX等国际标准； 引入新的压缩证书格式（WTLS证书），减少证书数据量； 引入椭圆曲线算法，减少密钥长度； 引入证书URL，无线终端可只存放自己证书的URL，而非证书本身，减少了对存储容量的要求； §10.4 SSL/TLS SSL(Secure Socket Layer，安全套接字层）)是netscape公司设计的主要用于web的安全传输协议。 IETF()将SSL作了标准化，即RFC2246,并将其称为TLS（Transport Layer Security）。 §10.5 SET SET（